Fronteiras de Concorrência e Regulação

LGPD

Proteção de dados em setores regulados

Aprendizados, desafios e a necessidade de promover o diálogo institucional

Crédito: Pexels

Desde sua promulgação, a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei 13.709/2018) vem sendo objeto constante de análise no meio jurídico brasileiro. O período relativamente longo de Vacatio Legis estabelecido para a grande maioria de seus dispositivos, além de garantir prazo para que todos se adaptem a cumpri-la, contribui para alimentar um rico (e nem sempre conclusivo) debate, que antecipa controvérsias, aponta incompletudes e arrisca previsões sobre a interpretação da Lei.

As perspectivas são diversas e passam pela ampla necessidade de adequação dos agentes privados, os deveres a serem observados pela própria Administração Pública, os impactos da nova legislação sobre atividades econômicas específicas, o funcionamento da Autoridade Nacional de Proteção de Dados – ANPD, bem como, de maneira enfática e abrangente, pelas incertezas que a aplicação do texto legal ainda suscita.

Uma das preocupações recorrentes sobre o tema diz respeito ao funcionamento do arranjo institucional atinente à proteção de dados pessoais e à incidência de regras emanadas por autoridades e veículos normativos distintos. Essa preocupação aparece com maior ênfase em formulações voltadas aos setores regulados, aos quais recai um conjunto mais denso de normas, aplicadas por múltiplos entes estatais.

Diante disso, este artigo, em um esforço não exaustivo, se propõe a sistematizar elementos comuns dos apontamentos manifestados recentemente por autores atentos à aplicação da LGPD em setores regulados, buscando jogar luz sobre aprendizados institucionais que merecem ser recuperados e sobre os principais desafios que vislumbramos à frente.

Debruçados sobre o setor de telecomunicações, Guilherme P. Pinheiro, Gabriel A. Araújo e Thiago G. Moraes defendem, para a aplicação da LGPD, a necessidade de convergência na atuação do Conselho Administrativo de Defesa Econômica – Cade, da Agência Nacional de Telecomunicações – Anatel, e da Secretaria Nacional do Consumidor – Senacon, além da própria ANPD – destacando a “sobreposição de competências de fiscalização e sanção sobre o objeto de ‘proteção de dados pessoais”.

Fernanda Kac e Núria López, por sua vez, tratam do desafio de “compatibilizar as novas regras da LGPD com as normas setoriais já existentes” no setor de saúde, defendendo que, enquanto a ANPD não regulamenta a Lei, “é necessária uma interpretação coerente e harmônica para a condução da adequação” dos agentes dos diferentes mercados de saúde à LGPD. As autoras detalham as regras já em vigor que tratam de privacidade e proteção de dados na utilização do prontuário eletrônico, regulado por resoluções do Conselho Federal de Medicina – CFM e pela própria Lei do Prontuário Eletrônico (Lei nº 13.787/2018). O recorte é bastante ilustrativo de como a leitura sistemática de normas de proteção de dados pode se tornar complexa, trazendo incerteza à atividade dos administrados e seu esforço de adequação às novas normas e entendimentos.

Ainda no setor de saúde, Matheus Souza, Mariana L. Lopes e Luã M. de Mello chamam a atenção para os impactos que a regulação futura da Agência Nacional de Saúde Suplementar – ANS pode ter sobre a obrigação estabelecida na LGPD de que o tratamento de dados esteja condicionado ao consentimento do titular. Para os autores, uma vez que a lei permite, em seu art. 7º, II, o tratamento de dados pessoais para o cumprimento de obrigação regulatória – sem a necessidade de consentimento do titular –, haveria risco de que a regulação setorial futura venha a deixar brechas que mitiguem a obrigação de consensualidade do tratamento de dados pessoais.

