A LGPD faculta, em seu artigo 50, aos controladores e operadores de dados pessoais (ou a associações a que eventualmente estejam vinculados) a formulação do que se pode denominar de regimento interno de gestão de dados, ou, ainda, de uma consolidação de boas práticas e de governança atinentes a diversos aspectos organizacionais relacionados ao tratamento de dados pessoais.
Intuitivo verificar que o artigo 50 contempla verdadeira hipótese de autorregulação, ao passo que comete ao próprio agente econômico (ou a associação) a possibilidade de editar normas que disciplinarão, em âmbito interno (ou, caso se trate de diretivas aprovadas por associação, naturalmente terão o condão de vincular todos os seus associados), a organização, o regime de funcionamento, normas de segurança, padrões técnicos etc. a respeito do tratamento de dados pessoais.
Portanto, o compliance, as diretivas internas para o estabelecimento de práticas que atendam aos fins colimados pela LGPD, não decorre tão somente da adequação das práticas internas às diretrizes normativas; bem se vê, no caso da LGPD, que subsiste espaço de liberdade para os agentes econômicos, que poderão disciplinar, da forma mais adequada à sua realidade e cultura organizacional, as práticas em consonância com o regime estabelecido pela lei.
Há de se falar, no mínimo, em uma repartição de competência normativa, dado que, no ambiente regulatório do tratamento de dados, o poder público compartilha a função normatizadora com os próprios agentes regulados, estabelecendo, por um lado, o quadro-geral regulatório a ensejar a conformação dos agentes de tratamentos de dados; e, por outro, a delegação legislativa ao próprio agente econômico para que, conjugando o atendimento às prescrições legais com os seus próprios contornos institucionais, delimite os mecanismos necessários e adequados à conformação legal.
Há de se considerar, nesse ponto, a existência de uma Autoridade Nacional de Proteção de Dados, dotada de autonomia técnica e decisória (artigo 55-C da LGPD), a qual, dentre tantas outras competências (artigo 55-J), deve fiscalizar e aplicar sanções "em caso de tratamento de dados realizado em descumprimento à legislação" (artigo 55-J, IV), além de realizar auditorias, ou determinar sua realização, "no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento" (artigo 55-J, XVI).
Uma das desvantagens da autorregulação, por sua vez, é a existência de lacunas quanto aos limites estabelecidos para Administração Pública e particulares, bem como quanto aos poderes que podem ser exercidos por cada um, do que pode decorrer insegurança jurídica quanto às escolhas feitas neste processo. É dizer: sobretudo num ambiente de compliance, havido no bojo de uma disciplina legal inteiramente nova, que comina pesadas sanções aos particulares em caso de descumprimento, não há como se afastar inteiramente a insegurança jurídica dos agentes econômicos com base na invocação do preceito legal autorizador.
Ora, haverá um órgão regulador que exercerá graves competências fiscalizatórias e sancionatórias, e que "será o órgão central de interpretação" da LGPD (artigo 55-K, parágrafo único); poderá (e deverá), portanto, fixar diretrizes hermenêuticas a partir das controvérsias que envolvam a aplicação da lei — as quais podem ser, por intuitivo, conformes ou contrárias a eventuais previsões constantes daqueles regimentos internos relativos ao tratamento de dados pessoais. O desafio que se impõe, portanto, é compatibilizar o permissivo legal com a segurança jurídica, de sorte a que, bem delimitadas as competências da ANPD, possa a autorregulação ser exercida sem interferências, fomentando-se um ambiente de autonomia decisória dos agentes econômicos, livre das incertezas em relação a futura e possível responsabilização.
Com relação à segurança jurídica, é necessário destacar, de plano, o que dispõe o artigo 30 da Lei de Introdução às Normas do Direito Brasileiro (LINDB), a impor o dever de as autoridades públicas atuarem "para aumentar a segurança jurídica na aplicação das normas, inclusive por meio de regulamentos, súmulas administrativas e respostas a consultas".
Com efeito, embora em doutrina o dispositivo seja majoritariamente observado pelo prisma da estabilização das relações jurídicas e pela uniformização da interpretação do direito pelas autoridades públicas (previsibilidade), cabe atentar para a cláusula geral (aberta) constante do mesmo dispositivo, a impor à Administração Pública um dever amplo de atuar para aumentar a segurança jurídica na aplicação das normas (segurança como não interferência). Questionamentos poderia haver, portanto, quanto ao escopo de aplicabilidade do dispositivo, na medida em que a sua literalidade faz crer, à primeira vista, que o dever imposto aos agentes públicos se restringe e se limita à segurança jurídica na aplicação das normas.
Ou seja, o artigo 30 da LINDB deve ser lido estritamente (referindo-se unicamente à aplicação das normas) ou através de um prisma aberto (de sorte a que a segurança jurídica, em perspectiva ampla, seja erigida à condição de vetor do próprio agir administrativo)?
O caso da autorregulação na LINDB é, a propósito, um exemplo adequado do problema que ora se coloca. Não se cuida, aqui, de divergências interpretativas a serem pacificadas acerca do conteúdo normativo do artigo 50 da LGPD, ou mesmo de eventuais contradições em torno da aplicação deste dispositivo; trata-se, em verdade, da necessária adoção de postura, pela Administração Pública, que se revele comprometida com a proteção e com a preservação da segurança jurídica — essencial à plenitude do exercício do direito previsto na lei. Em resumo: a segurança jurídica, tal como contemplada pelo artigo 30 da LINDB, atinge os próprios atos administrativos (em perspectiva ampla — isto é, que devem estar direcionados à promoção da segurança jurídica dos administrados — elemento finalístico), ou, ao revés, reside o dever de observância da segurança jurídica tão-somente na coerência das condutas da Administração Pública (e, bem assim, de suas decisões quando investida de função judicante)?
Entendemos que a exegese ampliativa do conteúdo normativo do artigo 30 da LINDB nos afigura mais adequada. Se, por um lado, o dever de segurança jurídica se impõe na coerência do agir administrativo, de sorte prestigiar-se a previsibilidade da conduta em um determinado sentido, por outro, a segurança jurídica reside também na própria finalidade dos atos administrativos, na medida em que incumbe à Administração Pública, mais do que guardar coerência entre seus próprios atos (sejam eles decorrentes do exercício de função típica ou atípica), promover a segurança jurídica necessária ao exercício dos direitos dos administrados.
O exercício da autorregulação, como visto, envolve controvérsias importantes quanto aos limites e possibilidades dos poderes a serem desempenhados pelos atores público e privado. Isto é: o aprimoramento da autorregulação, sem prescindir da coerência do agir administrativo, também não dispensa um novo olhar sobre o próprio móvel do agente público (ou a finalidade dos atos administrativos). Isto é: sobretudo quando este dever de preservação e de proteção da segurança jurídica se mostra essencial ao exercício de um direito, incumbe ao legislador — ou ao administrador público — conceber mecanismos suficientes e adequados a assegurá-lo aos administrados.
E é exatamente neste sentido que o artigo 50, §3º, da LGPD dispõe que "(a)s regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional". Portanto, aqui também reside a segurança jurídica. Não se trata de pacificar divergências ou estabelecer orientações vinculantes, mas, sim, de viabilizar meios de chancela do próprio órgão regulador sobre as orientações traçadas pelos agentes econômicos a respeito do tratamento de dados. Em suma, longe de se cogitar de superação do âmbito de aplicabilidade da norma do artigo 30 da LINDB, o artigo 50, §3º, da LGDP, vem evidenciar que a segurança jurídica na aplicação da norma vai muito além de uma coerência intrínseca dos atos administrativos, para, dessa forma, incidir sobre a sua própria finalidade, que deve estar associada à promoção e efetivação de direitos assegurados aos agentes econômicos.