Introdução: A transformação da ANPD em autarquia especial

Até então subordinada formalmente ao Executivo Federal, a Autoridade Nacional de Proteção de Dados (ANPD) pode  passar a cumprir com as diretivas previstas na LGPD¹ a partir da edição da Medida Provisória 1.124/2022, que tem em seu cerne primordial a transformação da Autoridade em autarquia de natureza especial, criando também um cargo comissionado executivo de Diretor-Presidente da ANPD.

A natureza jurídica da ANPD já era tida como transitória pela LGPD desde sua alteração pela lei 13.853/2019, que previa a possibilidade de transformação da autoridade pelo Poder Executivo em entidade da administração pública federal indireta sob regime autárquico especial. Dessa forma, ao estabelecer um prazo para tal desvinculação, a edição da Medida outorga à ANPD a autonomia técnica e decisória sem mais haver subordinação hierárquica à Presidência da República pela vinculação à Casa Civil, passando a possuir patrimônio próprio, além de sede e foro no Distrito Federal.²

Apesar das competências legais e as estruturas organizacionais permanecerem intactas, a Autoridade passa a ter Procuradoria própria, o que permite que passe a atuar perante o Judiciário a partir da atribuição de capacidade processual para que possa promover ações judiciais.

Essa aguardada transformação influencia em muito na problemática nacional de reconhecimento como País adequado e viável para transferências internacionais de dados pessoais perante as autoridades estrangeiras, visto que a independência da Autoridade de Proteção de Dados local é pressuposto sine qua non para tanto³. O modelo europeu, no entanto, não é o único detentor de Autoridade independente, vez que países como Canadá, Japão, Taiwan e Austrália também são exemplos nesse quesito. Ainda, países da América Latina, como Uruguai e Argentina, não só possuem exemplos de legislações destinadas à proteção de dados pessoais, como também são considerados pelas autoridades europeias como países adequados para a transferência internacional de dados.

Os anseios nacionais para o processo de ingresso na OCDE

Não obstante as diretivas prévias existentes na LGPD para que a ANPD adquirisse sua independência paulatinamente, houve influência da Organização para a Cooperação e Desenvolvimento Econômico (OCDE)⁴ na edição da Medida aqui tratada, vez que, em outubro de 2020, foi emitido um relatório com recomendações que, dentre outros assuntos, diziam respeito à independência da ANPD. Atender a essas recomendações faz parte da política de Estado brasileira para a manutenção da boa relação com o órgão internacional.

Considerado como parceiro-chave, o Brasil intenciona aderir como membro da Organização desde 1991, tendo manifestado interesse formal em 2017 em prol da adesão plena, e em janeiro do presente ano o Conselho da OCDE decidiu abrir discussões de acessão com o Brasil por meio da aprovação de convite formal para que seja iniciado o longo processo de adesão do Brasil nesse seleto clube.

Em 2013, a OCDE atualizou a sua Recomendação do Conselho da OCDE sobre as Diretrizes que Regem a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais⁵ e, em 2020, por meio de suas revisões sobre a transformação digital no Brasil⁶, emitiu relatório pelo qual atestou o alinhamento da estrutura normativa trazida pela aprovação da lli 13.709/18 (LGPD). No entanto, recomendações para o "aumento da confiança através do aumento da privacidade" foram enumeradas em meio a tantas outras pontuações que tratavam desde problemáticas endêmicas como a desigualdade digital, até questões orçamentárias da nação em relação a planejamento para despesas com Tecnologias da Informação e Comunicação (TIC).

Nesse relatório, no que tange à aplicação da privacidade com a governança, os recursos e os conhecimentos técnicos pelas autoridades nos países da OCDE foi recomendada, especificamente ao Brasil, a reavaliação do art. 55-A da lei 13.709/2018 que estabeleceu a ANPD, dispositivo esse que, até então, descrevia a Autoridade como "órgão da administração pública federal, integrante da Presidência da República".

Dessa forma, como recomendações pontuais para o aprimoramento da proteção de dados no País - e consequente adequação do Brasil aos parâmetros da OCDE em prol de uma futura adesão como membro - foram mencionadas, para além da revisão e reavaliação do artigo supracitado, a necessidade de assegurar padrões de transparência e imparcialidade nas indicações de membros para o Conselho Diretor da ANPD e para o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDP)⁷, esclarecendo também as responsabilidades de facto atribuídas ao CNPDP.

Ainda, foi indicado a necessidade do estabelecimento de regras claras no tangente à tomada de decisões no âmbito da ANPD, bem como em relação à sua implementação pelo Conselho Diretor, mencionando-se, também, que a transparência deveria se estender à adequação de um orçamento previsível para a Autoridade.

Por fim, restou recomendado o alinhamento da Estratégia Brasileira para Inteligência Artificial com a LGPD e outros marcos legais relevantes para que seja atingido um nível estável de cooperação com a totalidade de atores no tratamento de dados pessoais.

É de interesse nacional o atendimento a tais recomendações, visto que a adequação para a constituição de melhores práticas de governança, gestão pública, democracia consolidada, instituições sólidas e economia sustentável fazem parte da compilação de atributos que um país com o "selo OCDE" deve apresentar perante o mundo. E, para tanto, emerge a Medida Provisória 1.124/2022 como esforço do Executivo Federal para fazer cumprir tais direcionamentos.

A necessidade de adequação ao GDPR para maior cooperação na transferência internacional de dados

Com a elevação da Autoridade Nacional de Proteção de Dados à condição de autarquia de natureza especial, presumindo-se que a MP 1124/2022 seja convertida em lei, será dado mais um passo para o Brasil ser impulsionado rumo a uma decisão de adequação por parte da Comissão Europeia, decisão essa que constitui um dos mecanismos essenciais para a chancela da transferência internacional de dados entre países.

Já com a regulação europeia advinda da Diretiva 95/46⁸ e agora com a consolidação do GDPR, a identificação de países considerados adequados para a circulação de dados é obrigação da Comissão Europeia por meio de um procedimento que avalia uma série de mecanismos que abarque questões de proteção de dados (envolvendo aqui também segurança da informação) para que sejam cumpridos parâmetros específicos determinados pelo art. 45 do GDPR, tais como, principalmente, a possibilidade de exercício dos direitos pelos titulares e a existência de uma autoridade independente de proteção de dados. Somente então pode ser iniciado o processo interno de consultas pela Comissão para que, por fim, seja emitida uma decisão final em relação à adequação de determinado país⁹.

É usual que esse exame sistemático dos mecanismos para a proteção de dados de outros países seja dado por meio de processo bilateral, em que o país "avaliado" seja incluído a fim de que seja facilitada a compreensão do funcionamento dos mecanismos regulatórios e das instituições que os implementam. Tal como é realizado pela Comissão Europeia, a ANPD também se utiliza desse método avaliativo para determinar o nível de adequação do contexto regulatório de proteção de dados de outros países para então determinar a permissão de transferência internacional de dados. No entanto, a inércia da ANPD, muito provavelmente pela falta de independência, não permitiu que fossem definidos os procedimentos necessários para que alguma decisão de adequação fosse proferida até a atualidade, apesar de estar previsto na agenda regulatória e já ter sido mencionada recentemente na Tomada de Subsídios sobre Transferência Internacional de Dados¹⁰.

No cenário internacional, a interlocução com os organismos internacionais como a OCDE, OMC e OEA rendeu recomendações que, em sua maioria, postulavam pela independência e autonomia da ANPD, conforme mencionado no tópico anterior.

Notáveis exemplos de confiança e credibilidade em questões que abarcam transferências de dados é o intercâmbio de cooperação entre autoridades totalmente independentes para resolução de problemáticas de grande repercussão e impacto internacional. A independência é critério de legitimidade não só para o cumprimento de metas de desenvolvimento digital, como também o é para a cooperação entre autoridades em casos de investigação criminal.

A questão é que, desde a entrada em vigor da LGPD, diversas dúvidas restaram pendentes de saneamento por parte da ANPD sobre conceitos e hierarquização de mecanismos que deveriam, por sua vez, esclarecer questões sobre transferência internacional de dados¹¹. Para a maioria dos instrumentos existentes no art. 33 da LGPD, existem lacunas residuais que devem ser preenchidas pela própria Autoridade.

Essas lacunas, no âmbito da transferência de dados internacionais, são geradas por obstáculos advindos de questões mal esclarecidas. Para além das dúvidas sobre o grau de proteção de dados pessoais adequado e sobre os requisitos e condições mínimas a serem observados em face da LGPD, existem óbices contratuais oriundos da ausência de definições claras e objetivas acerca do conteúdo de cláusulas-padrão contratuais, assim como não se verifica objetivamente normas corporativas globais, certificados, selos, códigos de conduta ou, principalmente, cláusulas contratuais específicas para determinadas transferências de dados pessoais.

É nesse cenário lacunar que a tão aguardada consolidação da independência da ANPD se mostra como requisito fundamental no que tange ao estabelecimento de grau de adequação por organizações internacionais multilaterais, tais como a União Europeia¹², como bem preconiza o art. 45 do GDPR¹³, assim como a supracitada Organização para a Cooperação e Desenvolvimento Econômico (OCDE).

A inconstitucionalidade formal de uma medida imprescindível

Pode-se dizer que a aprovação e sanção da lei 13.709/2018, a LGPD, mesmo após as modificações incluídas com a lei 13.853/2019, para além das lacunas deixadas para futuro preenchimento pela atuação de órgão regulador específico, foi controversa no modo como constituiu a ANPD. Porém, mais controverso foi o modo pelo qual o Executivo Federal resolveu sanar uma falha pretérita.

Ocorre que, apesar da presumida boa intenção da Medida, que viria como exercício da diligência prevista nos §§1º e 2º do art. 55-A da LGPD, pairou o questionamento sobre uma potencial incompatibilidade com a Lei Fundamental¹⁴. Existiria, então, a possibilidade de a Medida representar ato eivado de inconstitucionalidade formal, em razão do fato de que a Constituição prescreve, em seu inciso XIX do art. 37, que autarquias só podem ser criadas via lei específica.

É pressuposto fundamental que toda autoridade reguladora, desde sua criação, tenha independência e autonomia, principalmente no caso brasileiro, em que a LGPD foi editada com uma finalidade regulatória de duas facetas, servindo tanto para o setor privado, quanto para o público.

Partindo-se da premissa de que outras agências como a Anatel, Aneel, ANA, ANTT, dentre outras, foram constituídas de imediato na forma de uma autarquia, a ANPD emergiu de forma heterodoxa: apesar de a autoridade reguladora ser constituída com todas as feições de uma autarquia, foi criada como órgão vinculado à Casa Civil e, portanto, subordinado à Presidência da República. O resultado foi uma agência especial de facto cuja estruturação se deu como integrante da Administração Pública Federal Direta.

A despeito do vício formal supramencionado, a Medida tende a passar despercebida¹⁵. Aparentemente inofensiva, legalmente prevista e economicamente necessária, a Medida pareceu ter sido bem recebida pelos que atuam na incipiente área da privacidade e da proteção de dados, visto que, se aprovada pelo Congresso, sanaria a controvérsia de uma autoridade reguladora vinculada ao Executivo, que deveria ter sido estruturada desde o início com independência e autonomia no âmbito da Administração Pública Indireta.

Considerações Finais

A entrada na OCDE e a adequação com o GDRP trazem vantagens para as multinacionais brasileiras e estrangeiras, pelo saneamento de gargalos no movimento dos fluxos de capitais e por passar a ter um "carimbo" de viabilidade para negócios e investimentos.

Portanto, a transformação da ANPD em autarquia é necessária e benéfica para o País em termos socioeconômicos. Sua independência e autonomia permitirão a sua atuação jurídica como Agência Reguladora, nos âmbitos privado e público, sem ser um órgão da Presidência da República.

Ainda que questionada em eventual controle concentrado de constitucionalidade, observando os atritos recentes entre o Planalto e o Supremo, a chancela da Medida Provisória ou de sua Lei de Conversão pelo Tribunal Constitucional é bastante provável.

À semelhança das Medidas Provisórias 1.791/1998 e 2.012/2000 que criaram, respectivamente, a Anvisa e a ANS - inquestionadas até os dias atuais - provavelmente a MP 1.124/2022 subsistirá em prol de uma sociedade de dados ávida por aprimoramento e regulação. Criará uma agência com imprescindíveis funções, ensejará que o País se adeque cada vez mais aos parâmetros e recomendações prescritos pelo GDPR e pela OCDE, ironicamente se consolidando como um fim que justifica sim seus meios¹⁶.

__________

1 Quintiliano, Leonardo. Contexto histórico e finalidade da Lei Geral de Proteção de Dados (LGPD). IAPD. 17 de março de 2021. Disponível aqui. Acesso em 27 de setembro de 2022.