Regulação e Novas Tecnologias

Regulação e Novas Tecnologias

O gorila e a loja de lustres

A incapacidade institucional do PROCON para promover o enforcement da LGPD

Imagem: Pixabay

Não é mais novidade para ninguém que a lei mais polêmica dos últimos tempos está na iminência de entrar em vigor nos próximos dias. Não está nem um pouco fácil acompanhar a linha do tempo da Lei Geral de Proteção de Dados (LGPD). Ademais, ao que tudo indica, há uma probabilidade considerável de que alguns prognósticos sombrios realizados pelos autores em outras oportunidades materializem-se.

Entre eles, vale mencionar uma hermenêutica da lei capenga pela falta de regulamentação infralegal por parte da ANPD[1], uma enxurrada de ações indenizatórias de danos morais in re ipsa por violações à LGPD e associações civis de “porta de data center” a espreita com pedidos aventureiros e temerários contra empresas expostas e com o bolso fundo.[2]

No mise-en-scène deste filme de terror com elementos da física quântica, que mais parece uma produção conjunta dos Stephens – o Hawking e o King –, limitaremos este texto a uma dura e sincera advertência: os PROCONs não podem promover o enforcement da LGPD. E é com essa premissa que levaremos o leitor a concluir, por A + B, que o órgão de defesa do consumidor é incapaz de fazê-lo.

Não é de hoje que o PROCON, com um cheque em branco e sem fundo, extrapola suas atribuições de defesa e tutela dos direitos do consumidor. E não são raras as vezes que o Poder Judiciário é obrigado a enfrentar demandas que discutem a atuação ultra vires do PROCON em relações que não sejam de consumo[3].

Você deve se lembrar do FaceApp, aquele aplicativo que, no ano passado, deixou os usuários novos e velhos, e, neste ano, voltou com a feature de mudança de gênero. Pois bem. No final de 2019, o PROCON multou a Google e a Apple nos valores de R$ 9.964.615,77 e R$ 7.744.320,00, respectivamente por condutas perpetradas exclusivamente pelo FaceApp; na verdade, as empresas autuadas somente disponibilizam o aplicativo de edição de fotos em suas lojas virtuais.

Como provedores de aplicação, Google e Apple somente poderiam ser responsabilizados “por danos decorrentes de conteúdo gerado por terceiros” se, após ordem judicial específica, não tomassem as providências para “(…) tornar indisponível o conteúdo apontado como infringente, ressalvadas as disposições legais em contrário“, tal como previsto ipsis litteris pelo artigo 19 do Marco Civil da Internet. Não é outra a interpretação do Superior Tribunal de Justiça na forma dos precedentes REsp 1.501.603/RN, REsp 1.698.647/SP, AgRg no AREsp 730.119/RJ, AgInt nos EDcl no REsp 1.402.112/SE, entre reiterados outros.[4]

É lamentável que mais de cinco anos após sua publicação seja necessário explicar para o PROCON o que significa o Marco Civil da Internet.

Com a LGPD não está sendo diferente. Em maio deste ano, o PROCON do estado de São Paulo notificou a rede social TikTok para exigir esclarecimentos sobre a forma como a qual a empresa lida com dados pessoais dos seus usuários[5].

Escorando-se nos dispositivos da LGPD e aproveitando-se da ausência de uma Autoridade Nacional de Proteção de Dados, o PROCON realizou uma série de questionamentos sobre (i) os critérios para disponibilização da plataforma para usuários; (ii) o processo de obtenção do consentimento dos representantes legais dos menores de idade; (iii) a forma de armazenamento e delegação de dados pessoais; (iv) a transparência sobre quais tipos de dados são coletados; (v) a coleta de dados sensíveis; e (vi) o compartilhamento de informações pessoais e sensíveis dos usuários da rede social[6].

Embora aparente legítima a preocupação com a proteção dos dados pessoais e a privacidade dos usuários do aplicativo, sobretudo de crianças, chamou atenção não só o fato de o PROCON ter tomado iniciativas antes da entrada em vigor da lei em um momento profunda crise sanitária, mas principalmente a gritante extrapolação de competência do órgão em tratar a LGPD como uma extensão do CDC. Se há alguma abusividade, absit iniuria verbo, ela diz respeito unicamente à atuação ilícita do PROCON.

Com efeito, se antes da entrada em vigor da lei de proteção de dados o PROCON já meteu os pés pelas mãos, muitas empresas devem temer ser alvo de sua fiscalização a partir da sanção ou veto do Presidente da República – o sinal verde para a vigência da LGPD.

