É necessário uma Autoridade independente, com autonomia técnica e dotada de meios necessários para realizar suas funções
A Lei Geral de Proteção de Dados (LGPD), recém-aprovada por unanimidade pela Câmara e Senado Federal e atualmente aguardando sanção presidencial, foi idealizada para estabelecer princípios e direitos para os cidadãos em relação aos seus dados de forma ampla e, ao mesmo tempo, proporcionar segurança jurídica para a utilização de dados pelas empresas e setor público.
Um dos pilares da LGPD é a criação da Autoridade Nacional de Proteção de Dados, um organismo independente responsável por vários aspectos da aplicação e implementação da lei.
Não chega a ser uma novidade a instituição de uma Autoridade pública em uma lei de proteção de dados. Hoje, órgãos semelhantes estão presentes na enorme maioria da mais de centena de países que possuem leis gerais de proteção de dados. Há uma série de motivos para que estas Autoridades existam.
Em primeiro lugar, a Autoridade é elemento indispensável para que os direitos e garantias dos cidadãos sobre seus dados sejam efetivamente implementados e monitorados. Além da Autoridade ser um ponto de referência e orientação para o cidadão, ocorre que o tratamento de dados pessoais é uma atividade complexa e que muitas vezes acontece de forma opaca, sendo realizado por entidades e corporações cujas práticas não são suficientemente transparentes – e que podem ser abusivas. A existência de uma Autoridade que atue de forma coordenada para prevenir e reprimir abusos, fiscalizando e tutelando tratamentos de dados de inteiras coletividades é fundamental para diminuir a distância abissal entre o cidadão e os entes que tratam seus dados, evitando que sejam abertas demandas individuais pelo caminho geralmente longo (e custoso) da via judicial.
Uma Autoridade independente é igualmente importante para o setor privado – principalmente se considerarmos a outra solução para resolução de conflitos, que seria a via judicial. Para fins de adequação ao marco normativo – ou, como muitas vezes se refere, para a “compliance” – uma Autoridade pode manter padrões persistentes de aplicação da lei, diferentemente de tribunais, que são em geral chamados a decidir sobre situações particulares. Esta consistência, aliás, também é importante para impedir que uma determinada empresa que não cumpra a LGPD possua vantagens competitivas em relação às demais, com prejuízo para os cidadãos. Ainda, a Autoridade possui um arsenal mais rico e específico de medidas regulatórias à sua disposição do que os tribunais, contando com medidas como aconselhamento ou advertências, chegando até um regime sancionatório adaptado às circunstâncias e com metodologia própria. Isto, somado ao fato de que a centralização da matéria em uma Autoridade evita o risco certo de fragmentação da interpretação da lei entre tribunais e mesmo outros órgãos administrativos com competências eventualmente concorrentes, garante a uniformidade dos direitos do cidadão e a segurança jurídica na aplicação da LGPD.
Ainda, em uma área tão dinâmica e influenciada pelo desenvolvimento tecnológico como a proteção de dados pessoais, é natural que a legislação deva se ater a um determinado nível de generalidade para que não caia rapidamente na obsolescência nem suscite “pontos cegos” quanto à sua aplicabilidade. Ao mesmo tempo, os efeitos cada vez mais intensos do tratamento de dados pessoais na vida dos cidadãos implicam na necessidade de proporcionar garantia rápida a direitos cujos contornos podem ser bastante fluídos.
Uma Autoridade, neste contexto, é elemento indispensável para garantir a adaptação da lei a novas circunstâncias sem que se abra mão da segurança jurídica, ao proporcionar orientação sobre a interpretação e aplicação da lei, ao elaborar normas e regulamentos sobre temas específicos como segurança da informação ou outras situações, sem que haja necessidade de alteração da lei. Ela pode ainda estabelecer parâmetros para a aplicação da lei conforme as características de cada setor ou mercado, objetivando ações que sejam mais eficazes para a proteção de direitos do cidadão e garantindo a proporcionalidade na sua aplicação – considerando, por exemplo, o seu impacto em pequena e médias empresas e tomando as medidas necessárias para a proteção do cidadão sem que haja intervenção indevida na atividade produtiva.
Para que desempenhe com eficácia estas funções, alguns atributos e características mínimas da Autoridade deverão ser observadas, sob pena de que a LGPD, aprovada com apoio transversal da Sociedade, permaneça apenas “no papel”.
Destas características, a independência e autonomia são essenciais. A Autoridade possui a função maior de garantir os direitos dos cidadãos sobre seus dados. Como os dados pessoais são hoje tratados pelos setores público e privado, esta função de garantia somente pode ser exercida de forma eficaz caso seja garantida a independência da Autoridade. A Autoridade possui igualmente relevantíssima função regulatória para os diversos implicados no tratamento de dados – posto que a clareza e transparência que derivam da definição dos direitos e garantias dos cidadãos proporciona um ambiente regulatório com maior segurança jurídica para quem trate dados pessoais.
Para que se caracterize esta necessária independência, as atividades fiscalizatória, sancionatória e decisional da Autoridade não poderão estar de forma alguma subordinadas hierarquicamente a outros órgãos. A Autoridade ainda deverá contar com as prerrogativas necessárias, como o mandato de seus membros, para que execute suas funções de forma isonômica, para quaisquer modalidades e setores de tratamento de dados pessoais. Deste imperativo, aliás, deriva a opção da LGPD em estabelecer a natureza de autarquia especial à Autoridade Nacional de Proteção de Dados.
Outras características devem estar igualmente presentes em uma Autoridade. A presença de pessoal técnico capacitado tanto em assuntos jurídicos e regulatórios como nos aspectos técnicos do tratamento de dados pessoais é necessária para que diversas atividades da Autoridade que não são de cunho repressivo, como as de caráter educativo, de orientação, o estabelecimento de parâmetros e outras possam ser implementadas, concretizando a aplicação do princípio da prevenção, previsto pela LGPD.
Uma Autoridade independente, com autonomia técnica e dotada dos meios necessários para realizar suas funções é, portanto, condição orgânica para que as garantias presentes na LGPD sejam eficazes. E, ainda, é uma peça indispensável para que o Brasil obtenha as vantagens econômicas e políticas derivadas da LGPD: por exemplo, a obtenção da adequação europeia (garantindo livre fluxo de dados entre o Brasil e os países do bloco) depende inexoravelmente do estabelecimento de uma Autoridade independente; o ingresso do Brasil na OCDE pode ser facilitado, entre outros. De forma geral, o comércio internacional vem apresentando requisitos mais concretos quanto à proteção de dados, sendo um destes a existência de uma Autoridade independente como condição para que empresas ou órgãos brasileiros possam participar livremente de fluxos internacionais de dados, tão caros à nova economia da informação. Neste sentido, destaque-se recente acordo entre União Europeia e Japão que consolidou a maior área de livre fluxo de dados do mundo, tornado possível principalmente com o estabelecimento de uma Autoridade independente para a proteção de dados pelo Japão. Um acordo como este facilita o acesso de empresas japonesas a um mercado de mais de quinhentos milhões de consumidores.
O desenho institucional da Autoridade presente na LGPD contempla estes requisitos mínimos. Sua implementação há de se orientar no sentido de proporcionar amplo poder de ação da Autoridade nos assuntos de sua competência, com a preservação dos atributos mínimos mencionados. Às vésperas da sanção da LGPD, a consideração integral e a longo prazo das consequências da adoção de um determinados modelo institucional parece, mais do que nunca, o ponto mais sensível para que se determinem os reais efeitos modernizadores que a lei terá para a Sociedade e o país.
DANILO DONEDA – Professor no IDP e UERJ, advogado e consultor do CGI.br
Fonte: JOTA