A MP 1124 como amálgama para a adequação do Brasil aos parâmetros da OCDE e do GDPR
sexta-feira, 7 de outubro de 2022
Atualizado às 09:27
Introdução: A transformação da ANPD em autarquia especial
Até então subordinada formalmente ao Executivo Federal, a Autoridade Nacional de Proteção de Dados (ANPD) pode passar a cumprir com as diretivas previstas na LGPD1 a partir da edição da Medida Provisória 1.124/2022, que tem em seu cerne primordial a transformação da Autoridade em autarquia de natureza especial, criando também um cargo comissionado executivo de Diretor-Presidente da ANPD.
A natureza jurídica da ANPD já era tida como transitória pela LGPD desde sua alteração pela lei 13.853/2019, que previa a possibilidade de transformação da autoridade pelo Poder Executivo em entidade da administração pública federal indireta sob regime autárquico especial. Dessa forma, ao estabelecer um prazo para tal desvinculação, a edição da Medida outorga à ANPD a autonomia técnica e decisória sem mais haver subordinação hierárquica à Presidência da República pela vinculação à Casa Civil, passando a possuir patrimônio próprio, além de sede e foro no Distrito Federal.2
Apesar das competências legais e as estruturas organizacionais permanecerem intactas, a Autoridade passa a ter Procuradoria própria, o que permite que passe a atuar perante o Judiciário a partir da atribuição de capacidade processual para que possa promover ações judiciais.
Essa aguardada transformação influencia em muito na problemática nacional de reconhecimento como País adequado e viável para transferências internacionais de dados pessoais perante as autoridades estrangeiras, visto que a independência da Autoridade de Proteção de Dados local é pressuposto sine qua non para tanto3. O modelo europeu, no entanto, não é o único detentor de Autoridade independente, vez que países como Canadá, Japão, Taiwan e Austrália também são exemplos nesse quesito. Ainda, países da América Latina, como Uruguai e Argentina, não só possuem exemplos de legislações destinadas à proteção de dados pessoais, como também são considerados pelas autoridades europeias como países adequados para a transferência internacional de dados.
Os anseios nacionais para o processo de ingresso na OCDE
Não obstante as diretivas prévias existentes na LGPD para que a ANPD adquirisse sua independência paulatinamente, houve influência da Organização para a Cooperação e Desenvolvimento Econômico (OCDE)4 na edição da Medida aqui tratada, vez que, em outubro de 2020, foi emitido um relatório com recomendações que, dentre outros assuntos, diziam respeito à independência da ANPD. Atender a essas recomendações faz parte da política de Estado brasileira para a manutenção da boa relação com o órgão internacional.
Considerado como parceiro-chave, o Brasil intenciona aderir como membro da Organização desde 1991, tendo manifestado interesse formal em 2017 em prol da adesão plena, e em janeiro do presente ano o Conselho da OCDE decidiu abrir discussões de acessão com o Brasil por meio da aprovação de convite formal para que seja iniciado o longo processo de adesão do Brasil nesse seleto clube.
Em 2013, a OCDE atualizou a sua Recomendação do Conselho da OCDE sobre as Diretrizes que Regem a Proteção da Privacidade e dos Fluxos Transfronteiriços de Dados Pessoais5 e, em 2020, por meio de suas revisões sobre a transformação digital no Brasil6, emitiu relatório pelo qual atestou o alinhamento da estrutura normativa trazida pela aprovação da lli 13.709/18 (LGPD). No entanto, recomendações para o "aumento da confiança através do aumento da privacidade" foram enumeradas em meio a tantas outras pontuações que tratavam desde problemáticas endêmicas como a desigualdade digital, até questões orçamentárias da nação em relação a planejamento para despesas com Tecnologias da Informação e Comunicação (TIC).
Nesse relatório, no que tange à aplicação da privacidade com a governança, os recursos e os conhecimentos técnicos pelas autoridades nos países da OCDE foi recomendada, especificamente ao Brasil, a reavaliação do art. 55-A da lei 13.709/2018 que estabeleceu a ANPD, dispositivo esse que, até então, descrevia a Autoridade como "órgão da administração pública federal, integrante da Presidência da República".
Dessa forma, como recomendações pontuais para o aprimoramento da proteção de dados no País - e consequente adequação do Brasil aos parâmetros da OCDE em prol de uma futura adesão como membro - foram mencionadas, para além da revisão e reavaliação do artigo supracitado, a necessidade de assegurar padrões de transparência e imparcialidade nas indicações de membros para o Conselho Diretor da ANPD e para o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDP)7, esclarecendo também as responsabilidades de facto atribuídas ao CNPDP.
Ainda, foi indicado a necessidade do estabelecimento de regras claras no tangente à tomada de decisões no âmbito da ANPD, bem como em relação à sua implementação pelo Conselho Diretor, mencionando-se, também, que a transparência deveria se estender à adequação de um orçamento previsível para a Autoridade.
Por fim, restou recomendado o alinhamento da Estratégia Brasileira para Inteligência Artificial com a LGPD e outros marcos legais relevantes para que seja atingido um nível estável de cooperação com a totalidade de atores no tratamento de dados pessoais.
É de interesse nacional o atendimento a tais recomendações, visto que a adequação para a constituição de melhores práticas de governança, gestão pública, democracia consolidada, instituições sólidas e economia sustentável fazem parte da compilação de atributos que um país com o "selo OCDE" deve apresentar perante o mundo. E, para tanto, emerge a Medida Provisória 1.124/2022 como esforço do Executivo Federal para fazer cumprir tais direcionamentos.
A necessidade de adequação ao GDPR para maior cooperação na transferência internacional de dados
Com a elevação da Autoridade Nacional de Proteção de Dados à condição de autarquia de natureza especial, presumindo-se que a MP 1124/2022 seja convertida em lei, será dado mais um passo para o Brasil ser impulsionado rumo a uma decisão de adequação por parte da Comissão Europeia, decisão essa que constitui um dos mecanismos essenciais para a chancela da transferência internacional de dados entre países.
Já com a regulação europeia advinda da Diretiva 95/468 e agora com a consolidação do GDPR, a identificação de países considerados adequados para a circulação de dados é obrigação da Comissão Europeia por meio de um procedimento que avalia uma série de mecanismos que abarque questões de proteção de dados (envolvendo aqui também segurança da informação) para que sejam cumpridos parâmetros específicos determinados pelo art. 45 do GDPR, tais como, principalmente, a possibilidade de exercício dos direitos pelos titulares e a existência de uma autoridade independente de proteção de dados. Somente então pode ser iniciado o processo interno de consultas pela Comissão para que, por fim, seja emitida uma decisão final em relação à adequação de determinado país9.
É usual que esse exame sistemático dos mecanismos para a proteção de dados de outros países seja dado por meio de processo bilateral, em que o país "avaliado" seja incluído a fim de que seja facilitada a compreensão do funcionamento dos mecanismos regulatórios e das instituições que os implementam. Tal como é realizado pela Comissão Europeia, a ANPD também se utiliza desse método avaliativo para determinar o nível de adequação do contexto regulatório de proteção de dados de outros países para então determinar a permissão de transferência internacional de dados. No entanto, a inércia da ANPD, muito provavelmente pela falta de independência, não permitiu que fossem definidos os procedimentos necessários para que alguma decisão de adequação fosse proferida até a atualidade, apesar de estar previsto na agenda regulatória e já ter sido mencionada recentemente na Tomada de Subsídios sobre Transferência Internacional de Dados10.
No cenário internacional, a interlocução com os organismos internacionais como a OCDE, OMC e OEA rendeu recomendações que, em sua maioria, postulavam pela independência e autonomia da ANPD, conforme mencionado no tópico anterior.
Notáveis exemplos de confiança e credibilidade em questões que abarcam transferências de dados é o intercâmbio de cooperação entre autoridades totalmente independentes para resolução de problemáticas de grande repercussão e impacto internacional. A independência é critério de legitimidade não só para o cumprimento de metas de desenvolvimento digital, como também o é para a cooperação entre autoridades em casos de investigação criminal.
A questão é que, desde a entrada em vigor da LGPD, diversas dúvidas restaram pendentes de saneamento por parte da ANPD sobre conceitos e hierarquização de mecanismos que deveriam, por sua vez, esclarecer questões sobre transferência internacional de dados11. Para a maioria dos instrumentos existentes no art. 33 da LGPD, existem lacunas residuais que devem ser preenchidas pela própria Autoridade.
Essas lacunas, no âmbito da transferência de dados internacionais, são geradas por obstáculos advindos de questões mal esclarecidas. Para além das dúvidas sobre o grau de proteção de dados pessoais adequado e sobre os requisitos e condições mínimas a serem observados em face da LGPD, existem óbices contratuais oriundos da ausência de definições claras e objetivas acerca do conteúdo de cláusulas-padrão contratuais, assim como não se verifica objetivamente normas corporativas globais, certificados, selos, códigos de conduta ou, principalmente, cláusulas contratuais específicas para determinadas transferências de dados pessoais.
É nesse cenário lacunar que a tão aguardada consolidação da independência da ANPD se mostra como requisito fundamental no que tange ao estabelecimento de grau de adequação por organizações internacionais multilaterais, tais como a União Europeia12, como bem preconiza o art. 45 do GDPR13, assim como a supracitada Organização para a Cooperação e Desenvolvimento Econômico (OCDE).
A inconstitucionalidade formal de uma medida imprescindível
Pode-se dizer que a aprovação e sanção da lei 13.709/2018, a LGPD, mesmo após as modificações incluídas com a lei 13.853/2019, para além das lacunas deixadas para futuro preenchimento pela atuação de órgão regulador específico, foi controversa no modo como constituiu a ANPD. Porém, mais controverso foi o modo pelo qual o Executivo Federal resolveu sanar uma falha pretérita.
Ocorre que, apesar da presumida boa intenção da Medida, que viria como exercício da diligência prevista nos §§1º e 2º do art. 55-A da LGPD, pairou o questionamento sobre uma potencial incompatibilidade com a Lei Fundamental14. Existiria, então, a possibilidade de a Medida representar ato eivado de inconstitucionalidade formal, em razão do fato de que a Constituição prescreve, em seu inciso XIX do art. 37, que autarquias só podem ser criadas via lei específica.
É pressuposto fundamental que toda autoridade reguladora, desde sua criação, tenha independência e autonomia, principalmente no caso brasileiro, em que a LGPD foi editada com uma finalidade regulatória de duas facetas, servindo tanto para o setor privado, quanto para o público.
Partindo-se da premissa de que outras agências como a Anatel, Aneel, ANA, ANTT, dentre outras, foram constituídas de imediato na forma de uma autarquia, a ANPD emergiu de forma heterodoxa: apesar de a autoridade reguladora ser constituída com todas as feições de uma autarquia, foi criada como órgão vinculado à Casa Civil e, portanto, subordinado à Presidência da República. O resultado foi uma agência especial de facto cuja estruturação se deu como integrante da Administração Pública Federal Direta.
A despeito do vício formal supramencionado, a Medida tende a passar despercebida15. Aparentemente inofensiva, legalmente prevista e economicamente necessária, a Medida pareceu ter sido bem recebida pelos que atuam na incipiente área da privacidade e da proteção de dados, visto que, se aprovada pelo Congresso, sanaria a controvérsia de uma autoridade reguladora vinculada ao Executivo, que deveria ter sido estruturada desde o início com independência e autonomia no âmbito da Administração Pública Indireta.
Considerações Finais
A entrada na OCDE e a adequação com o GDRP trazem vantagens para as multinacionais brasileiras e estrangeiras, pelo saneamento de gargalos no movimento dos fluxos de capitais e por passar a ter um "carimbo" de viabilidade para negócios e investimentos.
Portanto, a transformação da ANPD em autarquia é necessária e benéfica para o País em termos socioeconômicos. Sua independência e autonomia permitirão a sua atuação jurídica como Agência Reguladora, nos âmbitos privado e público, sem ser um órgão da Presidência da República.
Ainda que questionada em eventual controle concentrado de constitucionalidade, observando os atritos recentes entre o Planalto e o Supremo, a chancela da Medida Provisória ou de sua Lei de Conversão pelo Tribunal Constitucional é bastante provável.
À semelhança das Medidas Provisórias 1.791/1998 e 2.012/2000 que criaram, respectivamente, a Anvisa e a ANS - inquestionadas até os dias atuais - provavelmente a MP 1.124/2022 subsistirá em prol de uma sociedade de dados ávida por aprimoramento e regulação. Criará uma agência com imprescindíveis funções, ensejará que o País se adeque cada vez mais aos parâmetros e recomendações prescritos pelo GDPR e pela OCDE, ironicamente se consolidando como um fim que justifica sim seus meios16.
__________
1 Quintiliano, Leonardo. Contexto histórico e finalidade da Lei Geral de Proteção de Dados (LGPD). IAPD. 17 de março de 2021. Disponível aqui. Acesso em 27 de setembro de 2022.
2 Sobre a atuação da ANPD: LIMA, Cintia Rosa Pereira de. Autoridade Nacional de Proteção de Dados Pessoais (ANPD): entenda quais são as atribuições da ANPD e como este órgão atuará na fiscalização de implementação da LGPD. Disponível aqui, 03/11/2019, acesso em 05 de outubro de 2022.
3 LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados e a eficácia da Lei Geral de Proteção de Dados. São Paulo: Almedina, 2021.
4 OECD. Going Digital in Brazil, 2020. Disponível aqui. Acesso em 12 de setembro de 2022.
5 OECD. Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. 2013. Disponível aqui. Acesso em 27 de setembro de 2022.
6 OECD. O caminho da Era Digital no Brasil, 2020. Disponível aqui. Acesso em 08 de setembro de 2022.
7 DONEDA, Danilo. A Autoridade Nacional de Proteção de Dados e o Conselho Nacional de Proteção de Dados. In: BIONI, Bruno et al. (Org.). Tratado de Proteção de Dados Pessoais. 1ª ed. São Paulo: Editora Forense, 2020. E-book.
8 Article 29 Working Party. Transfers of personal data to third countries: Applying Article 25 and 26 of the EU data protection directive. Working Paper nº 12, 1998. Disponível aqui. Acesso em 27 de setembro de 2022.
9 Frazão, Ana; Cueva, Ricardo. Compliance e Políticas de Proteção de Dados. São Paulo (SP): Editora Revista dos Tribunais. 2022.
10 Consulta pública encerrada dia 30 de junho de 2022. Tomada de Subsídios sobre Transferência Internacional. Disponível aqui. Acesso em 27 de setembro de 2022.
11 Dresch, Rafael de Freitas Valle; Melo, Gustavo da Silva. A Autoridade Nacional de Proteção de Dados (ANPD): Entre sanção e fiscalização. Migalhas. 05 de novembro de 2021. Disponível aqui. Acesso em 27 de setembro de 2022.
12 CEPAL, UN. Internet & Jurisdiction Policy Network. Regional Status Report: Latin America and Caribbean. 2020. Disponível aqui. Acesso em 27 de setembro de 2022.
13 EUROPEAN COMMISSION. Adequacy Decisions. Disponível aqui. Acesso em: 12 de setembro de 2022.
14 Pereira, Sávio Luiz Martins. Inconstitucionalidade da Medida Provisória nº 1.124/2022. Conjur. 15 de agosto de 2021. Acesso em 22 de setembro de 2022.
15 MELLO, Celso Antônio Bandeira de. Curso de Direito Administrativo. 30ª ed., rev., ampl. e atual. São Paulo: Malheiros, 2013, nota de rodapé nº 10, p. 107.
16 Cf. Fins e Meios, de Aldous Huxley.