domingo, 27 de setembro de 2020

COLUNAS

Publicado o decreto regulamentador, o momento é de definição dos nomes e início do efetivo funcionamento da ANPD

Conforme noticiado em nossa última coluna, imediatamente após o Senado Federal derrubar o artigo da MP 959/20 que postergava o início da vigência da Lei Geral de Proteção de Dados (LGPD) para 2021, o Poder Executivo editou o decreto 10.474, aprovando a estrutura de cargos da Autoridade Nacional de Proteção de Dados, conhecida pela sigla ANPD.

Na redação original do projeto de lei que deu origem à LGPD, a ANPD estava prevista para ser um órgão integrante da administração pública federal indireta e submetida a regime autárquico especial, de forma a garantir sua autonomia, com previsão expressa de "independência administrativa, ausência de subordinação hierárquica, mandato fixo, estabilidade de seus dirigentes e autonomia financeira"1. Mas a previsão acabou sendo vetada pela obrigatoriedade de edição de lei específica para criação de autarquias, cumulada com a iniciativa privativa do presidente da República em relação às leis que disponham sobre criação de órgãos estatais2.

No apagar das luzes do governo Michel Temer foi então editada a MP 869/2018, depois convertida na lei 13.853/2019, que inseriu na LGPD os arts. 55-A a 55-L, alterando a natureza jurídica da ANPD, que passou a ser órgão da administração pública direta, vinculado à Presidência da República e dotado apenas de autonomia "técnica e decisória"3. 

Como facilmente se percebe, já transcorreu tempo suficiente para que a Autoridade Nacional fosse constituída, estivesse com seus membros nomeados e em funcionamento. Contudo, as discussões até agora ficaram centradas praticamente só na indefinição quanto à data de entrada em vigor da lei. Vencida esta etapa e publicado o decreto regulamentador da ANPD, as atenções voltam-se a ela, em especial à pessoa de seu diretor-presidente, uma vez que o decreto 10.474 entrará em vigor juntamente com a nomeação de quem ocupará tal cargo (art. 6º).

Trata-se de uma corrida contra o tempo, na medida em que a pouca tradição de preocupação dos brasileiros com seus dados pessoais aumenta a responsabilidade das funções educativas da ANPD, autoridade que irá elaborar as diretrizes da futura Política Nacional de Proteção de Dados Pessoais e da Privacidade.

Empresas e pessoas físicas ainda possuem muitas dúvidas e somente com a definição clara das regras do jogo é que se terá segurança jurídica para saber o que deve ser feito e de que maneira. Traçando uma analogia, as orientações, regras de usos e padrões técnicos definidos pela ANPD funcionarão como a jurisprudência dos tribunais superiores, servindo de bússola ao intérprete sobre como se guiar pelas rotas da proteção de dados.

Como já tivemos a oportunidade de expor em algumas de nossas colunas, embora a LGPD preveja severas sanções administrativas, como multas de até 2% do faturamento da empresa ou do conglomerado no Brasil no último exercício até a proibição total das atividades relacionadas a tratamento de dados (arts. 52 a 54 da LGPD), a função de orientação da Autoridade Nacional - pelo menos até que as novas regras já estejam minimamente consolidadas entre nós - é crucial neste momento, lembrando que, nos termos do art. 65, I-A, da LGPD, as sanções administrativas somente entrarão em vigor em 1o de agosto de 2021.

Mesmo no que diz respeito à imposição de sanções, os processos administrativos também estão sujeitos a contraditório e ampla defesa por parte do administrado, sendo certo que compete à ANPD a definição - após consulta pública - das metodologias que serão utilizadas para cálculo do valor-base da multa, sendo certo que o decreto prevê claramente a necessidade de publicação prévia, formas e dosimetrias "objetivas" e "fundamentação detalhada" de todos os elementos e critérios para definição de uma sanção que pode atingir o expressivo valor de R$ 50 milhões por infração!

Outra função de grande relevância prevista no novo decreto é a edição de regulamentos e procedimentos sobres os relatórios de impacto à proteção de dados pessoais4 nos casos em que exista "alto risco à garantia dos princípios gerais" previstos na LGPD (art. 2º, XIII, do anexo I do decreto 10.474). O relatório de impacto, de responsabilidade do controlador, deve servir como base para o cumprimento dos princípios legais, com o propósito de mitigar riscos e com uma visão completa de todo o ciclo de vida dos dados, de modo que o controlador conheça previamente os principais fatores do uso de dados que poderão impactar as liberdades civis e os direitos fundamentais dos titulares dos dados5.

Não menos importante, o decreto repete a previsão da LGPD quanto à necessidade de articulação da ANPD com outros órgãos e entidades que possuem competências sancionatórias e normativas "afetas ao tema de proteção de dados pessoais"6. Trata-se de uma das funções mais importantes reservadas à ANPD enquanto órgão central de interpretação da lei e do estabelecimento das diretrizes para sua implementação, na medida em que, sem tal articulação, haverá risco real de aplicação cumulativa de mais de uma punição administrativa decorrente de um único fato (bis in idem), especialmente em setores econômicos muito regulados, como os de saúde, transporte aéreo e, de forma geral, aqueles sujeitos à proteção consumerista.

Não há tempo a perder. Quanto antes estiverem em pleno funcionamento o Conselho Diretor (cinco membros nomeados pelo presidente da República após aprovação do Senado) e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (órgão consultivo), mais cedo serão definidas as questões essenciais para a proteção dos dados pessoais no Brasil. 

Comemoração

Iniciamos estas Impressões Digitais em Migalhas em setembro de 2019. De lá para cá, foram 24 colunas debatendo assuntos ligados a Direito Digital, Lei Geral de Proteção de Dados e Inteligência Artificial. Ao iniciar o segundo ano do projeto, não podemos deixar de agradecer toda a equipe migalheira, bem como a nossos leitores e leitoras. Este novo ano, já com a LGPD em vigor, promete novas e importantes discussões. #Avante

__________

1 Conforme previa o vetado art. 55 do PL 53/2018.

2 Previsões dos arts. 37, XIX e 61, § 1º, II, "e", ambos da Constituição Federal, nos termos das razões de veto.

3 Com previsão genérica da possibilidade de, em até dois anos da entrada em vigor da estrutura regimental da ANPD, o Executivo transformá-la em autarquia, conforme art. 55-A, §§ 1º e 2º, da LGPD.

4 De acordo com o art. 5º, XVII da LGPD, o relatório de impacto à proteção de dados pessoais é a "documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco".

5 VAINZOF, Rony. In OPICE BLUM, Renato e MALDONADO, Viviane Nóbrega (coord.). LGPD - Lei Geral de Proteção de Dados Comentada, 2. ed. São Paulo: RT, 2019, p. 126/7.

6 Previsão do art. 55-K, parágrafo único da LGPD e do art. 2º, § 8º, do anexo I do decreto 10.474.

Atualizado em: 11/9/2020 09:22

COORDENAÇÃO
Daniel Bittencourt Guariento

Daniel Bittencourt Guariento, é sócio da área contenciosa do Machado Meyer Sendacz e Opice Advogados, especialista em Direito Digital e tecnologia. Membro da Comissão Especial de Tecnologia e Informação da OAB, do Conselho de Tecnologia e Informação do IASP e do Comitê de Direito Digital do Centro de Estudos das Sociedades de Advogados (CESA). Ex-assessor de ministros do STJ, na sessão de Direito Privado.

Ricardo Maffeis Martins

Ricardo Maffeis Martins, é professor de Direito Processual Civil da Escola Paulista do Direito - EPD. Advogado do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados. Membro do Centro de Estudos Avançados de Processo (Ceapro) e da Comissão de Estudos de Inteligência Artificial do IASP. Ex-assessor de ministros do STJ, onde exerceu também a função de coordenador da Segunda Seção.