O presidente Michel Temer criou a Autoridade Nacional de Proteção de Dados (ANPD), a entidade que vai funcionar como “xerife dos dados” no Brasil, já que ela é crucial para supervisionar a aplicação da lei brasileira de privacidade. Vetada quando a Lei Geral de Proteção de Dados (LGPD) foi sancionada em agosto, a ANPD ganha vida agora, via Medida Provisória nº 869, publicada nesta sexta-feira (28) e que passa a valer imediatamente – já a LGPD só entra em vigor em agosto de 2020, para permitir que empresas, o poder público e a sociedade civil se adaptem a ela.

A MP altera substancialmente a forma como o órgão foi desenhado no projeto de lei aprovado pelo Congresso. A entidade originalmente era uma autarquia ligada ao Ministério da Justiça. Com isso, a ANPD se equipararia a instituições como a Agência Nacional de Telecomunicações (Anatel) ou o Conselho Administrativo de Defesa Econômica (Cade). Na época, Temer vetou a autoridade com o argumento de que o Legislativo não tinha competência institucional para criar uma autarquia, que tivesse independência orçamentária e, portanto, criasse novas despesas. Com a assinatura da MP 869, no entanto, a ANPD perde autonomia institucional, já que passa a ser um órgão vinculado à Presidência da República, ainda que tenha independência técnica. Outro detalhe é que o órgão é criado sem que haja aumento de despesas da União – os cargos serão remanejados de outras estruturas do Executivo.

O “xerife da privacidade no Brasil” será, na prática, um conselho formado por cinco pessoas indicadas pelo presidente, que colherá a opinião de um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, composto por 23 integrantes. Os escolhidos para a ANPD serão representantes dos setores privado e público, do Comitê Gestor da Internet (CGI) e de organizações da sociedade civil. O mandato desses primeiros diretores poderá ser de dois a seis anos – depois, passará a ser de quatro anos.

A ANPD terá o poder de criar normas para fazer a lei de proteção de dados valer e ainda determinar diretrizes específicas para empresas de setores que processam informações pessoais de brasileiros. Ficará também a cargo da autoridade a fiscalização de desvios de conduta e a aplicação de multas – a punição financeira poderá chegar a 2% do faturamento desde que não ultrapasse os R$ 50 milhões.