A autoridade nacional de proteção de dados e sua importância para os indivíduos e para o Brasil

Em 8 de julho de 2019 foi promulgada a lei 13.853, que cria a Autoridade Nacional de Proteção de Dados (ANPD). Tal iniciativa é mais uma demonstração da inserção do Brasil no cenário atual mundial no sentido de se proteger cada vez mais a privacidade e os dados pessoais dos indivíduos.

 

A Lei Geral de Proteção de Dados (lei 13.709) de agosto de 2018 teve as disposições sobre a criação da Autoridade Nacional de Proteção de Dados e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade inicialmente vetadas. Entretanto, a MP 869 de dezembro de 2018 alterou a LGPD e especificou a criação e a estrutura da ANPD e foi recentemente convertida na referida lei.

 

Apesar de o novo órgão ser integrante inicialmente da Presidência da República, ele poderá, em até 2 anos, ser transformado em entidade autárquica. De qualquer forma, a ANPD possui autonomia técnica e decisória.

 

Seu conselho diretor será composto por 5 diretores, todos escolhidos pelo presidente da República, com mandato de 4 anos.

 

Entre as atribuições da autoridade, destacam-se as seguintes:

 

zelar pela proteção de dados pessoais, dos segredos comerciais e industriais;

fiscalizar e aplicar sanções no caso de descumprimento da LGPD;

apreciar petições de indivíduos contra controladores de dados;

promover ações de cooperação com autoridades de proteção de dados de outros países;

editar regulamentos e procedimentos sobre a proteção de dados pessoais e privacidade.

 

Resumidamente, a ANPD será o órgão nacional de fiscalização e aplicação da LGPD, de forma que ela analisará como controladores e subcontratantes realizam o tratamento de dados pessoais, os punirá quando for necessário, auxiliará os titulares de dados pessoais a receberem informações claras e precisas, além de receber as reclamações dos indivíduos.

 

Ainda dentro da autoridade em comento, a lei 13.853 cria o Conselho Nacional de Proteção de Dados Pessoais e Privacidade, que deverá ser composto por 23 membros representantes do Poder Executivo, Legislativo e Judiciário, da Sociedade Civil, de Instituições Científicas e do Setor Laboral. Esses serão nomeados pelo presidente da República, tendo mandato de 02 anos.

 

Ao conselho compete elaborar estudos, realizar debates e audiências públicas sobre proteção de dados pessoais e privacidade, disseminar conhecimento sobre estas áreas, entre outros. Ou seja, ele auxiliará a ANPD em suas funções, propondo ações a serem realizadas pela autoridade, além de atuar junto à sociedade, ao trazer informações e auxílio nos setores de proteção de dados e privacidade.

 

Tendo em vista que a ANPD é uma inovação no ordenamento jurídico brasileiro, pode-se entender melhor como será seu funcionamento por meio da observação de como atuam órgãos semelhantes em outros países. E como exemplo principal temos a União Europeia, onde o GDPR está vigente desde maio de 2018.

 

Órgãos de Proteção de Dados e Privacidade na União Europeia

 

O GDPR  (Regulamento Europeu de Proteção de Dados Pessoais) estabelece que cada estado-membro deve ter pelo menos uma autoridade -- pública e independente -- com a responsabilidade de fiscalizar e aplicar o Regulamento e prezar pela defesa dos direitos fundamentais das pessoas naturais relativos à proteção de dados pessoais. Essas autoridades são chamadas de "autoridades de controle" ou supervisory authorities.

 

O Data Protection Commission (DPC) é um exemplo de atuação dessas autoridades . O órgão, situado na Irlanda, possui um website muito didático e com diversas informações esclarecedoras ao público. Interessantemente, as primeiras opções que o site apresenta são report a breach e raise a concern. Ou seja, são canais para que os indivíduos possam apresentar reclamações e preocupações sobre o tratamento de dados pessoais.

 

Outra informação apresentada é um material destinado aos professores para que esses profissionais possam ensinar crianças sobre proteção de dados e privacidade. Assim, vemos uma das primeiras funções do DPC, qual seja, informar o público sobre o assunto que lhe compete e apreciar petições de indivíduos sobre possíveis violações de dados.

 

As autoridades de controle também fiscalizam a atuação de responsáveis e subcontratantes, os julga e aplica sanções quando houver o descumprimento dos preceitos e princípios do GDPR -- inclusive multas, que podem alcançar 20 milhões de euros ou 4% do volume de negócios anual global.

 

Além disso, entre outras atribuições, elas possuem competência para aconselhar o parlamento nacional, o governo e outras instituições em relação à proteção de dados; conscientizar os responsáveis pelo tratamento e subcontratantes sobre suas obrigações; receber, processar e investigar reclamações dos indivíduos; e cooperar com outras autoridades de controle para implementar o GDPR de forma consistente.

 

É importante destacar que, além das autoridades nacionais, o direito europeu prevê a criação do Comitê Europeu para a Proteção de Dados (EDPB, do inglês European Data Protection Board). O órgão, localizado em Bruxelas, é independente e não apenas contribui com a implementação consistente dos preceitos jurídicos de proteção de dados, mas também é responsável pela promoção de cooperação entre as autoridades supervisoras da União Europeia.

 

De forma análoga, foi criada a Autoridade Supervisora da União Europeia, cuja principal função é monitorar e assegurar a proteção de dados pessoais e privacidade dentro das instituições do bloco europeu. Entretanto, suas funções e poderes não estão disciplinadas no GDPR, mas sim no regulamento (EU) 2018/1725 de outubro de 2018.

Considerações Finais

 

É inegável que, desde a aprovação e principalmente da entrada em vigor do GDPR, o tema da proteção de dados pessoais e sua importância ganha cada vez mais destaque no cenário internacional. Assuntos como privacidade, violação e vazamento de dados, descumprimento dos direitos dos indivíduos e necessidade de compliance com as normas têm sido recorrentes nos noticiários, congressos e pesquisas jurídicas.

 

Ao aprovar a LGPD em 2018 -- mesmo ano da entrada em vigor do Regulamento Europeu -- o Brasil sinalizou que reconhece a importância de se proteger os dados pessoais dos indivíduos. Nesse contexto, a criação da ANPD é mais um passo relevante em direção à tendência capitaneada pelo GDPR, haja vista que sua estrutura é similar à das autoridades europeias em matéria de proteção de dados.

 

 

Com tais medidas, além de proteger os dados dos indivíduos, o Brasil avança no sentido de potencializar suas relações econômicas com o bloco europeu, visto que, juntamente com instrumentos na seara internacional, o país está em busca de assegurar adequadamente a defesa dos dados pessoais e de garantir a efetividade desse sistema. Isso pode implicar em maior importação e exportação de dados, o que pode resultar em maiores transações comerciais entre o Brasil e a União Europeia.

________

*Mateus Mello Garrute é consultor especialista em proteção de dados pessoais e em propriedade intelectual do escritório Capistrano Gameiro Advogados (RJ) e do escritório Pimenta Advocacia e Consultoria Jurídica (ES), mestre em direito processual pela UFES, LL.M. em direito europeu e transnacional da propriedade intelectual e da informação tecnológica pela University of Göttingen, advogado e membro da European Association of Data Protection Professionals.

*Estela Schmidt é advogada especialista em propriedade intelectual e proteção de dados, LL.M. em direito europeu e transnacional da propriedade intelectual e da informação tecnológica pela University of Göttingen e bacharel em Direito pela Universidade Presbiteriana Mackenzie.