Vigência da LGPD e os desafios na implementação da ANPD e do CNPD

A Coalizão Direitos na Rede é um coletivo que reúne mais de 40 entidades da sociedade civil e organizações acadêmicas que trabalham em defesa dos direitos digitais. Desde o início das discussões dos projetos de lei que resultaram na aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD), temos debatido com outros setores da sociedade e parlamentares sobre a importância da garantia do direito à privacidade e à proteção de dados pessoais. 

A Coalizão participou ativamente das discussões que antecederam a sanção da Lei Geral de Proteção de Dados Pessoais e da Medida Provisória n. 869/2020. E agora apresenta um balanço sobre: a) a recente decisão de não postergação da vigência da LGPD, e b) a promulgação do Decreto n° 10.474/2020, que aprova a estrutura regimental da Autoridade Nacional de Proteção de Dados Pessoais e do respectivo Conselho. 

1. Balanço sobre a vigência 

Ante a postergação da vigência dos artigos relativos algumas das sanções administrativas da LGPD para agosto de 2021 pela Lei n. 14.010/2020 e a diminuição da potencialidade dos riscos oferecidos ante a ausência de uma Autoridade Nacional de Proteção de Dados Pessoais, agradecemos ao Senado Federal por reconhecer a importância da urgência da entrada em vigor da LGPD. No momento em que todas as atividades cotidianas passam pela Internet, a lei se torna a principal proteção dos cidadãos nesse âmbito. A entrada em vigor da LGPD é apenas o início do reconhecimento da proteção de dados como direito autônomo no ordenamento jurídico brasileiro.

Adicionalmente, o cenário eleitoral de 2018 demonstrou também que a ausência de regras específicas sobre o uso de dados pessoais de eleitores inaugurou um momento perigoso para a democracia brasileira.  A utilização de dados de eleitores para o direcionamento de conteúdo de acordo com o perfil pessoal, o chamado “microtargeting”, é uma técnica que – além de violar princípios gerais de proteção de dados – somente foi possível dada a ausência de uma lei específica que falasse de autorizações para o compartilhamento e estipulasse sanções para os abusos. Assim, diante da proximidade das eleições estaduais e municipais, a existência de uma Lei Geral de Proteção de Dados Pessoais capaz de orientar e balizar as atividades de coleta e processamento de dados pessoais dos eleitores é muitíssimo importante e necessária. 

2. Problemas do Decreto n° 10.474/2020

No último dia 26 de agosto de 2020, após o debate no Senado Federal, o Governo Federal editou o Decreto n. 10.474/2020, que “aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados (ANPD) e remaneja e transforma cargos em comissão e funções de confiança”. O decreto em questão dispõe sobre medidas dedicadas à constituição da Autoridade Nacional de Proteção de Dados Pessoais, quadro funcional da ANPD, funcionamento e periodicidade das reuniões do Conselho Diretor e também sobre a forma de nomeação de membros do Conselho Nacional de Proteção de Dados.

Conforme já destacado em posicionamentos anteriores da Coalizão Direitos Na Rede, é lamentável que o modelo de Autoridade Nacional de Proteção de Dados aprovado na Medida provisória 869/2018 tenha sido incapaz de constituir um órgão com autonomia financeira e administrativa. O modelo de ANPD constituído, portanto, é o de um órgão que integra a estrutura da Presidência da República e cujo modelo deve ser revisado em até dois anos da sua constituição, conforme o disposto no § 1º do artigo 55-A da Lei Geral de Proteção de Dados Pessoais. 

Ao passo que a ANPD é a entidade responsável por fiscalizar, educar e, quando cabível, punir agentes de tratamento de dados, incluindo o poder público, é relevante que a sua atuação seja autônoma e livre de influência política. Suas atribuições serão exercidas por um Conselho Diretor e um conselho consultivo, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. Este último é um órgão multissetorial, composto por 23 integrantes e que objetiva incluir diferentes vozes na regulação da proteção de dados no país.

2.1. Autonomia da ANPD e insuficiências no quadro funcional

Passando à análise do Decreto da ANPD, entendemos que ele apresenta discussões novas sobre o modelo de funcionamento da autoridade brasileira e que não foram objeto de amadurecimento com outros setores da sociedade. 

Em um primeiro momento, o inciso XX do artigo 2° da Estrutura Regimental da Autoridade Nacional de Proteção de Dados é um dispositivo que pode gerar conflito com o disposto na LGPD. O texto do inciso artigo coloca como competência do órgão “deliberar, na esfera administrativa, em caráter terminativo, sobre a Lei nº 13.709, de 2018, as suas competências e os casos omissos, sem prejuízo da competência da Advocacia-Geral da União estabelecida pela Lei Complementar nº 73, de 10 de fevereiro de 1993. Aqui, o texto do decreto apresenta confusão e pode acabar gerando a interpretação de que questões administrativas relativas à LGPD sejam submetidas ao crivo da AGU, colocando, assim, a autonomia decisória da ANPD em risco.

Outro ponto que chama a atenção no referido decreto é o art. 37, que dispõe sobre a possibilidade de requisição de militares das Forças Armadas, Polícias Militares e Corpo de Bombeiros Militares. O dispositivo afirma que, nesses casos, o pedido será feito pelo Gabinete de Segurança Institucional da Presidência da República diretamente ao Ministério da Defesa ou aos governos estaduais ou do Distrito Federal.

Neste ponto é importante lembrar que, não muito tempo atrás, cogitou-se a possibilidade de o GSI abarcar as funções da ANPD, no que seria uma clara confusão entre atividades de Segurança Nacional e proteção de informações estratégicas com a garantia da privacidade e proteção de dados pessoais. Mais uma vez, preocupa aqui a tentativa de alteração das competências práticas de órgão técnico, responsável pela implementação da LGPD; e os recentes casos de vigilância estatal praticados por alguns órgãos do poder público vão de encontro com a criação de uma política pública sobre proteção de dados pessoais. 

Por fim, vale destacar que o número de cargos designados na estrutura regimental do órgão aparenta ser insuficiente para os desafios colocados à atuação da Autoridade. O Decreto institui a alocação de 38 cargos,  contando o conselho diretor. Trata-se de um número bastante exíguo de pessoas considerando-se todas as atividades que a Autoridade deverá cumprir, tais como: realização de auditorias para verificação de práticas inadequadas de tratamento de dados, recebimento de relatórios de impacto à proteção de dados, elaboração de normas e regulamentos, dentre as outras vinte e quatro competências elencadas pelo artigo 55-J da Lei Geral de Proteção de Dados Pessoais. Sem capacidade de recursos humanos, é improvável que a Autoridade cumpra suas atividades com um mínimo de rigor técnico. 

2.2. Violação da representação da sociedade civil na ANPD e no CNPD

Uma outra questão que gera preocupação no texto é o duplo filtro colocado às nomeações de representantes da sociedade civil para o Conselho Nacional de Proteção de Dados. De acordo com o Art. 15, § 6º, do Decreto, o processo de nomeação passa pelo recebimento de indicações, e formação de uma lista tríplice pelo Conselho Diretor, para apenas então ocorrer a nomeação pelo Ministro Chefe da Casa Civil ou Presidente da República. Criam-se, assim, duas barreiras à nomeação de instituições aprovadas e representantes de associações da sociedade civil. Com isso, temos o potencial de que participação social dentro do Conselho seja minada, o que pode acabar colocando óbices ao próprio potencial do Conselho enquanto um órgão plural e consultivo. Além da questão material, essa previsão no Decreto foi feita sem qualquer consulta à sociedade civil ou interlocução com os setores representados no conselho. 

O processo de discussão da LGPD foi permeado por debates, de um lado, sobre a adequação necessária às empresas para operar em conformidade com a lei e, do outro, os interesses dos cidadãos em aumentar a proteção aos seus dados pessoais. Esses debates foram também importantes para sedimentar a participação dos setores interessados em discussões multissetoriais com parlamentares, seguindo o exemplo do Marco Civil da Internet. Nesse processo, a visão e a participação da sociedade civil foram fatores que contribuíram para que os direitos dos usuários à privacidade – e o direito à proteção de dados como sua extensão – fossem garantidos e estivessem sempre em debate.

A sociedade civil foi um setor indispensável para a aprovação de uma Lei Geral de Proteção de Dados Pessoais baseada na proteção e garantias de direitos para todos. Nesse sentido, entendemos como primordial a designação de pelo menos um membro do Conselho Diretor capaz de traduzir as demandas deste setor nos trabalhos da ANPD. Adicionalmente, a frequência e a quantidade de reuniões colocadas para o CNPD – três sessões anuais e de forma virtual – é uma previsão limitada de trabalho para um órgão tão chave para a criação da Política Nacional de Proteção de Dados Pessoais e acompanhamento das atividades da ANPD.

Em um segundo momento, o CNPD materializa a participação da sociedade civil – e de outros setores – na ANPD, ao incluí-los em atividades como a proposição de diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD. No entanto, a incongruência colocada no duplo filtro de seleção de representantes desse setor no CNPD – lista tríplice formulada pelo Conselho Diretor e submetida ao crivo do Presidente da República – é fator que não só confere ao Governo Federal o poder de veto sobre a representação de outro setor no órgão, como também desrespeita a autonomia na representação. 

3. Conclusão

Por todo o exposto, consideramos um avanço a publicação do decreto em comento: ele constitui mais um passo na direção do efetivo direito à proteção de dados pessoais de cidadãos e cidadãs brasileiras. A Coalizão Direitos na Rede há muito tempo se posiciona pela edição do decreto e pela instalação da ANPD, processo inaugurado somente agora.

Entretanto, consideramos problemáticos os pontos aqui ressaltados, que claramente decorrem da falta de diálogo do Governo Federal com os demais setores interessados. A garantia do direito à proteção de dados no Brasil depende de uma ANPD robusta e independente, capaz de implementar e monitorar a aplicação da lei, e da devida representação dos setores interessados – nas atividades da Autoridade e  do Conselho Nacional de Proteção de Dados Pessoais.