CAPÍTULO III. CONTRIBUIÇÕES DA LEGISLAÇÃO BRASILEIRA DE
2. Autoridade Nacional de Proteção de Dados Pessoais
A criação e atuação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) também deve contribuir para o combate ao abuso do poder econômico, por meio da regulmentação, da fiscalização e da auditoria de atividades econômicas que envolvem o tratamento dos dados pessoais.
A ANPD foi criada pela legislação geral de proteção de dados brasileira como órgão da administração pública federal, integrante da Presidência da República, sendo assegurada a sua autonomia técnica e decisória231, o que consideramos fundamental para garantia da imparcialidade na tomada de suas decisões, tendo em vista que fiscalizará o poder privado e o poder público232.
Dentre as suas funções, a Autoridade deverá construir no país, por meio de sua atuação, uma cultura de proteção de dados pessoais, tanto para que os titulares saibam quais são e como exercer os seus direitos, quanto para que as empresas se conscientizem da importância e se preocupem com o respeito à legislação, inserindo naturalmente nos seus negócios o conceito da privacidade e da proteção dos dados desde a concepção de suas ideias, produtos e serviços, e não apenas quando auditadas ou sancionadas pela Autoridade.
Para isso, a Autoridade deverá emitir regulamentações, políticas e estudos, baseados nas melhores práticas nacionais e internacionais de privacidade e proteção de dados, sempre que possível ouvindo as empresas que realizam o tratamento de dados pessoais e os membros da sociedade233 que possam contribuir, prezando que a sua intervenção seja mínima234 e adequada ao bom funcionamento do mercado.
231 Conforme artigos 55-A, da Lei 13.709/2018: Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República. § 1º A natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República. § 2º A avaliação quanto à transformação de que dispõe o § 1º deste artigo deverá ocorrer em até 2 (dois) anos da data da entrada em vigor da estrutura regimental da ANPD. E também, artigo 55-B, o qual atesta que é assegurada autonomia técnica e decisória à ANPD.
232 Tendo em vista que a Legislação de Proteção de Dados Brasileira se aplica tanto ao poder privado quanto ao poder público, questiona-se se o vínculo da ANPD à Presidência da República poderá mitigar a sua imparcialidade em relação à tomada de decisões atreladas à fiscalização e sanção de eventuais práticas abusivas praticadas por entes públicos.
233 Conforme inciso XIV, do artigo 55-J da lei, o qual versa que a Autoridade deverá: “ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento”.
234 Art. 55-J, §1º: “Ao impor condicionantes administrativas ao tratamento de dados pessoais por agente de tratamento privado, sejam eles limites, encargos ou sujeições, a ANPD deve observar a exigência de mínima intervenção, assegurados os fundamentos, os princípios e os direitos dos titulares previstos no art. 170 da Constituição Federal e nesta Lei”.
A preocupação com a sustentação dos negócios e do mercado é frequentemente demonstrada no texto da lei, o qual declara que a Autoridade deverá zelar pelo respeito à proteção dos dados pessoais dos titulares tanto quanto pelo respeito ao segredo empresarial e industrial das empresas, visando proteger o mercado e garantir o desenvolvimento econômico e tecnológico235. Há menção, também, à necessidade de editar normas, orientações e procedimentos simplificados e diferenciados para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à lei236.
Faz parte do dever de fiscalização da Autoridade Nacional a realização de auditorias237, ou a determinação de sua realização, para verificação do cumprimento das obrigações determinadas pela Lei, sobre o tratamento de dados pessoais efetuado pelas empresas. A exigência da elaboração de relatórios de auditoria pelas empresas, como veremos no próximo tópico, também facilitará a verificação do compliance pela Autoridade, inclusive a respeito de eventuais abusos econômicos praticados pelos agentes de tratamento de dados.