Justamente diante desse cenário é que cabem considerações e críticas à atuação desmedida do PROCON, o qual deve se limitar à defesa e proteção em matéria consumerista prevista no CDC (Decreto nº 2.181/97, art. 4º) por força do princípio da legalidade. Isso implica dizer que qualquer fiscalização, com a consequente aplicação de sanção administrativa, jamais pode se dar por outro motivo que não a violação a direito do consumidor, eis que essa medida extrapolaria o escopo de sua competência. Com o perdão pela repetição, o PROCON, como órgão da Administração Pública, deve respeitar integral e literalmente todas as leis em vigor na República Federativa do Brasil. O órgão não pode ignorar o sistema jurídico brasileiro e agir como se o CDC fosse a única norma a qual ele devesse prestar deferência.

A questão é lógica muito antes de ser jurídica. O PROCON, assim como qualquer órgão integrante da Administração Pública, não pode fugir de suas funções institucionais, debruçando-se sobre matéria que não detém conhecimento técnico e especializado por força do princípio da eficiência. Nas palavras do professor Gustavo Binenbojm, hoje, o princípio da separação de poderes implica em uma divisão de funções especializadas, delimitando jurídica e funcionalmente a atuação da Administração Pública e dos órgãos jurisdicionais[7].

Frente a esse cenário de incertezas e receios de que o PROCON tome as rédeas da fiscalização do cumprimento da LGPD, as empresas devem estar preparadas para frear essa gritante usurpação de competência pelo órgão de proteção do consumidor. Nesse sentido, o grande contraponto que se coloca à essa atuação está traduzido na teoria das capacidades institucionais, a qual indica os limites funcionais da atuação dos órgãos administrativos, legislativos e jurisdicionais.

A proposta desta teoria, que cai como uma luva como forma de resistência à atuação fiscalizatória do PROCON na LGPD, é de que, no momento da tomada de decisão, deve-se levar em consideração a capacidade da instituição responsável sobre o assunto[8]. Isso implica dizer que determinadas instituições são mais capacitadas do que outras para resolver determinados assuntos.

Para tornar mais claro aquilo que se aduz aqui, vale trazer a reflexão feita por Marcus Abraham, Diana Castro e Edenilson Farias. Por vezes, o Congresso Nacional e a Presidência da República podem oferecer uma resposta melhor a determinado problema do que o Poder Judiciário, detendo, portanto, maior capacidade institucional “em virtude de sua expertise técnica e de sua habilidade para lidar com o elemento político envolvido[9].

Objetivamente, o argumento das capacidades institucionais pressupõe uma determinada concepção de separação de poderes e de desenho institucional, de modo que se tenha nítida a ideia de que diferentes funções devem ser alocadas aos órgãos que possam melhor exercê-las, dado o seu conhecimento técnico. Nesse panorama, então, a Constituição da República distribui competência e poderes entre instituições específicas para promover certos objetivos, do que surge a presunção de “suas decisões são adequadas para os problemas que ela é chamada a solucionar.”[10]

Essa mesmíssima teoria deve ser respeitada no âmbito do direito administrativo sancionador, mais especificamente quando da aplicação de sanção por órgão integrante da Administração Pública; afinal, a constatação de infração e posterior aplicação de penalidade implica que a entidade seja dotada da devida capacidade institucional sobre determinado setor[11].

Com efeito, voltando os olhos para o preocupante cenário que aqui se analisa, embora não ainda constituído, o órgão institucionalmente competente para fiscalizar e aplicar sanções em caso de descumprimento da LGPD é, indubitavelmente, a ANPD[12], cuja criação está prevista em seu art. 55-A[13].

Os incisos I e IV do art. 55-J derrubam qualquer dúvida quando à competência da autoridade nacional, que, entre outras, consiste em “zelar pela proteção dos dados pessoais, nos termos da legislação”, bem como “fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso”.

E o art. 55-K coloca uma pá de cal sobre a discussão ao dispor que a “aplicação das sanções previstas [na LGPD compete] exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.” É também nesse mesmíssimo sentido que dispõe o artigo 2º do Decreto nº 10.474/20, que constitui a ANPD, sobre as atribuições exaurientes do novo órgão em matéria de proteção de dados e privacidade.

Devemos ter muito claro que o Legislador previu a ANPD como órgão competente para fiscalizar as obrigações contidas na LGPD e, por outro lado, que o PROCON não possui competência institucional para tratar de proteção de dados pessoais e privacidade. Com o perdão do truísmo, a dinâmica das leis, a distribuição de competências e a organização da Administração Pública em órgãos especializados não são aleatórias.

Este texto se fez necessário, pois a Secretaria Nacional de Defesa do Consumidor (SENACON), vinculada ao Ministério da Justiça, deixou bem claro que os PROCONs aplicarão multas fundamentadas na LGPD[14] e, na mesma linha, o PROCON-SP anunciou, sem ruborizar que já estava recebendo reclamações referentes à proteção de dados desde o início do ano.

Com frequência, aquilo que é óbvio precisa ser dito a plenos pulmões: o PROCON não pode, a seu bel prazer, atropelar a sistemática prevista para fiscalização da lei. Não pode o órgão se imiscuir em assunto que extrapola a sua capacidade institucional e, nesse sentido, as regras da experiência já escancaram a sua completa incapacidade institucional para fazê-lo: o PROCON age como um gorila numa loja de lustres quando extrapola sua estreita função.


[1] BECKER, Daniel; WOLKART, Erik Navarro; BRUZZI, Eduardo. Estamos trancados num paiol de pólvora: LGPD, ANPD e demandismo. JOTA. Disponível em: <https://www.jota.info/opiniao-e-analise/colunas/regulacao-e-novas-tecnologias/estamos-trancados-num-paiol-de-polvora-lgpd-anpd-e-demandismo-20072019>. Acesso em: 27 de agosto de 2020.

[2] BECKER, Daniel. LGPD e Castigo. Valor Econômico. Disponível em: <https://valor.globo.com/noticia/2019/08/26/lgpd-e-castigo.ghtml>. Acesso em: 27 de agosto de 2020.

[3] STJ, RMS nº 31.073/TO, Rel. Ministra Eliana Calmon, j. 26.08.2010.

[4] BECKER, Daniel; LEAL, Ana Luisa. JOTA. From Russia with Love. JOTA. Disponível em: <https://www.jota.info/opiniao-e-analise/colunas/regulacao-e-novas-tecnologias/from-russia-with-love-07092019>. Acesso em: 27 de agosto de 2020.

[5] LILLA. Paulo. O caso TikTok e os riscos de consumerização da LGPD. Migalhas. Disponível em: <https://www.migalhas.com.br/depeso/327346/o-caso-tiktok-e-os-riscos-de-consumerizacao-da-lgpd>. Acesso em: 26 de agosto de 2020.

[6] GIMENEZ. Gabriel Nantes. Caso Tik Tok e Procon: Como a vontade de aplicar a LGPD pode invalidá-la. Migalhas .Disponível em: <https://www.migalhas.com.br/depeso/327741/caso-tiktok-e-procon-como-a-vontade-de-aplicar-a-lgpd-pode-invalida-la>. Acesso em: 26 de agosto de 2020.

[7] BINENBOJM, Gustavo. Uma Teoria do Direito Administrativo. 3ª ed. Rio de Janeiro: Renovar, 2014, p. 240.

[8] “BINENBOJM, Gustavo. Uma Teoria do Direito Administrativo. 3ª ed. Rio de Janeiro: Renovar, 2014, p. 241-242.

[9] ABRAHAM, Marcus; CASTRO, Diana; FARIAS, Edenilson. Teoria das Capacidades Institucionais e a Reserva do Possível no Julgamento do RE nº 592.581/RS. Revista Controle – Doutrina e Artigos, v. 14. 2016. Disponível em: <https://revistacontrole.tce.ce.gov.br/index.php/RCDA/article/view/330>. Acesso em: 26 de agosto de 2020.

[10] ARGUELHES, Diego Werneck; LEAL Fernando. O argumento das “capacidades institucionais” entre a banalidade, a redundância e o absurdo. Direito, Estado e Sociedade nº 38, jan/jun 2011. Disponível em: <http://hdl.handle.net/10438/24322>. Acesso em: 26 de agosto de 2020.

[11] “No âmbito interno da Administração Pública, crescem em relevância, tanto quantitativa como qualitativa, os regulamentos gerais, editados por órgãos de cúpula do Poder Executivo, e os regulamentos setoriais, editados por autoridades administrativas especializadas, como é o caso das agências reguladoras. Além da maior agilidade nas respostas às demandas por ordenação ou sua atualização, importam também a expertise e experiência dos entes ordenadores, dotados de capacidades institucionais específicas para lidar com as matérias sob sua supervisão.” (BINENBOJM, Gustavo. Poder de polícia, ordenação, regulação. Belo Horizonte: Fórum, 2016, p. 85).

[12] SERPRO. Quem vai regular a LGPD? Disponível em: <https://www.serpro.gov.br/lgpd/governo/quem-vai-regular-e-fiscalizar-lgpd>. Acesso em: 26 de agosto de 2020.

[13] Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República. 

[14] SENACON. Senacon publica nota sobre a Lei Geral de Proteção de Dados. Secretaria Nacional de Defesa do Consumidor. Disponível em: <https://www.justica.gov.br/news/collective-nitf-content-1555356484.15>. Acesso em: 27 de agosto de 2020.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito