A Lei 13.853, que criou a Autoridade Nacional de Proteção de Dados (ANPD), órgão federal que vai editar normas e fiscalizar procedimentos sobre proteção de dados pessoais, teve origem na Medida Provisória 869/2018 e foi sancionada pelo presidente Jair Bolsonaro com alguns vetos.
Editada no final de 2018 pelo então presidente Michel Temer, a MP 869 alterou a Lei Geral de Proteção de Dados Pessoais , norma responsável por regulamentar a obtenção e o tratamento dos dados pessoais dos cidadãos por parte de empresas, bancos, órgãos públicos ou qualquer outra pessoa física ou jurídica que utilize dados pessoais para fins econômicos. A referida MP foi aprovada pela Câmara dos Deputados e pelo Senado Federal, e apresentou diversas modificações em relação à sua redação original.
De acordo com a nova lei, entre as competências da ANPD estão a zeladoria da proteção dos dados pessoais , elaboração das diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicação de sanções em caso de tratamento de dados feito de forma irregular.
A ANPD terá natureza transitória, podendo ser transformada em autarquia federal vinculada à Presidência da República após dois anos de sua existência, a critério do governo federal. O órgão apresenta a seguinte estrutura organizacional: Conselho Diretor (órgão máximo de direção); Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; Corregedoria; Ouvidoria; Órgão de assessoramento jurídico próprio e Unidades Administrativas necessárias à aplicação da lei, sendo que seus diretores serão nomeados para exercerem mandatos fixos.
O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é composto de 23 representantes, titulares e suplentes, de órgãos públicos e de representantes da sociedade civil, sendo seis do Executivo Federal; um do Senado Federal; um da Câmara dos Deputados; um do Conselho Nacional de Justiça; um do Conselho Nacional do Ministério Público; um do Comitê Gestor da Internet no Brasil; quatro da sociedade civil com atuação comprovada em proteção de dados pessoais; quatro de instituição científica, tecnológica e de inovação; e quatro de entidade do setor empresarial ligado à área de tratamento de dados pessoais.
Dentre os itens incluídos no veto presidencial estavam o dispositivo que permitia à ANPD cobrar taxas por serviços prestados, fundamentado na impossibilidade de sua cobrança em razão da natureza jurídica transitória da Autoridade; e o que proibia o Poder Público de compartilhar, com outros órgãos públicos ou com pessoas jurídicas de direito privado, os dados pessoais de requerentes que utilizaram a Lei de Acesso à Informação (Lei 12.527/2011).
Também foram vetados os dispositivos que ampliavam o rol de sanções administrativas aplicadas pela Autoridade Nacional (art. 52). No projeto original, o Congresso Nacional tinha aprovado três novos tipos de punição: suspensão parcial do funcionamento do banco de dados por seis meses; suspensão do exercício da atividade de tratamento dos dados pessoais por até seis meses e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Todavia, como justificativa para o veto afirmou-se que as novas sanções impossibilitariam o funcionamento de bancos de dados essenciais a diversas atividades públicas e privadas, como os utilizados por instituições financeiras. Atualmente a LGPD prevê, como sanção administrativa, advertência e multa de até 2% do faturamento da organização, não excedendo o patamar de R$ 50 milhões, dentre outras providências.
Por falta de dotação orçamentária, a ANPD ainda não está em funcionamento e acredita-se que não será fácil a implementação de suas unidades administrativas em todos os estados da Federação para o fiel cumprimento da fiscalização e aplicação da norma. Nesse sentido, acreditamos que os PROCONS estaduais e municipais terão papel preponderante na aplicação da lei, até que a ANPD se estruture.
Os PROCONS, independentemente de sua natureza jurídica, já atuam em seus respectivos estados e municípios há anos, dando cumprimento aos dispositivos no CDC. No que tange especificamente à proteção de dados pessoais dos cidadãos, a Lei 8.078/90, observando o art. 5º, XV, da CF, já previa situações nas quais o consumidor poderia ter acesso às suas informações pessoais contidas em registros, cadastros e fichas (art. 43, §§ 1º a 6º), cabendo a imposição da aplicação da norma e a reparação dos danos causados, em caso de sua inobservância (art. 44, § 2º c.c art. 22, parágrafo único, ambos do CDC).
Nesse sentido, diante da expertise acumulada ao longo dos anos e da estrutura, tanto física quanto de pessoal, os PROCONS exercerão papel essencial na aplicação da LGPD, auxiliando, no que for necessário, a ANPD na fiscalização das normas previstas na LGPD, podendo, inclusive, requerer explicações, autuar e processar administrativamente aqueles que não a obedecerem.