LinkedIn

Bolsonaro sanciona lei que cria a autoridade de dados pessoais com 14 vetos

Cristina De Luca
09/07/2019 08h30

Feriado em São Paulo e o diário Oficial desta quarta-feira, 9 de julho, traz, enfim, a sanção da Lei 13.853/2019, decorrente do Projeto de Lei de Conversão (PLC) resultante da MP 869/2018, que cria a Autoridade Nacional de Proteção de Dados. Houve vetos, como esperado _ 14, no total _ que incidiram sobre pontos importantes da LGPD, como a ampliação das sanções por infração à lei, o direito de revisão por pessoa natural de decisões automatizadas, os requisitos e as garantias para o exercício da função de DPO (Encarregado de Proteção de Dados Pessoas).

Bolsonaro vetou também trecho sobre uma das fontes de receita da ANPD (produto da arrecadação de emolumentos) e sobre modificações que diziam respeito à Lei de Acesso à Informação.

Em resumo, os 14 vetos foram: Art. 20, § 3º – Art. 23, IV – Art. 41, § 4º – Art. 41, § 4º, I -Art. 41, § 4º, II – Art. 41, § 4º, III – Art. 52, X – Art. 52, XI – Art. 52, XII – Art. 52, § 3º – Art. 52, § 6º – Art. 52, § 6º, I -mArt. 52, § 6º, II – Art. 55-L, V.

Na opinião de Fabricio da Mota Alves, do escritório Garcia de Souza Advogados, foram menos vetos do que o esperado, porém,  significativos. Fabrício assessorou o relator da Lei Geral de Proteção de Dados no Senado, na época da tramitação do PL na casa.

Algoritmo auditando algoritmo
A sanção derruba a revisão das decisões automatizadas por pessoas naturais, um assunto que gerou muita polêmica durante a tramitação da MP 869/2018 no Congresso Nacional.  Na opinião do professor Danilo Doneda esse é um veto  que não leva em conta o risco e a importância da decisão para o cidadão. Mas havia muita pressão das associações que representam as empresas na área de TI para que a revisão pelo usuário fosse retirada.

O veto consta das sugestões enviadas à Casa Civil pela Brasscom, Associação Brasileira das Empresas de Tecnologia da Informação e Comunicação. A entidade entende que a obrigatoriedade da revisão humana de decisões automatizadas tem “impacto perverso no desenvolvimento de startups e novos empreendedores no país, impactando também a adoção de ferramentas de Inteligência Artificial e Big Data essenciais para o sucesso da Transformação Digital da economia brasileira”.

Em um momento em que o mundo todo debate o uso ético da Inteligência Artificial, e formas de tentar minimizar os vieses da tecnologia, deixar aos cuidados de outro algoritmo a revisão de uma decisão automatizada é um contrassenso, para dizer o mínimo. Já hoje não faltam casos nos quais as decisões automatizadas orientadas por modelos com viés, intencionais ou não, alimentados por dados incompletos, imprecisos ou tendenciosos, podem levar a estigmatização, à discriminação e à consolidação de preconceitos.

O PLC aprovado em abril de 2019 transferia para a ANPD a responsabilidade de regulamentar os casos em que a revisão por pessoa natural. Um ponto considerado positivo, na época, mas que acabou criando outros problemas, na opinião do professor Danilo Doneda. O texto abria margem à interpretação de que a revisão por humanos só seria possível depois de regulamentada pela ANPD. O que nos deixaria dependentes de uma regulamentação, sem que a lei deixasse claro os critérios para esta regulamentação. Ainda assim, isso era melhor do que não poder ter humanos auditando algoritmos.

A grande questão é que hoje os algoritmos da maioria das gigantes digitais e das empresas que já utilizam sistemas de Inteligência Artificial são considerados segredos industriais. Seria preciso haver um equilíbrio entre os direitos dos cidadãos e a preservação dos segredos industriais.

Sobre essas questões vale reler o artigo “Quem culpar quando a Inteligência Artificial falhar?”

Todo o problema reside na transparência das regras usadas pelos algoritmos. O cidadão precisa saber qual regra  foi usada para a tomada da decisão que o prejudicou.

Características do DPO
Outra sugestão da Brasscom acatada pelo Presidente Bolsonaro foi o veto ao parágrafo quarto do artigo 41, que dispunha sobre os requisitos para o cargo de Data Protection Officer. 

A Brascom via aí “um nicho de intervenção do Estado na atividade econômica da empresa ao se estabelecer os requisitos específicos que deverão ser preenchidos para o exercício da atividade de encarregado”.

Havia o receio de que o “conhecimento jurídico” exigido criasse um nicho para advogados.

Aliás, é bom que se diga, a maioria das sugestões de vetos indicadas pela Brasscom para a Casa Civil foram acatadas.

