No Brasil, a criação da autoridade nacional, que
promoverá e fiscalizará a norma de proteção de dados, tem previsão na própria
lei 13.709/2018
No Brasil, têm-se perdido tempo valioso debatendo sobre a
prorrogação da vigência da Lei Geral de Proteção de Dados (lei 13.709/18), enquanto é grave a inação para a
instalação da Autoridade Nacional de Proteção de Dados (ANPD) que, pela
sua importância para efetiva aplicação da LGPD, já deveria estar na
iminência de começar seus trabalhos.
O texto da lei de proteção de dados brasileira, alterado
pela MP 869 de 2018, prevê a criação da autoridade
de dados sem aumento de despesas, como órgão da administração pública federal e
integrante da Presidência da República (art. 55-A da lei 13.853/19). Apesar disso, até o momento não há
sinalização clara do Poder Executivo, no sentido de formação e estruturação do
mencionado órgão.
É certo que, em algum momento, a Lei Geral de Proteção de
Dados terá plena vigência e sem uma autoridade nacional que promova, oriente e
fiscalize sua aplicação, corre-se o risco de reduzir a efetividade dos
preceitos constantes na lei, além de instaurar uma sensação de insegurança
jurídica quanto ao tratamento de dados pessoais no país.
Se por um lado, estamos em situação desfavorável diante do
atraso na adoção de medidas para a implementação da ANPD; por outro, tem-se a
vantagem de poder olhar para os países com legislação de proteção de dados já
avançada e com autoridades supervisoras instaladas e em funcionamento, comparando
modelos existentes e refletindo sobre o que poderá eventualmente ser adaptado
ao nosso anseio, no que se refere ao resguardo da privacidade dos dados dos
cidadãos brasileiros.
Nesse sentido, importa relembrar que a norma de proteção de
dados brasileira é inspirada na General Data Protection
Regulation (GDPR), regulamento europeu que entrou efetivamente em vigor em
2018 e que trata sobre as autoridades de supervisão do tratamento de dados,
traçando parâmetros para a independência, competência, respectivas tarefas e
poderes. Na GPDR, houve expressa preocupação em relação aos membros das
autoridades supervisoras, no sentido de que devam ter qualificação, experiência
e conhecimentos em áreas específicas da proteção de dados pessoais, garantindo
a independência e autonomia para o desempenho das funções.
Atualmente, a União Européia conta com autoridades
supervisoras de tratamento de dados constituídas em todos o países integrantes
do bloco1. Além da uma autoridade nacional, alguns deles também contam com
agências regulatórias, responsáveis por garantir a aplicação das diretivas de
privacidade e comunicações eletrônicas, chamadas de ePrivacy
Directive (Privacy and Electronic Communications Directive 2002/58/EC).
Essas autoridades têm suas atividades acompanhadas pela European Data
Protection Board (EDPB), além da supervisão geral pela European Data
Protection Supervisor (EDPS).
Destaca-se, para tanto, alguns exemplos interessantes:
Na República da Irlanda, a autoridade supervisora de
aplicação da GDPR é chamada de Data Protection Commission (DPC)2 e
foi estabelecida pela Data Protection Act 2018. Apesar do pouco tempo de
existência, o DPC já se tornou bem conhecido pelo fato de a Irlanda hospedar
algumas das maiores empresas de tecnologia do Vale do Silício. Desde sua
implementação, o DPC tem trabalhado na constituição de uma equipe
multidisciplinar e suporte ao papel de sua Commissioner, principal
interlocutora da autoridade supervisora.
Em linhas gerais, o Data Protection
Commission recomenda que as reclamações envolvendo violações no tratamento
de dados sejam feitas diretamente ao agente responsável pelo tratamento e, caso
não haja uma solução satisfatória, haja formalização da ocorrência junto ao
DPC, que promete uma devolutiva dentro do período de um mês, por meio de um
procedimento eletrônico e gratuito.
No caso da autoridade supervisora de Portugal,
chamada Comissão Nacional de Protecção de Dados, chama atenção o fato de
que sua criação é anterior à própria GDPR e possui uma estrutura bem
diferenciada, sendo composta por 7 (sete) membros que são eleitos pela
Assembleia da República, Governo, Conselho Superior do Ministério Público e o
da Magistratura3. Ao que parece, é uma das autoridades de proteção de dados
menos multidisciplinar, do ponto de vista da sua estruturação interna.
