por Igor Moriyama, advogado da área empresarial da JCM Advogados Associados
A Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/18) é o instrumento normativo responsável por regular as formas de uso dos dados pessoais, até mesmo por via digital, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade. Assim, vem regendo os limites para a coleta e uso de dados dos cidadãos.
Esse texto, apesar de recente, já passou por modificações neste ano de 2019, devido a edição da Lei nº 13.853/2019, publicada no Diário Oficial de 9 de julho.
Dentre elas pode-se destacar a criação da Autoridade Nacional de Proteção de Dados (ANPD), um órgão federal, subordinado à Presidência da República, que será responsável por editar normas e fiscalizar procedimentos sobre proteção de dados pessoais. Assim, tal entidade atuará como uma agência reguladora do ramo, devendo zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar sanções em caso de irregular tratamento de dados.
A referida ANPD será composta por diretores de mandato fixo e terá a seguinte estrutura organizacional: Conselho Diretor (órgão máximo de direção), Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, órgão de assessoramento jurídico próprio e unidades administrativas necessárias à aplicação da Lei.
Ademais, outras mudanças surgiram para versar sobre novas responsabilidades e permissivos concedidos às figuras que fazem o tratamento de dados pessoais, bem como à profissionais de saúde e ao Poder Público.
Para esclarecimento, perceba que o tratamento de dados pode ser entendido como os procedimentos que envolvem a utilização de dados pessoais, desde sua coleta, até sua classificação, processamento e utilização. Todo esse processo exige a presença de três figuras, a do controlador (o agente que toma as decisões sobre o tratamento dos dados), a do operador (o agente que coloca em prática as decisões do controlador) e a do encarregado (aquele que faz a conexão entre o controlador e a pessoa detentora dos dados).
Tendo esse conhecimento prévio, veja que, com a edição da Lei nº 13.853/2019, foram criadas exceções à necessidade do encarregado pelo tratamento de dados em informar as alterações e operações feitas aos agentes de dados coligados. Antes a LGPD previa que o tal responsável deveria informar a correção, a eliminação, a anonimização ou o bloqueio dos dados aos agentes com quem tivesse compartilhado os dados, possibilitando que os últimos também fizessem as devidas mudanças. Contudo, com a recente edição, o responsável não precisará fazer tal comunicação nos casos em que isso for comprovadamente impossível ou implique esforço desproporcional. Além disso, o encarregado (também conhecido como data protection officer – DPO) poderá agora ser pessoa física ou jurídica, não sendo posto restrito somente a pessoa natural.
Outro ponto interessante foi o acréscimo na redação do dispositivo legal prevendo que serviços de saúde ou autoridades sanitárias, bem como profissionais da área de saúde, poderão fazer uso de dados pessoais para a tutela da saúde do titular de tais dados. Nesse caso, é possível identificar a ampliação das hipóteses de comunicação e uso compartilhado de dados referentes à saúde. Contudo, passa a ser vedados às operadoras de planos de saúde o uso dos dados de saúde para realizar a seleção de riscos, ou para fins de contratação ou exclusão de beneficiários.
Já no que concerne ao uso compartilhado de dados pessoais pelo Poder Público, foram adicionados incisos ao parágrafo primeiro do artigo 26 para prever que o Poder Público poderá transferir dados pessoais incluídos em bases às quais ele tenha acesso. Todavia, tal permissivo se dará somente nos casos em que: i) existe previsão legal; ii) a transferência for respaldada em contratos, convênios ou similares; iii) se o objetivo for a prevenção de fraudes e irregularidades, proteção da segurança e a integridade do titular dos dados.
Assim, a Lei exclui a obrigatoriedade de informar o titular de dados nos casos de tratamento de dados pessoais para o cumprimento de uma obrigação legal ou regulatória ou quando efetuado pela administração pública, desde que voltado para a execução de políticas públicas previstas em normas ou contratos.
Ao fim, cabe dizer que a recente mudança também traz a hipótese de conciliação direta entre o controlador de dados e o titular do dados, antes da aplicação das sanções legais, buscando resolver, por vias autocompositivas, os casos de vazamentos individuais ou acessos não autorizados.
Alguns entendem que a alterações aprovadas foram fundamentais para fornecer a devida aplicabilidade a Lei, consolidando mecanismos para sua melhor realização fática. Contudo, por ser recente, será necessário ainda espera para poder vislumbrar todos seus efeitos.