Dados Públicos

Regulação responsiva e o poder sancionador da ANPD sobre o poder público

A LGPD ao estabelecer princípios e regras objetivando a materialização do direito fundamental à proteção de dados pessoais, abrangeu expressamente as atividades do setor público e as do setor privado.

6/10/2022

Introdução

A Lei Geral de Proteção de Dados Pessoais (LGPD), ao estabelecer princípios e regras objetivando a materialização do direito fundamental à proteção de dados pessoais – à época implícito, hoje explícito no art. 5º, LXXIX, da Constituição –, abrangeu expressamente as atividades do setor público e as do setor privado.

Entretanto, a LGPD não adotou uma abordagem prescritiva direta, como seria esperado em um contexto de comando e controle. Pelo contrário. A redação da LGPD (i) usa e abusa de conceitos jurídicos indeterminados – o que é o "risco ou dano relevante" do art. 48? –; (ii) faz inúmeras remessas a regulamentação futura – aguardamos ansiosamente como se dará a "adequação progressiva de bancos de dados" constituídos antes da vigência da LGPD, que, embora tenham comemorado aniversários (a LGPD e os bancos de dados), ainda aguardam a regulamentação pela autoridade nacional prevista no art. 63 –; e contém dispositivos simplesmente crípticos – diz a lenda que a ANPD já tem um troféu e uma medalha prontos para o primeiro criptógrafo que conseguir interpretar coerentemente o art. 4º, II, b, da LGPD, que trata da excludente (seguida da includente) nos tratamentos para fins acadêmicos.

Foi sobre esse difícil terreno que a LGPD previu a instituição da Autoridade Nacional de Proteção de Dados (ANPD), cujas atribuições abrangem editar regulamentos e procedimentos sobre proteção de dados pessoais, realizar auditorias, fiscalizar e aplicar sanções, inclusive sobre o poder público. Adotou-se, nas atribuições, o típico modelo das agências reguladoras. Faltaram, entretanto, dois detalhes relevantes. O primeiro, evidente, foi a natureza de agência reguladora. O segundo, mais sutil e restrito à regulação sobre o poder público, foi a ausência da assimetria de poder entre regulador e regulado que caracteriza (e viabiliza) a própria atuação típica das agências reguladoras.

A rigor, as agências reguladoras se valem da assimetria decorrente da supremacia do interesse público para a regulação das atividades privadas. A transposição desse modelo para a regulação do setor público, de forma transversal, (i) não importa a típica intervenção no domínio econômico que caracteriza historicamente as agências reguladoras; e (ii) não se sustenta na supremacia do interesse público, o que traz diversas dificuldades interpretativas quanto à abrangência do poder sancionador, agravadas pela ausência de parâmetros doutrinários e jurisprudenciais relevantes para os limites dessa atuação.

Conforme ensina Norberto Bobbio, a aplicação da sanção pressupõe um aparato coercitivo, e o aparato coercitivo pressupõe o poder, isto é, uma carga de força imperativa, ou se se preferir, de autoridade, entre aquele que estabelece a norma e aquele que deve obedecê-la1. Essa assimetria está claramente presente na regulação social ou econômica ordinária. Entretanto, na regulação sobre o poder público, um poder que legitimasse força imperativa – leia-se, autoridade –, capaz de mover o aparato coercitivo do Estado, por si mesmo, em face dos próprios Poderes do Estado, seria, a depender da extensão de seu poder normatizador e sancionador, um suprapoder. E um suprapoder de tal ordem só poderia ser estabelecido pelo constituinte originário.

Registre-se que a ideia de uma autoridade nacional de proteção de dados com atuação em face do poder público não foi uma invenção brasileira. O modelo, já presente na Diretiva 95/46/CE, de 1995, foi mantido pelo Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia, cujas autoridades nacionais têm competência para apreciar tratamentos de dados por autoridades e órgãos públicos2. A LGPD, nesse sentido, basicamente transpôs o modelo do RGPD europeu – importando, conjuntamente, as dificuldades inerentes às sanções sobre o poder público.

Entretanto, a menos que queiramos retornar o Brasil ao status de colônia europeia – que é o que se faz, por via indireta, quando se decide o que é ou não constitucional no Brasil a partir do que pensam os europeus em matéria de proteção de dados –, o poder sancionador da ANPD deve ser interpretado à luz da Constituição brasileira. E, para essa interpretação, é útil a compreensão teórica do modelo de regulação responsiva adotado pela LGPD e os limites constitucionais à obstrução de atividades do poder público por órgãos reguladores. É essa a proposta deste artigo.

__________

1 BOBBIO, Norberto. Teoria da Norma Jurídica. Bauru: EDIPRO, 2003.

2 Cf. art. 55º e Considerando 122 do RGPD. Disponível aqui. Acesso em: 29 set. 2022.

Veja mais no portal
cadastre-se, comente, saiba mais

Colunistas

Alisson Possa Advogado. Mestre em Direito Constitucional. Doutorando em Direito. Professor do IBMEC e IDP. Membro da Comissão de Proteção de Dados da Corregedoria do CNJ.

Fabrício da Mota Alves é advogado, sócio-coordenador em Direito Digital e Proteção de Dados do Serur Advogados. Conselheiro Consultivo da ANPD. Conselheiro e membro fundador da Associação Brasileira de Governança Pública de Dados Pessoais (govDADOS.br). Instagram: @motaalves.fabricio

Rodrigo Borges Valadão é procurador do Estado do Rio de Janeiro. Consultor no Terra Rocha Advogados. Membro do Comitê de Governança em Privacidade e Proteção de Dados do Estado do Rio de Janeiro. Presidente e Membro Fundador da Associação Brasileira de Governança Pública de Dados Pessoais (govDADOS). Mestrando em "Privacy, Cybersecurity, Data Management, and Leadership" pela Universidade de Maastricht (Países Baixos). Especialista em Advocacia Pública pela FGV/RJ. Mestre em Teoria do Estado e Direito Constitucional pela PUC/RJ. Doutor em Direito Público pela Albert-Ludwigs-Universität Freiburg (Alemanha), em cotutela com a USP. Instagram: @rodrigobvaladao