No Brasil, têm-se perdido tempo valioso debatendo sobre a prorrogação da vigência da Lei Geral de Proteção de Dados (lei 13.709/18), enquanto é grave a inação para a instalação da Autoridade Nacional de Proteção de Dados (ANPD) que, pela sua importância para efetiva aplicação da LGPD, já deveria estar na iminência de começar seus trabalhos.
O texto da lei de proteção de dados brasileira, alterado pela MP 869 de 2018, prevê a criação da autoridade de dados sem aumento de despesas, como órgão da administração pública federal e integrante da Presidência da República (art. 55-A da lei 13.853/19). Apesar disso, até o momento não há sinalização clara do Poder Executivo, no sentido de formação e estruturação do mencionado órgão.
É certo que, em algum momento, a Lei Geral de Proteção de Dados terá plena vigência e sem uma autoridade nacional que promova, oriente e fiscalize sua aplicação, corre-se o risco de reduzir a efetividade dos preceitos constantes na lei, além de instaurar uma sensação de insegurança jurídica quanto ao tratamento de dados pessoais no país.
Se por um lado, estamos em situação desfavorável diante do atraso na adoção de medidas para a implementação da ANPD; por outro, tem-se a vantagem de poder olhar para os países com legislação de proteção de dados já avançada e com autoridades supervisoras instaladas e em funcionamento, comparando modelos existentes e refletindo sobre o que poderá eventualmente ser adaptado ao nosso anseio, no que se refere ao resguardo da privacidade dos dados dos cidadãos brasileiros.
Nesse sentido, importa relembrar que a norma de proteção de dados brasileira é inspirada na General Data Protection Regulation (GDPR), regulamento europeu que entrou efetivamente em vigor em 2018 e que trata sobre as autoridades de supervisão do tratamento de dados, traçando parâmetros para a independência, competência, respectivas tarefas e poderes. Na GPDR, houve expressa preocupação em relação aos membros das autoridades supervisoras, no sentido de que devam ter qualificação, experiência e conhecimentos em áreas específicas da proteção de dados pessoais, garantindo a independência e autonomia para o desempenho das funções.
Atualmente, a União Européia conta com autoridades supervisoras de tratamento de dados constituídas em todos o países integrantes do bloco1. Além da uma autoridade nacional, alguns deles também contam com agências regulatórias, responsáveis por garantir a aplicação das diretivas de privacidade e comunicações eletrônicas, chamadas de ePrivacy Directive (Privacy and Electronic Communications Directive 2002/58/EC). Essas autoridades têm suas atividades acompanhadas pela European Data Protection Board (EDPB), além da supervisão geral pela European Data Protection Supervisor (EDPS).
Destaca-se, para tanto, alguns exemplos interessantes:
Na República da Irlanda, a autoridade supervisora de aplicação da GDPR é chamada de Data Protection Commission (DPC)2 e foi estabelecida pela Data Protection Act 2018. Apesar do pouco tempo de existência, o DPC já se tornou bem conhecido pelo fato de a Irlanda hospedar algumas das maiores empresas de tecnologia do Vale do Silício. Desde sua implementação, o DPC tem trabalhado na constituição de uma equipe multidisciplinar e suporte ao papel de sua Commissioner, principal interlocutora da autoridade supervisora.
Em linhas gerais, o Data Protection Commission recomenda que as reclamações envolvendo violações no tratamento de dados sejam feitas diretamente ao agente responsável pelo tratamento e, caso não haja uma solução satisfatória, haja formalização da ocorrência junto ao DPC, que promete uma devolutiva dentro do período de um mês, por meio de um procedimento eletrônico e gratuito.
No caso da autoridade supervisora de Portugal, chamada Comissão Nacional de Protecção de Dados, chama atenção o fato de que sua criação é anterior à própria GDPR e possui uma estrutura bem diferenciada, sendo composta por 7 (sete) membros que são eleitos pela Assembleia da República, Governo, Conselho Superior do Ministério Público e o da Magistratura3. Ao que parece, é uma das autoridades de proteção de dados menos multidisciplinar, do ponto de vista da sua estruturação interna.