Inclusive as que reduziram as sanções, com o veto dos incisos X, XI e XII e do § 6º do Art. 52.

A justificativa da entidade é a de que o tratamento de dados pessoais é definido na Lei como uma atividade que engloba desde a coleta, até a utilização, processamento e armazenamento de dados pessoais. Assim, não há como desmembrar as distintas operações abarcadas pelo “tratamento” e dar continuidade, ainda que parcialmente, a uma prestação de serviços segregando-se a parte afetada pela infração.

Além disso, a previsão de proibição total do exercício dessa atividade, como disposto nos incisos X,XI e XII do artigo 52,  poderia “culminar com a inviabilidade de atividades econômicas legítimas de tratamento de dados pessoais, tais como, o processamento de folha de pagamento, inviabilizando não só a operação da empresa sancionada como afetando também as empresas para as quais essa presta serviços”, segundo a entidade.

“Cada vez mais tenho certeza que o tema de proteção de dados é mais de segurança e governança da informação do que somente “jurídico-regulatório”. Acho um absurdo querer definir isso em Lei. Não que o componente jurídico-regulatório não seja importante. Isso não deve constar de Lei. Pode ser feito por instrumento infra legal o que poderia ser corrigido mais facilmente”, opina Andriei Gutierrez, gerente de Relações Governamentais e Assuntos Regulatórios da IBM Brasil. Na opinião dele é ruim uma lei entrar em detalhes sobre as competências de uma atividade que o mundo todo ainda busca entender. 

“Se for constatado que não foi a decisão mais acertada, muda-se a regra via portaria, etc. Agora para mudar a lei, é muito mais difícil e cria-se uma reserva de mercado difícil de ser revertida”, completa Andriei.

Ainda sobre a função do DPO, vale lembrar que a sanção não retirou da lei a possibilidade do encarregado (Data Protection Officer em Português) ser “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”. Com esta nova redação, resta claro que as funções do DPO não precisão ser exercidas por uma única pessoa física e que seu vínculo profissional com a empresa pode se der de várias formas, além da contratação direta via contrato de trabalho.

Em comentário no LinkedIn, Viviane Maldonado, advogada, ex-juíza de direito e professora sobre privacidade de dados argumenta que conhecimentos jurídicos e regulatórios são mesmo inerentes ao cargo (nunca foi estabelecida reserva aos advogados). Logo, o mercado continuará a buscar profissionais que, dentre outras competências, conheçam profundamente a lei.

Tratamento de dados pelo poder público
Em texto publicado no LinkedIn, o advogado Adriano Mendes lembra ainda que o tratamento de dados Pessoais pelo Poder Público também sofreu um veto presidencial no inciso IV do artigo 2, que estabelecia que fossem protegidos e preservados dados pessoais de requerentes de acesso à informação, no âmbito da Lei nº 12.527, de 18 de novembro de 2011, vedado seu compartilhamento na esfera do poder público e com pessoas jurídicas de direito privado. Um pleito antigo da sociedade civil organizada, também vetado por Temer ao sancionar a LGPD.

O veto importante que não veio
Ao menos um veto esperado por muitos advogados que trabalham com proteção de dados não aconteceu: o já chamado de  “emenda Russomano”, que diz que vazamentos individuais podem ser resolvidos por arbitragem.

Está no parágrafo sétimo do artigo 46.

§ 7º Os vazamentos individuais ou os acessos não autorizados de que trata ocaputdo art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.”

Na opinião de Fabrício, além da técnica legislativa ruim (“vazamento” foi demais), o texto sugere uma condição arbitral para o exercício do poder da ANPD. Ou seja, se solicitada pelas partes uma conciliação direta, somente em caso de não acordo é que a ANPD poderá aplicar penalidades nas hipóteses de “vazamento” ou acesso não autorizado.

Muitos advogados sustentam que “vazamento”não chega sequer a ser um conceito jurídico quando aplicado à proteção de dados.

Próximos passos
Os vetos podem ser derrubados pelo Congresso. Mas talvez não haja consenso agora para derrubá-los.

E o Presidente da República ainda deve editar um decreto federal estruturando a ANPD, além de indicar os 5 diretores do órgão para sabatina pelo Senado.

“Após aprovação dos nomes, esses deverão dar sequência à estrutura e ao funcionamento da ANPD, inclusive aprovar seu regimento interno. Somente após essa etapa constitutiva, deverão vir as regulamentações à LGPD tão esperadas pela sociedade”, explica Fabrício.

** Este texto não reflete, necessariamente, a opinião do 

Fonte: Uol, Blog Portal 23

https://porta23.blogosfera.uol.com.br/2019/07/09/bolsonaro-sanciona-lei-que-cria-a-autoridade-de-dados-pessoais-com-14-vetos/ 



X