Ana Carolina Westrup, Intervozes. 21 de março de 2021.
A entrada em vigor da LGPD no ano passado é apenas o início do reconhecimento da proteção de dados como direito autônomo no ordenamento jurídico brasileiro, pois a efetiva aplicação da nova lei e a regulamentação de seus dispositivos ainda são motivo de disputas. Leia o oitavo artigo da série especial Mídia e pandemia: a democracia sob ataque
No Brasil, a discussão sobre a importância de garantia ao direito à privacidade nas redes ganhou forma na luta pela promulgação da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), sancionada em agosto de 2018 com o objetivo de “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” – conforme determinado em seu Artigo 1º –, em vigor desde setembro de 2020.
A Lei Geral de Proteção de Dados (LGPD) é considerada um avanço significativo em termos de proteção à privacidade e à liberdade de expressão no Brasil. No momento em que todas as atividades cotidianas passam pela internet, a lei se torna a principal proteção dos cidadãos nesse âmbito.
Mas a entrada em vigor da LGPD é apenas o início do reconhecimento da proteção de dados como direito autônomo no ordenamento jurídico brasileiro, pois a efetiva aplicação da nova lei e a regulamentação de seus dispositivos ainda são motivo de disputas. O principal deles é a atuação independente de uma Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela fiscalização e aplicação da norma, hoje atrelada ao Executivo e nas mãos de militares.
As disputas em torno da ANPD se intensificaram no governo do presidente Michel Temer, com o veto à criação da Autoridade Nacional de Proteção de Dados Pessoais sob a alegação de vício de iniciativa. Em dezembro de 2018, 42 entidades representativas, instituições acadêmicas e organizações, por meio da Coalizão Direitos na Rede, subscreveram um manifesto reivindicando a imediata criação da ANPD, de forma a implementar as providências legais decorrentes da sanção da lei, ou seja, para garantir a eficácia da LGPD, já que o órgão tem a responsabilidade de detalhar, a partir da elaboração de normas e diretrizes, a aplicação dos inúmeros dispositivos ainda pendentes de regulamentação.
O manifesto versava também sobre a importância dessa Autoridade ter independência e autonomia decisória, ser composta por um corpo funcional estritamente técnico, capaz de realizar o gerenciamento deste tema perante seus múltiplos e distintos atores e ter em sua estrutura um conselho consultivo multissetorial, apto a propiciar segurança jurídica para o tratamento de dados no país, dar efetividade aos direitos assegurados na LGPD e possibilitar que o Brasil participe do livre fluxo internacional de dados.
Entretanto, no mesmo mês de dezembro de 2018, entre os atos derradeiros de Michel Temer à frente do Executivo, foi publicada no Diário Oficial da União a Medida Provisória (MP) 869/2018, que criava a ANPD, mas a vinculava à Casa Civil e, consequentemente, à Presidência da República, comprometendo sua independência e autonomia, além de diminuir seu poder, retirando da Autoridade funções relacionadas a sanções e medidas de fiscalização.
No primeiro semestre de 2019 foi criada a comissão especial mista no Congresso Nacional para analisar a Medida Provisória. O relatório produzido pelo deputado Orlando Silva (PCdoB/SP) restabeleceu à LGPD vários pontos importantes e foi aprovado, por unanimidade, no Senado Federal e na Câmara dos Deputados.
Mas o relatório não mudou a relação de dependência entre a ANPD e o Executivo. A Autoridade continuaria ligada à Casa Civil e à Presidência da República, como um ente dependente, embora fizesse recomendação de que em no máximo dois anos o Executivo encaminhasse proposta para sua transformação em autarquia.
O presidente Jair Bolsonaro vetaria depois nove pontos desse relatório, entre eles, a possibilidade de ocorrerem sanções administrativas importantes aplicáveis pela ANPD aos agentes de tratamento de dados que cometerem infrações. Quadro que viria novamente a ser modificado pelo Congresso Nacional, o qual, em sessão conjunta, rejeitou cinco dos nove vetos presidenciais relacionados à legislação de proteção de dados pessoais.
Especialmente os vetos presidenciais que retiravam dispositivos de ampliação do rol de sanções administrativas aplicadas pela Autoridade foram rejeitados. A decisão dos parlamentares retomou duas das mais severas punições aplicáveis pela ANPD quando o assunto é proteção de dados: a suspensão total ou parcial do banco de dados e até mesmo da própria atividade empresarial que dependa do tratamento de informações.
No entanto, a Medida Provisória de Michel Temer que embasou a decisão do governo Bolsonaro de vincular a ANPD à Casa Civil não foi revisada. Na ocasião, o próprio presidente da Câmara dos Deputados, Rodrigo Maia (DEM-RJ) apontou para o problema que se enseja nessa ligação direta. Em entrevistas, Maia chegou a dizer que “quem tiver o comando dos dados talvez possa ter o comando do país por muito tempo”, ressaltando a importância de uma agência reguladora distante do Executivo. Ainda assim, nenhuma ação no sentido de reformulação desse quadro foi tomada por parte do Congresso Nacional.
A ANPD militarizada
Após muitas idas e vindas, a Lei Geral de Proteção de Dados finalmente entrou em vigor em setembro de 2020, após o Senado Federal acatar uma questão de ordem apresentada pelo senador Eduardo Braga (MDB-AM) contra a Medida Provisória 959/2020, que postergava o início da vigência da LGPD para maio de 2021.
O que parecia o fim de uma batalha, entretanto, se apresentava como início de outra. A já questionada relação íntima entre o Executivo e a ANPD ganhou novos contornos no que tange à sua formatação, o que veio a confirmar todas as inquietações por parte de entidades e organismos ligados à proteção de dados.
A estrutura da ANPD – regida pela LGPD no Art. 55 e composta pelo Conselho Diretor; Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; Corregedoria; Ouvidoria; órgão de assessoramento jurídico próprio e unidades administrativas – foi atingida pela atmosfera militar que circula o governo Bolsonaro.
Depois de um mês da LGPD entrar em vigor, mais precisamente no dia 15 de outubro, a Presidência da República publicou os nomes dos diretores indicados para o Conselho Diretor da ANPD, espaço máximo de decisão. Entre os cinco indicados, três são membros do Exército brasileiro, em sua maioria com experiência limitada no tema da proteção de dados enquanto direito autônomo. São eles: Waldemar Gonçalves Ortunho Junior, ex-presidente da Telebras, que ficou no comando da Autoridade; Joacil Basilio Rael e Arthur Pereira Sabbat, hoje lotado no Gabinete de Segurança Institucional (GSI).
O espaço que coube aos civis foi ocupado por uma representante do setor privado, a advogada Nairane Farias Rabelo Leitão, e por Miriam Wimmer, atual diretora de Serviços de Telecomunicações no Ministério das Comunicações.
Para a Coalizão Direito na Rede, “se o desenho institucional da ANPD vinculado à Casa Civil já gerava preocupação pela falta de autonomia administrativa do órgão diante de suas atribuições – como fiscalizar as operações de tratamento de dados do próprio governo –, as nomeações de militares confirmam a hipótese de que a Autoridade não terá a independência e composição que se espera de um órgão responsável por defender direitos e liberdades fundamentais dos cidadãos brasileiros”.
Esse cenário de preocupação se agudiza quando se leva em consideração que, durante os primeiros anos de trabalho da ANPD, serão formulados parâmetros e diretrizes para orientação da aplicação da LGPD, ou seja, as decisões a serem tomadas pela Autoridade agora definirão como a proteção de dados se dará no futuro.
Prova disso foi a recém publicada “agenda regulatória”, documento divulgado no final de janeiro de 2021 que reúne uma série de medidas consideradas prioritárias até o segundo semestre de 2022 e que servirão de base para a criação da Política Nacional de Proteção de Dados Pessoais e da Privacidade.
Na agenda, estão previstas pela Autoridade dez medidas, incluindo: o Regimento interno da ANPD; o planejamento estratégico de 2021 a 2023; normas para aplicação de sanções; métodos para definição dos valores de multas; além da construção de uma política de transferência internacional de dados. No entanto, não há sequer uma palavra sobre como se dará a política de uso de dados por parte do governo.
A agenda regulatória da ANPD foi publicada na mesma semana em que surgiu a notícia de um mega vazamento de dados, intitulado “Serasa Experian”, que expôs o CPF de mais de 220 milhões de brasileiros em um fórum de internet, junto a outras informações como foto de rosto, endereço, telefone, e-mail, score de crédito, salário e renda. Cenários como esse serão enfrentados por uma ANPD fragilizada, tanto pela falta de autonomia e independência quanto pela ausência de uma qualidade técnica em sua atuação.
A advogada especializada em direito digital e do consumidor, representante do coletivo Intervozes e da Coalizão Direitos na Rede, Flávia Lefèvre Guimarães, entende que, com exceção de Miriam Wimmer, os outros quatro membros estiveram distantes das discussões sobre as criações da Lei Geral de Proteção de Dados e da ANPD. “Tirando a Miriam, não conheço as outras pessoas”, enfatiza a advogada.
A compreensão sobre o trabalho a ser desenvolvido pela Autoridade é outra problemática a ser enfrentada. A LGPD é uma legislação voltada à proteção dos dados pessoais, do cidadão, e não para questões de segurança pública. Para Flávia Lefèvre, “é preciso tomar muito cuidado para que o viés dessas pessoas indicadas não termine contaminando o espírito da lei, que é de proteção do cidadão, e não é de segurança pública”.
Para Marina Pita, jornalista integrante do Intervozes, a composição da ANPD deveria ter espelhado o caráter técnico e a independência em relação ao governo que a função exige. “Os integrantes desse órgão seriam funcionários de carreira que teriam como atribuição enfrentar inclusive ministérios. Se o Ministério da Saúde decide coletar e compartilhar dados e a Autoridade entende que ele está equivocado, como seus integrantes – funcionários públicos – vão se contrapor a um ministro? É preciso que o órgão tenha autonomia, capacidade técnica”, aponta.
Proteção de dados e a agenda internacional
Em nota encaminhada para a Comissão Europeia, Conselho da Europa e Global Privacy Assembly, a Coalizão Direitos na Rede alertou os órgãos internacionais sobre os riscos existentes nas indicações de militares para o Conselho Diretor da Autoridade Nacional de Proteção de Dados. O texto afirma que “a opção do governo Bolsonaro de militarizar a ANPD ignora as diretrizes da Lei Geral de Proteção de Dados (LGPD), que aponta para a criação de uma autoridade técnica e independente, desconsidera as recomendações internacionais para a constituição de autoridades do tema, abre espaço para o órgão se imiscuir em atividades de vigilância e repressão e coloca em risco a necessária supervisão do tratamento de dados no país”.
A política de proteção de dados não é somente uma agenda nacional. Ela envolve uma série de atores internacionais, como o Comitê Europeu para a Proteção de Dados (CEPD) e a Organização para Cooperação e Desenvolvimento Econômico (OCDE), que, em cooperação, delineiam recomendações sobre a aplicação das leis de proteção de dados nos países.
Em outubro de 2020, um estudo realizado pela OCDE, denominado de A Caminho da Era Digital no Brasil, destacou que a visão atual sobre proteção de dados no Brasil está na contramão da agenda internacional de proteção de dados, principalmente no que tange à falta de independência da ANPD. O levantamento aponta “diferenças importantes, especialmente com relação às estruturas de governança e supervisão”, no caminho percorrido até aqui no país.
Em um trecho, o estudo afirma que a defesa da independência da ANPD “tem por finalidade assegurar a efetividade e a confiabilidade do monitoramento, e do cumprimento das disposições relativas à proteção de dados pessoais, sendo assim, ela deve ser interpretada à luz dessa finalidade. Ela foi estabelecida não para conceder qualquer status especial à autoridade em questão ou seus agentes, mas para reforçar a proteção aos indivíduos, e aos órgãos afetados por suas decisões. Por conseguinte, a ANPD deve agir de maneira objetiva e imparcial no exercício de suas funções. Para atender esse propósito, a ANPD precisa continuar livre de qualquer influência interna ou externa”. E conclui que “no entanto, a ANPD está, atualmente, fortemente vinculada ao Executivo”.
Da Medida Provisória 869/2018 até a composição da ANPD, o governo brasileiro vem mostrando o seu total descompasso com a política de proteção de dados. Todos esses cenários nos mostram que, apesar de termos a LGPD em vigor, a sua aplicação está extremamente comprometida com o tipo de composição que a Autoridade assumiu logo após a promulgação da lei. Ou seja, apesar de termos uma legislação compatível com os desafios postos para o cenário de proteção de dados, não temos a independência necessária do órgão responsável pela sua fiscalização e regulamentação. O que gera fenômenos como o que estamos vivenciando de militarização da ANPD.
*Ana Carolina Westrup é integrante do Intervozes, doutoranda em Sociologia pela UFS, pesquisadora do LEPP/UFS e bolsista CNPq/ Tecnologia Social.