Ao analisar a violação dos direitos de titulares, a Autoridade deverá levar em consideração os seguintes aspectos, não limitantes: (i) causa, ou é suscetível de causar, danos, prejuízos ou transtornos a pessoas; (ii) tem, ou é suscetível de ter, um efeito real em termos de limitação dos direitos ou negação de oportunidades; (iii) afeta, ou é suscetível de afetar, a saúde, o bem-estar ou a paz de espírito das pessoas; (iv) afeta, ou é suscetível de afetar a situação financeira ou econômica ou as circunstâncias das pessoas; (v) deixa pessoas expostas a situações de discriminação ou tratamento abusivo; (vi) implica a análise das categorias especiais de dados ou de outros dados intrusivos, particularmente dados pessoais de crianças; (vii) causa, ou é suscetível de causar, uma alteração significativa no comportamento das pessoas; (viii) tem consequências improváveis, imprevistas ou indesejáveis para as pessoas; (ix) cria embaraço ou outros resultados negativos, incluindo danos à reputação; ou (x) implica o tratamento de um vasto leque de dados pessoais238.
Ao detectar alguma irregularidade, a Autoridade poderá celebrar compromisso com o responsável pelo tratamento para eliminar a irregularidade, incerteza jurídica ou situação
235 Essa correlação é feita frequentemente na legislação, mas a título de exemplo, mencionamos os incisos I a IV, do artigo 55-J, da Lei 13.709/2018.
236 Conforme inciso XIII, da Lei, o qual versa que a Autoridade deverá: editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei.
237 Nos termos do inciso XVI, do artigo 55-J, da Lei 13.709/2018.
238 MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato. Comentários ao GDPR: Regulamento Geral de Proteção de Dados da União Europeia. São Paulo: Revista dos Tribunais, 2018. P. 238-239.
contenciosa no âmbito de processos administrativos239 ou aplicar as sanções previstas na Lei, tais como: advertência, com indicação de prazo para adoção de medidas corretivas; multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; multa diária, observado o limite mencionado; publicização da infração; bloqueio dos dados pessoais ou eliminação dos dados pessoais a que se refere a infração240.
Ao fiscalizar ou auditar um agente de tratamento suspeito de praticar abusos no tratamento de dados pessoais, a Autoridade de Proteção de Dados Pessoais deverá verificar se o ato econômico praticado afeta o titular dos dados, e se, como consequência, verificar que os mesmos atos causam prejuízo ao mercado ou à concorrência, notificar a Autoridade Concorrencial para que haja cooperação nas investigações241.
Nesse sentido, a Lei de Proteção de Dados prevê, nos incisos IX e XXIII, do artigo 55-J, que compete à ANPD:
IX - promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional; e (...)
XXIII - articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação.
A legislação, nesse aspecto, está alinhada com as melhores práticas e com a realidade internacional, tendo em vista a cooperação já demonstrada entre autoridades de proteção de dados pessoais e autoridades concorrenciais internacionais em investigações anteriores de casos de abuso econômico praticado por meio do tratamento de dados pessoais.
Conforme vimos no Capítulo II deste trabalho, recentemente, a European Data Protection Board (órgão máximo e centralizador de todas as Autoridades Europeias de Proteção de Dados) emitiu um comunicado público242 em que defendeu a sua participação na investigação da Comissão Europeia sobre os impactos para a Concorrência no Mercado Europeu, em razão da possibilidade de a aquisição do Shazam pela Apple causar uma concentração de bases de dados e de poder econômico capaz de prejudicar os titulares dos
239 Conforme disposto no inciso XVII, do artigo 55-J, da Lei 13.709/2018.
240 Art. 52, da Lei 13.709/2018.
241 Eventuais reclamações de titulares tamém deverão ser recebidas e processadas pela Autoridade, a qual interagirá com a empresa responsável pelo potencial descumprimento da lei, visando a mitigação, remediação ou a punição da prática, nos termos do inciso V, da Lei 13.709/2018.
242 Vide Statement of the EDPB on the data protection impacts of economic concentration. Disponível em: <https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_economic_concentration_en.pdf> Acesso em 19 out. 2019.
dados, o consumo e o mercado.
A EDPB declarou ser essencial a cooperação entre Autoridades para avaliar as implicações econômicas a longo prazo, da violação dos direitos dos consumidores e da regulação de proteção dos dados pessoais, sempre que uma fusão ou aquisição entre grandes empresas for proposta, especialmente no setor da tecnologia. Destacou que o a umento da concentração econômica nos mercados digitais tem o potencial de ameaçar os direitos à proteção de dados pessoais de titulares, assim como a liberdade de escolha de consumidores dos serviços digitais, gerando a necessidade de avaliar o potencial abuso de posição dominante pelas empresas que acumulam poder informacional.
Apesar se as Autoridades de Proteção de Dados Pessoais avaliarem impactos atrelados à privacidade, liberdade escolha e consumo, esses temas não são desconectados dos reflexos econômicos analisados pelas Autoridades Concorrenciais. Pelo contrário, se os impactos forem analisados em conjunto, a remediação ou a mitigação dos efeitos negativos ao mercado e à população tendem a ser mais efetivos.
Assim, tendo em vista que a Legislação de Proteção de Dados brasileira terá impactos econômicos importantes no cenário econômico do país, há a expectativa e a necessidade de interação da ANPD com o CADE (Conselho Administrativo de Defesa Econômica), com outras Autoridades Concorrenciais globais, ou com autoridades de controle correlatas, a depender dos impactos particulares detectados no caso concreto investigado. Essas interações já ocorrem atualmente por parte do CADE. Conforme explica Leonardo Rocha e Silva243:
O CADE atuamente interage de forma sistemática com várias agências reguladoras, como ANATEL, ANEEL, ANP, ANTT, ANCINE, por exemplo. Hoje, os modelos de interação (incluindo a intensidade, a forma e a frequência dos contatos) das agências reguladoras com o CADE variam basta nte. Há interações estabelecidas em leis federais e regulamentos com dispositivos específicos sobre a forma de atuação do CADE e de certas agências (que inclusive dispõem de unidades específicas), mas há também modelos de interação mais fluidos, baseados em acordos de cooperação com regras mais amplas sobre a troca de informações e experiências que possam resultar em análises mais completas pelo CADE.
As interações entre Autoridades não necessariamente precisam ocorrer somente em cenários de investigação de potenciais irregularidades, mas também para a atuação preventiva, firmando compromissos de compartilhamento de informações, emissão de relatórios, estudos, pesquisas, realização de projetos, dentre outras iniciativas de cartáter
243ROCHA E SILVA, Leonardo. Proteção de dados, defesa da concorrência, ANPD e CADE: considerações sobre
coordenação entre agentes públicos e segurança jurídica. 2019. Disponível em:
educacional e aculturador.
Conclue-se, portanto, que a ANPD pode, e está autorizada por lei para tanto, contribuir com as demais autoridades de controle e agências reguladoras na investigação de irregularidades que estejam, de alguma forma, atreladas à proteção de dados pessoais , bem como na emissão de pareceres técnicos especializados, na comunicação de ilícitos para que as autoridades adotem as providências cabíveis, dentre outras possibilidades de atuação coordenada, que só têm a contribuir para um ambiente de segurança jurídica e coerência na fiscalização e na aplicação de sanções244.
Importante relembrar que a LGPD tem como um de seus pilares de sustentação a garantia do desenvolvimento econômico, da tecnologia e da inovação, além da defesa da livre iniciativa comercial e da livre concorrência. Portanto, há natural intersecção entre os assuntos de natureza econômica com os direitos à privacidade e de proteção de dados pessoais, sendo necessária a expertise em ambas as matérias para a melhor condução de iniciativas preventivas ou repressivas no âmbito do ANPD.
Eventual atuação desconectada com o mercado ou com o ecossistema econômico pode e provavelmente ocasionará a sobreposição de tarefas ou a tomada de decisões prejudiciais à economia e ao próprio propósito da legislação de proteção de dados, a qual tem o objetivo de viabilizar a economia baseada em dados pessoais, desde que observados os limites impostos pela lei, obrigações dos agentes de tratamento, e o respeito aos direitos dos titulares dos dados pessoais.