O Congresso Nacional terminou na quarta-feira (2) a votação do veto parcial à Lei 13.853, que criou a Autoridade Nacional de Proteção de Dados (ANPD). A nova estrutura vai editar normas e fiscalizar procedimentos sobre proteção de dados pessoais. Foram derrubados vetos a seis dispositivos. A nova lei tem origem na Medida Provisória 869/2018 e havia sido sancionada com 13 vetos.
De acordo com a nova lei, entre as competências da ANPD estão zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar sanções em caso de tratamento de dados realizado de forma irregular. Todos os itens vetados haviam sido incluídos pelos parlamentares.
Apenas um dispositivo do texto estava pendente de confirmação, já que os demais já haviam sido decididos na sessão anterior, feita na quarta-feira (25). Foi mantido o veto (VET 24/2019) à exigência de que a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais —quando solicitada pelo titular dos dados — teria de ser feita por uma pessoa e não por uma máquina. Para o Executivo, essa exigência inviabilizaria os modelos atuais de planos de negócios de muitas empresas, especialmente das startups.
Rejeitados
Entre os dispositivos que já haviam tido os vetos rejeitados está a ampliação do rol de sanções administrativas que poderiam ser aplicadas aos agentes de tratamento de dados. Os três novos tipos de punição que haviam sido vetados pelo presidente e foram reestabelecidos são: suspensão parcial do funcionamento do banco de dados por até seis meses; suspensão do exercício da atividade de tratamento dos dados pessoais pelo mesmo período; e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Bolsonaro afirmou que as novas sanções impossibilitariam o funcionamento de bancos de dados essenciais a diversas atividades públicas e privadas, como os utilizados por instituições financeiras. Atualmente a Lei Geral de Proteção de Dados (LGPD) prevê, como sanção administrativa, advertência e multa de até 2% do faturamento da organização.
Foi reestabelecida, ainda, a previsão de que as punições poderão ser aplicadas sem prejuízo a outras previstas em lei, e de que as novas sanções criadas só poderão ser aplicadas depois de já ter sido imposta outra pena para o mesmo caso concreto, como multas, bloqueio e eliminação dos dados pessoais a que se refere a infração. As sanções reestabelecidas no texto também poderão ser aplicadas em caso de controladores submetidos a outros órgãos.