Introdução
A Lei Geral de Proteção de Dados Pessoais (LGPD), ao estabelecer princípios e regras objetivando a materialização do direito fundamental à proteção de dados pessoais – à época implícito, hoje explícito no art. 5º, LXXIX, da Constituição –, abrangeu expressamente as atividades do setor público e as do setor privado.
Entretanto, a LGPD não adotou uma abordagem prescritiva direta, como seria esperado em um contexto de comando e controle. Pelo contrário. A redação da LGPD (i) usa e abusa de conceitos jurídicos indeterminados – o que é o "risco ou dano relevante" do art. 48? –; (ii) faz inúmeras remessas a regulamentação futura – aguardamos ansiosamente como se dará a "adequação progressiva de bancos de dados" constituídos antes da vigência da LGPD, que, embora tenham comemorado aniversários (a LGPD e os bancos de dados), ainda aguardam a regulamentação pela autoridade nacional prevista no art. 63 –; e contém dispositivos simplesmente crípticos – diz a lenda que a ANPD já tem um troféu e uma medalha prontos para o primeiro criptógrafo que conseguir interpretar coerentemente o art. 4º, II, b, da LGPD, que trata da excludente (seguida da includente) nos tratamentos para fins acadêmicos.
Foi sobre esse difícil terreno que a LGPD previu a instituição da Autoridade Nacional de Proteção de Dados (ANPD), cujas atribuições abrangem editar regulamentos e procedimentos sobre proteção de dados pessoais, realizar auditorias, fiscalizar e aplicar sanções, inclusive sobre o poder público. Adotou-se, nas atribuições, o típico modelo das agências reguladoras. Faltaram, entretanto, dois detalhes relevantes. O primeiro, evidente, foi a natureza de agência reguladora. O segundo, mais sutil e restrito à regulação sobre o poder público, foi a ausência da assimetria de poder entre regulador e regulado que caracteriza (e viabiliza) a própria atuação típica das agências reguladoras.
A rigor, as agências reguladoras se valem da assimetria decorrente da supremacia do interesse público para a regulação das atividades privadas. A transposição desse modelo para a regulação do setor público, de forma transversal, (i) não importa a típica intervenção no domínio econômico que caracteriza historicamente as agências reguladoras; e (ii) não se sustenta na supremacia do interesse público, o que traz diversas dificuldades interpretativas quanto à abrangência do poder sancionador, agravadas pela ausência de parâmetros doutrinários e jurisprudenciais relevantes para os limites dessa atuação.
Conforme ensina Norberto Bobbio, a aplicação da sanção pressupõe um aparato coercitivo, e o aparato coercitivo pressupõe o poder, isto é, uma carga de força imperativa, ou se se preferir, de autoridade, entre aquele que estabelece a norma e aquele que deve obedecê-la1. Essa assimetria está claramente presente na regulação social ou econômica ordinária. Entretanto, na regulação sobre o poder público, um poder que legitimasse força imperativa – leia-se, autoridade –, capaz de mover o aparato coercitivo do Estado, por si mesmo, em face dos próprios Poderes do Estado, seria, a depender da extensão de seu poder normatizador e sancionador, um suprapoder. E um suprapoder de tal ordem só poderia ser estabelecido pelo constituinte originário.
Registre-se que a ideia de uma autoridade nacional de proteção de dados com atuação em face do poder público não foi uma invenção brasileira. O modelo, já presente na Diretiva 95/46/CE, de 1995, foi mantido pelo Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia, cujas autoridades nacionais têm competência para apreciar tratamentos de dados por autoridades e órgãos públicos2. A LGPD, nesse sentido, basicamente transpôs o modelo do RGPD europeu – importando, conjuntamente, as dificuldades inerentes às sanções sobre o poder público.
Entretanto, a menos que queiramos retornar o Brasil ao status de colônia europeia – que é o que se faz, por via indireta, quando se decide o que é ou não constitucional no Brasil a partir do que pensam os europeus em matéria de proteção de dados –, o poder sancionador da ANPD deve ser interpretado à luz da Constituição brasileira. E, para essa interpretação, é útil a compreensão teórica do modelo de regulação responsiva adotado pela LGPD e os limites constitucionais à obstrução de atividades do poder público por órgãos reguladores. É essa a proposta deste artigo.
- Clique aqui e confira a íntegra da coluna.
__________
1 BOBBIO, Norberto. Teoria da Norma Jurídica. Bauru: EDIPRO, 2003.
2 Cf. art. 55º e Considerando 122 do RGPD. Disponível aqui. Acesso em: 29 set. 2022.