Publicado no Diário Oficial no dia 9 de julho, a lei 13.853/19 altera alguns detalhes da até então  a lei 13.709/18 (Lei Geral de Proteção de Dados – LGPD)

As as principais mudanças afetam as áreas da saúde, encarregados, penalidades, dentre outros. Confira as mudanças no resumo abaixo. 

Encarregado: Originalmente, o papel de encarregado ficava por conta apenas da pessoa natural, com a mudança, poderá ser pessoa física ou jurídica

Além disso, cabe aos operadores a função de indicar um encarregado, conforme definição do artigo 5º da LGPD. Entretanto, o artigo 41 não foi modificado e continua exigindo que apenas o controlador deverá indicar o encarregado. O texto enviado para sanção previa que as hipóteses nas quais o operador deveria indicar o encarregado seriam objeto de regulamentação pela Autoridade Nacional de Proteção de Dados (ANPD). Como esse trecho foi vetado pelo presidente, ainda não está evidenciado quando o operador deverá indicar um encarregado.

Penalidades: a previsão de penalidades aplicáveis às entidades e aos órgãos públicos contida no §3º do artigo 52 foi excluída, ao menos nos casos de infração à LGPD. Além disso, foi acrescentado um parágrafo que prevê que o valor arrecadado por multas aplicadas seja destinado ao Fundo de Defesa de Direitos Difusos, previsto na Lei de Ação Civil Pública e na lei que criou o Conselho Federal Gestor do Fundo de Defesa de Direitos Difusos. Por fim, foi acrescentado o §7º ao artigo 52 prevendo que vazamentos individuais de dados poderão ser objeto de conciliação direta entre controlador e titular e, apenas em casos de não haver acordo, o controlador estará sujeito às penalidades previstas na LGPD.

Área da saúde: em relação às bases legais para tratamento dos dados pessoais, foi acrescentada uma redação prevendo que serviços de saúde, autoridades sanitárias e profissionais da área de saúde, possam tratar dados pessoais para a tutela da saúde do titular dos dados. Sobre a proibição de uso compartilhado entre controladores de dados pessoais sensíveis relativos à saúde visando vantagem econômica, a redação cita como exceção a prestação de serviços de saúde e de assistência farmacêutica, em benefício dos interesses dos titulares de dados e para permitir a portabilidade dos dados e as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de saúde. Também foi acrescentada outra redação muito relevante para planos de saúde, proibindo as operadoras desses planos de tratar dados pessoais para seleção de riscos na contratação e exclusão de beneficiários.

Direitos dos titulares: Como era previsto na antiga redação da LGPD, o responsável pelo tratamento de dados deveria informar a correção, eliminação, anonimização ou o bloqueio dos dados aos agentes de tratamento com quem os tivesse compartilhado, para que eles realizassem o mesmo procedimento.

Os acréscimo feito à redação original, indicam que o responsável não precisará fazer tal comunicação nos casos em que isso seja comprovadamente impossível ou implique esforço desproporcional. Sobre o direito de revisão de decisões tomadas com base em tratamento automatizado de dados, a redação original previa que a revisão fosse feita por pessoa natural. 

A exclusão da necessidade de revisão por pessoa natural, que havia sido determinada na medida provisória 869/18 se manteve. 

Tratamento de dados pelo Poder Público: foram acrescentados incisos ao parágrafo primeiro do artigo 26 para prever que o Poder Público poderá transferir dados pessoais incluídos em bases às quais ele tenha acesso nos seguintes casos: quando houver previsão legal; quando a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou se o objetivo for a prevenção de fraudes e irregularidades, proteção da segurança e a integridade do titular dos dados, sendo vedado o tratamento para outras finalidades.

Autoridade Nacional de Proteção de Dados (ANPD): foi criada a ANPD, que possui natureza jurídica de órgão da Administração Pública federal e deverá ser reavaliada após o prazo de dois anos. A ANPD também ganhou algumas atribuições, como elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; celebrar compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa; editar normas, orientações e procedimentos simplificados e diferenciados para que as microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se auto-declarem startups ou empresas de inovação, possam se adequar; e por fim garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara e acessível.