Foi publicada hoje, no diário oficial, a Medida Provisória nº 869 de 27 de dezembro de 2018, que cria a Autoridade Nacional de Proteção de Dados e traz outras alterações à Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD).
Criação da Autoridade Nacional de Proteção de Dados
Quatro meses após ter sua criação vetada pela Presidência da República quando da promulgação da LGPD, a Autoridade Nacional de Proteção de Dados (ANPD) é constituída, “sem aumento de despesa”, como órgão da administração pública federal integrante da Presidência da República. Sua organização, competências, governança e hierarquia são dispostas por novas adições ao artigo 55 da LGPD.
A Autoridade era o elo faltante para a sistemática de proteção de dados trazida pela LGPD. Entre suas principais atribuições, estão o estabelecimento de padrões técnicos, a avaliação de cláusulas e jurisdições estrangeiras no que tange a proteção de dados, a determinação para a elaboração de Relatórios de Impacto, a fiscalização e aplicação de sanções, atividades de difusão e educação sobre a lei, bem como demais atribuições que visam a correta aplicação da lei e os princípios da proteção de dados pessoais como um todo.
Clique na imagem e confira nosso infográfico sobre as atribuições da ANPD.
Alteração da data de vigência
Além de imediatamente criar a ANPD, a MP nº 869/18 também adia a vigência da LGPD para agosto de 2020, antes determinada para fevereiro de 2020. A alteração adiciona seis meses ao prazo de vacatio legis e, consequentemente, de adequação à lei – uma das maiores preocupações de empresas e entidades que se encontram no processo de adequação às novas regras de proteção de dados.
Demais alterações à Lei
Além do destacado acima, a MP nº 869/18 faz outras pontuais alterações ao texto da LGPD. Abaixo destacamos as mais relevantes modificações:
✓ Não existe mais a restrição a que o Encarregado seja pessoa física;
✓ Não se exige mais base legal para tratamento de dados pessoais para fins acadêmicos, sendo adicionada exceção expressa à aplicação da lei;
✓ O tratamento de dados pessoais realizados exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais pode ser realizado também por pessoas de direito privado, desde que controladas pelo Poder Público e não necessita ser especificamente informado à Autoridade Nacional;
✓ É possível a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica (além dos casos de portabilidade quando consentido pelo titular), se a comunicação é necessária para a adequada prestação de serviços de saúde suplementar;
✓ A revisão das decisões tomadas unicamente com base em tratamento automatizado de dados pessoais não precisa mais ser feita por pessoa natural;
✓ Foram alargadas as possibilidades de transferências a entidades privadas de dados pessoais constantes de bases de dados do Poder Público; e
✓ A comunicação ou uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica de direito privado não precisa mais ser informada à Autoridade Nacional.
Clique aqui e confira o texto completo da Medida Provisória, publicado no Diário Oficial
A Equipe de Proteção de Dados do escritório se encontra à inteira disposição para sanar eventuais dúvidas acerca dos impactos dessa Medida Provisória.