Opinião & Análise

LGPD

O modelo híbrido de regulação previsto na LGPD

Alguns aspectos do modelo regulatório previsto na lei ainda carecem de um tratamento mais rigoroso

Crédito: Pixabay

A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece um regime de intervenção a ser promovida, primordialmente, por meio da Autoridade Nacional de Proteção de Dados Pessoais – ANPD. Em paralelo, a lei possibilita a instituição de um regime de governança que pode, inclusive, vir a receber a chancela estatal. A conjugação desses dois regimes enseja a configuração do que chamamos de modelo híbrido de regulação. Neste caso, a paisagem regulatória passaria a contar com a presença de atores públicos e privados, que buscariam, conjuntamente, a consecução de resultados socialmente desejados.

Esse arranjo regulatório instituído pela LGPD traz para o debate pelo menos três importantes discussões. A primeira tem como foco o regime de intervenção estatal via ANPD e busca responder à seguinte indagação: o referido regime é capaz de, isoladamente, promover a regulação da proteção de dados pessoais de modo a atingir as finalidades previstas na LGPD?

Quanto ao tema, observa-se que a LGPD estabelece um regime de intervenção pautada, primordialmente, na atuação da ANPD, a quem compete, dentre outras atribuições, fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação (art. 55-J). Trata-se do tradicional regime de regulação top-down comando-e-controle, onde o próprio Estado edita regras cogentes e fiscaliza o seu cumprimento por parte dos agentes regulados, sancionando as eventuais desconformidades com penalidades que, no caso, podem ser bastante severas.

Ocorre que esse regime tradicional de regulação vem se revelando insuficiente para endereçar os problemas advindos de uma sociedade cada vez mais complexa, o que irá se refletir no contexto de aplicação da LGPD. Com efeito, sabe-se que a maior parte das violações à privacidade – um dos fundamentos da disciplina da proteção de dados pessoais, conforme art. 2º, inc. I – ocorre nos domínios da Internet, um ambiente complexo por natureza, o que torna dificultosa, senão impossível, a tentativa do Estado de disciplinar, prévia e detalhadamente, padrões vinculativos de conduta por meio de regras com pretensão de exaustividade.[1]

Além das inúmeras discussões que a complexidade da Internet é capaz de suscitar – lembre-se que é no contexto da Internet que novas tecnologias como Big Data, Internet das Coisas e Inteligência Artificial potencializam as ameaças à privacidade –, há uma questão de cunho pragmático que deixa bastante evidente a insuficiência desse regime tradicional: conseguirá a ANPD fiscalizar, sozinha, o cumprimento da lei em um país de dimensões continentais como o Brasil, onde praticamente todos os setores estarão sujeitos aos termos da LGPD? A indagação, apesar de não ser retórica, parece deixar pouquíssima margem para uma reflexão mais sincera que busque encontrar justificativas para respondê-la positivamente.

A segunda discussão tem como objeto o regime de governança previsto no art. 50 da LGPD e busca analisar as implicações que decorrem da participação ativa de agentes privados na regulação. Percebe-se que o referido dispositivo atribui valor jurídico à instituição de um regime de governança onde os próprios controladores e operadores, diretamente ou por meio de associações, criam uma esfera regulatória paralela que incidirá sobre a sua atividade de tratamento de dados pessoais, esfera esta que poderá receber o reconhecimento e a publicidade estatal (§ 3º) e cuja efetiva implantação influenciará a dosimetria das sanções administrativas decorrentes do descumprimento da lei (art. 52, § 1º, inc. IX). O citado art. 50 delega, em alguma medida, competência regulatória para atores privados, os quais, assim, passariam a desempenhar papel ativo na regulação.

Essa participação ativa dos agentes privados estaria justificada, dentre outros fatores, pela assimetria informacional. Rory Van Loo afirma que, na regulação, há uma grande preocupação com a falta de habilidade e informação dos burocratas para se manterem atualizados com o que se passa no setor privado, especialmente com relação às tecnologias que lá são empregadas.

