A vigência da LGPD e o desafio de adequação no Brasil e do Brasil

A entrada em vigor da Lei Geral de Proteção de Dados (LGPD) na última sexta feira (18/9) consolidou a necessidade de adequação de empresas e órgãos públicos à proteção de dados pessoais. Muito se fala sobre essa adequação. Contudo, existe outra adequação da qual não se pode esquecer: a adequação do Brasil à proteção de dados para transferências internacionais.

Desde a vigência do Regulamento Geral sobre Proteção de Dados europeu (GDPR), em 2018, a adequação à proteção de dados pessoais pode ser percebida como verdadeira exigência de mercado. Para muitas empresas, a governança de proteção de dados já era um tema de mercado que lhes permita vantagem competitiva e condição de sobrevivência. Isso porque empresas sujeitas à regulamentação europeia passaram a demandar de seus parceiros e fornecedores no Brasil garantias sobre seu nível de adequação. A exigência é feita pontualmente, em cada transferência internacional de dados pessoais, precisamente porque o Brasil ainda não é considerado pela União Europeia um país com nível adequado de proteção de dados. Esse ponto é central para a segurança jurídica dos negócios e investimentos no Brasil.

As decisões sobre a adequação de países são tomadas pela Comissão Europeia. Nos termos do artigo 45º, 2., GDPR, elas levam em consideração: "O primado do Estado de direito, o respeito pelos direitos humanos e liberdades fundamentais, a legislação pertinente em vigor, tanto a geral como a setorial, nomeadamente em matéria de segurança pública, defesa, segurança nacional e direito penal, e respeitante ao acesso das autoridades públicas a dados pessoais" e a aplicação dessas regras. O Brasil tem proteção constitucional da privacidade (vida privada — artigo 5º, X) e do sigilo das comunicações (artigo 5º, XII) [1], além da garantia de habeas data (artigo 5º, LXXII, e Lei nº 9.507/97) e constituiu comissão de juristas para apresentar projeto de lei sobre tratamento de dados pessoais em matéria de segurança pública e defesa nacional, temas que ficaram fora do escopo da LGPD [2]. São considerados também compromissos internacionais assumidos sobre proteção de dados pessoais. Refere-se aqui à Convenção 108 sobre proteção de dados (1981), da qual o Brasil está como observador desde outubro de 2018 [3], fator também relevante para o ingresso como membro da OCDE.

Resta ainda um requisito a ser considerado: a "existência e o efetivo funcionamento de uma ou mais autoridades de controle independentes", é dizer, a existência e o efetivo funcionamento da Autoridade Nacional de Proteção de Dados (ANPD). Nesse ponto, a entrada em vigor da lei contrasta com a ausência da autoridade. Durante o período de vacatio da lei, o desenho institucional e as normas sobre a Autoridade passaram por diversas alterações. Ao final, a Lei nº 13.853/2019 transformou a ANPD em órgão da administração pública federal com natureza jurídica transitória (artigo 55-A, §1º) e autonomia técnica e decisória (artigo 55-B); a Lei nº 14.010/20 postergou a vigência dos artigos referentes às sanções administrativas aplicadas em competência exclusiva da Autoridade (artigo 55-K) e sua regulamentação foi estabelecida apenas pelo Decreto nº 10.474/20, no mesmo dia em que a vigência da lei era votada na Câmara dos Deputados. A ausência da ANPD foi sentida especialmente em razão da falta de regulamentação sobre questões importantes da LGPD, como prazos para atendimento dos requerimentos dos titulares, a disciplina da base legal de dados pessoais, normas específicas para microempresas e empresas de pequeno porte, ou a regulamentação sobre transferências internacionais e seus instrumentos.

Outro desafio é a formatação da autonomia técnica e decisória da ANPD, que será comparada com os termos de independência estabelecidos pela União Europeia e considerados para decisão de adequação. Para o regulamento europeu (artigo 52º), independência significa independência nas atribuições; não estar sujeito a influências externas, diretas ou indiretas no desempenho de suas funções; não solicitar ou receber instruções; que seus membros não exerçam atividades incompatíveis; dispor de recursos humanos, técnicos e financeiros, instalações e infraestruturas necessários para o exercício de suas atribuições; selecionar e dispor de seu próprio pessoal, que fica sob direção exclusiva dos membros da autoridade e ter controle financeiro que observe sua independência. Ou seja, a desejável aproximação da autonomia técnica e decisória em relação à exigência de independência dependerá ainda de desenho institucional adequado. Cabe lembrar, a esse propósito, a decisão de adequação da Argentina, em junho de 2003 [4], que reconheceu nível adequado de proteção de dados pessoais nos termos da Diretiva 95/46/EC, antecessora do GDPR. Na época, a opinião do Grupo de Trabalho do Artigo 29 [5], atual Comitê Europeu de Proteção de Dados, fez ressalva sobre a urgência em se sanar pontos específicos da independência da autoridade argentina que deveriam ser assegurados [6]. No contexto de uma diretiva europeia, que não tem a força normativa do regulamento, a adequação da Argentina foi reconhecida. Hoje, a Argentina consolidou sua legislação de proteção de dados e busca aprimorá-la legislativamente no que se convencionou chamar de segunda onda de proteção de dados pessoais.

A omissão na estruturação da ANPD é, portanto, o principal problema de implementação da LGPD, não só do ponto de vista interno, de regulamentação e enforcement, como do ponto de vista externo, de reconhecimento do Brasil conforme padrões internacionais de proteção de dados pessoais.

 

[1] Ferraz Júnior, Tercio Sampaio. (1993). Sigilo de dados: o direito à privacidade e os limites à função fiscalizadora do Estado. Revista Da Faculdade De Direito, Universidade De São Paulo88, 439-459. Disponível em http://www.revistas.usp.br/rfdusp/article/view/67231 e QUEIROZ, Rafael Mafei Rabelo e PONCE, Paula Pedigoni. Tercio Sampaio Ferraz Júnior e Sigilo de dados: o direito à privacidade e os limites à função fiscalizadora do Estado: o que permanece e o que deve ser reconsiderado. Internet & Sociedade. Nº 01, vol. 01, fev/2020. Disponível em https://revista.internetlab.org.br/edicoes/numero-1-volume-1-fev-2020/

[2] Disponível em https://www.conjur.com.br/2019-dez-16/camara-cria-comissao-juristas-projeto-dados-pessoais.

[3] Disponível em https://www.coe.int/en/web/data-protection/-/brazil-and-the-data-protection-commission-of-gabon-to-join-the-committee-of-convention-108-as-observers-

[4]Disponível em https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32003D0490&from=EN.

[5]Disponível em https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2002/wp63_en.pdf.

[6] “In particular, the Working Party urges the Argentinean Authorities to ensure the effective enforcement of the legislation at provincial level by means of the creation of the necessary independent control authorities where they do not exist yet and, in the meantime, to look for appropriate temporary solutions in accordance with the Argentinean constitutional order.” Opinion 4/2002 on the level of protection of personal data in Argentina.

*Co-autoria com Núria López, Ricardo Campos e Juliana Abrusio. Originalmente publicado em Conjur.

**Imagem freepik.

Ao usar nosso site, você concorda com nossa Política de Privacidade e uso de cookies.