[especial] Fiscalização: como deve ser o “órgão competente”?

InternetLab Reporta 15.07.2016 por Juliana Ruiz

ILAB_5-EM-5_06_

Para reforçar a importância da discussão sobre o Projeto de Lei de Proteção de Dados Pessoais e para fomentar consolidação de ambiente propício para inovação e o avanço da efetivação de direitos fundamentais em tempos de Internet, o InternetLab lançou a Semana Especial de Proteção de Dados Pessoais. Foram 5 temas centrais da lei em 5 dias, com comentários de representantes do setor privado, da academia e da sociedade civil. Hoje, o quinto e último tema será sobre como deverá ser o órgão competente designado pela lei para que ela seja cumprida.

Veja também os temas anteriores:

Tema 1. O que são dados pessoais?

Tema 2. O que pode autorizar o tratamento de dados pessoais?

Tema 3. O que são dados públicos?

Tema 4. Big data: quais proteções os titulares de dados têm a sua disposição?

 

Fiscalização: como deve ser o “órgão competente”?

Como que as regras que discutimos nesta Semana Especial vão ser colocadas em prática? Como vai ser realizada a fiscalização de seu cumprimento? O Projeto de Lei nº 5.276 de 2016 estabelece, em seu art. 53, atribuições de eventual órgão competente por zelar pela implementação e fiscalização da lei. Esse órgão deverá ser o responsável por elaborar, entre outras coisas, diretriz para uma Política Nacional de Proteção de Dados Pessoais e Privacidade e promover estudos sobre proteção de dados e privacidade.

No entanto, a lei não indica qual seria esse órgão e como ele deveria funcionar – se trataria de uma instituição já existente ou haveria a necessidade da criação de uma nova autoridade que cuide exclusivamente da aplicação da lei de proteção de dados?

O tema foi amplamente debatido na consulta pública sobre o PL organizada pelo Ministério da Justiça (confira o mapa do debate aqui), com muitas posições divergentes. Alguns participantes defenderam que a ANATEL deveria ser o órgão competente, outros que era necessário pensar em novos formatos. Entre os que defenderam um novo órgão, houve muita divergência sobre qual o formato institucional deveria ser adotado para assegurar o cumprimento da lei pelos diversos atores envolvidos. Veja abaixo comentários de representantes de diferentes setores sobre o assunto.

 

PERGUNTAS AOS SETORES – Como deve ser a lei nesse ponto?

Embora o PL 5.276/2016 estabeleça que a fiscalização do cumprimento da lei de proteção de dados será feita por um órgão competente, ele não define o formato desse órgão. Não obstante, houve muito debate na elaboração do texto sobre sua composição, financiamento, nível na hierarquia federativa, transparência e participação social. Como deve ser o órgão capaz de colocar a Lei de Proteção de Dados Pessoais em prática?

 

Veridiana Alimonti (Intervozes)

Veridiana Alimonti é formada pela Faculdade de Direito da Universidade de São Paulo e mestre em direito econômico pela mesma instituição com projeto voltado ao estudo das políticas de comunicação no Brasil. Foi advogada e pesquisadora do Instituto Brasileiro de Defesa do Consumidor (Idec) com atuação específica na área de telecomunicações e Internet. Até 2015, esteve como uma das representantes o terceiro setor no Comitê Gestor da Internet no Brasil (CGI.br) e faz parte do Comitê de Defesa dos Usuários dos Sereiços de Telecomunicações (CDUST), da Agência Nacional de Telecomunicações (Brasil). Atualmente faz parte da coordenação executiva do Intervozes.

Realmente não é simples ter todas as respostas sobre como deve ser o “órgão competente”. Porém, alguns traços são fundamentais e devem estar presentes independentemente do modelo adotado. O primeiro é a competência que tal órgão deve ter para regular e fiscalizar as ações do poder público e do setor privado, tendo poder para responsabilizar e impor sanções diante de violações à legislação. Pode integrar a Administração Direta ou Indireta, desde que tenha estrutura própria e especializada, com independência para atuar e autonomia financeira. A autonomia e independência das autoridades de proteção de dados é padrão internacional, permitindo maior integração do Brasil no cenário de cooperação internacional. Um elemento importante para garantir sua independência é a participação social. O PL 5276/2016 prevê a criação de um Conselho Nacional de Proteção de Dados Pessoais, composto por representantes dos três Poderes, do Ministério Público, da sociedade civil, da academia e do setor privado.

É um indicativo relevante neste sentido, mas sua dinâmica de funcionamento deve efetivamente permitir que as discussões e ações do Conselho incidam sobre a atividade e as decisões do órgão, evitando que se torne espaço decorativo de participação. Os representantes da sociedade civil, da academia e do setor privado, seguindo o modelo do CGI, devem ser definidos por seus pares. Quanto à sua organização, a esfera federal é a mais adequada para centralizar suas principais funções, embora sua atuação possa estar articulada a estruturas mais descentralizadas, como os Procons e o Ministério Público. A fiscalização da lei não pode ser fragmentada, como defendido por alguns setores, pois significaria a fragilização de suas garantias. Por fim, esse órgão deve cumprir o papel de fomentar e formular políticas públicas educativas sobre proteção de dados pessoais para a população brasileira, como faz, por exemplo, a autoridade do Uruguai.

 

Marcel Leonardi (Google Brasil)

Marcel Leonardi é Diretor de Políticas Públicas do Google no Brasil. Bacharel, Mestre e Doutor em Direito pela USP, com pós-doutorado pela Berkeley Law. Autor de “Responsabilidade Civil dos Provedores de Serviços de Internet”, “Tutela e Privacidade na Internet”, co-autor de “Responsabilidade Civil na Internet e nos demais meios de comunicação” e da obra coletiva “Marco Civil da Internet”. Professor de pós-graduação da FGV DIREITO-SP.

Em razão dos constantes avanços tecnológicos, o papel do intérprete de leis gerais de proteção de dados torna-se ainda mais crucial, ao assegurar que a aplicação da lei acompanhe a velocidade das inovações ao longo do tempo. A experiência internacional evidencia que diretrizes claras trazem segurança jurídica e asseguram que as inovações observem a necessária proteção dos direitos do cidadão, ao passo que interpretações imprecisas geram incertezas que podem dificultar ou até mesmo inviabilizar atividades empresariais legítimas sem proteger efetivamente o cidadão contra potenciais danos.

Internacionalmente, quase todos os países que promulgaram leis gerais de proteção de dados pessoais criaram conjuntamente um órgão nacional específico, independente e exclusivo com a competência de interpretar, fiscalizar e fazer cumprir a lei, normalmente denominado de “autoridade de proteção de dados” e referido pela sigla DPA (“data protection authority”).

As principais vantagens de um modelo de autoridade federal independente para a proteção de dados pessoais são a consistência das interpretações, a especialização técnico-jurídica sobre o tema, a certeza regulatória e a independência necessárias para atuar de modo eficaz e sopesar todos os direitos e interesses em jogo.

A criação de uma autoridade federal independente para a proteção de dados pessoais seria o modelo ideal – algo que, lamentavelmente, não consta do projeto de lei de forma clara. Isso porque a alternativa a uma autoridade federal independente é o fracionamento da competência em múltiplos órgãos governamentais, sejam federais, estaduais ou municipais, o que levará a enormes dificuldades operacionais por parte das empresas e a um menor grau de proteção do cidadão, por força de inconsistências interpretativas e critérios diferenciados de aplicação da lei. Da mesma forma, atribuir essa competência a um órgão governamental já existente dificultaria a efetiva aplicação da lei, em razão da falta de especialização técnico-jurídica sobre o tema e do acúmulo de funções.

Ressalve-se, porém, que o orçamento operacional do órgão competente deve ser autônomo, sem incluir eventuais multas impostas em decorrência de violações à lei, pois do contrário haveria um claro conflito de interesses e incentivo a distorções.

 

Vanessa Butalla (Serasa Experian)

Vanessa Butalla é Gerente Jurídica da Serasa Experian em São Paulo, onde é responsável pela área de regulamentação. Vanessa é Bacharela em Direito pela Universidade Presbiteriana Mackenzie e possui mais de 12 anos de experiência com temas relacionados a privacidade de dados e proteção de crédito, tendo participado de vários seminários e conferências no Brasil e no exterior.

O órgão capaz de colocar a Lei de Proteção de Dados Pessoais em prática, a meu ver, deve ser um independente administrativa e financeiramente, com alta qualificação técnica e autonomia para fiscalizar inclusive os órgãos da Administração Pública. É prudente, ainda, que este órgão admita a participação da sociedade e do mercado, ainda que na figura de um Conselho Consultivo, para que tenha a exata compreensão das consequências práticas de suas decisões, ponderando prévia e adequadamente a proporcionalidade entre os seus benefícios e os prejuízos. Entendo, portanto, que uma agência reguladora independente é a estrutura mais adequada para assegurar a imparcialidade e a eficiência desse órgão.

 

Laura Schertel Mendes (Instituto Brasiliense de Direito Público – IDP)

É doutora summa cum laude em direito privado pela Universidade Humboldt de Berlim, mestre em “Direito, Estado e Constituição” pela Universidade de Brasília (UnB) e graduada em direito pela UnB. É diretora da Associação Luso-Alemã de Juristas (DLJV-Berlin) e membro do Grupo de Trabalho Consumo e Sociedade da Informação da Secretaria Nacional de Consumidor (SENACON) do Ministério da Justiça. Tem experiência nas áreas de direito civil, direito do consumidor e direito da concorrência, atuando principalmente nos seguintes temas: direitos da personalidade, proteção de dados pessoais, direito e internet, interface entre direito constitucional e direito civil, bem como políticas públicas na Sociedade da Informação. Gestora Governamental em exercício no Conselho Administrativo de Defesa Econômica – CADE.

A importância do modelo de lei geral reside no fato de que ela constrói uma arquitetura regulatória, que busca consolidar o tema da proteção de dados pessoais como um setor de políticas públicas, composto por instrumentos estatutários, sancionatórios, bem como por um órgão administrativo, responsável pela implementação e aplicação da legislação. A experiência das últimas décadas dos órgãos administrativos de proteção de dados pessoais demonstrou que a existência desses órgãos é essencial para a implementação da legislação e da cultura da privacidade no país, conforme afirmam Bennett e Raab: “A existência de autoridades supervisoras robustas tem sido considerada como condição sine qua non para a adequada proteção à privacidade, pois as leis não são auto-implementáveis e a cultura da privacidade não pode se estabelecer sem uma autoridade que a patrocine.”

Variadas são as funções exercidas pelos órgãos administrativos criados para implementar a política de proteção de dados pessoais nos diversos países. É possível, no entanto, apontar as principais funções por eles exercidas, quais sejam, de ouvidores (ombudsman), auditores, consultores, educadores, orientadores de política pública, negociadores, bem como de responsáveis pela implementação e cumprimento da legislação.

A importância de órgãos administrativos independentes na implementação na legislação de proteção de dados é tamanha que a Carta de Direitos Fundamentais da União Européia prevê, em seu artigo 8°, de forma bastante detalhada, a proteção de dados pessoais como um direito fundamental e prescreve a necessidade do consentimento ou outro fundamento legal para o tratamento de dados pessoais, bem como a necessidade de uma autoridade de supervisão para exercer o controle dessa atividade. Afinal, a efetivação do direito fundamental à proteção de dados depende do controle e fiscalização da atividade de processamento de dados por autoridade administrativa, de modo a complementar um sistema judicial de resolução de conflitos.

Em relação ao formato que um órgão administrativo de proteção de dados poderia ter no Brasil, entende-se que um modelo interessante que poderia inspirar o legislador seria o do Conselho Administrativo de Defesa Econômica (CADE), autarquia federal, vinculada ao Ministério da Justiça, que exerce, em todo o território nacional, as atribuições dadas pela Lei nº 12.529/2011 e cujo principal objetivo é zelar pela livre concorrência no país. Além de ser caracterizado pelo grau técnico de suas decisões, tem autonomia administrativa e política, uma vez que o seu presidente e conselheiros possuem mandatos legais, não podendo ser livremente exonerados pelo poder executivo.

 

Equipe responsável pelo conteúdo: Dennys Antonialli, Francisco Brito Cruz, Beatriz Kira, Juliana Pacetta Ruiz e Fabiane Midori Nakagawa.

compartilhe