Por Felipe Palhares
No apagar das luzes de seu mandato, aos 45 do segundo tempo, o presidente Michel Temer editou a Medida Provisória nº 869/2018, publicada no Diário Oficial em 28 de dezembro do ano passado, criando a Autoridade Nacional de Proteção de Dados (ANPD) e alterando diversos dispositivos da Lei Geral de Proteção de Dados (LGPD). A medida era ansiosamente esperada pelo mercado por uma razão muito clara: sem uma autoridade de proteção de dados não haveria quem regulamentasse e fiscalizasse o efetivo cumprimento da legislação, reduzindo drasticamente a eficácia da LGPD, já que boa parte de seus dispositivos carece de posterior normatização, a exemplo da definição sobre a obrigatoriedade ou não de todos os controladores nomearem um encarregado, o “Data Protection Officer”.
Embora muito aguardada por todos os setores, a MP que criou a ANPD traz uma série de questionamentos acerca do modelo adotado para sua estrutura e sobre as demais modificações realizadas na LGPD.
De acordo com o texto publicado no Diário Oficial, a ANPD será vinculada à Presidência da República e os membros do seu órgão máximo de direção, o Conselho Diretor, serão nomeados pelo presidente, inexistindo previsão legal de sabatina ou aprovação pelo Senado Federal, como acontece no âmbito do Conselho Administrativo de Defesa Econômica. Também caberá ao presidente o julgamento de processo administrativo disciplinar para demitir tais membros.
Em outras palavras, perde-se a tão almejada independência da autoridade nacional. Se, em última análise, cabe ao Presidente nomear e demitir os membros do Conselho Diretor, haverá uma inegável influência política sobre a ANPD, tornando-a um órgão altamente ligado às orientações da Presidência da República. A falta de independência, inclusive, poderá deixar o Brasil de fora dos países reconhecidos como adequados pela União Europeia para a transferência internacional de dados pessoais, uma vez que um dos requisitos mais relevantes para a declaração de que outra jurisdição possui um nível de proteção de dados pessoais adequado e compatível com aquele adotado na Europa é justamente a existência de uma autoridade supervisora independente, na forma do artigo 45(2) do General Data Protection Regulation.
Vale lembrar que outros países da América do Sul, como Argentina e Uruguai, já possuem decisões de adequação que permitem a transferência internacional de dados da União Europeia para essas jurisdições, aspecto que inevitavelmente se traduz em diferenciais competitivos. Outro aspecto curioso é que a MP determinou a criação da ANPD “sem aumento de despesa”, ainda que o órgão seja composto por um Conselho Diretor, por uma corregedoria, uma ouvidoria, um órgão de assessoramento jurídico próprio, unidades administrativas e pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, este último composto por 23 membros, cujas funções não serão remuneradas.
É uma estrutura grande, para um órgão da administração federal que detém diversas incumbências importantes, tais como difundir conhecimento sobre privacidade e proteção de dados para a sociedade, realizar ações de cooperação com outras jurisdições, fiscalizar o cumprimento da lei e investigar possíveis infrações. Difícil imaginar que uma agência desse porte, que precisará de vários recursos para funcionar adequadamente, tanto humanos quanto financeiros, consiga existir sem aumento de despesas públicas. Num país que já é manchado por escândalos de corrupção, parece que uma nova porta se abre para que surjam graves problemas no futuro.
Sem contar que a MP ainda prevê que os cargos em comissão e as funções de confiança da ANPD serão preenchidas pelo remanejamento de servidores de outros órgãos do Poder Executivo federal, que já conta com quadros esparsos diante da ausência de recursos para a realização de concursos públicos e novas contratações. Remanejar servidores para a ANPD poderá significar o colapso de vários órgãos da administração federal como INSS e Anvisa. Por outro lado, há aspectos positivos trazidos pela Medida Provisória, entre eles a definição de que a ANPD terá competência exclusiva para aplicar as sanções previstas na LGPD e será o órgão central de interpretação da legislação, prevalecendo sobre outros órgãos que atuam no Sistema Nacional de Defesa do Consumidor. Essa era uma das grandes preocupações do mercado, na medida em que Procons e Ministérios Públicos poderiam tentar se valer da LGPD para aplicar diretamente as multas elevadas previstas na lei e adotando interpretações distintas sobre questões de privacidade e proteção de dados, gerando insegurança jurídica e demandando constantes litígios judiciais para revisão de tais sanções.
Também foi positiva a extensão da vacatio legis da LGPD, de 18 para 24 meses. Agora, a lei passará a valer a partir de agosto de 2020, permitindo maior tempo de adaptação para as empresas que ainda não implementaram um programa de governança em privacidade. Resta esperar para ver se a MP sofrerá futuras alterações e se será posteriormente convertida em lei. Para muitos, a criação da ANPD foi um presente de natal atrasado. Contudo, só o tempo dirá se esse não foi um presente de grego.
Felipe Palhares é sócio-fundador do Palhares Advogados, mestre em Corporate Law pela New York University e o primeiro brasileiro a obter todas as certificações de privacidade e proteção de dados da International Association of Privacy Professionals (CIPP/E, CIPP/US, CIPP/C, CIPP/A, CIPM, CIPT).
Fonte: Valor Econômico