Cuidando do setor financeiro, Paulo L. Casagrande e Bernardo K. de Souza argumentam que, para além da possibilidade de ganhos de competitividade, o Open Banking – iniciativa do Banco Central do Brasil (BCB) que visa a facilitar o compartilhamento de dados entre instituições financeiras com consentimento do titular – “também implica possíveis riscos de dados aos clientes, especialmente quanto ao vazamento de dados pessoais e menor proteção do sigilo bancário”. Tratando especificamente das diretrizes e do cronograma divulgados pelo BCB por meio do Comunicado nº 33.455, de 24 de abril de 2019, tTais autores sugerem a participação do Cade e da ANPD na formatação das regras para o “Sistema Financeiro Aberto”, para além do engajamento e autorregulação dos próprios agentes de mercado.

Tais apontamentos ensejam um olhar mais amplo sobre a aplicação da LGPD nos setores regulados, que refletem de modo realçado dúvidas sobre eventuais conflitos de competências – tanto normativa quanto fiscalizatória-sancionatória –, bem como sobre o próprio conteúdo mandamental resultante da interpretação de regras contidas na multiplicidade de veículos normativos que, direta ou indiretamente, cuidam da proteção de dados pessoais. Nesse sentido, parece desejável buscar paralelos em situações institucionais pretéritas para desnudar os desafios a serem enfrentados.

Começando por uma das questões de mérito mais frequentes, relativas à necessidade de empreender interpretações sistemáticas de diversos diplomas legais e infralegais, é imperioso reconhecer uma obviedade: a preocupação com a privacidade e a proteção de dados pessoais não se iniciou ou tampouco se encerrará com o advento da LGPD. Desde a Constituição Federal de 1988 até as mais específicas resoluções de agências reguladoras, passando por diversas leis que versam sobre direitos do consumidor e dos administrados, inclusive no que diz respeito a dados detidos pela própria Administração, as disposições da LGPD somam-se a diversas regras vigentes.

Do mesmo modo, após a LGPD, outras regras que versarão direta ou indiretamente sobre o tema – alterando disposições antigas e acrescentando novas – continuarão a ser editadas por diferentes autoridades estatais.

Não se trata, nem de perto, de uma situação inédita. O Código de Defesa do Consumidor (Lei 8.078/1990), por exemplo, sucedeu e precedeu diversas normas legais e infralegais de direito consumerista. O mesmo vale para a Lei de Defesa da Concorrência – seja a antiga Lei 8.884/1194 ou a atual Lei 12.529/2011 – e as diferentes camadas de legislação ambiental.

Códigos e leis amplas e sistemáticas sobre disciplinas jurídicas específicas frequentemente convivem com legislações, gerais e especiais, anteriores ou posteriores. Nos casos em que esses diplomas gerais tratam de direitos e bens jurídicos de caráter difuso – como é o caso da proteção ao consumidor e da defesa da concorrência – a multiplicidade de fontes normativas naturalmente se soma a um arranjo institucional mais complexo, que exige a atuação conjunta e harmônica de diversos entes estatais.

Em muitos casos, é justamente a multiplicidade de veículos normativos que organizará a competência desses entes para lidar com cada tipo de questão: cada ente da Administração terá por atribuição a interpretação e aplicação de parte desses veículos (e, em alguns casos, também a competência para a própria alteração normativa).

Essa constatação não significa que a implementação da LGPD não suscite desafios, mas sim que há experiências recentes da própria Administração Pública que podem contribuir na busca de soluções. A nosso ver, grande parte desses obstáculos podem ser divididos em dois grupos: materiais e procedimentais.

As dificuldades materiais referem-se, em primeiro lugar, à provável necessidade de adequação de parte das normas em vigor que tratam de privacidade e proteção de dados pessoais, frente aos princípios, diretrizes e regras estabelecidos pela LGPD. De um lado, as agências reguladoras devem averiguar eventuais incongruências de suas normas infralegais com a nova Lei, promovendo alterações adaptativas ou adequando sua aplicação. De outro, a adequação da própria agência enquanto agente de tratamento de dados pessoais se faz necessária. Além de contribuir à maior coesão do ordenamento jurídico, esses esforços previnem eventuais questionamentos de descumprimento da LGPD pela própria Administração.