Já, fora do bloco europeu em decorrência do polêmico Brexit, o Reino Unido conta com o Information Commissioner's Office (ICO)4, autoridade responsável por assegurar o respeito à privacidade dos cidadãos, pelas organizações públicas e privadas. Além das funções de investigação, fiscalização e aplicação de sanções, também gere inscrições dos Data Protection Officers, indicados pelas organizações. É importante mencionar que grande parte do orçamento anual do ICO se constitui por meio das taxas pagas pelas organizações que tratam dados (data protection fees). Mais interessante ainda, é que o ICO não faz uso dos valores provenientes das sanções aplicadas, remetendo tudo ao departamento de finanças públicas e política econômica do Reino Unido (Her Majesty’s Treasury).
No Brasil, a criação da autoridade nacional, que promoverá e fiscalizará a norma de proteção de dados, tem previsão na própria lei 13.709/18. Segundo o texto, a ANPD inicialmente terá natureza jurídica transitória, podendo ser transformada em entidade da administração pública federal indireta e submetida a regime autárquico especial. Significa, ao menos em tese, que a ANPD contará com autonomia e patrimônio próprio, em que pese a vinculação à Presidência da República.
Ademais, ao contrário da legislação de dados europeia, a LGPD dispõe expressamente sobre a composição da Autoridade Nacional de Proteção de Dados, que contará com um Conselho Diretor, um Conselho Nacional de Proteção de Dados Pessoais, uma Corregedoria e Ouvidoria, assessoramento jurídico próprio e unidades administrativas e especializadas, garantida a independência dos seus membros.
A competência da Autoridade Nacional de Proteção de Dados, por sua vez, encontra-se descrita no art. 55-J da lei 13.709/18 e se consubstancia fortemente em orientar, promover e fiscalizar a observância da LGPD, além de aplicar sanções em casos de violação no tratamento de dados, mediante processo administrativo que assegure o contraditório, ampla defesa e o direito de recurso. É também papel de suma importância da ANPD o da deliberação sobre interpretação e competência da Lei Geral de Proteção de Dados, em especial, nos casos omissos.
Noutro giro, a norma de proteção de dados brasileira procurou diversificar a fonte de receita da autoridade nacional, valendo mencionar que além do que for proveniente das dotações no orçamento da União, também advirá de recursos obtidos por acordos ou contratos celebrados com entidades empresariais (públicas ou privadas/nacionais ou internacionais), venda de publicações, material técnico, dados e informações, inclusive para fins de licitação pública (art. 55-L da lei 13.853/2019).
Assim, com base na experiência observada em outros países, percebe-se que o legislador andou bem em se preocupar com a autonomia técnica, decisória e orçamentária da futura autoridade de proteção de dados brasileira. Por outro lado, parece incoerente a vinculação legal da ANPD diretamente ao chefe do poder executivo, ao invés de um órgão específico, como por exemplo é o caso do Conselho Administrativo de Defesa Econômica - CADE (Ministério da Justiça). De todo modo, isto por si só não tem o condão de representar uma mitigação da autonomia da autoridade supervisora, que tem o escudo legal da garantia de independência de seus membros para o exercício das funções.
Espera-se, também, que a futura Autoridade Nacional de Proteção de Dados siga e mantenha uma postura prioritariamente orientativa, promovendo informações sobre a conformidade das organizações com a norma de proteção de dados brasileira (guidelines), bem como interagindo com a comunidade acadêmica e empresarial, no que se refere ao tratamento de dados e privacidade dos cidadãos. Nesse sentido, cabe mencionar que o modelo adotado pelas autoridades supervisoras de outros países, que possuem um interlocutor ativo e posicionado como a principal personificação do órgão (Comissioner), mostra-se interessante, do ponto de vista representativo daquelas.
Por fim, também se espera da autoridade de proteção de dados brasileira que busque sempre a maior multidisciplinaridade dos seus membros, além de procedimentos eletrônicos, simplificados e gratuítos, para fins de processar as eventuais reclamações sobre violação ao tratamento de dados dos titulares, seguindo o bom exemplo daquelas autoridades supervisoras já constituídas em outros países e que podem servir como bom parâmetro, claro, adaptando-se a nossa realidade econômica, jurídica e social.
___________
___________