É neste contexto que o autor destaca que uma enforcer-firm – nomenclatura empregada pelo autor para designar uma empresa que já realiza negócios com o agente alvo da regulação – pode proporcionar uma regulação mais eficiente do que aquela tradicionalmente exercida por uma entidade governamental, pois este particular possui condições mais favoráveis para obter informações relevantes.[2] No mesmo sentido, Pedro António Pimenta da Costa Gonçalves realça o potencial endógeno dos particulares, dizente da vantagem regulatória de uma entidade privada que “se encontra em contacto privilegiado com as circunstâncias que reclamam o exercício da autoridade pública”.[3]

Apesar de se reconhecer os potenciais benefícios que a participação de atores privados pode proporcionar à regulação, é necessário ter em mente as críticas que o fenômeno atrai. Por exemplo, a atribuição de poderes de supervisão a uma entidade particular – situação possível à luz do art. 50 da LGPD – pode ensejar conflitos de interesses capazes de levar essa entidade particular a atuar de maneira divorciada da imparcialidade que deve caracterizar a função regulatória. Outras preocupações legítimas podem se relacionar com a falta de transparência e accountability dos atores privados encarregados de exercer esse papel de compliance regulatório, o que potencializaria o risco de feudalização[4] da regulação.

A terceira e última discussão tem como objeto a análise do cenário instaurado a partir da efetiva implantação do mencionado regime de governança, dando azo ao modelo híbrido de regulação (intervenção por meio da ANPD e governança regulatória). Os §§ 1º e 2º do art. 50 preveem a instituição de uma governança customizada, o que deixa claro o intento do legislador de proporcionar, por meio dela, uma regulação ainda mais eficaz e eficiente. Todavia, para que isso ocorra, é fundamental que se definam regras mínimas de coordenação da interface entre os protagonistas dos diferentes regimes que desempenharão a função regulatória, fixando-se, a priori, os princípios de regência, as diretrizes gerais e específicas a serem observadas, as responsabilidades e ações objetos de compartilhamento, os instrumentos de transparência e accountability, dentre outras questões.

Inobstante, a LGPD não veicula regras tendentes a promover o perfeito acoplamento entre o regime de intervenção por meio da ANPD e o de governança, o que, caso não seja dirimido oportunamente, poderá resultar em uma regulação deficiente. Por exemplo, a ausência de regras de coordenação ou mesmo o esfumaçamento dos limites de atuação de cada esfera regulatória pode resultar na caracterização de uma forma de risco moral regulatório, onde as esferas regulatórias pública e privada, cientes de que a outra também está (ou deveria estar) regulando a atividade, acabam reduzindo os seus próprios esforços e padrões de qualidade.

É inegável que a LGPD buscou viabilizar a adoção de estratégias regulatórias mais consentâneas com os grandes desafios que a proteção de dados pessoais impõe aos diferentes governos. A possibilidade de envolvimento ativo dos próprios agentes de mercado e até de outros agentes particulares representa um significativo avanço em termos de política regulatória, estando alinhada às práticas mais modernas de regulação flexível de ambientes complexos.

No entanto, alguns aspectos do modelo regulatório previsto na LGPD ainda carecem de um tratamento mais rigoroso a fim de se evitar disfunções que a teoria já permite projetar para o futuro. E ainda que o início da vigência da LGPD tenha sido prorrogado para o dia 3 de maio de 2021, nada impede – e tudo recomenda – que o tema seja desde logo debatido.

————————————

[1] A respeito da incidência desse regime tradicional de regulação sobre o ambiente cibernético, Clara Iglesias Keller afirma o seguinte: “Pela sua estrutura deôntica, essas regras guardam em si uma tipicidade que não permite flexibilidade na sua aplicação; ou seja, são mandamentos que, a partir de um único comportamento fechado, só se pode cumprir ou descumprir. Em economias baseadas na inovação, essa lógica é desafiada pela impossibilidade de os reguladores acessarem todo o conhecimento relevante para a efetividade desse tipo de regra, que resta, assim, comprometida”. KELLER, Clara Iglesias. Regulação nacional de serviços na Internet: exceção, legitimidade e o papel do Estado. Rio de Janeiro: Lumen Juris, 2019, p. 197-198.

[2] VAN LOO, Rory. The New Gatekeepers: Private Firms as Public Enforcers (December 4, 2019). 106 Virginia Law Review 467 (2020), p. 37.

[3] GONÇALVES, Pedro. Entidades Privadas com Poderes Públicos. Coimbra: Almedina, 2008, p. 1001-1002.

[4] A expressão é empregada por Pedro Gonçalves no seguinte contexto: “A fiscalização pública constitui, desde logo, uma peça fundamental no processo de legitimação democrática da entidade particular para o exercício de poderes públicos; por outro 1ado, revela-se essencial para minorar os riscos, inerentes à delegação, de desvio da realização do interesse público e de privatização material de poderes públicos; além disso, assume-se como um factor determinante para a unidade da Administração, bem como para a erradicação do risco da criação de um potencial de poder que, incontrolado, poderia conduzir à anarquia e à feudalização do sistema administrativo”. Ibid., p. 1001.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito