Migalhas

Domingo, 16 de fevereiro de 2020

ISSN 1983-392X

Competência legiferante privativa da União e o papel dos entes federados na proteção de dados pessoais à luz do Direito Administrativo

Sergio Paulo Gomes Gallindo, Daniel T. Stivelberg e Evellin D. Silva

Para solidificarmos a necessidade de se conferir competência legiferante privativa, à União, sobre a proteção de dados pessoais, se faz mister recorrer a breve escorço histórico da tramitação da LGPD.

quarta-feira, 4 de dezembro de 2019

A evolução das discussões em torno da proposta de emenda à constituição 17, de 2019, no âmbito de sua Comissão Especial na Câmara dos Deputados, bem como a expectativa com a entrada em vigor da lei 13.709/18, Lei Geral de Proteção de Dados (LGPD), em agosto de 2020, têm ressaltado a importância de se instituir, constitucionalmente, a competência legiferante privativa da União sobre a proteção de dados pessoais e de estabelecer, sob latitudes claras, as competências e responsabilidades a que estão sujeitos os entes da Federação, para o adequado cumprimento da legislação, com alto grau de segurança jurídica, de modo a maximizar os efeitos benéficos da economia intensiva em dados no Brasil. No último artigo1, em que tratamos sobre tais aspectos, manifestamos entendimento de que “o direito à proteção de dados pessoais tem natureza jurídica de direito fundamental autônomo, sendo, portanto, digno de ser inserido na CF/88, art. 5º, inciso LXXIX” e, bem assim, que “entendemos essencial disposição da competência legiferante privativa da União sobre a proteção de dados pessoais, por meio da sua inserção na CF/88, art. 22, inciso XXX, conforme previsto na PEC 17/19”, ressaltando que tal “entendimento é amparado à luz do direito europeu pelo altíssimo grau de imponibilidade”, sobre os Estados-Membros, de regulamentos, tais como o GDPR, regulamento (EU) 2016/679, de 27/4/16. Ressaltamos, também, que tal perspectiva está “em linha com a característica jurídica do ordenamento da UE sobre telecomunicações, que no direito pátrio goza de competência legislativa privativa da União e de um Órgão Regulador, a Anatel”.

Para solidificarmos a necessidade de se conferir competência legiferante privativa, à União, sobre a proteção de dados pessoais, se faz mister recorrer a breve escorço histórico da tramitação da LGPD perscrutando o embate em torno da natureza jurídica da Autoridade Nacional de Proteção de Dados (ANPD). O projeto de lei da Câmara (PLC) 53/18, aprovado no Congresso Nacional, contemplava, no seu art. 55, a criação da ANPD como um órgão integrante da administração pública federal indireta, submetida a regime autárquico especial, e, de acordo com o art. 55, §1º, regida nos termos previstos na lei 9.986/00, diploma que dispõe sobre a gestão de recursos humanos das agências reguladoras. Adicionalmente, o art. 55, §3º, dispunha ser a ANPD “caracterizada por independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus dirigentes e autonomia financeira”.

Hely Lopes Meirelles introduz seu escólio agências reguladoras com a seguinte observação:

“Com a política governamental de transferir para o setor privado a execução de serviços públicos, reservando ao Estado a regulamentação, o controle e a fiscalização destes serviços, houve a necessidade de criar, na administração, agências especiais destinadas a esse fim, no interesse da sociedade. Tais agências têm sido denominadas de agências reguladoras e foram instituídas como autarquias sob regime especial, com o propósito de assegurar sua autoridade e autonomia administrativa.”  (Grifamos)2

Salta aos olhos o viés instrumental das agências reguladoras ao serem comissionadas com um diversificado leque de atribuições, a saber, regulamentação, controle e fiscalização. O saudoso autor oferece como exemplos iniciais a criação, em 1996, da Agência Nacional de Energia Elétrica – ANEEL; da Agência Nacional de Telecomunicações – ANATEL, e da Agência Nacional do Petróleo – ANP, ambas em 19973 . Celso Antônio Bandeira de Mello identifica quatro categorias no tocante à “finalidade de disciplinar e controlar certas atividades”, a saber, “(a)  serviços públicos propriamente ditos” sendo o caso da ANEEL, da ANATEL e outras; “(b) atividades de fomento e fiscalização de atividade privada” desempanhada pela ANCINE; “(c) atividades ... para promover a regulação ... da indústria de petróleo”, tendo a ANP no epicentro; e “(d) atividade que o Estado também protagoniza (e quando fizer serão serviços públicos), mas que paralelamente, são facultadas aos particulares4 . A ANPD vislumbrada no PLC 53/18 se encaixa, de maneira literal, na categoria (d), supradefinida, mas, também resvala na categoria (b) em razão da natureza da LGPD como diploma principiológico e indutor da economia intensiva em dados, em especial, em função da segurança jurídica. Quanto à submissão das agências reguladoras ao regime autárquico, Meirelles nos informa que:

A autarquia não age por delegação; age por direito próprio e com autoridade pública, na medida do jus imperii que foi outorgado pela lei que a criou. Como pessoa jurídica de Direito Público Interno, a autarquia traz ínsita, para execução dos seus fins, uma parcela do poder estatal que lhe deu vida.”5

Neste sentido, as agências reguladoras têm um papel central quanto à consecução dos objetivos característicos que justificam a sua criação, a saber, a regulamentação, o controle e a fiscalização da fenomenologia socioeconômica cuja tutela administrativa lhe foi designada por lei. Bandeira de Mello assevera, todavia, que o desafio das agências reguladoras “é o de se saber o que é e até onde podem regular algo sem estar, com isso, invadindo competência legislativa”6 .Meirelles, a partir de questionamento similar, chega a uma importante conclusão:

“Tem-se debatido sobre o poder normativo conferido às agências. Esse poder normativo há de se cingir aos termos de suas leis instituidoras, aos preceitos legais e decretos regulamentares expedidos pelo executivo. Suas funções normativas estão absolutamente subordinadas à lei formal e aos referidos decretos regulamentares. Assim, o poder outorgado às agências, neste campo, visa atender a necessidade de uma normatividade essencialmente técnica,7  com um mínimo de influência política.”8  (Grifamos) 

Bandeira de Mello adere a esta perspectiva:

“Dado o princípio constitucional da legalidade e consequente vedação a que atos inferiores inovem inicialmente na ordem jurídica [...], resulta claro que as determinações normativas advindas de tais entidades hão de se cifrar aspectos estritamente técnicos, que estes, sim, podem, na forma da lei, provir de providências subalternas.”9

A tendência moderna de deslegalização, enquanto reflexo da complexificação técnica dos fenômenos econômicos e sociais, que se projetam sobre a Administração, materializa-se como competência regulamentar transferida por lei para outras fontes normativas, emergindo, portanto, mediante autorização legal. Tal fato decorre do reconhecimento do Poder Legislativo de suas limitações para legiferar, justamente, sobre matérias de alta complexidade técnica, e da delegação de tal atribuição a órgão ou pessoa administrativa específica. Reforce-se, portanto, que a delegação se sujeita aos limites legais, incumbindo ao legislador a edição do regramento geral, e a “delegação com parâmetros” (delegation with standards, no direito norte-americano). Essa forma de exercício do poder regulamentar habilita a pessoa administrativa a editar normas técnicas não contidas na lei, com a consequente inovação no ordenamento jurídico, tendo estas, alto grau de imponibilidade junto aos agentes sociais e econômicos, efeito da delegação de que foram objeto. A esse poder dá-se o nome, de, também, poder regulamentador, conforme ensinamento de José dos Santos Carvalho Filho10 , reforçado no excerto a seguir:

Trata-se de modelo atual do exercício do poder regulamentar, cuja característica básica não é simplesmente a de complementar a lei através de normas de conteúdo organizacional, mas sim de criar normas técnicas não contidas na lei, proporcionando, em consequência, inovação no ordenamento jurídico. Por esse motivo, há estudiosos que o denominam de poder regulador para distingui-lo do poder regulamentar tradicional (Grifamos).

Com efeito, a própria LGPD traz diversas disposições que ensejam regulamentações técnicas e específicas a serem emanadas pela ANPD. Tais conceitos e disposições inovarão o ordenamento jurídico pátrio, na medida em que estabelecerão liberalidades ou restrições a depender de circunstâncias e atores específicos, modulando necessária e normativamente a própria LGPD. Podemos aqui resgatar, do texto da lei, alguns desses preceitos, como a delimitação do conceito de legítimo interesse, art. 10, §3º; a edição de normas simplificadas e diferenciadas para micro e pequenas empresas e startups para adaptação à lei, art.55-J, XVIII;  o uso compartilhado de dados pessoais sensíveis, art. 11, §3º, entre outras. No total, a LGPD faz 16 remissões a regulamentos ou regulamentações a serem expedidos pela ANPD.

Por fim, Bandeira de Mello, o festejado administrativista, observa que o aspecto distintivo das agências reguladoras, plasmado na conotação de regime especial associada à natureza autárquica, “[...] é a nomeação pelo presidente da República, sob aprovação do Senado, dos dirigentes da autarquia, com garantia, em prol destes, de mandato a prazo certo.”11  

O legislador do PLC 53/18 concebeu, a partir do PL 5.276/16, de autoria do Poder Executivo, uma ANPD seguindo o figurino de agência reguladora, não obstante o nomen iuris. Tal construção era palpável na dicção do art. 55, ao dispor que a ANPD seria “integrante da administração pública federal indireta, submetida a regime autárquico especial”; do seu §1º, com o mandamento de que deveria ser regida nos termos previstos na lei 9.986/00; do seu §3º, que determinava que a “natureza de autarquia especial conferida à ANPD é caracterizada por independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus dirigentes e autonomia financeira”; do seu § 6º, que garantia o mandato de 4 (quatro) anos dos membros do Conselho Diretor. Ademais, o art. 56, que determinava as atribuições da Autoridade, incluía o dever de fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, inciso IV; bem como, a de editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, inciso XIII. Esta construção do legislador originário da LGPD fazia jus à tradição do direito brasileiro, especialmente sob a égide da CF/88, ao prever um arcabouço específico para regular temas de alta envergadura, ampla abrangência e importantes impactos nas esferas sociais e econômicas, a saber, a partir da aprovação de uma lei temática geral, de caráter nacional, sob o propósito de equipar a administração pública federal com uma agência com competência regulatória sobre o referido tema. Como já observamos, tal construção se coaduna com o direito europeu, a saber, Regulamento (EU) 2016/679, de 27/4/16, GDPR, no tocante a uniformização da proteção de dados pessoais – lá, entre os estados-membros e cá, em todo o território nacional. Neste mister, se faz útil a remissão ao Considerando (10) do GDPR:

A fim de assegurar um nível de proteção coerente e elevado das pessoas singulares e eliminar os obstáculos à circulação de dados pessoais na União, o nível de proteção dos direitos e liberdades das pessoas singulares relativamente ao tratamento desses dados deverá ser equivalente em todos os estados-membros. É conveniente assegurar em toda a União a aplicação coerente e homogénea das regras de defesa dos direitos e das liberdades fundamentais das pessoas singulares no que diz respeito ao tratamento de dados pessoais.”12         

Possivelmente pelo fato de ser um fenômeno novidadeiro no Brasil, a construção normativa se deu em ordem inversa, a saber, primeiro veio a lei geral temática e, depois de aprovada, a constitucionalização do direito à proteção de dados pessoais, ainda em tramitação, com todos os condicionantes aplicáveis. Tal não foi a ordem dos fatos no tocante aos três exemplos de criação de agências reguladoras referidos pelos ilustres doutrinadores administrativistas. Energia e telecomunicações já eram temas de competência privativa da União para legislar, de acordo com o art. 22, IV, CF/88, e petróleo já era monopólio da União, de acordo com o art. 177 da CF/88, quando as leis que criaram as respectivas agências reguladoras foram publicadas. Percebe-se, portanto, uma estreita relação entre competência legislativa e necessidade de regulação, bem como de agências reguladoras, em temas de alta relevância e complexidade, como já havíamos pontuado. Ocorre que, no caso da proteção de dados pessoais, a despeito de nossa manifestação em contrário13 – no que fomos honrosamente acompanhados pelo min. Ilmar Galvão e pelo prof. Jorge Levocat Galvão14     o arcabouço regulatório construído pelo PLC 53/18 foi vetado pelo presidente da República sob a justificativa de haver vício de iniciativa por parte do Congresso Nacional, a saber, por “incorrem em inconstitucionalidade do processo legislativo, por afronta ao artigo 61, § 1º, II, ‘e’, cumulado com o artigo 37, XIX da Constituição”. O vácuo legislativo veio a ser remediado pela lei 13.853/19, fruto da MP 869/18, na qual o legislador provisório alterou a natureza jurídica da ANPD, que passa a ser um órgão da administração pública federal direta, integrante da presidência da República. Todavia, vários atributos típicos de agências reguladoras form mantidos, tais como, autonomia técnica e decisória da ANPD, art. 55-B; mandato de quatro anos dos membros do Conselho Diretor, art. 55-D, §3º; estabilidade dos membros do conselho diretor, art. 55-E; dever de fiscalizar e aplicar sanções, art. 55-J, IV; e a competência para editar regulamentos e normas, art. 55-J, XIII e XVIII. Com efeito, o art. 55-A, §1º, atesta que a natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à presidência da República. Trata-se, portanto, de uma construção parcial, que já espelha a necessidade de atuação regulatória nos termos preconizados por Meirelles e Bandeira de Mello. Para que o arcabouço jurídico seja completo e à altura do seu correspondente europeu e, também, de diversos outros no âmbito internacional, há que se aprovar a PEC 17/19, nos termos por nós defendidos, a saber, (i) com a inserção do inciso LXXIX no art. 5º da CF/88, com a dicção: “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”; e (ii) a inserção do inciso XXX no art. 22 da CF/88, com a dicção aprovada pelo Senado Federal.

Todavia, durante a tramitação da LGPD no Congresso Nacional e ante o vácuo constitucional e legal, presenciamos diversas iniciativas por parte de legislativos de estados e municípios almejando normas gerais de cunho regulatório. Tais diplomas e projetos de lei empreenderam diversas incursões no espaço normativo da agora aprovada LGPD, gerando antinomias e, em consequência, insegurança jurídica. Consideremos, à guisa de ilustração, alguns exemplos emblemáticos, iniciando pela dicção do art. 3º da Lei Complementar 161/18, do município de Vinhedo: “Esta lei aplica-se a qualquer operação de tratamento de dados pessoais no âmbito das pessoas jurídicas de direito público e privado, independentemente do país onde estejam localizados os dados, subordinando-se ao regime desta lei (...)”. É patente que tal disposição se choca com art. 3º da LGPD, e ao arrepio do art. 1º, parágrafo único. Semelhantemente, o art. 9º do projeto de lei 29/19, do estado do Mato Grosso do Sul preconiza a existência de autoridades estaduais de proteção de dados, noção não acolhida no âmbito das matérias com reserva de competência legislativa em favor da União, a exemplo das áreas de energia e telecomunicações, ao dispor que “O Executivo Estadual definirá no prazo de 90 dias, por meio de regulamento próprio, sobre a autoridade estadual responsável e competente, as sanções administrativas pelas infrações a esta lei e as metodologias que orientarão o cálculo do valor-base das sanções de multa”.  Tivemos, ainda, o art. 5º, §1º, do projeto de lei 375/15, que tramitou na Assembleia Legislativa do Rio de Janeiro, e veio a ser vetado integralmente pelo governador, quando dispunha que “O consentimento para a reprodução e/ou divulgação de dados pessoais não pode ser condição para o fornecimento de produto ou serviço ou para o exercício de direito”, extrapolando o disposto na LGPD sobre o tratamento de dados a partir do consentimento do titular. Some-se a este angustiante cenário, o fato de que alguns desses projetos, emanados tanto por Estados quanto por Municípios, trazem questões superadas e pacificadas na LGPD. Caso entrem em vigor, trarão severas disfunções no sistema operativo de tratamento de dados por empresas e pelo próprio Poder Público, como é o caso da exigência de consentimento ou autorização em todos os casos de tratamento de dados, ou o desenho de espaço excepcional para tal atividade, cf. art. 4º, Parágrafo único, do projeto de lei 29/19, do Estado do Mato Grosso do Sul e; art. 5º, §1º e art. 6º, Parágrafo único, do projeto de lei 375/15, do Estado do Rio de Janeiro. Ora, a prosperar esta tendência, na ausência de provisão constitucional limitadora de competência legiferante, veremos um sistema caótico, marcado por antinomias, no qual proliferarão autoridades estaduais e municipais de proteção de dados. Empresas com atuação nacional terão que garantir conformidade com cada ordenamento subnacional, ficando sujeitas a uma miríade de órgãos de fiscalização, e ao recolhimento de taxa de poder de polícia para cada um. O grau de ineficiência e de insegurança jurídica se imporá como desincentivo para a expansão do tratamento de dados no Brasil. Insistimos que urge, portanto, garantir a competência legiferante privativa da União na proteção de dados pessoais.

Ante a reserva de competência, por nós, exposta e propugnada, interrogar-se-ia se estariam os entes federados alijados de toda e qualquer participação na economia intensiva em dados, especialmente em dados pessoais? De certo que não! A competência legiferante privativa, de matriz constitucional, alcança tão somente leis gerais de direito material que tratam de aspectos de natureza regulatória, deixando um largo espectro de outras possibilidades, como veremos.

De acordo com o art.7º, III, da LGPD, o tratamento de dados pessoais somente poderá ser realizado “pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres”. Observa-se, de plano, que todos os instrumentos normativos estão à disposição dos entes federados para a concepção e execução de políticas públicas que ensejem o tratamento ou o compartilhamento de dados. Assim, tanto os Poderes Legislativos quanto os executivos estaduais, municipais e distrital podem elaborar diplomas, leis, decretos e outros, sempre de natureza executória, para dispor inciativas, programas, compartilhamento e até prestação de serviços baseados em tratamento de dados, pessoais ou anônimos. Os órgãos das respectivas Administrações também estão legitimados para lançar mão dos instrumentos que lhes forem ínsitos, incluindo atos administrativos, contratos e convênios, para tornar concretas as políticas públicas dispostas pelos escalões competentes. Assevere-se que as instâncias Executivas e Legislativas subnacionais devem respeitar, seja na coleta, no tratamento e no compartilhamento de dados, os princípios da finalidade, da adequação, da necessidade, da transparência, da não discriminação, estabelecidos no Art. 6º da LGPD, com destaque para o princípio da finalidade pública na persecução do interesse público, conforme art. 23 da Lei. Com efeito, Estados, Municípios e Distrito Federal, enquanto guardiões dos dados pessoais de seus concidadãos, devem atender os postulados afixados na LGPD, a exemplo da promoção de campanhas orientavas e educacionais sobre uso pleno e seguro das tecnologias de transformação digital e uso de dados; da expedição de regras sobre curadoria de dados; de diretrizes de conformidade das administrações públicas locais e sobre boas práticas e governança de instruções normativas orientadoras de privacidade e termos de uso de aplicações e soluções digitais municipais; de processos e procedimentos de segurança da informação e comunicação; de normas e diretivas locais orientadoras para gerenciamento e organização de bancos de dados estaduais ou municipais; de instrumentos disciplinadores da forma de compartilhamento de dados entre órgãos da administração pública direta, indireta, autárquica e fundacional. Além disso, aos legislativos locais, necessária será a extensão da  função típica de fiscalização sobre o uso de dados pessoais pelas administrações públicas locais e, finalmente, a instituição de órgãos locais responsáveis pela interface com a ANPD, além de câmaras técnicas consultivas com interface com o setor produtivo, sociedade civil e academia para troca de melhores práticas, as quais  terão papel essencial para a garantia da boa aplicabilidade da LGPD e da boa executabilidade do sistema de tratamento de dados. Observe-se que, com exceção do papel de educador e conscientizador, os agentes públicos envolvidos com o efetivo tratamento e compartilhamento de dados, o farão na condição de controlador, art. 5º, VI, ou de operador, art. 5º, VII. Sob a égide da competência legiferante privativa da União, preconizada pela PEC 17/19, os entes federados gozam de todas as prerrogativas para a concepção e execução das mais variadas políticas, sendo vedado tão somente invadir espaço legislativo que disponha sobre lei geral de direito material com natureza regulatória.

__________________ 

1 GALLINDO, Sergio Paulo Gomes; STIVELBERG, Daniel T.; SILVA, Evellin D. Constitucionalização da proteção de dados pessoais e competências legislativas à luz de análise comparativa entre Direito Pátrio e da União Europeia. Publicado em 20/11/19. Último acesso em 29 de novembro de 2019. Disponível no Portal Migalhas pelo link clique aqui. Na mesma obra, tais consequências também foram logradas pela Europa quando da implementação do Global System for Mobile Communication (GSM) em benefício da interoperabilidade das redes de telefonia celular.

2 MEIRELLES, Hely Lopes; ALEIXO, Décio Balestero; BURLE FILHO, José Emmanuel. Direito Administrativo Brasileiro. 39º Edição atualizada até a Emenda Constitucional 71, de 29/11/12. São Paulo: Malheiros, 2013, p.405.

3 Idem, p.405.

4 BANDEIRA DE MELLO, Celso Antônio. Curso de Direito Administrativo. 26º Edição atualizada até a Emenda Constitucional 57, de 18/12/18. São Paulo: Malheiros, 2009, p.169-170.

5 MEIRELLES, op. cit., p.397.

6 BANDEIRA DE MELLO, op. cit. p.172.

7 Para mais informação sobre a desejada tecnicidade da ANPD, consulte o “Manifesto pela Tecnicidade dos Membros do Conselho Diretor da Autoridade Nacional de Proteção de Dados”, disponível na internet em clique aqui, acessado em 3/12/19.

8 MEIRELLES, op. cit., p.408.

9 BANDEIRA DE MELLO, op. cit. p.172.

10 CARVALHO FILHO, José dos Santos. Manual do Direito Administrativo. 28ª Edição. São Paulo: Editora Atlas S.A.. 2015, p. 59.

11 Idem, p.169.

12 Regulamento (EU) 2016/679, de 27 de abril de 2016 (GDPR), Considerando (10).

13 GALLINDO, Sergio Paulo Gomes; STIVELBERG, Daniel T.; Constitucionalidade da criação da Autoridade Nacional de Proteção de Dados. Tramitação legislativa e ausência de usurpação de prerrogativa. 

14 GALVÃO, Ilmar; GALVÃO, Jorge Lavocat. Ex-ministro diz que não há vício de inconstitucionalidade na criação da ANPD. Em parecer, Ilmar Galvão e professor Jorge Lavocat Galvão defendem modificações do Congresso. 

_____________

*Sergio Paulo Gomes Gallindo é presidente executivo da Brasscom, Advogado, Mestre em Direito Político e Econômico pela Universidade Presbiteriana Mackenzie, Mestre em Ciência da Computação pela University of Texas at Austin, com apoio do Fulbright Intl. Fellowship Program, Bacharel em Direito pela USP, Engenheiro Eletrônico pela UFRJ.

*Daniel T. Stivelberg é gerente de Relações Governamentais da Brasscom, Advogado, Pós-Graduado em Direito Constitucional pelo Instituo Brasiliense de Direito Público (IDP) e em Relações Internacionais pela Universidade de Brasília (UnB). É Bacharel em Direito pela Faculdade de Direito de Curitiba (FDC) e em Relações Internacionais pelo Centro Universitário Curitiba (Unicuritiba).

*Evellin D. Silva é analista de Relações Institucionais e Governamentais da Brasscom e Bacharel em Ciência Política pela Universidade de Brasília (UnB).

 [*] Brasscom, Associação Brasileira da Empresas de Tecnologia da Informação e Comunicação.

Este texto expressa a posição acadêmica ou pessoal dos autores, não vinculando a Brasscom ou seus Associados.

t