Apesar de uma atuação ainda bastante tímida, a Autoridade Nacional de Proteção de Dados (ANPD) possui o importante mandato de zelar pela proteção dos dados pessoais no Brasil, inclusive decidindo, na esfera administrativa, em caráter terminativo sobre a interpretação da LGPD.
A ANPD é dotada de autonomia técnica e decisória para cumprir com o seu papel institucional, sendo que a aplicação das sanções previstas na Lei Geral de Proteção de Dados Pessoais cabe somente a tal autoridade. As competências da ANPD prevalecem, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
A importância deste papel institucional no mundo contemporâneo da economia digital está bastante consolidada no mundo dos negócios e na academia, inclusive, sendo bastante reverberada a ideia de que “os dados são o novo petróleo”[1].
Ocorre que outros órgãos ou entidades da administração pública já possuíam mandatos de atuação amplos e capazes, por conseguinte, de produzir algum nível de sobreposição regulatória em relação às competências da ANPD. A crescente importância da informação no mundo atual faz com que cada vez mais entidades reguladoras setoriais intervenham na atuação das empresas reguladas no que se refere ao tratamento de dados, e, mais especificamente, no processamento de dados pessoais.
No caso específico dos mercados financeiro e de capitais, são alguns os exemplos de potenciais sobreposições de comandos normativos. Para ficar apenas em dois casos, citemos aqui a Resolução CMN nº 4.658/18 e da Instrução CVM nº 612/19, que alterou a Instrução CVM nº 505/11 (atualmente consolidada na Resolução CVM nº 35/21).
Quais sobreposições de competências existem e por que isso é relevante?
Tomando o exemplo de uma instituição corretora (ou distribuidora) de títulos e valores mobiliários, vamos notar que, no que se refere a regras sobre a proteção de dados pessoais de seus clientes pessoas naturais, tal entidade privada está sujeita à comandos normativos editados, inter alia, pelo Conselho Monetário Nacional (CMN), pelo Banco Central (BC), pela Comissão de Valores Mobiliários (CVM) e, em tese, pela ANPD.
Assim, um eventual fato danoso aos dados pessoais dos clientes sob responsabilidade de tal instituição — que poderia, digamos, ter sido evitado com processos e controles internos mais rígidos —, pode representar uma violação concomitante à Resolução CMN nº 4.658/18, à Resolução CVM nº 35/21 e à Lei 13.709/2018, apenas para ficarmos nos exemplos acima.
Casos de incidentes com dados pessoais de participantes dos mercados financeiro e de capitais não são meras hipóteses, já ocorreram no passado[2] (no Brasil e no exterior) e certamente ocorrerão novamente no futuro. Com o avanço da cultura de proteção de dados, os órgãos reguladores começam a dar maior atenção ao risco cibernético e à responsabilidade das instituições atuantes no mercado de capitais em proteger seus clientes do risco de incidentes[3].
Alguns poderiam dizer, neste cenário, que não necessariamente a sobreposição de competências das entidades reguladoras seria um problema, mesmo porque quanto mais responsáveis por supervisionar a proteção dos dados pessoais, melhor, na medida em que isso representaria uma maior proteção ao titular dos dados.
A literatura destaca diversos casos de “delegações duplicadas” (pelo Congresso) a entidades reguladoras do Poder Executivo. No caso do direito norte-americano, um exemplo seria o caso da Environmental Protection Agency (EPA) e da Atomic Energy Commission (AEC), visto que ambas entendem que possuem competência para regular emissões radioativas de fábricas nucleares, nos termos de suas respectivas leis de criação[4]. Resumidamente, o problema deste tipo de espaço de ação compartilhado entre as diferentes entidades reguladoras é que, se tais competências forem exercidas em sua plenitude, podem aumentar desnecessariamente os gastos estatais e os custos de observância dos regulados.
Se a atuação entre as diferentes entidades for descoordenada, pode vir a ocorrer no âmbito de CMN, BC, CVM e ANPD, o que já acontece com os órgãos da administração pública responsáveis pelo combate à corrupção, em que se destaca o “risco de determinada empresa ser apenada duas ou mais vezes pelo mesmo fato, a despeito de não ser evidente a pluralidade de bens jurídicos tutelados pelas distintas esferas de responsabilização”.[5]
Mecanismos de cooperação como forma de resposta às sobreposições normativas
Em vista deste cenário e da necessidade de ganhos de escala e de efeitos, a literatura costuma apontar que é fundamental uma cooperação entre as entidades reguladoras[6].
No caso das entidades às quais aludimos aqui, a inspiração pode vir do Reino Unido, onde já existem mecanismos de cooperação regulatória entre o Information Commissioner (ICO) e a Financial Conduct Authority (FCA)[7]. Referido instrumento estabelece parâmetros de cooperação regulatória em áreas em que tais entidades possuem funções e poderes complementares, tanto na fase da investigação, quanto na fase do “enforcement”.
A ANPD já possui alguns acordos de cooperação técnica firmados em 2021 — como por exemplo o celebrado com o Tribunal Superior Eleitoral (TSE) —, e poderia estender esse tipo de instrumento com as instituições reguladoras dos mercados financeiro e de capitais. Isto seria importante para aumentar a troca de conhecimento entre tais entidades, melhorar a qualidade das investigações e evitar o desperdício de recursos com ações de supervisão e de “enforcement” duplicadas.
[1] ‘Meglena Kuneva – European Consumer Commissioner – Keynote Speech – Roundtable on Online Data Collection, Targeting and Profiling’ (European Commission – European Commission) <https://ec.europa.eu/commission/presscorner/detail/en/SPEECH_09_156>. Acesso em 23 Dez. 2021.
[2] Ver: https://valor.globo.com/financas/noticia/2017/01/23/hackers-roubam-dados-de-clientes-da-xp.ghtml. Acesso em 15 Jan. 2022.
[3] https://www.sec.gov/news/press-release/2021-169. Acesso em 15 Jan. 2022.
[4] MARISAM, Jason. Duplicative Delegations. Digital Commons @ American University Washington College of Law. Disponível em: <https://digitalcommons.wcl.american.edu/alr/vol63/iss2/1/>. Acesso em: 15 Jan. 2022.
[5] MENDES, Gilmar Ferreira; FERNANDES, Victor Oliveira. Disponível em: https://www.jota.info/especiais/acordos-de-leniencia-e-regimes-sancionadores-multiplos-13042021. Acesso em 15 Jan. 2022.
[6] Kloza D and Galetta A, ‘Towards Efficient Cooperation between Supervisory Authorities in the Area of Data Privacy Law’, p. 5 (2015) 1 25.
[7] https://ico.org.uk/media/about-the-ico/documents/2614342/financial-conduct-authority-ico-mou.pdf. Acesso em 14 Jan. 2022.