fbpx
Menu

Artigo: Autoridade Nacional de Proteção de Dados

1024 683 Oliveiras: Reis & Adas Advocacia

Há pouco mais de 100 dias foi sancionada a Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709, de 14 de agosto de 2018). Após grande expectativa, o Presidente da República vetou a criação da Autoridade Nacional de Proteção de Dados, bem como parte de suas competências, por inconstitucionalidade formal. Segundo o governo e parte dos que participaram dos debates, era alto o risco de questionamento de qualquer ato da Autoridade, e nesse sentido o veto teria blindado a norma. No entanto, houve explícito compromisso governamental em restabelecê-la, por edição de medida provisória ou envio de projeto de lei. Por motivos políticos, administrativos ou fiscais, até o momento a promessa não se concretizou.

Este texto é de autoria de Felipe de Paula, foi publicado em 11.12.2018, pelo JOTA, e está disponível em seu link original.

Reitere-se: a criação de Autoridade independente, dotada de expertise e munida de ferramental para o monitoramento e o enforcement da lei, é vital à implementação da política de proteção de dados. Se havia risco de questionamento em juízo da norma original, a indefinição relativa à nova Autoridade na prática inviabiliza o bom funcionamento do microssistema. O problema inicialmente jurídico amplia-se sobremaneira: compromete a própria razão de ser da lei.

Não há dúvida de que a prometida solução pela via legislativa – seja MP, seja PL – é a forma mais adequada de se resolver o problema. Devolve o debate de mérito ao Congresso, com foco precípuo em quem deveria gerir o assunto, como e sob quais condições. A propósito, por mais legítima e desejável que seja a criação da Autoridade, a recente tentativa de resgatá-la ainda este ano a partir da derrubada do veto do Presidente é opção que infelizmente não a livra do risco jurídico inicial – ao contrário, o ressuscita e deixa a lei sujeita a potencial comportamento oportunista de eventual futuro sancionado.

Mas e se a medida legislativa não ocorrer? Há como avançar mesmo se a Autoridade não vier?

Primeiro, é preciso retomar o básico e desfazer equívoco recorrente: dizer que a competência regulamentar sobre proteção de dados pessoais e privacidade por parte da Autoridade foi vetada não equivale a dizer que a lei não possa ser regulamentada, via decreto, pelo Presidente da República. A competência constitucional de expedir decretos executivos não foi, por óbvio, afetada, e o Presidente não só pode como deve utilizá-la.

Para além das referências específicas à competência da Autoridade (não criada até aqui), a lei faz remissões expressas a regulamento, sem especificar sua fonte. Assim, parecem sujeitos a tratamento via decreto, por expressa previsão legal, o art. 9º – “acesso facilitado” ao tratamento de dados por parte de um titular –, o art. 13 – acesso e práticas de segurança relativas a bases de dados pessoais de estudos em saúde pública –, e o art. 49 – requisitos de segurança e padrões de boas práticas e governança –, dentre outros.

Ademais, é da própria natureza da atividade regulamentar desenvolver e dar execução ao estabelecido em lei. Há na LGPD, indiscutivelmente, assuntos que demandam e, mais importante, que comportam tratamento infralegal. Nada obsta que, dentro dos parâmetros legais, decreto regulamentar ofereça diretrizes a temas ainda demasiado abrangentes como hipóteses e critérios mínimos de apuração de legítimo interesse, ou requisitos e prazos para a requisição de dados pelo titular ao controlador em relação aos dados por ele tratados.

Nesse sentido, um cuidadoso decreto regulamentar expedido pelo Presidente da República inequivocamente auxiliaria a compreensão e a própria execução do novo ato normativo, suprindo parte do que hoje se exige. Não obstante, eventual decreto não resolve o todo. Sua emissão não soluciona os problemas que a ausência da Autoridade provoca, nem as dificuldades que o veto parcial autonomamente gerou.

Em primeiro lugar, a doutrina tradicional enxerga na referência expressa a regulamento posterior emitido por órgão competente individualizado – é dizer, a Autoridade – uma espécie de condição suspensiva da execução legal. Sem o requerido regulamento não haveria produção completa de efeitos, e atualmente não há ente competente para expedi-lo.

Mas há complicação adicional relevante: é que o inciso XIX do art. 5° da lei, não vetado, explicitamente define a Autoridade, cravando em lei que ela comporá a administração pública indireta. Tal previsão compromete soluções que dão como juridicamente possível a atribuição – quiçá temporária – dos poderes da Autoridade a órgão ou entidade pré-existente por decreto presidencial.

De um lado, inviabiliza-se eventual (e questionável) atribuição de poderes a órgão da administração direta – como secretaria do Ministério da Justiça ou o Gabinete de Segurança Institucional –, com base na competência do Presidente da República em dispor sobre organização e funcionamento da administração quando não houver aumento de despesa nem criação ou extinção de órgãos públicos (art. 84, VI, “a”, da CF/88).

De outro, a atribuição de parte das competências a autarquia pré-existente, aderente à previsão de administração indireta, pode esbarrar na evidente especialidade tanto da Autoridade especificamente prevista na nova lei quanto daquelas entidades pré-existentes, potenciais candidatas às novas competências. O fato é que são numerosos os temas que dependem de uma Autoridade em pleno exercício de suas competências.

A transferência internacional de dados é assunto-chave, que sem Autoridade não avança. A aplicação das sanções administrativas previstas na lei, idem: para além da referência à publicação de metodologia prévia de cálculo das multas, não se sabe a quem cabe o exercício do poder sancionador, o processamento, o cálculo, a fiscalização.

Assim, se é certo que um bom decreto regulamentar pode auxiliar a compreensão e a execução parcial da LGPD, também não deve haver dúvidas quanto à necessidade, à relevância e à urgência da criação da Autoridade por lei. Se a Autoridade não vier, o funcionamento do microssistema ficará irremediavelmente comprometido. Seja como for, há forte pressuposto: se isso não se der de maneira adequada, os riscos jurídicos estarão inequivocamente mantidos.

AUTOR

Oliveiras: Reis & Adas Advocacia

Escritório de advocacia sediado em São Paulo e voltado para Direito Penal, Direito do Trabalho, Direito Tributário, Direito do Consumidor, Responsabilidade Civil e Direito de Família, oferecendo uma abordagem personalíssima e uma estrutura multidisciplinar e abrangente, focando nas medidas mais efetivas para o cliente.

Todas as histórias por: Oliveiras: Reis & Adas Advocacia