Foi publicada no Diário Oficial de 9 de julho a Lei nº 13.853/2019, que alterou a Lei nº 13.709/18 (Lei Geral de Proteção de Dados – LGPD). As principais mudanças são resumidas a seguir:
Encarregado: poderá ser pessoa física ou jurídica, ao contrário do que estabelecia o texto original da LGPD, segundo o qual esse papel caberia apenas a pessoa natural. Além disso, os operadores também deverão indicar um encarregado, conforme definição do artigo 5º da LGPD. Contudo, o artigo 41 da LGPD não foi modificado e continua prevendo que apenas o controlador deverá indicar o encarregado. O texto enviado para sanção presidencial previa que as hipóteses nas quais o operador deveria indicar o encarregado seriam objeto de regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD). Como esse trecho foi vetado pelo presidente da República, não está claro quando o operador deverá indicar um encarregado.
Área da saúde: com relação às bases legais para tratamento dos dados pessoais, inclusive de dados sensíveis, foi acrescentada redação prevendo que serviços de saúde ou autoridades sanitárias, além de profissionais da área de saúde, possam tratar dados pessoais para a tutela da saúde do titular dos dados. Sobre a proibição de uso compartilhado entre controladores de dados pessoais sensíveis relativos à saúde visando vantagem econômica, a redação acrescentada cita como exceção a prestação de serviços de saúde e de assistência farmacêutica – em benefício dos interesses dos titulares de dados e para permitir a portabilidade dos dados e as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de saúde. Também foi acrescentada redação muito relevante para planos de saúde, proibindo as operadoras desses planos de tratar dados pessoais para seleção de riscos na contratação e exclusão de beneficiários.
Direitos dos titulares: a antiga redação da LGPD previa que o responsável pelo tratamento de dados deveria informar a correção, eliminação, anonimização ou o bloqueio dos dados aos agentes de tratamento com quem os tivesse compartilhado, para que eles realizassem o mesmo procedimento. De acordo com o acréscimo feito à redação original, o responsável não precisará fazer tal comunicação nos casos em que isso seja comprovadamente impossível ou implique esforço desproporcional. Sobre o direito de revisão de decisões tomadas com base em tratamento automatizado de dados, a redação original previa que a revisão fosse feita por pessoa natural. A Medida Provisória nº 869/18 havia excluído a necessidade de revisão por pessoa natural, e a nova redação manteve tal exclusão.
Tratamento de dados pelo Poder Público: no que concerne ao uso compartilhado de dados pessoais pelo Poder Público, foram acrescentados incisos ao parágrafo primeiro do artigo 26 para prever que o Poder Público poderá transferir dados pessoais incluídos em bases às quais ele tenha acesso nos seguintes casos: quando houver previsão legal; quando a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou se o objetivo for a prevenção de fraudes e irregularidades, proteção da segurança e a integridade do titular dos dados, sendo vedado o tratamento para outras finalidades.
Penalidades: nos casos de infração à LGPD, foi excluída a previsão de penalidades aplicáveis às entidades e aos órgãos públicos contida no §3º do artigo 52. Além disso, foi acrescentado parágrafo para prever que o valor arrecadado por multas aplicadas seja destinado ao Fundo de Defesa de Direitos Difusos, previsto na Lei de Ação Civil Pública e na lei que criou o Conselho Federal Gestor do Fundo de Defesa de Direitos Difusos. Por fim, foi acrescentado o §7º ao artigo 52 prevendo que vazamentos individuais de dados poderão ser objeto de conciliação direta entre controlador e titular e, apenas no caso de não haver acordo, o controlador estará sujeito às penalidades previstas na LGPD.
Autoridade Nacional de Proteção de Dados (ANPD): fica criada a ANPD, inicialmente integrante da Presidência da República. Sua natureza jurídica de órgão da Administração Pública federal deverá ser reavaliada após o prazo de dois anos. Também foram acrescentadas diversas atribuições à ANPD, como elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; celebrar compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa; editar normas, orientações e procedimentos simplificados e diferenciados (inclusive quanto aos prazos) para que as microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam se adequar; e garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara e acessível.
Clique aqui e confira nossa tabela comparativa completa da redação original da LGPD, da Medida Provisória 869/18 e da Lei nº 13.853/19