5 mudanças no texto final da LGPD que você precisa saber

1 – Agora é real, oficial: A LGPD entra em vigor em agosto de 2020

  Não há mais dúvida: o prazo de entrada em vigor da LGPD é agosto de 2020 (segundo os cálculos do Fabricio Mota, mais especificamente, no dia 16 de agosto de 2020). Assim, as empresas ganharam mais seis meses no prazo de adequação à lei.

  Mas isso não significa que dá para deixar o programa de implementação de proteção de dados para a última hora. Um programa efetivo exige várias etapas e uma verdadeira mudança de cultura – e isso não é possível fazer do dia para a noite.

  Apesar de algumas críticas quanto à dilação do prazo, pensando que no Brasil, diferente da União Europeia, não havia uma lei específica anterior sobre o tema, é razoável que as empresas tenham um prazo maior para uma compreensão da lei e planejamento de como se dará a implementação dentro das peculiaridades do modelo de negócio (core business, quantidade e sensibilidade dos dados processados, faturamento anual, número de áreas e colaboradores, etc.).

 

2 – ANPD possivelmente autônoma – em 2 anos

  Uma das maiores críticas que fizemos à LGPD foi a questão da autonomia da Autoridade Nacional de Proteção de Dados, apresentada num primeiro momento como agência reguladora – o que comprometia a entrada do Brasil na lista de livre transferência internacional de dados da União Europeia (nela estão, inclusive, os nossos vizinhos Argentina e Uruguai). Um dos requisitos para estar nesta lista, além de possuir uma legislação considerada adequada para a proteção de dados, é a existência de autoridade supervisora independente.

  Essa ausência de autonomia significaria para o Brasil um atraso em diversos sentidos, uma vez que vivemos numa economia baseada em dados e considerando que a União Europeia é um parceiro comercial estratégico.

  Mas a boa notícia foi que o texto final trouxe um novo formato para a nossa Autoridade, que já representa um avanço rumo à livre circulação de dados com a União Europeia: agora, ela será órgão da administração pública federal direta, vinculada ao Presidente da República e podendo, no período de dois anos, tornar-se “entidade de regime autárquico especial”.

  Entidade o que? Bom, traduzindo do “juridiquês”, seria um tipo de autarquia que pode contar com privilégios específicos e maior autonomia para um pleno desempenho de suas finalidades. Alguns exemplos desse tipo de autarquia são o Banco Central do Brasil e a OAB.

  Ainda temos muito a esperar quanto à ANPD.

 

3 – DPO pode ser pessoa física ou jurídica – e não tem mais obrigatoriedade de conhecimento jurídico-regulatório

  A  primeira alteração quanto ao DPO – Data Protection Officer (ou encarregado) da MP foi um tanto bem recebida: a LGPD que trazia a definição do DPO como pessoa física, passou a definir esta figura como “pessoa física ou jurídica”.

  E o que isso quer dizer? Que agora podemos falar em opções mais razoáveis tanto em questões econômicas como técnicas. Com essa mudança, podemos falar em “DPO as a service”, que seria a contratação de uma pessoa jurídica (empresa, consultoria, escritório de advocacia, etc.) especializada para assumir as responsabilidades de um DPO.

  Isto é interessante por não obrigar uma empresa a contratar um encarregado via CLT (o que pode ser um tanto desproporcional para startups ou pequenas e médias empresas, por exemplo, devido ao custo de manter um funcionário), como traz a possibilidade de contratação de um serviço completo envolvendo um time com um excelente nível de conhecimentos técnicos e jurídicos, com formação multidisciplinar.

  Mas outra modificação vem dividindo opiniões: na MP o DPO precisava ter conhecimento jurídico-regulatório. E, junto à sanção, o Presidente Jair Bolsonaro vetou esta especificação.

  Sabemos que para diversas das atividades listadas na LGPD, o conhecimento jurídico-regulatório será sim necessário (bem como, para tantas outras, conhecimentos técnicos específicos). Independentemente da inserção, ou do veto posterior, é necessário conhecimentos multidisciplinares e interdisciplinares para o desempenho das funções de DPO. Portanto, não entendo que o veto representou qualquer prejuízo ou mudança significativa no cenário fático.

  Além disso, o veto a este detalhe pode representar um ponto positivo para evitar que os nichos de mercado do meio jurídico acabem “monopolizando” a função.

 

4  – Compartilhamentos de dados de saúde com maiores restrições

  Os dados referentes à saúde não podem ser compartilhados para fins de obtenção de vantagem econômica.

  A MP determina que esta categoria de dados só poderá ter o seu compartilhamento dentro de algumas hipóteses específicas: para fins de portabilidade (solicitada pelo titular dos dados) ou no âmbito de transações resultantes da prestação de serviços de saúde, assistência farmacêutica e assistência de saúde.

 

5 – Revisão de decisões automatizadas

  Anteriormente à Medida Provisória, caso o titular requisitasse a revisão de decisões automatizadas que afetassem os seus interesses era assegurado pela Lei que a revisão deveria ser realizada por pessoa física. Já na nova redação, não há qualquer especificação sobre a obrigatoriedade de que a revisão seja realizada por pessoa natural ou com a sua intervenção.

  Ainda que haja críticas sobre esta modificação, devemos pensar que a revisão realizada por algoritmo (de forma automatizada) pode ser bem mais precisa do que a feira por pessoa natural. Ainda é preciso lembrar dos alto custo às empresas para que cada solicitação de revisão (em matéria de credit score, profiling e outros tipos de enquadramento automatizado e massificado) seja verificada por pessoa natural, que também necessita de determinados conhecimentos técnicos para realizar uma revisão algorítmica razoável.

  Em casos específicos, pode ser plausível tal exigência, mas, num contexto geral, de fato é um dispositivo desproporcional e sem um real benefício ao titular dos dados.