Opinião & Análise

Tecnologia

Por que precisamos de uma Autoridade Nacional de Proteção de Dados?

Existência de uma autoridade independente pode facilitar o ingresso do Brasil na OCDE

Crédito: Pixabay

Figura ainda pouco conhecida no Brasil, as Autoridades de proteção de dados estão presentes principalmente na Europa como órgãos nacionais independentes para a fiscalização e o cumprimento das normas de tutela dos dados pessoais. Há modelos já consolidados no Reino Unido, Alemanha e França. Autoridades assim estabelecidas mostram-se fundamentais para garantir harmonia na interpretação das leis que versam sobre dados pessoais e sua efetiva aplicação, tanto pelo setor público quanto pelo privado.

O cenário de assimetria informacional que nos rodeia exige que sejam estabelecidos órgãos que visem a promover maior equilíbrio na relação entre os titulares dos dados e os agentes, bem como que fomentem uma cultura mais informada e centrada na proteção de dados e na segurança da informação.

Como estabelecido na Lei Geral de Proteção de Dados (LGPD), com redação dada pela Lei nº 13.853/19, a Autoridade Nacional de Proteção de Dados (ANPD) é um órgão da administração pública federal responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. É integrante da Presidência da República e terá seu Conselho Diretor escolhido pelo Presidente e por ele nomeado, após aprovação pelo Senado Federal. Ainda, ato do Presidente disporá sobre a estrutura regimental da ANPD.

Verifica-se, desde logo, uma vinculação talvez excessiva da Autoridade e de seus membros à Presidência, situação diversa da desenhada no Projeto aprovado pelo Senado em 2018, quando a Autoridade teria natureza de autarquia especial, estaria vinculada ao Ministério da Justiça e gozaria de ampla independência e autonomia.

Acerca da importância da Autoridade Nacional, destaca-se que ela pode estabelecer regulamentos específicos para setores que lidam com grandes volumes de dados, inclusive sensíveis, e proporcionar flexibilizações pontuais, a depender do poderio e da estrutura dos responsáveis pelo tratamento, visando estimular a inovação e novos modelos de negócios. E mais: será responsável por regulamentar determinadas disposições legais e desenhar com maior precisão deveres dos agentes, como, por exemplo, a base legal do legítimo interesse para o tratamento de dados1 e o relatório de impacto2.

Adicionalmente, a ANPD deverá articular sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas, como o CADE, o SENACON e a ANATEL, podendo realizar trabalhos de cooperação também com Autoridades estrangeiras. Será o órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para a sua implementação. Nesse sentido, faz-se necessária a análise da relação entre os setores de proteção de dados, concorrencial, consumerista e de telecomunicações, bem como amplo diálogo entre as normas nacionais e estrangeiras, principalmente nas hipóteses de extraterritorialidade.

Em nível internacional, ter estabelecida uma Autoridade Nacional responsável pela proteção de dados é peça chave para o Brasil ser considerado adequado perante as normas europeias de proteção de dados. Até o momento, na América Latina, apenas Uruguai e Argentina foram assim considerados pelo Conselho Europeu. Além disso, a existência de uma autoridade independente pode facilitar o ingresso do Brasil na Organização para a Cooperação e Desenvolvimento Econômico (OCDE).

O que se espera da ANPD brasileira? a) Especialização, consistência decisória e aprofundamento temático; b) Corpo técnico, multidisciplinar e intimamente afeto à temática, conforme reforçado pelo recente “manifesto pela tecnicidade dos membros do conselho diretor da ANPD”; c) Independência funcional e autonomias administrativa, financeira e decisória; e d) Compromisso em promover a educação, a conscientização e a transparência no tratamento de dados, solicitando sugestões de melhoria e colaborando amplamente com as mais diversas partes interessadas, tratando os regulados como parceiros e não adversários.

No rol de competências da ANPD (Art. 55-J da LGPD), destacam-se por exemplo: a) zelar pela proteção dos dados pessoais e pela observância dos segredos comercial e industrial; b) fiscalizar e aplicar sanções (tanto ao setor público quanto ao privado), em caso de tratamento de dados realizado em descumprimento à legislação; c) apreciar petições de titular contra controlador, após comprovada a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação; d) promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados e das medidas de segurança; e)  estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis; f) dispor sobre as formas de publicidade das operações de tratamento de dados pessoais; g) solicitar às entidades do poder público que realizem operações de tratamento de dados informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei; h) editar regulamentos e procedimentos sobre proteção de dados, bem como sobre os relatórios de impacto; e i) realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização sobre o tratamento de dados efetuado pelos agentes de tratamento, incluído o poder público.

Ainda no rol de competências, vale ressaltar: j) celebrar compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos; l) editar normas, orientações e procedimentos simplificados e diferenciados para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei; m) deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos; n) comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;  o) comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal; e p)  articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação.

Há, portanto, rol bastante amplo de atividades para a ANPD. Contudo, até o momento, houve movimentação não tão expressiva para sua real estruturação e funcionamento, tendo sido selecionados alguns nomes para o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, por exemplo.

Acerca do tratamento de dados pessoais por agentes privados, dispõe a lei interessante observação: ao impor condicionantes administrativas, sejam limites, encargos ou sujeições, a ANPD deverá observar a exigência de mínima intervenção, assegurados os fundamentos, os princípios e os direitos dos titulares previstos no art. 170 da CF/88 e nesta Lei.3 

A aplicação das sanções previstas na LGPD compete exclusivamente à ANPD e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública. 

De acordo com o art. 52, os agentes de tratamento, em razão das infrações cometidas às normas previstas nesta Lei, ficarão sujeitos às seguintes sanções administrativas4: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a cinquenta milhões de reais por infração; III – multa diária, observado o limite total a que se refere o inciso II; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;5 VI – eliminação dos dados pessoais a que se refere a infração; VII – (VETADO); VIII – (VETADO); IX – (VETADO); X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período; e XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Vale lembrar o tratamento diferenciado oferecido às entidades e órgãos públicos, visto que especialmente as multas não serão aplicadas a eles.6 As sanções dependerão de procedimento administrativo que possibilite ampla defesa e serão aplicadas de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os parâmetros estabelecidos em lei, devendo-se ressaltar que elas se encontram em rol taxativo. O disposto não substituirá a aplicação de sanções administrativas, civis ou penais definidas no Código de Defesa do Consumidor e em legislação específica. E mais: a Autoridade ainda definirá, por meio de regulamento próprio, sobre sanções administrativas a infrações a esta Lei.

Ao final dessas considerações, recorda-se que na complementação de voto do relator para a comissão destinada a proferir parecer à proposta de emenda à Constituição nº 17/19, publicada em 10 de dezembro, além de estabelecer o direito à proteção dos dados pessoais como direito fundamental, buscou-se trazer a seguinte alteração para o artigo 21 da Constituição Federal: Art. 21. Compete à União: (…) “XXVI – organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei, que disporá sobre a criação de um órgão regulador independente.” Segundo o deputado, como forma de oferecer maior ênfase e destaque à independência que se quer dar ao futuro órgão regulador, optou-se por explicitar esse atributo no texto normativo.

Não há dúvidas de que, para que o Brasil alcance um patamar elevado de proteção aos direitos humanos e de desenvolvimento enquanto nação, deve ser estruturada uma Autoridade Nacional de Proteção de Dados Pessoais que goze de autonomia, seja amplamente independente e detenha características semelhantes àquelas preconizadas na norma europeia de proteção de dados.

Na ausência de uma Autoridade assim estruturada, a LGPD perderá principalmente em termos de efetividade, não havendo um órgão específico para fiscalizar e aplicar sanções aos agentes. Além disso, diversas questões que, por lei, precisam ser regulamentadas ficarão em aberto, trazendo insegurança jurídica às partes. Há questionamentos se o formato atual da ANPD atende às reais necessidades da LGPD e da sociedade brasileira, bem como se a estrutura de agência reguladora, nos atuais moldes, seria a ideal. É esse um dos grandes desafios para a proteção de dados no País em 2020.

——————————————————

1 Art. 10 da LGPD: “O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I – apoio e promoção de atividades do controlador; e II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. § 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. § 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. § 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.”

2 Art. 5º, XVII, da LGPD: “relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;”

3 Essa ressalva dialoga com a Lei nº 13.874/19, que traz a Declaração de Direitos de Liberdade Econômica e referência ao princípio da intervenção mínima nas relações contratuais privadas. 

4 Foi publicada no dia 20 de dezembro de 2019, no Diário Oficial da União, a derrubada dos vetos relacionados às três últimas sanções da Lei Geral de Proteção de Dados, que se encontravam sob discussão. Contudo, no art. 52, § 6º, afirma-se que: “As sanções previstas nos incisos X, XI e XII do caput deste artigo serão aplicadas: I – somente após já ter sido imposta ao menos 1 (uma) das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto; e II – em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.” Disponível em: <https://www2.camara.leg.br/legin/fed/lei/2019/lei-13853-8-julho-2019-788785-promulgacaodevetos-159724-pl.html> Acesso em: 22.12.19

5 Art. 52, § 5º O produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos (…)

6 Art. 52, § 3º O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito