Quem tem o poder de regular a Lei Geral de Proteção de Dados Pessoais?
Autores
28 de novembro de 2021, 6h34
Aprovada pelo plenário do Senado, a PEC 17/2019 visa a classificar a proteção de dados pessoais como um dos direitos fundamentais previstos na Constituição. A proposta também delega privativamente à União a função de legislar sobre o tema [1]. Assim, resta clara a importância dada pelo poder público à regulação acerca do tratamento dos dados pessoais e a busca por viabilizar a atuação da ANPD como órgão regulador desse setor, tendo como principal alicerce a LGPD e sua escolha regulatória.
Nesse sentido, é possível afirmar que a LGPD adotou como escopo regulatório uma regulação responsiva, uma vez que o mecanismo de fiscalização que a Autoridade Nacional de Proteção de Dados pretende adotar conta com a previsão de ações de monitoramento, orientação, prevenção e aplicação de sanções sob a lógica da autorregulação, fazendo um contraponto ao modelo de comando e controle, que se baseia essencialmente em medidas punitivas. O que se questiona, contudo, é a intensidade dessa regulação na matéria e, sendo assim, qual é o nível de aplicação das medidas contidas na LGPD que as empresas estão realmente seguindo e como isso está sendo monitorado pela ANPD.
Mas, ainda que se possa afirmar que a LGPD inova por já nascer da institucionalização de mecanismos regulatórios pela lógica da endorregulação — ou seja, pela regulação incentivada pelo Estado, ao resguardar na lei suas diretrizes normativas regulatórias para com as empresas —, a mesma não pode ser vista como um fim em si mesma. Por isso, destaca-se o papel regulatório da Autoridade Nacional de Proteção de Dados com um arcabouço de enforcement, mecanismo que busca tornar a aplicação do desenho regulatório como possível na realidade do setor regulado, e accountability, mecanismo de prestação de contas entre o regulador e regulado, implementado com o intuito de gerar maior transparência entre os envolvidos na regulação. Tais instrumentos se fazem presentes na atuação da ANPD, tanto nas medidas autorregulatórias que estão dispostas na própria LGPD, quanto como um órgão de prestação de contas entre a sociedade e as empresas que fazem uso de tratamento de dados pessoais, respectivamente.
Diante desse cenário, o que a LGPD pretende criar com seus mecanismos de regulação responsiva é um quadro de tentativa de institucionalização de meios de compliance e orientações que vão de acordo com a matéria de regulação de dados pessoais. Entretanto, é necessário que exista um fator de engajamento, entendimento e tecnicidade dentro das empresas para que essas respondam à altura dos instrumentos autorregulatórios que a lei impõe, sob pena de desaguar no Judiciário.
É por isso, então, que o vetor de quem tem o poder de regular a LGPD acaba sendo deslocada da própria lei, para a Justiça, diminuindo, portanto, o alcance e a efetividade do arcabouço regulatório do diploma normativo em vigor. Assim, estratégias como a autolimitação do desenvolvimento no tratamento de dados pessoais, seus padrões de responsabilidade, segurança, controle, limitação do dano e suas consequências acabam não sendo conferidas da forma como foram normatizadas para tal, questionando, até mesmo, a finalidade da própria LGPD.
O que não se pretende, contudo, tanto com a vigência da lei, quanto com os mecanismos de compliance, enforcement e accountability que tanto a LGPD, quanto a própria ANPD reservam para o ideal tratamento de dados, é que a institucionalização da autorregulação se perca. Para tanto, a intensidade da regulação que se tem e que se pretende com a Lei Geral de Proteção de Dados Pessoais não é, essencialmente, diferente de qualquer outro tipo de regulação. Isso porque, o que se prescreve na referida lei é um equilíbrio entre o papel da economia na prevalência ou na exclusão dos direitos fundamentais.
Logo, a análise da intensidade e amplitude da regulação adotada pela LGPD é primordial para que o vetor do poder regulatório no tratamento dos dados pessoais fique devidamente posicionado. Não à toa, a subsidiariedade da exploração direta da economia pelo Estado reforça a intervenção regulatória menos abrangente [2] na matéria de proteção de dados, ratificando que o espaço do poder público — ou, ainda, do próprio Judiciário — para dirimir tais questões é restrita ao condicionamento, apenas, da atividade normativa em questão. Em outras palavras, a intervenção que se aplica com a LGPD é de uma regulação mediante condicionamento, coordenação e disciplina da atividade econômica [3] sendo, por isso, que as empresas necessitam estar inseridas no processo de institucionalização da lei.
Portanto, a Lei Geral de Proteção de Dados entende que a matéria de proteção de dados pessoais não é de titularidade do poder público e, sendo assim, instituiu a regulação responsiva. Nada disso, contudo, pode ser possível se o poder de regular a LGPD não seja conferido essencialmente à lei, ou, ainda, aos instrumentos que o seu escopo regulatório prescreve. Assim, o deslocamento da competência regulatória para fora da sua moldura normativa prejudica a utilidade pública que o tratamento de dados pessoais possui, estando o mesmo fadado a uma regulação litigiosa.
[1] Senado Federal aprova Proposta de Emenda à Constituição 17 (PEC 17/2019) que inclui a proteção de dados pessoais no rol de direitos e garantias fundamentais. Disponível para acesso em: https://www.gov.br/anpd/pt-br/assuntos/noticias/senado-federal-aprova-proposta-de-emenda-a-constituicao-17-pec-17-2019-que-inclui-a-protecao-de-dados-pessoais-no-rol-de-direitos-e-garantias-fundamentais.
[2] GUERRA, Sérgio. Regulação estatal e novas tecnologias. Disponível para acesso em: https://edisciplinas.usp.br/pluginfile.php/4223905/mod_resource/content/1/guerra%2C%20s%C3%A9rgio%20-%20regula%C3%A7%C3%A3o%20estatal%20e%20novas%20tecnologias.pdf.
Encontrou um erro? Avise nossa equipe!