NIC.br

Ir para o conteúdo
imprensa
  1. Home
  2. Notícias
  3. Privacidade e proteção de dados pessoais em 2019
29 JAN 2019

Privacidade e proteção de dados pessoais em 2019


JOTA - 28/1/2019 - [gif]


Autor: Bruno Bioni
Assunto: Privacidade e Proteção de Dados

Ano promete subir a temperatura sobre limites possíveis e desejáveis com relação à intervenção do Estado no uso de criptografia

Que ano foi o de 2018 para proteção de dados no Brasil! Como bem lembrou Giovanni Butarelli, Supervisor de Proteção de Dados da União Europeia, trata-se atualmente do maior país do mundo, em termos populacionais, que conta com uma lei geral de proteção de dados pessoais. Há, por isso, grandes expectativas em torno de quais temas esquentarão, ou pelo menos, deveriam tomar a dianteira da pauta da privacidade em 2019 no País.

As fissuras do novo modelo de Autoridade Nacional de Proteção de Dados: livre fluxo informacional e processo conformidade regulatória

No apagar das luzes de 2018, pouco antes de literalmente encerrar o seu mandato como presidente da República, Michel Temer criou a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), ao lado do Conselho Nacional de Proteção de Dados Pessoais (CNPD), através da Medida Provisória nº 869/2018. Vale lembrar que a ANPD e o CNPD foram vetados pelo próprio presidente ao sancionar a Lei Geral de Proteção de Dados Pessoais (LGPD) em agosto de 2018, sob o argumento que haveria vício de constitucionalidade formal no processo legislativo.

Muito embora, naquela oportunidade, o ex-presidente havia ressalvado que iria criar a autoridade “mais ou menos com os mesmos dizeres”, não foi o que aconteceu. Diferentemente do que havia sido proposto no projeto de lei aprovado por unanimidade no Congresso Nacional, a ANPD passou a pertencer à Administração Publica Direta e está subordinada à Presidência da República. É o oposto de um regime de autarquia especial que, conforme tabela abaixo, conferiria mais independência institucional, funcional e financeira à ANPD:

Elementos de Análise

MPV 869/2018

Versão do PLC 53/2018

1. Personalidade Jurídica

Não tem personalidade jurídica própria

Tem personalidade jurídica própria

Art. 14 CC

2.. Status na Administração Pública

Administração Direta

(centralização da fiscalização da LGPD pelo Poder Executivo)

Administração Indireta

(descentralização da fiscalização da LGPD pelo Poder Executivo)

Subordinação, sendo um órgão do próprio Ministério

Vinculação, não fazendo parte da estrutura organizacional de um Ministério

Art. 37, XIX, CF + Decreto 200/67

e.g., Art. 4o da Lei 12.259/2011 (CADE) e Art. 8o, caput, da Lei No 9.472/97 (ANATEL) – (termo subordinação)

3. Processo de Nomeação do Corpo Diretivo

Sem sabatina pelo Congresso Nacional, nomeado diretamente pela Presidência

Sabatina pelo Senado Federal, caso a lei assim determine

Art. 52, III, “f”, da CF

e.g., Art. 6o da Lei 12.259/2011 (CADE) e artigo 23 Lei No 9.472/97 (ANATEL)

4. Perda do Mandato

Uma das hipóteses da perda do mandato se dá por processo administrativo disciplinar, mas que será instaurado pelo Ministro da Casa Civil e será julgado pelo Presidente da República

Há jurisprudência do STF no sentido de que a exoneração de dirigentes de agência não é um ato discricionário do Executivo e, a depender do que dispõe a lei, uma das hipóteses dependerá de provocação do Presidente e decisão do Senado Federal (e.g., CADE)

Art. 55-E

ADI No 1949-RS, Rel. Dias Toffoli; RMS 26.980/MA, Rel. Ministro Nelson Jobim

5. Orçamento

O orçamento é vinculado ao da União, não podendo ser, a princípio, complementado por tributos.

O orçamento pode ser complementado por tributos vinculados a uma contraprestação específica, e, assim, o órgão poderia aumentar a sua capacidade financeira por meio de taxas (veja exemplos abaixo)

Tabela Comparativa de Dois Possíveis Modelos de ANPD
Legendas: CC – Código Civil; LGPD – Lei Geral de Proteção de Dados; CF – Constituição Federal; CADE – Conselho Administrativo de Concorrência; ANATEL – Agência Nacional de Telecomunicações; ADI – Ação Direta de Inconstitucionalidade


A existência de um órgão regulador autônomo e independente é fator chave para que o Brasil seja considerado como um país de nível adequado de proteção de dados pessoais, como foi o que aconteceu recentemente com o Japão, podendo, assim, receber livremente transferências de dados de pessoas localizadas em outros países e blocos econômicos.

Em uma das suas vindas para o Brasil, Bruno Gencarelli, responsável pela divisão de Fluxo de Dados da União Europeia/UE, adiantou que haveria convergência entre a lei brasileira e a europeia, mas que seria essencial a existência de uma autoridade de proteção de dados independente para um futuro acordo na criação de uma zona geográfica de livre trânsito de dados.

Sophie Kwasny, líder do Departamento de Proteção de Dados Pessoais do Conselho da Europa, também ressaltou a importância de um arranjo fiscalizatório independente. Durante o IX Seminário de Privacidade do Comitê Gestor da Internet (CGI.br) relembrou como a própria história da Convenção Internacional 108 de Proteção de Dados Pessoais, passando pelo seu texto original em 1980, pelo seu protocolo adicional em 2004 e pelo seu recente processo de modernização em 2018, indica ser um padrão internacional a existência de um órgão autônomo de fiscalização. Atualmente mais de 50 (cinquenta) países aderiram à Convenção 108, o que inclui países com realidade socioeconômica semelhantes a do Brasil (México, Uruguai, etc.).

Além disso, a partir do segundo semestre de 2020, dados de pessoas localizadas no Brasil só poderão deixar o território na direção de um país de nível adequado ou se for ativado um dos outros mecanismos de transferência internacional de dados. Será a ANPD que definirá o conteúdo de cláusulas contratuais-padrão/CCP, bem como validará cláusulas contratuais específicas/CCE, normas corporativas globais/NCG, selos, certificados e códigos de conduta/CCs para fins de transferência internacional, de acordo com o artigo 35 da LGPD, bem como avaliará quais países detêm um nível de equivalência ao brasileiro de proteção de dados.

Considerando experiências anteriores pelas quais é difícil vislumbrar um nível adequado de proteção de dados pessoais sem que o seu respectivo país tenha uma lei geral de proteção de dados, essa questão também se mostra chave para o outro lado do Atlântico. Enquanto os EUA e outros parceiros comerciais do Brasil não têm uma lei geral de proteção de dados pessoais, o perfil de quem vai abrir a caixa de ferramentas para transferência internacional é extremamente relevante (CCPs, CCCEs, NCGs, etc.).

Vale dizer que o modelo de uma autarquia de regime especial é o ideal pelo qual a ANPD possa cobrar taxas pelos mencionados serviços de análise de mecanismos de transferência internacional. Com isso, a médio e a longo prazo, a ANPD teria, ao menos, perspectiva de receita para se aparelhar de forma correspondente às demandas que baterão em sua porta.

Nunca é demais lembrar que a ANPD deve ser colaborativa ao longo do prazo de entrada em vigor da lei, auxiliando os atores regulados nos processos de conformidade regulatória. Nesse sentido, vários dispositivos da lei dependem de calibração por parte da ANPD, como, por exemplo, em quais hipóteses serão obrigatórios os relatórios de impacto à proteção de dados pessoais e, até mesmo, a dispensa da indicação do encarregado de acordo com a natureza e o porte das entidades ou volume das atividades de tratamento de dados. A experiência internacional apontar ser imprescindível um órgão regulador independente para conduzir tal processo e, com isso, trazer segurança jurídica quanto a uma série de obrigações que dependem de regulamentação a posteriori de sua parte.

É hora de deixar para trás a “ressaca” de 2018, momento no qual houve muito celebração em torno da aprovação da lei geral brasileira de proteção de dados. O ano de 2019 é o momento de semear o terreno para colher bons frutos quando da entrada em vigor da lei em agosto de 2020. Isso envolve necessariamente, o quanto antes em 2019, repensar e reanalisar o modelo da autoridade de proteção de dados, uma discussão que pode ser adubada e irrigada a partir de articulações domésticas e externas. Caso contrário, a integração com países e blocos econômicos e, até mesmo, o mercado interno brasileiro poderão se retrair em meio a um ambiente regulatório incerto.

Criptografia no horizonte do Supremo Tribunal Federal e do Congresso Nacional

Desde 2016 tramita uma ação de descumprimento de preceito fundamental (ADPF 403-SE)1 em que se discute a constitucionalidade de ordens judiciais de bloqueio do WhatsApp no Supremo Tribunal Federal/STF. Em junho de 2017, o STF convocou audiência pública para discutir a possibilidade técnica do WhatsApp interceptar o conteúdo de mensagens dos usuários da plataforma, já que os bloqueios têm sido uma espécie de sanção imposta ao provedor de aplicação por não franquear acesso sob o argumento de ser tecnicamente impossível quebrar a criptografia de ponta a ponta.

Muito embora a ação tenha sido proposta tendo por objeto o direito fundamental à liberdade de comunicação, o Supremo Tribunal Federal não está adstrito à analisá-la sob esse prisma. Há a possibilidade do Tribunal apreciar se as ordens judiciais de bloqueio do aplicativo ferem também outros direitos e liberdades fundamentais, como, por exemplo, o direito à privacidade Nesse sentido, praticamente todo o teor da discussão da audiência pública realizada em 2017, bem como petições de amicus curiae apontam que tais ordens judiciais de bloqueio seriam inconstitucionais por mirar em uma tecnologia que materializa o direito fundamental à confidencialidades das comunicações.

Ao final de 2018 o processo foi liberado para ser incluído na pauta do plenário do Supremo Tribunal Federal. Logo em seguida, em janeiro de 2019, o grupo de trabalho de segurança pública do Conselho Nacional de Justiça, presidido por um dos ministros da Suprema Corte Federal (Alexandre de Moraes), elaborou uma lista de 11 (onze) pontos para nortear ações do Congresso Nacional e do Ministério da Justiça no combate à criminalidade. Uma das medidas visa o endurecimento das regras a que devem se submeter tais aplicativos de mensageria, obrigando-os a: a) prover acesso ao conteúdo das conversas trocados no aplicativo e; b) manter sede ou representante legal no Brasil.

O ano de 2019 promete subir a temperatura em torno dos limites possíveis e desejáveis com relação à intervenção do Estado no desenvolvimento e uso de criptografia. Algo que será decisivo a esse respeito, será não só o resultado final do julgamento por parte do STF, mas, sobretudo, o seu conteúdo e racionalidade da futura decisão a ser tomada. Isto porque, é bem provável que o julgamento influencie não só as discussões, mas, até mesmo, o próprio teor de futuras iniciativas legislativas com o objetivo de regular o uso de criptografia no Brasil.

—————————————

1 Também tramita uma ação direta de inconstitucionalidade (ADI 5527/DF) em torno dos incisos III e IV do art. 12 do Marco Civil do Internet (MCI), os quais autorizam a “suspensão temporária” e a “proibição do exercício das atividades” dentre o rol de sanções oponíveis a provedores de conexão e aplicações de internet.

Logos do CGI.br, NIC.br, Registro.br, Cert.br, Ceptro.br, Cetic.br e W3C
Licença Creative Commons
O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
Política de Privacidade e Termos de Uso