A Lei Geral de Proteção de Dados (LGPD) foi sancionada pelo presidente da República, Jair Bolsonaro, mas com alguns vetos importantes. O texto final, que inclui a criação da Autoridade Nacional de Proteção de Dados (ANPD), foi publicado no Diário Oficial nesta terça-feira, 9. Seguem abaixo as principais mudanças, junto com os comentários de alguns especialistas ouvidos por Mobile Time:

1) Revisão por pessoa natural – Foi vetada a obrigação de que qualquer revisão solicitada pelo titular dos dados em relação a decisões tomadas por um serviço digital seja feita necessariamente por uma pessoa natural.

“Se não podemos ter revisão de decisões automatizadas por pessoas naturais como ficamos? Não teremos revisão?”, questiona Rafael Pellon, advogado especializado em direito digital e sócio do escritório Pellon de Lima Advogados.

Flávia Lefèvre, associada do Intervozes, também critica: “Um dos piores vetos foi a retirada de revisão de decisões automatizadas para a formação de perfis de consumo, profissionais etc. Como esse processo se dá por algoritmos, cujos sistemas são alimentados com dados fornecidos por critérios com potencial de viés, há chances consideráveis de erros. A retirada do direito de revisão tem potencial de alto risco discriminatório ilegal e socialmente injusto.”

Por sua vez, Adriano Mendes, advogado especialista em proteção de dados, do escritório Assis e Mendes Advogados, discorda que esse veto prejudique os direitos dos cidadãos: “O veto não significa isso (que não haverá revisão). Todos os princípios da lei e direitos dos titulares continuam valendo, inclusive o da transparência e acesso à informação. Com a mudança, a pedido do titular ou da ANPD, a empresa controladora terá que explicar o racional da sua decisão e estará sujeita à legislação em caso de infrações. Com o veto ganham as startups de tecnologia e empresas que inovam. Imagine o Quinto Andar ter que receber cada pessoa que teve uma proposta recusada para explicar os motivos?”

2) DPO – O encarregado da proteção dos dados pessoais em cada empresa (ou Data Protection Officer, DPO, em inglês) não precisará ter conhecimento jurídico-regulatório.

Lefèvre comenta: “Achei bem negativo. É fundamental que quem atue como ponte entre os controladores e operadores dos dados com os titulares e a ANPD domine os aspectos jurídicos relacionados aos direitos e aos aspectos regulatórios. Esse é mais um mecanismo de garantir a efetividade para a lei.”

Mendes, por outro lado, apoia o veto: “Vale lembrar que a LGPD é para todos e que não faz sentido uma padaria, um salão de beleza ou um condomínio serem obrigados a contratar mais um profissional se o tratamento de dados for significativo em suas operações. O veto ocorreu para deixar claro que o DPO não precisa ter formação específica. A ANPD poderá regular, sugerir aptidões para segmentos específicos ou mesmo dispensar empresas por seu porte de terem profissionais específicos. A função do DPO é ser o elo de contato entre ANPD, empresa e titular. Ele é uma função de apoio e as multas e sanções recairão sempre para a empresa, não para o profissional. Por isso, mesmo sem um especificação, cada empresa deve analisar e escolher o melhor perfil para a atuação do DPO dentro do seu negócio”.

3) Taxas – Foi vetada a cobrança de taxas por serviços prestados, que serviriam como fonte de recursos da ANPD.

“A ANPD estará vinculada ao orçamento da Presidência e não terá fontes de receitas diretas pelos serviços que prestar. Sendo a intenção da lei a educação e a proteção de dados, não faria sentido cobrar taxas para que empresas, controladores e operadores ou mesmo os titulares pudessem ter acesso aos serviços da autoridade”, argumenta Mendes.

4) Lei de acesso à informação – Os dados pessoais de requerentes de acesso à informação poderão ser compartilhados com empresas privadas.

“Isso expõe os cidadãos a vigilância e represálias. Imagino os jornalistas requerendo documentos e depois sendo expostos”, critica Lefèvre.

5) Sanções – Três sanções que estavam previstas contra empresas que infringissem a lei foram vetadas: suspensão do funcionamento do banco de dados por até um ano; suspensão do exercício de tratamento de dados pessoais por até um ano; e proibição parcial ou total de atividades relacionadas a tratamento de dados.

Neste ponto, os especialistas entrevistados por Mobile Time concordam na crítica ao veto. “A retirada de sanções é mais um estímulo ao descumprimento das garantias da lei”, diz Lefèvre. “Em nosso entendimento, os vetos aos novos incisos do Artigo 52 não foram benéficos, ao retirar da ANPD a possibilidade de autoridade exercer parte do seu poder de fiscalização e de enforcement, já previstas em outras legislações como o Marco Civil da Internet e o Código de Defesa do Consumidor”, diz Mendes.

Avaliação geral

“Os vetos foram na linha de liberalidade econômica e de negócios mas colocam em risco algumas das conquistas da Lei”, resume Pellon.

A avaliação geral de Lefèvre é negativa: “Já tínhamos tido perdas significativas com os vetos do Temer. As garantias da lei vão ficando cada vez mais desidratadas. Espero que o Congresso tenha a maturidade e a força para derrubar esses vetos”. E adiantou que a Coalizão Direitos na Rede, que congrega diversas entidades, inclusive o Intervozes, em favor da Internet livre e aberta, deverá trabalhar para isso.

Por fim, Mendes tem uma visão diferente: “É melhor um pássaro na mão do que dois voando. Sigo otimista de que esta lei é positiva e tem o viés de educação. Se compararmos o texto da lei original e a alteração da medida provisória com este último sancionado ontem, percebemos o amadurecimento e o interesse de todos de forma crescente.”