Na sociedade atual é comum encontrarmos alguns aplicativos ou serviços oferecidos de forma gratuita (free service) ou de forma parcialmente gratuita (freemium servisse1), nos quais apenas algumas funcionalidades ficam disponíveis aos usuários que não pretendem desembolsar nenhuma quantia para se utilizar de um determinado serviço.2
Para estas plataformas existe um maior interesse no valor agregado às informações pessoais de seus usuários do que efetivamente na cobrança de um valor para a disponibilização do serviço, haja vista que, uma vez em posse dos dados pessoais de seus usuários, estes poderão ser utilizados para a elaboração de publicidade comportamental ou direcionada4. Este tipo de modelo de negócio é conhecido como zero-price advertisement business model5.
A fim de regular este novo modelo de negócio, garantindo ao titular de tais dados um maior controle de suas informações, diversos países, pertencentes a variados continentes, promulgaram legislações específicas sobre o tema. Nesse sentido, podemos citar a Argentina, o Uruguai, o Japão, a Austrália, a Tailândia, dentre outros.
Na Europa, por sua vez, em 25 de maio de 2018, entrou em eficácia plena a legislação unificada para todos os países pertencentes ao bloco europeu, chamada de General Data Protection Regulation, mais conhecida como GDPR.
Um ponto em comum entre as legislações de proteção de dados pessoais de todos os países acima citados, é a presença de uma autoridade central, responsável por aplicar e fiscalizar estes regulamentos. A criação de tal entidade se deu em grande parte, devido a especialidade e complexidade do tema tratado, a fim de que fosse assegurada a sua correta utilização.
Seguindo esta mesma tendência e visando principalmente assegurar o direito constitucional à privacidade dos cidadãos brasileiros, foi sancionada pelo presidente Michel Temer, no dia 14 de agosto de 2018, a lei 13.709/186, mais conhecida como Lei Geral de Proteção de Dados ou, então, simplesmente LGPD.
Contudo, com a sanção também vieram alguns vetos à referida legislação. Tais vetos, de maneira sucinta, consistem em:
(i) remover do texto a criação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, que seria encarregado por propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade, bem como para a atuação da ANPD (Autoridade Nacional de Proteção de Dados);
(ii) eliminar a possibilidade de suspensão parcial ou total do funcionamento de banco de dados que violar os termos da referida legislação por até seis meses prorrogáveis por igual período, assim como a possibilidade de suspensão parcial ou total do exercício de atividades relacionadas ao tratamento de dados7; e
(iii) a criação da ANPD (Autoridade Nacional de Proteção de Dados), também foi alvo de veto presidencial.
Dos vetos acima mencionados, o terceiro ponto suscitado, qual seja, a criação de uma Autoridade específica e descentralizada para aplicação e fiscalização da Lei Geral de Proteção de Dados Pessoais é um dos pontos de maior preocupação.
Nesse sentido, é necessário demonstrar a importância da imediata criação de tal Autoridade, para que, no momento em que a lei efetivamente entrar em vigor8 (após a vacatio legis de 18 meses – art. 65), não sejamos alvos de certa – e provável – insegurança jurídica, quando da aplicação de seus dispositivos.
A importância da Autoridade Nacional de Proteção de Dados se revela por meio da simples leitura da lei em comento, na medida em que esta aparece como uma figura principal em, pelo menos, 30 artigos diferentes da legislação. Necessário enfatizar que a lei possui 65 artigos.
Mas, então, para que serve e no que consiste a Autoridade Nacional de Proteção de Dados?
Primeiramente, a ANPD é um dos pilares da Lei Geral de Proteção de Dados. Nas palavras do especialista Danilo Doneda, se trata de “um organismo independente responsável por vários aspectos da aplicação e implementação da lei9”. Seu objetivo é fiscalizar o tratamento de dados pessoais e se trata de uma agência reguladora independente.
Ainda, conforme acima mencionado a questão do tratamento de dados pessoais se trata de atividade intelectual bastante complexa, razão pela qual deve ser orientada e fiscalizada por uma autoridade nacional especializada, assim, a ideia de simplesmente deixar tal responsabilidade nas mãos de entidades e corporações com pouca expertise sobre o tema não nos parece razoável, na medida em que, com absoluta certeza, as práticas atinentes à autoridade não seriam realizadas de maneira suficientemente transparente e imparcial.
Nesse sentido, conforme brilhantemente exposto por Danilo Doneda: “a existência de uma Autoridade que atue de forma coordenada para prevenir e reprimir abusos, fiscalizando e tutelando tratamentos de dados de inteiras coletividades é fundamental para diminuir a distância abissal entre o cidadão e os entes que tratam seus dados, evitando que sejam abertas demandas individuais pelo caminho geralmente longo (e custoso) da via judicial”10.
