SOBRE MANUTENÇÃO DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS — Nota Pública
A aprovação da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) foi uma das maiores conquistas democráticas da nação brasileira. Com essa legislação, o país passa a contar com novos instrumentos de proteção dos direitos difusos e uma renovada visão sobre os princípios de tratamento de dados pessoais e a mitigação de riscos coletivos. A aprovação foi, também, uma das grandes lições de democracia do Congresso Nacional em 2018, que soube dialogar com os diferentes setores da sociedade — empresários, academia, poder público e organizações da sociedade civil — e aprovar a legislação, por unanimidade, nas duas Casas.
Para sua efetiva concretização, essa avançada legislação exige, entretanto, uma entidade regulatória com independência financeira e institucional, dotada de um corpo técnico altamente profissionalizado. Sem mecanismos de tutela e uma Autoridade Nacional competente para sua fiscalização, a Lei carecerá de segurança jurídica para o desenvolvimento de novos mercados no Brasil e impede que o país seja considerado adequado internacionalmente para cooperação econômica e transações que envolvam transferência e compartilhamento de dados.
Neste sentido, os vetos ao Capítulo XI da Lei 13.709/2018 (“Da Autoridade Nacional de Proteção de Dados e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade”) feitos pelo Presidente Michel Temer na ocasião da sanção da lei, resultam numa profunda fragmentação deste marco legislativo, e colocam em risco toda a sua implementação. Sem a Autoridade Nacional de Proteção de Dados (ANPD), a legislação fica frouxa, desgovernada e sem dentes.
Durante a cerimônia da sanção da lei, Michel Temer afirmou que não há discordância de mérito com a criação da Autoridade e anunciou que enviaria brevemente ao Congresso Nacional um projeto de lei ou medida provisória para corrigir o eventuais problemas de vício de origem e criar a Autoridade de Proteção de Dados. Passados mais de dois meses da sanção, um eventual texto por parte do governo federal não foi tornado público. Tampouco há garantias de que a proposta preservará o caráter de independência da Autoridade, que só pode cumprir efetivamente seu papel se, ainda que vinculada ao Ministério da Justiça, não fique sujeita a interferências políticas de governo. O reconhecimento internacional do Brasil como um país que confere um nível adequado de proteção de dados pessoais depende, necessariamente, da existência de uma Autoridade independente e autônoma.
Em termos funcionais, a manutenção da Autoridade Nacional de Proteção de Dados é fundamental para garantir os seguintes objetivos:
* Harmonização jurídica: A Autoridade terá função de elaboração de resoluções e normas infralegais de elementos complexos da legislação, como a possibilidade de monetização de dados sensíveis, os parâmetros de utilização de tecnologias de reconhecimento facial e as hipóteses de requerimento de Avaliação de Impacto à Proteção de Dados Pessoais. Sem a Autoridade, incentiva-se a multiplicidade de interpretações por Procons e pelo Judiciário, até mesmo pela própria iniciativa privada.
* Coordenação com agências reguladoras: A ANDP funcionará como uma instância de meta-regulação, considerando diferentes setores econômicos regulados que serão impactados pela digitalização da sociedade, como a agricultura, saúde, aviação civil e telecomunicações. A Autoridade funcionará como órgão de apoio para solução de questões técnicas específicas sobre processamento legítimo de dados pessoais.
* Cooperação institucional com Sistema Nacional de Defesa do Consumidor: A Lei 13.709/2018 atribui direitos de peticionamento dos cidadãos aos órgãos de defesa do consumidor, como Procons e Defensorias, que serão constantemente provocados. É fundamental a existência da ANDP para um papel de cooperação institucional com o Sistema Nacional de Defesa do Consumidor, provocando um alinhamento entre a estrutura existente desde o Código de Defesa do Consumidor e a nova legislação.
* Educação e transformação cultural: A Autoridade Nacional de Proteção de Dados também possui papel de indução de uma mudança cultural com relação ao uso de dados pessoais, podendo trabalhar com questões de ética e tecnologia, campanhas educacionais e formas de levar esse conhecimento para as escolas;
* Apoio técnico ao setor privado: A Autoridade Nacional de Dados Pessoais pode solucionar questões técnicas relacionadas a incidentes de segurança e tutoriais de como o setor empresarial pode agir, tal como feito pelo Information Commission Officer (ICO) no Reino Unido. Nesse sentido, a existência da Autoridade pode ser crucial para garantir mais confiança e segurança jurídica ao setor privado.
* Status de Observador do Conselho da Europa: A Autoridade Nacional representará o Brasil no plano internacional, principalmente após o país sido aceito como Observador no Conselho da Europa, no contexto da Convenção 108, até hoje o único instrumento jurídico internacional que trata sobre a Proteção de Dados Pessoais. A eventual acessão do Brasil como signatário da Convenção pode facilitar o processo de reconhecimento de adequação por parte da Comissão Europeia, o que poderia ter um impacto gigantesco na economia nacional, ao flexibilizar as regras para a transferência internacional de dados.
* Cooperação internacional: A Autoridade Nacional terá o papel de cooperar no plano internacional com Autoridades Nacionais de outros países, forma de trabalho necessário para a aplicação de penalidades, investigações de violações, troca de experiências e know-how, característica essencial numa sociedade movida a dados que não reconhece limites geográficos. Cidadãos brasileiros podem ter seus direito básicos violados por entidades que não se encontram em território nacional, e a efetividade desses direitos depende de uma inserção eficiente no plano internacional.
Os padrões internacionais apontam e já é consenso entre muitos especialistas em proteção de dados pessoais no Brasil que a Autoridade Nacional de Proteção de Dados deve ser criada a partir de cinco parâmetros, previstos na legislação aprovada pelo Congresso Nacional e vetados pela Presidência da República:
1. Autonomia administrativa: é preciso que a ANPD seja criada como “autarquia em regime especial” sem subordinação hierárquica ao governo, evitando controle político direto e obstáculos para investigações de práticas ilegais de uso de dados pelo poder público e pelas empresas privadas;
2. Autonomia financeira: é preciso esforço para haja dotação orçamentária prevista no orçamento geral da União e impossibilidade de que recursos de multas sejam destinadas a uma conta única do Tesouro Nacional, evitando problemas que já ocorreram com o Fundo de Direitos Difusos;
3. Autonomia política: a ANPD precisa de um Conselho Diretor, indicado pela Presidência e sabatinado pelo Congresso Nacional, formado por membros com demonstrada capacidade técnica e mandatos estáveis;
4. Participação social: é preciso garantir a existência do Conselho Nacional de Proteção de Dados Pessoais em formato multissetorial, com a participação de membros da sociedade civil, academia e empresas, seguindo os parâmetros do art. 24, I, da Lei 12.965/2014;
5. Transparência: a ANPD precisa ser criada com instruções legais claras sobre transparência, incluindo a publicação de relatórios de gestão e detalhamento de receitas e despesas, permitindo o controle social de sua gestão orçamentária.
A ausência desses parâmetros coloca o Brasil em situação de fragilização da proteção dos direitos difusos e de risco econômico e impede a colaboração internacional e instrumentos jurídicos relacionados à economia de dados, como o ingresso na Organização para Cooperação e Desenvolvimento Econômico (OCDE) e a obtenção do nível de adequação, nos termos do Artigo 45 do Regulamento 2016/679 (General Data Protection Regulation) da União Europeia, como já fizeram Canadá, Uruguai, Coreia do Sul e Japão.
Isso porque a união Europeia determina que a transferência de dados pessoais para outros países apenas pode ocorrer quando eles possuírem salvaguardas apropriadas, que proporcionem remédios legais efetivos para a execução de direitos subjetivos dos usuários. Já a OCDE, em documento elaborado a pedido do governo brasileiro para uma revisão de seu Governo Digital (OCDE. Revisão do governo Digital do Brasil: Rumo à Transformação Digital do Poder Público. Projeto Governo digital, 2018, p. 20), defende expressamente a necessidade de um ambiente institucional bem definido para a proteção de dados, sendo essencial para isso a existência de uma autoridade independente no país.
Durante o IX Seminário sobre Privacidade, organizado pelo Comitê Gestor da Internet no Brasil em agosto de 2018, palestrantes internacionais destacaram a criação de uma autoridade independente para aplicação e fiscalização a lei como medida fundamental.
Para Bruno Gencarelli (Diretor Geral de Justiça e Consumidores da União Europeia), Bojana Bellamy (Centre for Information Policy Leadership) e Sophie Kwasny (Council of Europe), o Brasil só entrará efetivamente no mapa global de fluxo de dados, sendo considerado por outros países e blocos econômicos como um país de nível adequado, se promover avanços também de maneira institucional, a partir de uma autoridade de proteção de dados pessoais independente e autônoma.
Assim, pedimos aos membros do Congresso Nacional que votem pela derrubada dos vetos aos artigos 55 a 59 da Lei 13.709/2018, garantindo o restabelecimento da Autoridade Nacional de Proteção de Dados Pessoais com as funções, atribuições e composição previstas na legislação aprovada. Sem uma Autoridade independente, é impossível que nossos direitos sejam efetivamente protegidos.
Brasil, 24 de outubro de 2018.
Coalizão Direitos na Rede
Actantes / Artigo 19 / Associação Brasileira de Pesquisadores e Profissionais em Educomunicação — ABPEducom / ASL — Associação Software Livre / Casa da Cultura Digital de Porto Alegre / Centro de Estudos da Mídia Alternativa Barão de Itararé / Centro de Tecnologia e Sociedade da FGV-RJ / Ciranda Internacional da Comunicação Compartilhada / Coding Rights / Colaboratório de Desenvolvimento e Participação — COLAB-USP / Coletivo Digital / Coolab — Laboratório Cooperativista de Tecnologias Comunitárias / FNDC — Fórum Nacional pela Democratização da Comunicação / Garoa Hacker Clube / Grupo de Pesquisa em Políticas Públicas para o Acesso a Informação/GPoPAI da USP / Idec — Instituto Brasileiro de Defesa do Consumidor / Instituto Beta: Internet & Democracia / Instituto Bem-Estar Brasil / Internet Sem Fronteiras Brasil / Intervozes — Coletivo Brasil de Comunicação Social / Instituto Iris / Instituto Igarapé / Instituto Nupef / ITS-Rio — Instituto de Tecnologia e Sociedade do Rio de Janeiro / LAVITS — Rede latina-americana de estudos sobre vigilância, tecnologia e Sociedade / Me Representa / Movimento Mega / Núcleo de Estudos em Tecnologia e Sociedade da USP — NETS/USP / Programa Prioridade Absoluta — Instituto Alana / PROTESTE — Associação de Consumidores
