Iniciando o ano de 2021 à todo vapor e demonstrando a sua intenção de fazer com que a Lei Geral de Proteção de Dados Pessoais ("LGPD") tenha suas balizas finalmente delimitas, a Autoridade Nacional de Proteção de Dados ("ANPD") publicou, no dia 28/1/2021, por meio da portaria 11, de 27 de janeiro de 2021, sua agenda regulatória para o biênio 2021-20221.
Ansiosamente aguardadas por toda o mercado, as medidas anunciadas, de certo modo, corresponderam às expectativas iniciais, uma vez que demonstraram estratégias concretas para a compreensão de pontos omissos e/ou controversos da legislação, bem como para o início uma postura mais orientativa da Autoridade, ainda que neste primeiro momento, com relação às organizações ao invés de uma postura meramente punitiva. Por outro lado, contudo, preocupa a ausência de manifestação quanto ao início de diálogos e articulações com outros órgãos públicos, inclusive com poderes fiscalizadores de certo modo concorrentes.
Ao se propor como geral, é certo que a LGPD tece interfaces diretas e indiretas com inúmeros setores já existentes no Direito brasileiro, que possuem estrutura própria de fiscalização e sanção. Ao mesmo tempo, a legislação também é clara ao apontar, em seu artigo 55-J, XX, que é competência de a ANPD deliberar, em caráter terminativo, sobre a interpretação da LGPD. O subsequente inciso "k", por sua vez, aponta que a aplicação das sanções ali previstas será efetivada exclusivamente pela Autoridade, bem como que suas competências prevalecerão, no que se refere aos dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração.
Percebe-se, portanto, certa obscuridade quanto ao tangenciamento de temas que podem ser correlatos acerca da aplicação da LGPD em diversas áreas, dada a sua abrangência e interfaces com inúmeros setores. Como exemplo, tem-se a muito falada competência concorrente de sua fiscalização e aplicação que, eventualmente, poderia ser concretizada pelo Sistema Nacional de Defesa do Consumidor ("SNDC"), como Procons, Ministério Público, Defensoria Pública etc.
Especificamente com relação ao setor da saúde privada no país, sabidamente regulado pela Agência Nacional de Saúde Suplementar ("ANS") que, como tal, também possui suas próprias normativas e poder de polícia, o que até então soava como um silêncio estarrecedor relacionado às medidas que seriam implementadas pela Agência no tocante à adequação das operadoras de planos de saúde à LGPD, foi quebrado na última quinta-feira com uma publicação, em sua página institucional, acerca de medidas já implementadas para concretizar seus planos e, consequentemente, suas estratégias para este ramo em particular2.
Entre os pontos abarcados pela manifestação, ressaltam-se os esforços internos da ANS para não só compreender os impactos gerados pela legislação, como também as ações que serão necessárias. Para tanto, sinalizou a criação da Assessoria de Proteção de Dados Informações ("APDI") e a Coordenadoria de Apoio a Proteção de Dados ("COAPD"), ambas estruturas responsáveis pela implementação da legislação no contexto da Agência, adaptando-a às exigências trazidas, bem como disseminando a cultura de proteção aos dados pessoais.
Tais informações são extremamente importantes, uma vez que confirmam a preocupação dos órgãos públicos em promover suas respectivas adequações, confirmando o caráter geral da legislação. Cumpre ressaltar que a ANS, na qualidade de agência reguladora do setor de saúde privada, dispõe de um vasto banco de dados pessoais relativo a todos os cidadãos que possuem contratos com operadoras privadas de planos de saúde, obtidos por meio da resolução normativa ("RN") 295, de 9 de maio de 2012, que instituiu normas vinculantes às operadoras para a geração, transmissão e controle de dados cadastrais de beneficiários do Sistema de Informações de Beneficiários ("SIB")3, complementada pela RN 303, de 31 de agosto de 2021 e instrução normativa ("IN") 50.
Apenas como ilustração, é função das operadoras promover, mensalmente, por intermédio do SIB, a atualização dos dados cadastrais de seus beneficiários, devendo encaminha-los até o dia 5 de cada mês informando procedimentos de inclusão, retificação, mudança contratual, cancelamento e reativação, todos ocorridos até o último dia do mês anterior, sob pena de punição quando do seu descumprimento. Desta forma, a ANS possui controle sobre as carteiras de beneficiários de todas as operadoras que comercializam planos de saúde privada em todo o território nacional.
Referente à notícia já mencionada, a Agência também informa a criação de uma Cartilha com caráter meramente informativo acerca dos conceitos trazidos pela LGPD, veiculada entre os servidores, com o intuito de informa-los sobre o tema, e agora disponível a acesso público4.
