Fronteiras de Concorrência e Regulação

Proteção de dados

Pandemia e dados pessoais: vácuo regulatório?

Perde-se muito ao não ter um agente responsável por dar coesão e determinar os rumos da política pública

tratamento de dados,
Crédito: Pixabay

Com a grave crise em torno da pandemia do coronavírus, ganhou força o movimento pelo adiamento da entrada em vigor da Lei Geral de Proteção de Dados (LGPD, Lei 13.079/2018).

O prolongamento da vacatio legis da LGPD já havia sido proposto antes da atual crise por meio do Projeto de Lei 5.762/2019, fundamentado no suposto despreparo das empresas brasileiras em se adequarem à lei e na morosidade do poder público em criar a Autoridade Nacional de Proteção de Dados (ANPD).

Em face à crise provocada pela Covid-19, foi apresentado no Senado Federal um novo projeto sugerindo o adiamento da entrada em vigor da LGPD. O PLS nº 1.179/2020 propõe um conjunto de modificações em dispositivos de direito privado, dentre os quais que a LGPD entre em vigor somente em janeiro de 2021 – e suas sanções apenas em agosto de 2021 – em razão dos altos custos envolvidos na adequação das empresas à LGPD. Ontem, foi publicada a Medida Provisória nº 959/2020, que adia a entrada em vigor da LGPD para 3 de maio de 2021.

Essa retórica em favor do adiamento da entrada em vigor da LGPD baseada nos desafios para as empresas de adequação à lei, foi fortalecida em um contexto de combate à pandemia, distanciamento social e a seus efeitos na economia, deixa de lado três aspectos centrais.

Primeiro, que a lei tem incidência não somente sobre agentes privados como também sobre públicos. Segundo, que os artigos que dizem respeito à autoridade e que permitem juridicamente sua criação já se encontram em vigor há quase um ano, e essa autoridade teria posição única para favorecer o enfrentamento da pandemia. Terceiro, que a ANPD, quando estiver finalmente atuante, teria discricionariedade no estabelecimento de uma política nacional de proteção de dados pessoais, e poderia optar por não adotar de imediato estratégias sancionatórias em uma conjuntura de crise, além de priorizar o enforcement em relação a agentes cuja atividade é efetivamente mais sensível para os titulares de dados.

LGPD e setor público

A não criação da ANPD e a não entrada em vigor da LGPD não significam que o tema da proteção de dados pessoais tenha sido escanteado durante a crise do coronavírus. Pelo contrário, a cada momento despontam novas reações da sociedade civil e das autoridades sobre as medidas anunciadas, especialmente em relação àquelas propostas pelo próprio Poder Público.

Entende-se que essa dinâmica se relaciona a dois principais fatores: (i) de um lado, a emergência de estratégias públicas locais de utilização de dados pessoais, em detrimento de uma estratégia federal comum – as quais incluem respostas municipais, estaduais e de órgãos setoriais; (ii) de outro, o vácuo deixado pela ausência de agente a nível nacional apto a coordenar e delimitar estratégias comuns para entidades que pretendem conduzir o tratamento de dados pessoais, inclusive com o propósito específico de enfrentamento da pandemia. D

ois casos exemplificam essa situação: a Medida Provisória nº 954/2020, referente ao compartilhamento de dados pessoais entre empresas de telecomunicações com o IBGE (Instituto Brasileiro de Geografia e Estatística), e a criação do SIMI (Sistema de Monitoramento Inteligente), sistema de compartilhamento de dados de geolocalização por empresas de telecomunicação no Estado de São Paulo.

Pouco mais de um mês depois do início da crise do coronavírus no Brasil, em 17 de abril, foi publicada a Medida Provisória nº 954/2020. Em resumo, a norma cria a obrigação de as operadoras de telefonia compartilharem com o IBGE a relação dos nomes, números de telefone e endereços de seus consumidores, pessoas físicas ou jurídicas.

Trata-se de pedido do próprio instituto de pesquisa, com o objetivo de manter a continuidade de levantamentos – como a Pesquisa Nacional por Amostra de Domicílios Contínua (PNAD Contínua). A resposta foi praticamente imediata. Em apenas três dias, foram impetradas quatro Ações Diretas de Inconstitucionalidade (ADIs) perante o STF: a ADI nº 6388, ajuizada pelo PSDB; a ADI nº 6389, do PSB; a ADI 6390, do PSOL; e a ADI nº 6387, ajuizada pelo Conselho Federal da OAB.

Em geral, argumenta-se que a MP viola direitos individuais garantidos pela Constituição Federal, incluindo a dignidade da pessoa humana, a inviolabilidade da intimidade, da vida privada, e do sigilo dos dados.[1] O tema está sob a relatoria da Ministra Rosa Weber, que concedeu medidas cautelares e suspendeu na sexta-feira (24) a eficácia da norma. Paralelamente, o tema também é objeto de disputa no Congresso Nacional, onde já foram apresentadas 344 emendas à MP na Comissão Mista criada para discussão do tema.

O segundo caso é o do SIMI, uma parceria do Estado de São Paulo com as operadoras de telefonia Vivo, Claro, Oi e TIM, cuja criação foi anunciada em 9 de abril. O Governo de São Paulo afirma contar com cobertura de 100% de indivíduos e realizar controle de movimentação dessas pessoas a partir de mapas de calor “com base em dados coletivos coletados em aglomerados a partir de 30 mil pessoas.”

Só o Judiciário já foi palco de pelo menos três ações relevantes sobre o SIMI: (i) o Habeas Corpus nº 572.996, que requeria a declaração de ilegalidade e suspensão do sistema e foi indeferido pelo Superior Tribunal de Justiça; (ii) a Ação Popular nº 1019257-34.2020.8.26.0053, que objetivava tutela provisória de suspensão do SIMI e apresentação dos termos de parceria público privadas celebradas entre o Governo do Estado e as operadoras de telefonia; e (iii) o Mandado de Segurança nº 2.069.736-76.2020.8.26.0000, julgado pelo Órgão Especial do Tribunal de Justiça de São Paulo, que concedeu liminar para proibir o governo estadual de monitorar o celular de um advogado em específico durante a epidemia do coronavírus.

Fora da esfera judiciária, a imprensa anunciou que o Ministério Público Federal enviou ofício para ao Governo do estado, com pedido de esclarecimentos sobre os termos do acordo para avaliação de eventual violação de direitos fundamentais.

Além disso, a Anatel também chegou a ser consultada quanto ao uso de dados de usuários dos serviços de telecomunicações como insumo para informações sobre concentrações de pessoas. A agência analisou o tema da perspectiva das normas setoriais referentes à proteção da privacidade dos consumidores e traçou as seguintes considerações sobre a interface com a LGPD:

“Embora o papel da Anatel não se confunda com aquele previsto na Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD) para a futura Autoridade Nacional de Proteção de Dados (ANPD), no que tange ao setor de telecomunicações, objeto de sua atuação regulatória, teve-se por bem alertar que a adoção de qualquer medida com a natureza das acima mencionadas deva decorrer de decisão motivada, com respaldo jurídico e a devida transparência para órgãos de controle e para a sociedade.”

 A notável ausência da ANPD

A manifestação da Anatel reforça o vácuo deixado pela não criação da ANPD. Além de um debate relevante da perspectiva normativa – e portanto do estabelecimento de parâmetros efetivos a orientar a elaboração de políticas públicas – este vácuo também deve ser encarado da perspectiva de enforcement.

Vislumbra-se fragmentação tanto em relação à implementação de políticas públicas a partir de dados pessoais para combate à pandemia, quanto no que tange às respostas difusas advindas de cortes inferiores e superiores, agentes reguladores e até mesmo do Legislativo. A ANPD, caso constituída, teria papel chave de coordenação desses esforços.

Em outras jurisdições, autoridades de proteção de dados pessoais assumiram a liderança no papel de orientação e intermediação entre agentes do setor público e privado interessados em realizar práticas de tratamento de dados pessoais para o combate ao Covid-19[3].

No cenário brasileiro, as competências e atribuições da ANPD foram desenhadas de forma ampla para que fosse apta a exercer esse papel de coordenação. Em primeiro lugar, a ANPD possui um dever geral de zelar pela proteção dos dados pessoais no país (art. 55-J, inc. I), devendo fiscalizar e implementar a lei (art. 5º, inc. XIX).

Além disso, a ANPD pode se articular com autoridades reguladoras (art. 55-J, inc. XXIII) e pode, especificamente, proceder à fiscalização de atividades de tratamento de dados pessoais por agentes públicos, podendo emitir parecer técnico complementar para garantir o cumprimento da LGPD (art. 55-J, inc. XI).

Por fim, a agência possui posição única para orientar a formulação de política pública coesa referente à proteção de dados pessoais, possuindo não só um papel de deliberação sobre a interpretação das normas de proteção de dados pessoais (art. 55-J, inc. XX), mas também um papel educativo com relação ao tema (art. 55-J, inc. VI).

ANPD e setor privado

Por fim, volta-se ao velho argumento de que a entrada em vigor da LGPD representaria criação de custo regulatório para empresas brasileiras, que ganhou novo fôlego em meio à pandemia.

Este argumento, inclusive, culminou na atual redação do PL nº 1.179/2020, na qual os artigos referentes à atuação sancionatória seriam postergados ainda mais que o restante da norma. A redução da ANPD à sua capacidade sancionatória ignora que, enquanto autoridade reguladora, esta poderia promover diálogo e estabelecer de parâmetros claros de conformidade em benefício dos agentes privados.

Esta retórica, ainda, ignora que a implementação de políticas públicas passa pela definição de prioridades – é assim com as agências reguladoras setoriais e com autoridades transversais, como Cade e Senacon.

Enquanto responsável pela implementação da política púbica de proteção de dados pessoais, seria plenamente razoável a ANPD optar por focar em emitir orientações sobre a aplicação da nova legislação – em detrimento de punir pequenas e médias empresas, por exemplo.

O desenvolvimento de suas atividades, claro, eventualmente envolveria punições – mas estas deveriam se dar em critérios bem definidos, e não com base em interpretações casuísticas e circunstanciais de dispositivos normativos esparsos, como ocorre atualmente.

Apesar da vívida movimentação do ecossistema de proteção de dados pessoais a partir da conjuntura pandêmica – com discussões que incluem até mesmo a possibilidade de constitucionalização do direito fundamental de proteção de dados pessoais, perde-se muito ao não ter um agente responsável por dar coesão e determinar os rumos da política pública de proteção de dados pessoais, ainda mais num cenário singular como o atual.

Lembrando sempre que os artigos referentes à implementação da ANPD já estão em vigor, e que portanto boa parte das questões aqui colocadas poderiam ser resolvidas sem necessidade de qualquer medida provisória ou projeto de lei, bastando atuação do Executivo para criar em definitivo a autoridade. Hoje, mais que nunca, é necessário e urgente o pronto estabelecimento da ANPD.

 


[1] Vale destacar que as ADIs nºs 6387 e 6389 chegam a mencionar a violação do princípio da autodeterminação informativa, cuja constitucionalidade é discutida no âmbito da PEC nº 17/2019.

[2] Na União Europeia, o European Data Protection Board adotou diretivas para o processamento de dados no combate à pandemia, assim como fez o Information Commissioner’s Office  no Reino Unido e a Israeli Privacy Protection Authority em Israel.