Era agosto de 2018 e o Brasil parecia que finalmente estava no caminho certo para se alinhar com os parâmetros de proteção de dados em nível internacional. Com a Lei nº 13.709/18 sancionada, era hora de iniciar os preparativos e adequações para a entrada em vigor da nova regulamentação, chamada de Lei Geral de Proteção de Dados Pessoais (LGPD).
Mas como quase nada na história do país acontece sem imprevistos ou adaptações meio duvidosas, no famoso "jeitinho brasileiro", vimos que não seria fácil implementar a legislação aqui nos mesmos moldes europeus e talvez até tenhamos subestimado o prazo para que isso pudesse ocorrer, visto que a lei chegou no meio de uma tormenta política envolvendo mudança de administração e início de um novo governo.
Passamos um primeiro ano de 2019 praticamente em discussões relacionadas à necessidade de se ter o início da atividade da Autoridade Nacional de Proteção de Dados Pessoais, a ANPD, e foi dado o devido encaminhamento legislativo com a regulamentação pela Lei nº 13.853 de julho de 2019. Mas apesar de todos os pleitos da sociedade e das instituições, o Executivo não fez a nomeação dos cargos e viramos 2020 sem a ANPD.
Para agravar, começamos o ano com uma grande crise causada pela pandemia da Covid-19, o que provocou novamente um debate sobre a entrada em vigor da LGPD, visto que é uma regulamentação que exige investimentos e, novamente, o momento não se mostrava o mais favorável.
Sendo assim, em abril, o Senado apresentou o Projeto de Lei 1.179/2020 para criar um regime jurídico emergencial enquanto durasse a epidemia do coronavírus no Brasil, que adiava tanto a entrada em vigor da LGPD, como o prazo para aplicação de multas e sanções. O imbróglio aumentou com a Medida Provisória 959, de abril de 2020, editada pelo Presidente, também com o propósito de prorrogar a LGPD, mas para maio de 2021.
Como a MP iria perder seus efeitos se não fosse convertida em lei até 26 de agosto, entrou em Sessão Deliberativa na Câmara dos Deputados no último dia 25 de agosto. Para ser aprovada, foi proposto um acordo com o governo de alterar a entrada em vigor da LGPD para 31 de dezembro deste ano. Com a mudança, ela foi para o Senado como Projeto de Lei de Conversão (PLV) 34/20, já que qualquer alteração feita no texto da Medida Provisória transforma essa matéria em PLV.
Na sessão deliberativa do dia 26, o presidente do Senado, Davi Alcolumbre, acolheu questão de ordem apresentada pelo MDB para que a prorrogação da entrada em vigor da LGPD fosse considerada questão preclusa, já que foi avaliada anteriormente pelo Senado (quando da votação do Projeto de Lei nº 1.179/20, convertido na Lei nº 14.010/20), e retirou o art. 4º do PLV 34/20.
Com isso, a MPV 959/20 mantém sua vigência até que o texto do PLV 34/20 seja sancionado ou vetado pelo Presidente, o que deve ocorrer em até 15 dias úteis após seu recebimento, sob pena de ser considerado tacitamente aprovado (e, por conseguinte, sancionado) o texto. Isso quer dizer que o art. 65 da LGPD (que trata sobre sua vigência) retornará à redação original.
Havendo todo este encaminhamento, provavelmente, a LGPD entra em vigor no dia 18 de setembro de 2020. Parece o ponto final de um embate de longa data, que passou por diversas proposições legislativas, escancarando uma desarmonia entre os Poderes Legislativo e Executivo. Mas, nos bastidores de tudo isso, estava ainda a articulação para efetivar a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), fator determinante para garantir a aderência à regulamentação.
Circularam informações de estudos internos para incorporar a ANPD na estrutura do Conselho Administrativo de Defesa Econômica (Cade). A ideia seria alterar a legislação e fazer mudanças no órgão antitruste para que pudesse incluir as atribuições da agência de dados. Também foi ventilada a possibilidade vincular a ANPD à Senacon (Secretaria Nacional do Consumidor), que integra o Ministério da Justiça.
Porém, mesmo com a derrota no Senado sobre o adiamento da vigência da LGPD, a atual administração federal mostrou mais uma vez a intenção clara de manter tudo sob seu "controle". Tanto é que menos de um dia após a aprovação do PLV 34/20, o presidente assinou o decreto que cria a ANPD e que surge como um órgão da Presidência da República. A estrutura de cargos e as funções estão descritas no Diário Oficial da União do dia 27.08.2020, pelo Decreto 10.474.
Conforme previsto pelo Decreto, a Autoridade fica subordinada à Presidência da República, vinculada à Casa Civil. Interessante observar que praticamente todas as nomeações são feitas pelo Presidente, não apenas do Conselho Diretor, como também a decisão final sobre as indicações para o Conselho Consultivo, e não havendo indicação ele pode nomear por sua livre escolha, conforme artigo 15.
E curiosamente voltamos às questões que eram entrave quando o órgão foi criado, há quase dois anos, de falta de autonomia e independência da Autoridade. Mas parece que não haveria outra maneira de sair do papel.
Breve histórico
Na época da sanção da LGPD (2018), a criação do órgão fiscalizador por meio de iniciativa da Câmara mostrava-se inconstitucional e, por isso, foi incluída por meio da Medida Provisória nº 869/18. Porém, a MP 869 criou a agência reguladora vinculada à Presidência da República, podendo ser autônoma somente do ponto de vista técnico, o que seria incompatível com a própria natureza do órgão que deve ser um ente de independente, inclusive em seu orçamento.
A Autoridade deveria ter sido constituída e empossada em 2019, e já poderia estar atuando e acumulando experiência em diferentes funções desde então. Tanto ao interagir com a sociedade civil, responder consultas públicas, receber protocolos de códigos de conduta, regulamentar a legislação, realizar campanhas educativas e, principalmente, neste momento atual de crise, estar atuante até para liderar os trabalhos de flexibilização e ajustes necessários, dialogando com outras Autoridades similares, como tem ocorrido nos demais países em que já há lei de proteção de dados em vigor.
Toda a LGPD foi pensada em dar mais autonomia e fortalecer a proteção da privacidade do titular dos dados. O respeito, a garantia da segurança e transparência ao usuário foram os pontos-chave que nortearam as normas da regulamentação. Atribuir as funções de monitoramento e fiscalização a profissionais que não levem em conta a perspectiva do indivíduo, pode acarretar em decisões conflituosas e distantes do propósito da legislação.
Vale lembrar que a ANPD foi elaborada para ajudar a proteger o mercado e a implementar a proteção de dados, numa atuação de garantir o cumprimento e o melhor proveito da regulamentação, seja por meio de normas complementares, pareceres técnicos e procedimentos de inspeção. Por isso o mundo ideal seria ter uma autoridade nacional independente, com meios de alcançar eficiência e sustentabilidade, para inclusive estarmos de acordo com o General Data Protection Regulation (GDPR), conforme previsto na lei.
Confira como são as Data Protection Authority em outros países do mundo:
União Europeia
Autoridades de proteção de dados (APD):autoridades públicas independentes que controlam, através de poderes de investigação e de correção, a aplicação da legislação relativa à proteção de dados. Existe uma em cada Estado-Membro da UE.
Portugal
Comissão Nacional de Protecção de Dados: entidade administrativa independente com poderes de autoridade, que funciona junto da Assembleia da República. É constituída por membros de integridade e mérito reconhecidos, cujo estatuto garante a independência das suas funções.
Bélgica
Autoridade de Proteção de Dados (APD): é um órgão de supervisão independente, responsável por garantir o cumprimento dos princípios fundamentais de proteção de dados pessoais. A Autoridade foi criada dentro da Câmara dos Representantes da Bélgica pela lei de 3 de dezembro de 2017.
França
Comissão Nacional de Informática e Liberdades (CNIL): é uma autoridade administrativa independente, composta por um Colégio de 18 membros e uma equipe de agentes contratuais do Estado. Tem como missão geral informar as pessoas sobre os direitos e responder às solicitações de particulares e profissionais.
Estados Unidos
As leis de segurança e privacidade de dados nos EUA são promulgadas em níveis federal e estadual. A principal autoridade federal na proteção e segurança de dados é a Federal Trade Comission (FTC), e tem como missão proteger as informações pessoais dos consumidores, e garantir que tenham confiança para tirar proveito dos benefícios do mercado.
Por certo, esta autoridade terá muito poder além de reunir a capacidade arrecadatória em um período pré-eleitoral. Apesar da recomendação ser de que seja um órgão dotado de autonomia e que tenha um corpo técnico seleto, considerando a matéria especializada que deverá tratar, há muitas dúvidas que pairam sobre como será de fato, a personalidade e o “tom” da autoridade de proteção de dados à moda brasileira.
*Patricia Peck Pinheiro é sócia e sócia e Head de Direito Digital do escritório PG Advogados. Advogada especialista em Direito Digital, doutora pela Universidade de São Paulo, com PhD em Propriedade Intelectual e Direito Internacional, pesquisadora convidada pelo Instituto Max Planck e pela Universidade de Columbia, professora convidada pela Universidade de Coimbra e pela Universidade Central do Chile. Árbitra do Conselho Arbitral do Estado de São Paulo – CAESP, Vice-Presidente Jurídica da ASEGI, Conselheira de Ética da ABED, Presidente do Instituto iStart de Ética Digital. Autora de 22 livros de Direito Digital.