MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. A criação de um órgão nacional de proteção de dados pessoais é um equívoco

A criação de um órgão nacional de proteção de dados pessoais é um equívoco

Thiago Moraes

Sem autonomia, o sistema de proteção de dados brasileiro dificilmente será aprovado pelo critério de adequação europeu, dificultando relações econômicas.

quinta-feira, 3 de janeiro de 2019

Atualizado em 7 de outubro de 2019 17:27

Na euforia de aprovar normas nos últimos minutos de seu mandato, Michel Temer cometeu um erro: criou um órgão nacional de proteção de dados pessoais através da MP 869, de 27 de dezembro de 2018. Para que se deixe claro: o problema não foi a criação de uma autoridade competente de proteção de dados. Esta era aguardada desde a promulgação da lei 13.709/18, a lei geral de proteção de dados (LGPD), que antes de ter seu artigo 55 excluído pelo veto presidencial, previa a criação de um ente autárquico, com autonomia administrativo-financeira. Contudo, o equívoco está na sua forma: nasceu como um órgão subordinado à presidência, o que coloca em xeque a independência de suas decisões.

Do ponto de vista deontológico, o órgão é um equívoco, pois dificilmente irá prover o grau de proteção esperado contra a violação de direitos, que pode ocorrer por condutas de entes públicos e privados.

Mas talvez ainda mais importante neste momento, seja o argumento utilitarista: um órgão de proteção de dados não atende o fim econômico para o qual a lei 13.709/18 foi criada, qual seja, a adequação ao regime de proteção de dados europeu, de forma a viabilizar relações econômicas entre empresas de tecnologia e instituições europeias de uma forma mais direta. Vale frisar que até mesmo os gigantes da internet americanos, como Amazon, Google e Facebook estão se adaptando ao sistema, visto que não querem perder seu poder de participação no mercado europeu.

Para que seja considerado adequado, o sistema brasileiro terá que passar por uma sabatina da comissão europeia. O protocolo não é preciso, mas encontros diplomáticos e jantares caros com certeza fazem parte. É o que está acontecendo com a Coreia do Sul e o Japão nesse momento. Uma vez que a comissão decida analisar o caso brasileiro, os critérios para aprovação serão os estabelecidos pela regulação geral de proteção de dados europeia, a RGPD. E em seu artigo 45(2)(b) está que um dos critérios fundamentais para uma legislação estrangeira ser considerada adequada é o grau de independência da autoridade supervisora de proteção de dados.

O requisito de independência é de tal importância, que, dentro do sistema europeu, a corte européia exigiu que alguns Estados membros revisassem a estrutura das autoridades supervisoras de seus países, por estarem demasiadamente atreladas a órgãos máximos do Executivo, como foram os casos da Alemanha, em 2010, a Áustria, em 2012 e a Hungria, em 2014. A nível internacional, o caso emblemático é o de Maximilliam Schrems v. Data Protection Commissioner (2015), no qual o antigo acordo internacional de Safe Harbour para transferência de dados pessoais entre a União Européia e os Estados Unidos foi declarado inválido. Dentre os motivos, estava o de que o regime enfraquecia o poder de independência das autoridades supervisoras europeias, impedindo a proteção adequada oferecida pelo modelo europeu. Isto levou à atualização para o sistema conhecido como EU-US Privacy Shield, que passou a prever regras que respeitam a autonomia das entidades de proteção de dados.

Em uma recente nota pública, a coalizão direitos na rede levantou uma série de objetivos que só podem ser garantidos com a existência de uma autoridade nacional de proteção de dados, tais como harmonização jurídica e cooperação a nível nacional (com agências reguladoras e o sistema nacional de defesa do consumidor) e internacional. Contudo, autonomia técnica não é suficiente: também são necessários outros graus de autonomia: administrativa, financeira e institucional.

Vale frisar ainda que o órgão criado pela MP 869 corre o risco de entrar em conflito com a política nacional de segurança da informação (PNSI), recém-criada pelo decreto 9.637, de 27 de dezembro 2018. Uma autoridade supervisora com fraca autonomia vai de contramão a uma política nacional que objetiva contribuir para a segurança dos indivíduos, do Estado e da sociedade, e fomentar a cultura de segurança da informação, pois não será capaz de responder de forma eficiente contra abusos de autoridades públicas e privadas.

Em suma, mesmo que se ignore todos os direitos fundamentais que estão sendo colocados em xeque, o argumento econômico já é suficiente para levantar um alerta vermelho: se a LGPD está aí apenas "para europeu ver", o formato de nossa autoridade supervisora precisa ser repensado. Senão, todo o brilhante esforço que vem sendo realizado desde o anteprojeto de 2010, com a participação de entes públicos e privados, desde empresas a organizações da sociedade civil, nas mais de 13 audiências públicas realizadas no Congresso nesses últimos anos, pode vir por terra em virtude de uma canetada feita às pressas.

Entretanto ainda há uma oportunidade de evitar esse erro. Nosso recém-eleito presidente, Jair Bolsonaro, anunciou que irá revisar todos os atos presidenciais dos últimos 60 dias do mandato Temer. Se sua equipe de assessores estiverem conscientes da relevância de um sistema de proteção de dados pessoais para as relações econômicas transfronteiriças do século XXI (que são regra e não exceção), irão alertá-lo das inconsistências da MP 869/18. Aguardemos.

__________

*Thiago Moraes é especialista em proteção de dados pela Tilburg University (Holanda), e é Mestre e Bacharel em Direito e Engenharia de Redes pela Universidade de Brasília (UnB).

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca