Figura ainda pouco conhecida no Brasil, as Autoridades de proteção de dados estão presentes principalmente na Europa como órgãos nacionais independentes para a fiscalização e o cumprimento das normas de tutela dos dados pessoais. Há modelos já consolidados no Reino Unido, Alemanha e França. Autoridades assim estabelecidas mostram-se fundamentais para garantir harmonia na interpretação das leis que versam sobre dados pessoais e sua efetiva aplicação, tanto pelo setor público quanto pelo privado.
O cenário de assimetria informacional que nos rodeia exige que sejam estabelecidos órgãos que visem a promover maior equilíbrio na relação entre os titulares dos dados e os agentes, bem como que fomentem uma cultura mais informada e centrada na proteção de dados e na segurança da informação.
Como estabelecido na Lei Geral de Proteção de Dados (LGPD), com redação dada pela Lei nº 13.853/19, a Autoridade Nacional de Proteção de Dados (ANPD) é um órgão da administração pública federal responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. É integrante da Presidência da República e terá seu Conselho Diretor escolhido pelo Presidente e por ele nomeado, após aprovação pelo Senado Federal. Ainda, ato do Presidente disporá sobre a estrutura regimental da ANPD.
Verifica-se, desde logo, uma vinculação talvez excessiva da Autoridade e de seus membros à Presidência, situação diversa da desenhada no Projeto aprovado pelo Senado em 2018, quando a Autoridade teria natureza de autarquia especial, estaria vinculada ao Ministério da Justiça e gozaria de ampla independência e autonomia.
Acerca da importância da Autoridade Nacional, destaca-se que ela pode estabelecer regulamentos específicos para setores que lidam com grandes volumes de dados, inclusive sensíveis, e proporcionar flexibilizações pontuais, a depender do poderio e da estrutura dos responsáveis pelo tratamento, visando estimular a inovação e novos modelos de negócios. E mais: será responsável por regulamentar determinadas disposições legais e desenhar com maior precisão deveres dos agentes, como, por exemplo, a base legal do legítimo interesse para o tratamento de dados e o relatório de impacto.
Adicionalmente, a ANPD deverá articular sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas, como o CADE, o SENACON e a ANATEL, podendo realizar trabalhos de cooperação também com Autoridades estrangeiras. Será o órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para a sua implementação. Nesse sentido, faz-se necessária a análise da relação entre os setores de proteção de dados, concorrencial, consumerista e de telecomunicações, bem como amplo diálogo entre as normas nacionais e estrangeiras, principalmente nas hipóteses de extraterritorialidade.
Em nível internacional, ter estabelecida uma Autoridade Nacional responsável pela proteção de dados é peça chave para o Brasil ser considerado adequado perante as normas europeias de proteção de dados. Até o momento, na América Latina, apenas Uruguai e Argentina foram assim considerados pelo Conselho Europeu. Além disso, a existência de uma autoridade independente pode facilitar o ingresso do Brasil na Organização para a Cooperação e Desenvolvimento Econômico (OCDE).
O que se espera da ANPD brasileira? a) Especialização, consistência decisória e aprofundamento temático; b) Corpo técnico, multidisciplinar e intimamente afeto à temática, conforme reforçado pelo recente “manifesto pela tecnicidade dos membros do conselho diretor da ANPD”; c) Independência funcional e autonomias administrativa, financeira e decisória; e d) Compromisso em promover a educação, a conscientização e a transparência no tratamento de dados, solicitando sugestões de melhoria e colaborando amplamente com as mais diversas partes interessadas, tratando os regulados como parceiros e não adversários.
No rol de competências da ANPD (Art. 55-J da LGPD), destacam-se por exemplo: a) zelar pela proteção dos dados pessoais e pela observância dos segredos comercial e industrial; b) fiscalizar e aplicar sanções (tanto ao setor público quanto ao privado), em caso de tratamento de dados realizado em descumprimento à legislação; c) apreciar petições de titular contra controlador, após comprovada a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação; d) promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados e das medidas de segurança; e) estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis; f) dispor sobre as formas de publicidade das operações de tratamento de dados pessoais; g) solicitar às entidades do poder público que realizem operações de tratamento de dados informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei; h) editar regulamentos e procedimentos sobre proteção de dados, bem como sobre os relatórios de impacto; e i) realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização sobre o tratamento de dados efetuado pelos agentes de tratamento, incluído o poder público.
Ainda no rol de competências, vale ressaltar: j) celebrar compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos; l) editar normas, orientações e procedimentos simplificados e diferenciados para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei; m) deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos; n) comunicar às autoridades competentes as infrações penais das quais tiver conhecimento; o) comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal; e p) articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação.
Há, portanto, rol bastante amplo de atividades para a ANPD. Contudo, até o momento, houve movimentação não tão expressiva para sua real estruturação e funcionamento, tendo sido selecionados alguns nomes para o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, por exemplo.
Acerca do tratamento de dados pessoais por agentes privados, dispõe a lei interessante observação: ao impor condicionantes administrativas, sejam limites, encargos ou sujeições, a ANPD deverá observar a exigência de mínima intervenção, assegurados os fundamentos, os princípios e os direitos dos titulares previstos no art. 170 da CF/88 e nesta Lei.
A aplicação das sanções previstas na LGPD compete exclusivamente à ANPD e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
De acordo com o art. 52, os agentes de tratamento, em razão das infrações cometidas às normas previstas nesta Lei, ficarão sujeitos às seguintes sanções administrativas: I - advertência, com indicação de prazo para adoção de medidas corretivas; II - multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a cinquenta milhões de reais por infração; III - multa diária, observado o limite total a que se refere o inciso II; IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência; V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI - eliminação dos dados pessoais a que se refere a infração; VII - (VETADO); VIII - (VETADO); IX - (VETADO); X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período; e XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Vale lembrar o tratamento diferenciado oferecido às entidades e órgãos públicos, visto que especialmente as multas não serão aplicadas a eles. As sanções dependerão de procedimento administrativo que possibilite ampla defesa e serão aplicadas de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os parâmetros estabelecidos em lei, devendo-se ressaltar que elas se encontram em rol taxativo. O disposto não substituirá a aplicação de sanções administrativas, civis ou penais definidas no Código de Defesa do Consumidor e em legislação específica. E mais: a Autoridade ainda definirá, por meio de regulamento próprio, sobre sanções administrativas a infrações a esta Lei.
Ao final dessas considerações, recorda-se que na complementação de voto do relator para a comissão destinada a proferir parecer à proposta de emenda à Constituição nº 17/19, publicada em 10 de dezembro, além de estabelecer o direito à proteção dos dados pessoais como direito fundamental, buscou-se trazer a seguinte alteração para o artigo 21 da Constituição Federal: Art. 21. Compete à União: (...) “XXVI – organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei, que disporá sobre a criação de um órgão regulador independente.” Segundo o deputado, como forma de oferecer maior ênfase e destaque à independência que se quer dar ao futuro órgão regulador, optou-se por explicitar esse atributo no texto normativo.
Não há dúvidas de que, para que o Brasil alcance um patamar elevado de proteção aos direitos humanos e de desenvolvimento enquanto nação, deve ser estruturada uma Autoridade Nacional de Proteção de Dados Pessoais que goze de autonomia, seja amplamente independente e detenha características semelhantes àquelas preconizadas na norma europeia de proteção de dados.
Na ausência de uma Autoridade assim estruturada, a LGPD perderá principalmente em termos de efetividade, não havendo um órgão específico para fiscalizar e aplicar sanções aos agentes. Além disso, diversas questões que, por lei, precisam ser regulamentadas ficarão em aberto, trazendo insegurança jurídica às partes. Há questionamentos se o formato atual da ANPD atende às reais necessidades da LGPD e da sociedade brasileira, bem como se a estrutura de agência reguladora, nos atuais moldes, seria a ideal. É esse um dos grandes desafios para a proteção de dados no País em 2020.
------------------------------------------------------
Art. 10 da LGPD: “O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I - apoio e promoção de atividades do controlador; e II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. § 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. § 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. § 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.”