Já, fora do bloco europeu em decorrência do
polêmico Brexit, o Reino Unido conta com o Information Commissioner's
Office (ICO)4, autoridade responsável por assegurar o respeito à privacidade
dos cidadãos, pelas organizações públicas e privadas. Além das funções de
investigação, fiscalização e aplicação de sanções, também gere inscrições
dos Data Protection Officers, indicados pelas organizações. É importante
mencionar que grande parte do orçamento anual do ICO se constitui por meio das
taxas pagas pelas organizações que tratam dados (data protection fees). Mais
interessante ainda, é que o ICO não faz uso dos valores provenientes das
sanções aplicadas, remetendo tudo ao departamento de finanças públicas e
política econômica do Reino Unido (Her Majesty’s Treasury).
No Brasil, a criação da autoridade nacional, que promoverá e
fiscalizará a norma de proteção de dados, tem previsão na própria lei
13.709/18. Segundo o texto, a ANPD inicialmente terá natureza jurídica
transitória, podendo ser transformada em entidade da administração pública
federal indireta e submetida a regime autárquico especial. Significa, ao menos
em tese, que a ANPD contará com autonomia e patrimônio próprio, em que pese a
vinculação à Presidência da República.
Ademais, ao contrário da legislação de dados europeia, a
LGPD dispõe expressamente sobre a composição da Autoridade Nacional de Proteção
de Dados, que contará com um Conselho Diretor, um Conselho Nacional de Proteção
de Dados Pessoais, uma Corregedoria e Ouvidoria, assessoramento jurídico
próprio e unidades administrativas e especializadas, garantida a independência
dos seus membros.
A competência da Autoridade Nacional de Proteção de Dados,
por sua vez, encontra-se descrita no art. 55-J da lei 13.709/18 e se consubstancia
fortemente em orientar, promover e fiscalizar a observância da LGPD, além de
aplicar sanções em casos de violação no tratamento de dados, mediante processo
administrativo que assegure o contraditório, ampla defesa e o direito de
recurso. É também papel de suma importância da ANPD o da deliberação sobre
interpretação e competência da Lei Geral de Proteção de Dados, em especial, nos
casos omissos.
Noutro giro, a norma de proteção de dados brasileira
procurou diversificar a fonte de receita da autoridade nacional, valendo
mencionar que além do que for proveniente das dotações no orçamento da União,
também advirá de recursos obtidos por acordos ou contratos celebrados com
entidades empresariais (públicas ou privadas/nacionais ou internacionais), venda
de publicações, material técnico, dados e informações, inclusive para fins de
licitação pública (art. 55-L da lei 13.853/2019).
Assim, com base na experiência observada em outros países,
percebe-se que o legislador andou bem em se preocupar com a autonomia técnica,
decisória e orçamentária da futura autoridade de proteção de dados brasileira.
Por outro lado, parece incoerente a vinculação legal da ANPD diretamente ao
chefe do poder executivo, ao invés de um órgão específico, como por exemplo é o
caso do Conselho Administrativo de Defesa Econômica - CADE (Ministério da
Justiça). De todo modo, isto por si só não tem o condão de representar uma
mitigação da autonomia da autoridade supervisora, que tem o escudo legal da
garantia de independência de seus membros para o exercício das funções.
Espera-se, também, que a futura Autoridade Nacional de
Proteção de Dados siga e mantenha uma postura prioritariamente orientativa,
promovendo informações sobre a conformidade das organizações com a norma de
proteção de dados brasileira (guidelines), bem como interagindo com a
comunidade acadêmica e empresarial, no que se refere ao tratamento de dados e
privacidade dos cidadãos. Nesse sentido, cabe mencionar que o modelo adotado
pelas autoridades supervisoras de outros países, que possuem um interlocutor
ativo e posicionado como a principal personificação do órgão (Comissioner),
mostra-se interessante, do ponto de vista representativo daquelas.
Por fim, também se espera da autoridade de proteção de dados
brasileira que busque sempre a maior multidisciplinaridade dos seus membros,
além de procedimentos eletrônicos, simplificados e gratuítos, para fins de
processar as eventuais reclamações sobre violação ao tratamento de dados dos
titulares, seguindo o bom exemplo daquelas autoridades supervisoras já
constituídas em outros países e que podem servir como bom parâmetro, claro,
adaptando-se a nossa realidade econômica, jurídica e social.
Fonte: Migalhas