Contudo, retomando a questão atinente à interface entre as diversas agências reguladoras e a ANPD, chama a atenção o fragmento da entrevista concedida pelo então assessor-chefe de Proteção de Dados e Informações, que exerce o papel de Encarregado na ANS, que, ao mencionar a já citada Cartilha, pontua que:
"O material não traz, portanto, orientações para o setor, já que essas diretrizes e orientações cabem à Autoridade Nacional de Proteção de Dados (ANPD), órgão vinculado à presidência da República, com quem a Agência está em contato para compartilhar sua expertise em relação ao mercado de saúde suplementar, auxiliando nas ações necessárias ao cumprimento da LGPD no setor".
Na prática, apesar de tais informações, o que se percebe é uma ausência de perspectivas acerca de quando a ANPD iniciará, de fato, suas ações oficiais relacionadas aos diálogos efetivos com as agências reguladoras, como já visto, não abrangidos em sua agenda já divulgada. A fala ainda não esclarece como serão devolvidas as interpretações entre pontos de intersecção entre a LGPD e as RN’s já publicadas pela ANS, como por exemplo, aquelas contidas na RN 4435, de 25 de janeiro de 2019, que dispõe sobre a adoção de práticas mínimas de governança corporativa, com ênfase em controles internos e gestão de riscos, para fins de solvência das operadoras de planos de assistência à saúde, devendo implementa-las até 31 de dezembro de 2022, prazo em que as ações administrativas se iniciarão.
Isso porque, considerando que a adequação à LGPD exige a construção de um programa de governança corporativa e compliance, exatamente o que consta na sobredita RN, ao apontar que as diretrizes e orientações relacionadas àquela legislação ficarão à cargo, exclusivamente, da ANPD, a ANS não dá diretrizes sobre como serão construídos os seus entendimentos sobre tal perspectiva. Da mesma forma, não existindo a previsão de que tal abordagem seja realizada pela ANPD até o prazo estipulado para o início de suas sanções administrativas, é possível vislumbrar que a RN passe a produzir seus efeitos sem que, para tanto, haja uma definição específica acerca de sua abrangência, gerando inequívoca insegurança jurídica.
Como exemplo, enquanto a LGPD traz, em seu artigo 6º, VI, o princípio da transparência como uma das balizas para o tratamento regular de dados pessoais pelos agentes, a Resolução, em seu artigo 4º, I, também prevê o mesmo princípio para as práticas e estruturas de governança adotas pelas operadoras de planos de saúde.
Desta forma, questiona-se: estão, ambas as normas, abordando o princípio da transparência da mesma forma e, em caso positivo, quais serão suas zonas de aproximação e distanciamento, bem como, até que ponto, deverão ser aplicadas? Neste cenário em particular, por se tratarem de normas principiológicas, acredita-se que a técnica da ponderação, consagrada pela Teoria dos Direitos Fundamentais de Robert Alexy, seja um instrumento eficaz para delimitar a extensão de suas abrangências, limitando-se mutuamente na menor medida possível.
Ao mesmo tempo, por fim, considera-se que tais construções devem ser feitas em conjunto entre os agentes reguladores, por meio de estratégias sólidas, de modo a não só efetivar ambos os diplomas na maior medida do possível como, ao mesmo tempo, não gerar insegurança jurídica aos cidadãos.
----------
1 BRASIL. Portaria 11, de 27 de janeiro de 2021. Torna pública a agenda regulatória para o biênio 2021-2022. Acesso em: 12 fev. 2021.
2 ANS. Acesso em: 14 fev. 2021.
3 ANS. Resolução normativa 295, de 9 de maio de 2021. Estabelece normas para a geração, transmissão e controle de dados cadastrais de beneficiários do Sistema de Informações de Beneficiários da Agência Nacional de Saúde Suplementar - SIB/ANS; dispõe sobre o formato XML (Extensible Markup Language) como padrão para a troca de informações entre as operadoras e o SIB/ANS; revoga a Resolução Normativa - RN 250, de 25 de março de 2011; e dá outras providências. Acesso em: 14 fev. 2021.
4 ANS. LGPD: Informações básicas para entender a Lei Geral de Proteção de Dados Pessoais. Acesso em: 14 fev. 2021.
5 ANS. Resolução normativa 443, de 25 de janeiro de 2019. Dispõe sobre adoção de práticas mínimas de governança corporativa, com ênfase em controles internos e gestão de riscos, para fins de solvência das operadoras de planos de assistência à saúde. Acesso em 14 fev. 2021.