Assim, considerando que a ANPD se trata de um órgão regulador, sua função seria, basicamente, a de fiscalizar as previsões legislativas atinentes à proteção dos dados pessoais, bem como aplicar sanções e multas, previstas no artigo 52 e seguintes da LGPD, em caso de descumprimento ou inobservância da legislação.
Carlos Affonso de Souza, diretor do Instituto de Tecnologia e Sociedade do Rio de Janeiro (ITS- Rio) também já se posicionou quanto a imprescindibilidade da imediata criação de uma autoridade nacional, sustentando que “a ANPD teria o papel importante de centralizar a aplicação, evitar a pulverização de fiscalização e propor orientações de interpretação”11.
Na mesma linha, Rony Vainzof, diretor do Departamento de Defesa e Segurança da FIESP, ressaltou que uma lei que estabeleça sanções administrativas sem identificar quem vai aplicá- las pode ser um convite para imposição de multas injustas e, também, que “a ausência de uma autoridade também impedirá o Brasil de se adequar às normas de outros países”.12
Dessa forma, a preocupação com uma possível insegurança jurídica criada a partir do veto presidencial quanto à criação da referida Autoridade Nacional, fez com que ao menos 39 (trinta e nove) entidades subscrevessem um manifesto cobrando do Congresso Nacional, a avaliação dos vetos impostos pelo presidente Michel Temer, principalmente no que se refere ao artigo que previa a criação da ANPD. Nesse sentido, destaca Sergio Sgobbi, diretor da Brasscom: “o prazo de 18 meses previsto de vacatio legis parece larga, mas, de fato, não é. Ainda é preciso estruturar a agência, estabelecer seu funcionamento, regulamentos iniciais”.13
A partir da leitura deste artigo, cujo intuito não é esgotar o tema, haja vista que não possui como objeto discutir a suscitada (in)constitucionalidade (o que pode ser superado com a sua estipulação pelo Poder Executivo) da criação da Autoridade Nacional de Proteção de Dados Pessoais, o que se busca é expor a necessidade de mobilização do setor público e privado para a imediata criação da referida Autoridade, ao passo que a efetiva aplicação da legislação de proteção de dados pessoais, pode ficar prejudicada.
__________
1 Freemium é a combinação de gratuito (free) com diferenciado (premium) – NELSON, Brett. The “Freemium” Model: top flaws and potente fixe
2 “Nesses modelos de negócios, permite-se o acesso livre e “gratuito” a um determinado tipo de serviço ou produto online, mas em sua versão limitada ou básica” – CUSMANO, Michael A: GOELDI, Andreas. New business and new business model In: DUTTON, Willian H (org). The Oxford handbook of internet studies United Kingdon, Oxford Universty Press, 2012. P 252.
3 “dado pessoal: informação relacionada a pessoa natural identificada ou identificável” – Lei 13.709/18
4 “Publicidade direcionada é uma prática que procura personalizar, ainda que parcialmente, tal comunicação social, correlacionando-a a um determinado fator que incrementa a possibilidade de êxito da indução ao consumo.” BIONI, Bruno. Proteção de Dados Pessoais a Função e os limites do Consentimento, 2018, p. 17.
5 Conceito dado por STRANDBURG, Katherine J. Free Fall: The Online Market’s Consumer Preference Disconnect. NYU School of Law, Public Law Research Paper n. 13-62, p. 97, Oct. 2013. No mesmo sentido, BIONI, Bruno.Op CIt. p. 26 – “Os usuários não pagam uma quantia monetária (zero-price) pelo produto ou serviço. A contraprestação deriva do fornecimento de seus dados pessoais, o que possibilita o direcionamento de conteúdo publicitário e cuja receita pagará, indiretamente pelo bem de consumo (advertisement business model).”
7 O tratamento abrange um amplo conjunto de operações efetuadas sobre dados pessoais, por meios manuais ou automatizados. Inclui a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição de dados pessoais. O que constitui o tratamento de dados?
8 Considerando a Vacatio Legis de 18 meses, a Lei Nacional de Proteção de Dados Pessoais entrará em vigor em 16 de fevereiro de 2020.
9 Conteúdo acessado em 27/12/18. O que está em jogo com a nova Autoridade Nacional de Proteção de Dados.
10 Conteúdo acessado em 27/12/18. O que está em jogo com a nova Autoridade Nacional de Proteção de Dados.
11 Conteúdo acessado em 27/12/18. Lei de Proteção de Dados brasileira é criada sem agência reguladora.
12 Conteúdo acessado em 27/12/18. No Senado, Fiesp defende criação de autoridade nacional de proteção de dados na internet.
13 Conteúdo acessado em 27/12/18. Mobilização pela derrubada dos vetos a artigos da LGPD ganha força em Brasília.
__________
*Pedro Nachbar Sanches é advogado no escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados.
*Eduardo Salim Curiati é advogado no escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados.