Autoridade Nacional de Proteção de Dados Pessoais e a nova dinâmica da LGPD
Nos últimos dias, a Lei Geral de Proteção de Dados (LGPD), que regulamenta o uso, a proteção e a transparência de dados pessoais no Brasil, tornou-se ainda mais proeminente ao ser sancionada pelo presidente Jair Bolsonaro – ainda que com alguns vetos – e ao incorporar a criação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), principal guardiã da LGPD e que estará vinculada à Presidência da República.
Entendo que o veto relacionado à revisão obrigatória por uma pessoa natural a decisões automatizadas é o mais importante. A justificativa do governo para o veto é de que “tal exigência inviabilizará os modelos atuais de planos de negócios de muitas empresas, notadamente das startups, bem como impacta na análise de risco de crédito e de novos modelos de negócios de instituições financeiras, gerando efeito negativo na oferta de crédito aos consumidores”. A meu ver, o argumento faz sentido e está aderente com a realidade e tendência de inovação global, ao mesmo em que o 1º e o 2º parágrafo do 20º artigo garantem o direito ao titular de dados de solicitar informações claras a respeito dos critérios e dos procedimentos utilizados na decisão automatizada.
No caso de o controlador (empresa) não abrir essa informação, a ANPD poderá realizar a fiscalização. Além disso, há um movimento crescente no cenário da inteligência artificial para fornecer soluções e algoritmos que tenham capacidade de explicar o racional de suas decisões. Portanto, não vejo tamanho impacto.
De forma geral e simplificada, os vetos não alteram a dinâmica da lei. O propósito original da LGPD é aplicar mais organização e seriedade à utilização de dados de pessoas naturais pelas empresas de direito público ou privada, trazendo a estas companhias uma série de exigências de governança, transparência, segurança, entre outras. Este propósito está mantido mesmo com os vetos.
Um dos vetos diz que a Autoridade Nacional de Proteção de Dados deve ser financiada com recursos próprios pelo Orçamento Geral da União e, para isso, será necessário realizar alguns remanejamentos na própria estrutura de custos do governo. Considero positivo esse ponto, uma vez que vai levar a uma maior eficácia com o mesmo orçamento. Precisamos de um governo cada vez mais eficiente e que gere menos peso tributário nos cidadãos e nas empresas.
Já o veto sobre as decisões automatizadas de empresas referentes aos dados pessoais, como por exemplo em análises de risco de crédito, a lei original diz que o titular de dados pode solicitar revisão e que esta deve ser, obrigatoriamente, realizada por pessoa natural, ou seja, por uma pessoa. Desta forma, o veto remove a obrigatoriedade de que todas as solicitações de revisão de decisões sejam feitas por pessoas.
Também foi removida a possível sanção de bloqueio de utilização da base de dados das empresas, porém, foram mantidas outras sanções como advertência com prazo para regularização, multas, publicização, bloqueio e/ou eliminação dos dados pessoais relacionados à infração e não à base de dados inteira. Trata-se de um conjunto eficaz para buscar a aplicação da LGPD pelas empresas. O bloqueio de toda base de dados praticamente inviabiliza que uma empresa continue operante.
Com a decisão presidencial, as empresas podem escolher o(a) Encarregado(a) de Dados que considerar apto(a) e não necessariamente alguém puramente técnico da questão jurídica. Certamente, as empresas sérias farão suas escolhas por uma pessoa que precisará passar por algum treinamento ou até mesmo terceirizar essa questão para outras companhias. O fato é que a lei não é apenas sobre matéria jurídica, mas também de tecnologia, cultura, marketing e outros temas. É inviável pensar em um encarregado de dados que domine todas estas matérias. Defendo que seja um profissional que tenha um bom conhecimento geral sobre a lei e que tenha a capacidade de engajar e coordenar outras pessoas ou empresas rumo à adequação à LGPD,que tem data prevista para entrar em vigor em agosto de 2020.