A autoridade nacional de proteção de dados e sua importância para os indivíduos e para o Brasil
A ANPD será o órgão nacional de fiscalização e aplicação da LGPD, de forma que ela analisará como controladores e subcontratantes realizam o tratamento de dados pessoais, os punirá quando for necessário, auxiliará os titulares de dados pessoais a receberem informações claras e precisas, além de receber as reclamações dos indivíduos.
sexta-feira, 26 de julho de 2019
Atualizado em 25 de julho de 2019 11:50
Em 8 de julho de 2019 foi promulgada a lei 13.853, que cria a Autoridade Nacional de Proteção de Dados (ANPD). Tal iniciativa é mais uma demonstração da inserção do Brasil no cenário atual mundial no sentido de se proteger cada vez mais a privacidade e os dados pessoais dos indivíduos.
A Lei Geral de Proteção de Dados (lei 13.709) de agosto de 2018 teve as disposições sobre a criação da Autoridade Nacional de Proteção de Dados e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade inicialmente vetadas. Entretanto, a MP 869 de dezembro de 2018 alterou a LGPD e especificou a criação e a estrutura da ANPD e foi recentemente convertida na referida lei.
Apesar de o novo órgão ser integrante inicialmente da Presidência da República, ele poderá, em até 2 anos, ser transformado em entidade autárquica. De qualquer forma, a ANPD possui autonomia técnica e decisória.
Seu conselho diretor será composto por 5 diretores, todos escolhidos pelo presidente da República, com mandato de 4 anos.
Entre as atribuições da autoridade, destacam-se as seguintes:
zelar pela proteção de dados pessoais, dos segredos comerciais e industriais;
fiscalizar e aplicar sanções no caso de descumprimento da LGPD;
apreciar petições de indivíduos contra controladores de dados;
promover ações de cooperação com autoridades de proteção de dados de outros países;
editar regulamentos e procedimentos sobre a proteção de dados pessoais e privacidade.
Resumidamente, a ANPD será o órgão nacional de fiscalização e aplicação da LGPD, de forma que ela analisará como controladores e subcontratantes realizam o tratamento de dados pessoais, os punirá quando for necessário, auxiliará os titulares de dados pessoais a receberem informações claras e precisas, além de receber as reclamações dos indivíduos.
Ainda dentro da autoridade em comento, a lei 13.853 cria o Conselho Nacional de Proteção de Dados Pessoais e Privacidade, que deverá ser composto por 23 membros representantes do Poder Executivo, Legislativo e Judiciário, da Sociedade Civil, de Instituições Científicas e do Setor Laboral. Esses serão nomeados pelo presidente da República, tendo mandato de 02 anos.
Ao conselho compete elaborar estudos, realizar debates e audiências públicas sobre proteção de dados pessoais e privacidade, disseminar conhecimento sobre estas áreas, entre outros. Ou seja, ele auxiliará a ANPD em suas funções, propondo ações a serem realizadas pela autoridade, além de atuar junto à sociedade, ao trazer informações e auxílio nos setores de proteção de dados e privacidade.
Tendo em vista que a ANPD é uma inovação no ordenamento jurídico brasileiro, pode-se entender melhor como será seu funcionamento por meio da observação de como atuam órgãos semelhantes em outros países. E como exemplo principal temos a União Europeia, onde o GDPR está vigente desde maio de 2018.
Órgãos de Proteção de Dados e Privacidade na União Europeia
O GDPR (Regulamento Europeu de Proteção de Dados Pessoais) estabelece que cada estado-membro deve ter pelo menos uma autoridade -- pública e independente -- com a responsabilidade de fiscalizar e aplicar o Regulamento e prezar pela defesa dos direitos fundamentais das pessoas naturais relativos à proteção de dados pessoais. Essas autoridades são chamadas de "autoridades de controle" ou supervisory authorities.
O Data Protection Commission (DPC) é um exemplo de atuação dessas autoridades . O órgão, situado na Irlanda, possui um website muito didático e com diversas informações esclarecedoras ao público. Interessantemente, as primeiras opções que o site apresenta são report a breach e raise a concern. Ou seja, são canais para que os indivíduos possam apresentar reclamações e preocupações sobre o tratamento de dados pessoais.
Outra informação apresentada é um material destinado aos professores para que esses profissionais possam ensinar crianças sobre proteção de dados e privacidade. Assim, vemos uma das primeiras funções do DPC, qual seja, informar o público sobre o assunto que lhe compete e apreciar petições de indivíduos sobre possíveis violações de dados.
As autoridades de controle também fiscalizam a atuação de responsáveis e subcontratantes, os julga e aplica sanções quando houver o descumprimento dos preceitos e princípios do GDPR -- inclusive multas, que podem alcançar 20 milhões de euros ou 4% do volume de negócios anual global.
Além disso, entre outras atribuições, elas possuem competência para aconselhar o parlamento nacional, o governo e outras instituições em relação à proteção de dados; conscientizar os responsáveis pelo tratamento e subcontratantes sobre suas obrigações; receber, processar e investigar reclamações dos indivíduos; e cooperar com outras autoridades de controle para implementar o GDPR de forma consistente.
É importante destacar que, além das autoridades nacionais, o direito europeu prevê a criação do Comitê Europeu para a Proteção de Dados (EDPB, do inglês European Data Protection Board). O órgão, localizado em Bruxelas, é independente e não apenas contribui com a implementação consistente dos preceitos jurídicos de proteção de dados, mas também é responsável pela promoção de cooperação entre as autoridades supervisoras da União Europeia.
De forma análoga, foi criada a Autoridade Supervisora da União Europeia, cuja principal função é monitorar e assegurar a proteção de dados pessoais e privacidade dentro das instituições do bloco europeu. Entretanto, suas funções e poderes não estão disciplinadas no GDPR, mas sim no regulamento (EU) 2018/1725 de outubro de 2018.
Considerações Finais
É inegável que, desde a aprovação e principalmente da entrada em vigor do GDPR, o tema da proteção de dados pessoais e sua importância ganha cada vez mais destaque no cenário internacional. Assuntos como privacidade, violação e vazamento de dados, descumprimento dos direitos dos indivíduos e necessidade de compliance com as normas têm sido recorrentes nos noticiários, congressos e pesquisas jurídicas.
Ao aprovar a LGPD em 2018 -- mesmo ano da entrada em vigor do Regulamento Europeu -- o Brasil sinalizou que reconhece a importância de se proteger os dados pessoais dos indivíduos. Nesse contexto, a criação da ANPD é mais um passo relevante em direção à tendência capitaneada pelo GDPR, haja vista que sua estrutura é similar à das autoridades europeias em matéria de proteção de dados.
Com tais medidas, além de proteger os dados dos indivíduos, o Brasil avança no sentido de potencializar suas relações econômicas com o bloco europeu, visto que, juntamente com instrumentos na seara internacional, o país está em busca de assegurar adequadamente a defesa dos dados pessoais e de garantir a efetividade desse sistema. Isso pode implicar em maior importação e exportação de dados, o que pode resultar em maiores transações comerciais entre o Brasil e a União Europeia.
________
*Mateus Mello Garrute é consultor especialista em proteção de dados pessoais e em propriedade intelectual do escritório Capistrano Gameiro Advogados (RJ) e do escritório Pimenta Advocacia e Consultoria Jurídica (ES), mestre em direito processual pela UFES, LL.M. em direito europeu e transnacional da propriedade intelectual e da informação tecnológica pela University of Göttingen, advogado e membro da European Association of Data Protection Professionals.
*Estela Schmidt é advogada especialista em propriedade intelectual e proteção de dados, LL.M. em direito europeu e transnacional da propriedade intelectual e da informação tecnológica pela University of Göttingen e bacharel em Direito pela Universidade Presbiteriana Mackenzie.