Thiago Barbosa Gil[1]

Paulo Muraro Correa[2]

Palavras-chave: Autoridade Nacional de Proteção de Dados – Medida Provisória nº 869 – Lei n.13.709/2018 – Proteção de dados pessoais.

Resumo: Este artigo trata de críticas à recém-criada Medida Provisória (MP) n. 869, de 27 de dezembro de 2018, que alterou a Lei n.13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais brasileira – LGPD) e criou a Autoridade Nacional de Proteção de Dados (ANPD).

Os estímulos à proteção de dados no Brasil têm aumentado de maneira progressiva, digamos, em progressão geométrica, relativamente rápida no ano de 2018; a própria proteção de dados, contudo, segue em progressão aritmética, pois existe a necessidade de acertos na lei que trata sobre o tema. De outra ponta, se quisermos resumir numa síndrome, por um artifício instrumental cômodo, com força de lei, pelo qual o Poder Executivo simplifica uma realidade multifacetada com o fito de lhe dar características outras, ou seja, diferente do senso comum e com contornos de suposta relevância e urgência, diremos que esse mal consiste nas medidas provisórias inconsistentes com a realidade. O fato é triste, mas, infelizmente não é raro.

Nesse início do ano de 2019 está em discussão no meio jurídico, tanto profissional quanto acadêmico, a recém-criada Medida Provisória (MP) n. 869, de 27 de dezembro de 2018[3], que alterou a Lei n.13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais brasileira – LGPD)[4] e criou a Autoridade Nacional de Proteção de Dados (ANPD).

Conforme se verá adiante, se há característica que imediatamente distinga a ANPD, criada por essa MP, é a ausência de independência desse novo órgão (ou melhor, ausência de autonomia reforçada, porque nenhuma instituição é completamente autônoma[5]). Essa autonomia – tanto financeira, quanto em relação ao controle pelo Poder Executivo – é necessária para se regular de forma adequada a proteção da informação relacionada à pessoa natural. Tal característica, se fosse prevista, estaria em conformidade com o Regulamento Geral Europeu sobre a Proteção de Dados (General Data Protection Regulation – GDPR)[6].

Compreende-se a importância da Lei n.13.709/2018. A proteção, tomada aqui em sentido amplo, é equivalente ao devido tratamento dos dados pessoais onde quer que se encontrem armazenados, inclusive, e, sobretudo, em meio digital[7]. Cada pessoa natural, ou pessoa jurídica de direito público ou privado, deve realizar em si mesma esta proteção da atividade de tratamento, isto é, em sua própria operação de tratamento de dados de indivíduos[8]. É obrigação, portanto, de cada pessoa coletora de dados alheios, ser uma fonte garantidora das subjetividades[9] (das quais a própria privacidade, quando é objeto do tratamento, também faz parte) de terceiros, para assim se adequar àquela atividade de proteção de toda operação realizada com dados pessoais, para a qual o legislador almejou ser feita com boa-fé e de acordo com os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas[10].

Em relação à nova MP, temos novamente o mito da relevância e urgência que já ocorreu em variadas medidas provisórias. Isso se dá com raízes profundas no passado e na alma dos anteriores chefes do Executivo. Nosso trabalho é, pois, mais fácil: não temos que criar um mito, senão que identificá-lo com alguns argumentos.

Comecemos por considerar que justamente o capítulo IX da LGPD, justamente esse capítulo que foi incluído pela MP 869, havia sido vetado por completo na fase de sanção presidencial da LGPD, em agosto de 2018. Feito isso, cada um de nós e a sós consigo, pode passar a se questionar o porque de algo que havia sido vetado há quatro meses atrás surge agora como novidade relevante e urgente? Para se chegar ao âmago da resposta é necessário voltar ao passado e primeiro identificar as razões de veto, que consistiram nos seguintes termos: “os dispositivos incorrem em inconstitucionalidade do processo legislativo, por afronta ao artigo 61, § 1º, II, ‘e’, cumulado com o artigo 37, XIX da Constituição”[11]. Tais dispositivos constitucionais tratam, respectivamente, da iniciativa privativa de lei, pelo Presidente da República, que disponha sobre criação de órgãos da administração pública [12] e da criação de autarquia por lei específica[13].

Ora o dito “mito”, embora varie um pouco pela influência insistente do sistema presidencialista, é, nas suas linhas gerais, determinado pela hereditariedade se lhe infixou. Porém, neste caso, ocorreu a tentativa de se esconder uma realidade pungente: a de que o art. 55 do capítulo vetado da LGPD previa que a ANPD seria “integrante da administração pública federal indireta, submetida a regime autárquico especial e vinculada ao Ministério da Justiça”[14]; por outro lado, nos termos do art. 55-A da MP 869, a ANPD foi criada, “sem aumento de despesa”, como “órgão da administração pública federal, integrante da Presidência da República”.

Temos, pois, que a uma certa altura do fim do mandato presidencial de Michel Temer há de haver uma desadaptação da sensibilidade política com que temas importantes, como é o caso da proteção de dados pessoais, foram tratados pelo governo. Ao se criar um órgão sem autonomia financeira e vinculado ao Poder Executivo, isto é, com características nunca existentes em outras instituições reguladoras, nasce mais um problema: o de se conceber uma instituição com competência para, entre outras, zelar pela proteção de dados pessoais, editar normas, requisitar informações, fiscalizar e aplicar de sanções, tudo isso em relação ao próprio Estado e com os recursos do próprio Estado.

Daí a desadaptação. Ela existe pela incapacidade criativa da MP 869. Temos, portanto, que o Congresso Nacional poderá ainda rejeitá-la, aprová-la ou alterar de seu conteúdo para transformá-la em lei ordinária. Nesse último caso, ela passará a tramitar como um projeto de lei de conversão. Caso seja aprovada na Câmara e no Senado, a MP, ou o projeto de lei de conversão, será enviada (o) à Presidência da República para que ocorra a sanção. Sendo assim, o presidente Jair Messias Bolsonaro terá a prerrogativa de vetar o texto parcial ou integralmente.

Em relação ao tema, para o Congresso Nacional tudo está agora em identificar as graves falhas da MP 869. Esses detalhes que afetam a efetividade da LGPD, esses, por assim dizer, traços prejudiciais afetam: (i) os destinatários finais da norma, ou seja, as pessoas naturais que têm reduzidas: sua privacidade, sua liberdade de informação e expressão, sua dignidade, seu livre exercício da cidadania, etc.; (ii) o setor privado, que lidará com o comércio e os serviços desadaptados ao tratamento internacional de dados; (iii) as entidades públicas, que terão suas estruturas de cooperação internacional prejudicadas pelo desalinhamento com as normas de outros países; (iv) o próprio governo, que terá de enfrentar possíveis crises diplomáticas pela ausência de confiabilidade de lei de proteção de dados.

Outras imprecisões podem ser citadas: como o art. 55-B da ANPD[15], por si só, pode garantir uma autonomia técnica à entidade? Porque § 1º do art. 55-D[16] prevê que os membros do Conselho Diretor da ANPD ocuparão cargo em comissão? Ora, a Constituição Federal, no inciso II do art. 37, não dispõe que tais cargos são declarados “em lei de livre nomeação e exoneração”? Como compatibilizar cargo em comissão com a previsão do art. 55-E, segundo o qual: “os membros do Conselho Diretor somente perderão seus cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar”? Como compatibilizar o já dito art. 55-B, que visa garantir autonomia técnica à ANPD, com o art. 55-H, que dispõe que “os cargos em comissão e as funções de confiança da ANPD serão remanejados de outros órgãos e entidades do Poder Executivo federal”?

A MP, nos incisos I e II do §4º do seu artigo 11 [17], adiciona duas exceções que autorizam a comunicação ou o uso compartilhado de dados entre controladores de dados pessoais sensíveis à saúde com o objetivo de obter vantagem econômica, são elas: i) quando ocorre portabilidade de dados mediante consentimento do titular; e ii) quando há necessidade de comunicação para a adequada prestação de serviços de saúde suplementar. Tal mudança se fez necessária em decorrência do aspecto restritivo do texto original da LGPD, que poderia resultar na precarização de certos serviços concernentes à saúde[18].

Outra notável alteração trazida pela MP pode ser observada no artigo 65 da lei, que dispõe que a lei passará a viger apenas 24 meses após a sua publicação (isto é, em agosto de 2020), exceto para os dispositivos de criação da ANPD, que terão vigência imediata. A estipulação do prazo de 24 meses torna o processo de adaptação das empresas mais simples, pois dará à lei um caráter consultivo durante prazo de vacatio legis, prazo legal para que a lei entre em vigor[19].

Assim se chega à conclusão de enorme desproporção entre os estímulos políticos à necessidade da criação de uma Autoridade Nacional de Proteção de Dados, verificados em progressão geométrica (quatro meses de diferença entre o veto do capítulo IX da LGPD e a edição da MP 869), e os estímulos da falta de sensibilidade do Poder Executivo, consubstanciados na MP 869, correspondente, em termos, à progressão aritmética devido ao avanço enviesado que proporciona falta de efetividade à norma dos arts. 55-A a 58-B da LGPD. Sabido que existe a possibilidade de o Congresso Nacional alterar, de forma racional, o conteúdo da MP para que se transforme em lei ordinária, não se falou nesse texto em retrocesso, mesmo se tendo ciência de que tudo é possível e nada é garantido.

BIBLIOGRAFIA

BRASIL, Medida Provisória nº 869, de 27 de dezembro de 2018. Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados, e dá outras providências. Brasília, DF. Disponível em: . Acesso em: 30 dez. 2018.

BRASIL, Constituição Federal. Brasília, DF. Disponível em: . Acesso em 30 dez. 2018.

BRASIL, Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Brasília, DF. Disponível em: . Acesso em: 31 dez. 2018.

BRASIL, Mensagem nº 451, de 14 de agosto de 2018. Brasília, DF. Disponível em: . Acesso em 30 dez. 2018.

ARAGÃO, Alexandre Santos de. As agências reguladoras independentes e a separação dos poderes: uma contribuição da teoria dos ordenamentos setoriais. Revista Eletrônica de Direito Administrativo Econômico, Salvador, nº 10, 2007. Disponível em: . Acesso em: 30 dez. 2018.

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance). Disponível em: . Acesso em: 30 dez. 2018.

—————

[1] Advogado do Correia da Silva Advogados. Mestrando em Direito da Regulação pela Escola de Direito da Fundação Getulio Vargas no Rio de Janeiro; Possui MBA Executivo em Direito Empresarial pela FGV Direito Rio (2014) e graduação em Direito pela Universidade Federal Fluminense (2006).

[2] Estagiário do Correia da Silva Advogados. Graduando em Direito pela FMU. Possui experiência em Direito Público com ênfase em Direito Administrativo e Regulatório.

[3] BRASIL, Medida Provisória nº 869, de 27 de dezembro de 2018. Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados, e dá outras providências. Brasília, DF. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Mpv/mpv869.htm>. Acesso em: 30 dez. 2018.

[4] BRASIL, Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Brasília, DF. Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm>. Acesso em: 31 dez. 2018.

[5] Adota-se aqui a ideia de Alexandre Santos de Aragão, segundo a qual não existem instituições reguladoras propriamente independentes, mas sim com um maior ou menor grau de autonomia de acordo com as regras instituídas no ordenamento jurídico. ARAGÃO, Alexandre Santos de. As agências reguladoras independentes e a separação dos poderes: uma contribuição da teoria dos ordenamentos setoriais. Revista Eletrônica de Direito Administrativo Econômico, Salvador, nº 10, 2007. Disponível em: <http://www.direitodoestado.com.br/artigo/alexandre-aragao/as-agencias-reguladoras-independentes-e-a-separacao-de-poderes-uma-contribuicao-da-teoria-dos-ordenamentos-setoriais>. Acesso em: 30 dez. 2018.

[6] De acordo com o item 1 do art. 51 do GPDR, que trata da autoridade supervisora: “Cada Estado-Membro deve prever que uma ou mais autoridades públicas independentes sejam responsáveis pelo monitoramento da aplicação do presente regulamento, a fim de proteger os direitos e liberdades fundamentais das pessoas naturais relativamente ao tratamento e para facilitar o livre fluxo de dados pessoais na União (“autoridade supervisora”). (tradução nossa). Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance). Disponível em: <https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016R0679>. Acesso em: 30 dez. 2018.

[7] Conforme o art. 1º da Lei n.13.709/2018. BRASIL. Lei nº 13.709, de 14 de agosto de 2018.

[8] É necessário ressaltar, entretanto, que a LGPD prevê nos incisos de art. 4º quatro exclusões para as quais ela não se aplica. São elas referentes ao tratamento de dados pessoais: “I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II – realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos; III – realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; ou IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei”. Ibid.

[9] O termo “subjetividades” foi utilizado aqui para substituir as expressões: “direitos fundamentais de liberdade e de privacidade; livre desenvolvimento da personalidade da pessoa natural; respeito à privacidade; autodeterminação informativa; liberdade de expressão, de informação, de comunicação e de opinião; inviolabilidade da intimidade, da honra e da imagem; desenvolvimento econômico e tecnológico e a inovação; livre iniciativa, a livre concorrência e a defesa do consumidor;  direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais”. Tais termos correspondem aos objetivos e aos fundamentos da proteção de dados presentes nos arts. 1º e 2º da Lei n.13.709/2018. Ibid.

[10] Trata-se da disposição do art. 6º da LGPD. Ibid.

[11] De acordo com a Mensagem de veto n. 451/2018. BRASIL, Mensagem nº 451, de 14 de agosto de 2018. Brasília, DF. Disponível em: <http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Msg/VEP/VEP-451.htm>. Acesso em 30 dez. 2018.

[12] BRASIL, Constituição Federal. “Art. 61. A iniciativa das leis complementares e ordinárias cabe a qualquer membro ou Comissão da Câmara dos Deputados, do Senado Federal ou do Congresso Nacional, ao Presidente da República, ao Supremo Tribunal Federal, aos Tribunais Superiores, ao Procurador-Geral da República e aos cidadãos, na forma e nos casos previstos nesta Constituição. § 1º São de iniciativa privativa do Presidente da República as leis que: (…) II – disponham sobre: (…) e) criação e extinção de Ministérios e órgãos da administração pública, observado o disposto no art. 84, VI”. BRASIL, Constituição Federal. Brasília, DF. Disponível em: <http://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm>. Acesso em 30 dez. 2018.

[13] BRASIL, Constituição Federal. “Art. 37. A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência e, também, ao seguinte: (…) XIX – somente por lei específica poderá ser criada autarquia e autorizada a instituição de empresa pública, de sociedade de economia mista e de fundação, cabendo à lei complementar, neste último caso, definir as áreas de sua atuação”.

[14] De acordo com a Mensagem de veto n. 451, de 14 de agosto de 2018.

[15] BRASIL, Medida Provisória nº 869, de 27 de dezembro de 2018. “Art. 55-B. É assegurada autonomia técnica à ANPD”.

[16] BRASIL, Medida Provisória nº 869, de 27 de dezembro de 2018. “Art. 55-D. O Conselho Diretor da ANPD será composto por cinco diretores, incluído o Diretor-Presidente. § 1º Os membros do Conselho Diretor da ANPD serão nomeados pelo Presidente da República e ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superior – DAS de nível 5”.

[17] BRASIL, Medida Provisória nº 869, de 27 de dezembro de 2018. “Art. 11.  O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: (…)  § 4º  É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses de: (…) II – necessidade de comunicação para a adequada prestação de serviços de saúde suplementar”.

[18] Disponível em: <https://www.jota.info/opiniao-e-analise/artigos/a-criacao-da-autoridade-nacional-de-protecao-de-dados-pela-mp-no-869-2018-29122018>. Acesso em 09 jan. 2019.

[19] Ibid.