Foto: Karl-Ludwig Poggemann/Flickr

O que outros países ensinam sobre leis de proteção de dados


Nova norma aprovada no Senado brasileiro é baseada em modelo europeu, reconhecido como o mais completo do mundo

No dia 10 julho de 2018, o Senado Federal aprovou o texto da tão aguardada LPDP (Lei de Proteção de Dados Pessoais). A aprovação da norma é um evento relevante para o Brasil, uma vez que, caso sancionada pelo presidente da República (o que deve ocorrer até 14 de agosto), a lei terá importantes impactos no desenvolvimento econômico, jurídico e social do país. 

O uso massivo de dados pessoais é uma realidade inegável e se tornou um elemento crucial para a economia, para a governança pública e para muitos outros aspectos de uma sociedade sustentável. Já em 2011, o Fórum Econômico Mundial ressaltava que os dados pessoais são “uma nova classe de ativos econômicos” e “a moeda do mundo digital”; portanto, a proteção de tais dados torna-se um pilar fundamental de qualquer sistema econômico e social cujo objetivo seja a sustentabilidade.

A criação de uma autoridade de proteção de dados não deve, portanto, ser parte acessória do sistema definido pela LPDP. Ao contrário, trata-se de elemento basilar para a fiscalização e garantia do funcionamento dos ecossistemas que a lei deseja proteger.

O texto recém-aprovado pelo Senado requer explicitamente a criação de uma “Autoridade Nacional de Proteção de Dados” que seja “integrante da administração pública federal indireta, submetida a regime autárquico especial”. A criação de tal autoridade é um elemento essencial pela sustentabilidade de um mecanismo eficiente de proteção de dados. Tal crença não é somente compartilhada pelos demais especialista da área, mas é também um elemento fundamental do sistema europeu de proteção de dados pessoais, que é reconhecido como o mais completo do mundo e que é o evidente modelo no qual a LPDP se baseou.

A criação de uma nova autarquia, no entanto, se tornou o nó da discórdia entre os apoiadores e os críticos da LPDP. Particularmente, alguns membros do governo levantaram várias objeções, entre as quais a existência de “vício de iniciativa”, uma vez que somente o Poder Executivo teria competência para criar novas autarquias. Este artigo não entrará no mérito dessa discussão específica, e apenas discutirá os requisitos administrativo-institucionais que deveriam caracterizar a nova entidade que cuidará da implementação da LPDP.

Em 2016, quando o texto da LPDP ainda era um Anteprojeto de Lei, participamos ativamente do debate público organizado pelo Ministério da Justiça, enviando uma contribuição. Os elementos desse anteprojeto foram em sua maioria mantidos na versão consolidada do texto legal que atualmente está nas mãos do presidente. Tais elementos, que incluem a instituição de uma autoridade de proteção de dados, que o Anteprojeto definia inicialmente como “órgão competente”, foram mantidos porque não dependem de ideologias específicas e são baseados na bem-sucedida experiência de outros países.

Entendemos que o modelo brasileiro é único, assim como todo o nosso arcabouço jurídico-regulatório. No entanto, analisar as boas práticas internacionais é imprescindível neste momento no qual importantes decisões serão tomadas. Abaixo seguem alguns dos aspectos que não devem ser subestimados em relação à criação da referida autoridade.

Experiências internacionais

Na Europa, a necessidade de uma autoridade de proteção de dados é um requisito essencial desde os anos 1990. Da mesma forma, a criação e o funcionamento de uma autoridade de supervisão são condições sine qua non para que o sistema brasileiro possa ser considerado como “adequado” nos termos do artigo 45 do Regulamento Geral sobre a Proteção de Dados (UE) 2016/679. Tal adequação é essencial para que empresas brasileiras possam se beneficiar de fluxos de dados internacionais e de imensas oportunidades de negócios que podem surgir da possibilidade de acessar e processar os dados de 500 milhões de cidadãos europeus.

Os modelos de autoridades implementados pelos estados membros da União Europeia foram analisados pela Agência dos Direitos Fundamentais da União Europeia (dita “FRA”, do acrônimo inglês) para destacar as melhores práticas e os desafios enfrentados no âmbito do sistema europeu. Três pontos considerados como particularmente relevantes pela FRA são, ao nosso ver, os elementos principais a serem considerados no momento da criação de uma autoridade: (i) sua natureza jurídica de direito público; (ii) sua independência e (iii) sua autonomia orçamentária. Considerando que o texto aprovado pelo Senado se refere a uma autoridade de natureza jurídica de direito público, o texto abaixo detalha os demais elementos ora mencionados.

Independência

A experiência europeia demonstra que é fundamental que a independência seja em relação à administração direta. Isso é essencial para que as autoridades estejam protegidas contra potenciais influências políticas e econômicas que se revelem nocivas ao bom andamento de suas atividades, exercendo suas atribuições com isonomia e equidade.

Em alguns Estados europeus, por exemplo, a falta de completa autonomia é relacionada principalmente ao processo de nomeação ou designação, quando o Poder Executivo tem a prerrogativa exclusiva de selecionar os membros da autoridade ou o pessoal de gestão.

Autonomia orçamentária

A maioria das autoridades europeias recebe recursos públicos para desempenhar suas funções, e muitas vezes eles são canalizados por meio dos respectivos Ministérios da Justiça. Em alguns casos, o referido orçamento é complementado pela cobrança de valores por notificações e sanções administrativas. Em Portugal, por exemplo, o orçamento da autoridade provém da dotação inscrita no Orçamento da Assembleia da República e de receita própria da autoridade, proveniente de multas e da cobrança de taxas.

E o Brasil, o que deve fazer?

O Brasil deve buscar criar uma autoridade que tenha natureza jurídica de direito público, parte da administração pública indireta, e não de ente da administração direta, uma vez que estes entes não possuem a independência necessária. Ademais, a instituição deverá estar livre para exercer seus poderes, gozando de orçamento próprio. Essas características são justamente as de uma autarquia, como sugere o mesmo artigo 53 do texto aprovado pelo Senado.

Além de ser um pilar da proteção dos dados pessoais, a criação de uma autoridade de proteção apresenta variadas vantagens. Entre elas, estão a garantia da devida implementação de direitos e a atuação como fonte de referência e de coerência, conferindo lógica e técnica às diferentes leis, documentos e regras relacionadas à questão da proteção de dados no Brasil. Embora essa criação demande a alocação de recursos financeiros, humanos e políticos, esse é um investimento fundamental para a plena efetividade da LPDP.

Portanto, a construção de um mecanismo de proteção dos dados pessoais deve ser orientada pelos critérios da eficiência da sustentabilidade e pela compreensão de que a criação de uma autoridade de proteção de dados pode somente ser considerada como um investimento necessário para o futuro do país.

Luca Belli, PhD, é pesquisador sênior da FGV Direito Rio e da Université Paris 2 e fundador do MyData Brasil. (O autor agradece a Nathalia Foditsch, advogada e especialista em políticas públicas e regulação de comunicações, baseada em Washington D.C., pelos comentários ao texto.)

Os artigos publicados no nexo ensaio são de autoria de colaboradores eventuais do jornal e não representam as ideias ou opiniões do Nexo. O Nexo Ensaio é um espaço que tem como objetivo garantir a pluralidade do debate sobre temas relevantes para a agenda pública nacional e internacional. Para participar, entre em contato por meio de ensaio@nexojornal.com.br informando seu nome, telefone e email.

Todos os conteúdos publicados no Nexo têm assinatura de seus autores. Para saber mais sobre eles e o processo de edição dos conteúdos do jornal, consulte as páginas Nossa equipe e Padrões editoriais. Percebeu um erro no conteúdo? Entre em contato. O Nexo faz parte do Trust Project.