Por exemplo, na ANS, a Diretoria de Desenvolvimento Setorial iniciou processo de adequação geral à norma. Conforme Nota Técnica sobre o tema, a agência entende que deve adotar dois planos de ação: um de avaliação dos impactos da LGPD na dimensão institucional e um segundo sobre os impactos da lei nas obrigações do regulado.[1] Com relação ao segundo, pode-se destacar as obrigações de envio à agência de dados cadastrais de todos os beneficiários de planos de saúde, estabelecidas pelas Resolução Normativa nº 295/2012 e Instrução Normativa n° 50/2012, e utilizadas para manter o Sistema de Informação de Beneficiários.

Em muitos casos, será desejável que as agências editem novas regras para dar concretude normativa às previsões da LGPD ao setor que regulam.

É importante lembrar que a LGPD, embora preveja sanções gerais a serem aplicadas no caso de seu descumprimento, não contempla propriamente um código de infrações. Nesse sentido, parece lógico que as agências reguladoras, à luz das disposições da LGPD e da dinâmica específica de seus respectivos setores, estabeleçam de modo mais claro e detalhado os deveres dos agentes regulados em situações que tipicamente envolvam tratamento de dados pessoais, bem como sanções próprias e proporcionais à extensão dos danos derivados da inobservância desses deveres, que tendem a variar bastante de mercado para mercado.

A título de ilustração, remete-se à iminência de uma situação no setor financeiro. A LGPD, que em breve entrará em vigor, estabelece as hipóteses de fundamento para o tratamento de dados pessoais (chamadas “bases legais de tratamento”), com destaque para o consentimento expresso do titular e a proteção do crédito.

O BCB, a seu turno, ainda não divulgou de modo detalhado regras sobre como as instituições participantes do Open Banking colherão o consentimento do titular antes de compartilharem seus dados, se a base legal da proteção do crédito será empregada ou tampouco como será distribuída entre tais instituições a responsabilidade pela proteção dos dados. Não é razoável supor que essas regras, embora versem sobre a proteção de dados, sejam editadas pela ANPD, e não pela autoridade regulatória do setor e, nesse caso, que ficará responsável por regrar e monitorar o referido programa. Nem é razoável admitir que a ANPD não participe do processo e colabore para a edição de regras que efetivamente garantam maior proteção aos titulares de dados.

Já as dificuldades de ordem procedimental dizem respeito, principalmente, a possíveis conflitos de competência entre os entes da Administração Pública. Nesse ponto, destaca-se duas disposições da LGPD. A primeira estabelece a competência da ANPD para “deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação” da LGPD, bem como sobre sua própria competência e os casos omissos (inciso XX do art. 55-J). A segunda, refere-se à competência da ANPD para “articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação” (inciso XXIII do mesmo artigo).

Evidentemente não é vedado às agências e outras autarquias especiais interpretar e aplicar a LGPD dentro de suas atribuições e setores. Ao contrário, é necessário que o façam, até para que adequem suas normas e incrementem os deveres e sanções que sujeitam os regulados. Em caso de conflito sobre a aplicação da LGPD em um setor regulado, ou de uma controvérsia sobre a competência para dirimir um caso que envolva proteção de dados, caberá à ANPD empreender a intepretação terminativa da Lei. Nesses casos, é direito dos administrados requisitar a manifestação da ANPD sobre eventual conflito. Daí em diante, apenas o Judiciário, além da própria ANPD, poderá rever seu posicionamento.

Por fim, é essencial que, prevenindo conflitos e otimizando a estrutura enxuta de que disporá, a ANPD seja de pronto vocacionada à promoção do diálogo institucional, levando a sério a competência prevista no art. 55-J, XXIII da LGPD. Apenas buscando o alinhamento com outras autoridades, inclusive por meio de acordos de cooperação, a autoridade poderá cumprir sua missão institucional e liderar a convergência dos órgãos da Administração Pública na implementação da LGPD.

—————————————————————————————————————–

[1] Disponível em: http://www.sbac.org.br/blog/2019/12/09/nota-tecnica-sobre-lgpd/.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito