Eduardo Molan Gaban
Nesta última quarta-feira (20/10), foi aprovada a PEC 17/2019[1], que elevou a nível constitucional a proteção de dados pessoais, inclusive nos meios digitais, inserindo esta previsão no rol de direitos fundamentais do artigo 5º; bem como atribuiu à União a competência privativa para legislar sobre matérias de proteção e tratamento dos dados pessoais, acrescentando o inciso XXX no artigo 22 da Constituição Federal. Após a aprovação em dois turnos pelas Mesas da Câmara dos Deputados e do Senado Federal, com o respectivo número de ordem, o texto deve seguir para promulgação, por meio de sessão do Congresso ainda a ser designada.
Apesar de o rito e demais especificações da proteção dos dados já estarem previstos anteriormente na Lei Geral de Proteção de Dados (Lei nº 13.709/18, ou simplesmente LGPD), a PEC trouxe um expressivo reforço na efetivação da tutela desse direito, vez que, a partir da sua publicação, será dever do Estado zelar e criar mecanismos para colocar em prática o devido tratamento dos dados pessoais. E nessa condição, será o Estado responsável indireto por eventuais falhas ocorridas na disciplina da proteção de dados.
Assim, com a inserção da proteção dos dados na categoria dos direitos fundamentais, caso haja um vazamento de dados por meio de uma rede social, por exemplo, haverá dois tipos de responsabilização: (i) a primeira, de forma direta, da própria rede social; (ii) e em segundo lugar, de forma indireta, do Estado, que possui o dever de fiscalizar e coibir estas práticas. Da mesma forma, caso seja omisso em alguma dessas situações, também poderá ser responsabilizado.
Outro ponto de importante relevância que a PEC trouxe é a garantia de maior segurança jurídica sobre a matéria de proteção de dados, vez que ela impede a pulverização e fragmentação das normas. Isso quer dizer que, na medida em que ela impõe à União a competência única para legislar nesse tema, os demais entes da Federação estão automaticamente impedidos de criar leis esparsas sobre o mesmo assunto, as quais poderiam levar a interpretações contraditórias e conflitantes.
Cite-se, a título ilustrativo, a preexistência de normas infraconstitucionais sobre proteção de dados em João Pessoa/PB[2], Vinhedo/SP[3] e Cariacica/ES[4]. Com a publicação da PEC, tais leis não mais serão válidas, sendo tacitamente revogadas em razão da incompetência destes entes para legislar sobre o assunto. A competência privativa da União para legislar elimina o risco de conflitos de normas estaduais/municipais com a LGPD, as quais tendem a criar mais embaraços do que auxiliar na sua aplicação.
A Proposta aprovada ainda definiu um papel mais certeiro da Autoridade Nacional de Proteção de Dados (ANPD). De acordo com a relatora da PEC, a senadora Simone Tebet, “a previsão da PEC que atribui à União as competências de organizar e fiscalizar o tratamento dos dados pessoais dos indivíduos oferece agora ‘abrigo constitucional’ ao funcionamento da Autoridade Nacional de Proteção de Dados (ANPD)”[5].
A este respeito, é oportuno destacar que a redação original da PEC previa a autonomia institucional da ANPD. No entanto, este enunciado foi removido, e a Autoridade permanece com a mesma composição institucional de quando foi criada: órgão da administração pública direta, vinculado à Presidência da República.
Muito embora a independência administrativa seja recomendável para as autoridades de proteção de dados, como demonstra relatório da Organização para a Cooperação e Desenvolvimento Econômico (OCDE)[6], permanecem intactas as suas atribuições e prerrogativas sobre aplicação das sanções previstas na LGPD, tal como previsto no artigo 55-J da mencionada Lei.
Todavia, embora a PEC tenha trazido grandes avanços em termos de segurança jurídica para legislação da matéria e na competência sancionatória da ANPD, existem alguns pontos que remanescem sem a devida atenção do legislador e que podem trazer embaraços na efetivação da tutela deste direito fundamental, principalmente no que diz respeito à competência de aplicação das sanções em outras legislações existentes que também tratam da proteção de dados.
Mesmo antes da entrada em vigor da LGPD, o ordenamento jurídico pátrio já contava com leis que disciplinavam a proteção dos dados pessoais, como o Marco Civil da Internet[7], o Código de Defesa do Consumidor[8], a própria Constituição Federal[9], o Código Civil[10] e o Estatuto da Criança e do Adolescente[11]. Em tais normativas, as autoridades responsáveis pela aplicação de punições, em caso de violação, são as instâncias originárias competentes para o processamento da respectiva matéria.
Com o surgimento da LGPD, por sua vez, que vem para congregar todos os regulamentos e dar maior encaixe a eles, restou estabelecido que a aplicação das sanções administrativas ali previstas (artigos 52 a 54) deve ser feita por meio da ANPD.
A LGPD, contudo, embora tenha alcance multidisciplinar e sirva para cooptar as ideias constantes dos estatutos acima citados, não previu a competência da ANPD ou de qualquer outra autoridade nacional específica para tratar de violações ao tratamento dos dados das demais leis acima citadas.
Nesse sentido, na medida em que a LGPD não previu a competência sancionatória da ANPD para alcançar as demais legislações, um dos grandes desafios na aplicabilidade da matéria de proteção de dados será a promoção da atuação sinérgica entre os órgãos aplicadores de punições quando previstas nas outras normas, como o CDC e Marco Civil da Internet.
E nesse sentido, em que pese não haja uma previsão explícita de uma autoridade para promover essa atuação harmônica entre os demais órgãos, a Secretaria Nacional do Consumidor (SENACON) do Ministério da Justiça e Segurança Pública vem desempenhando um papel de destaque, ao passo em que vem desenvolvendo um trabalho voltado à redução da insegurança jurídica por meio de uma uniformização racional do funcionamento dos órgãos a ela vinculados, porém não subordinados.
De acordo com as suas atribuições institucionais, a atividade do SENACON visa a harmonização nas relações de consumo, bem como incentiva a integração e a atuação conjunta dos membros do Sistema Nacional de Defesa do Consumidor (SNDC). Porém, a atual configuração do SNDC faz com que cada órgão, em sua atividade fiscalizatória, adote seus próprios entendimentos sobre temas e normas de direito do consumidor, o que acaba potencializando a desarticulação do SNDC e ampliando a insegurança jurídica tanto no tocante às regras processuais quanto ao padrão punitivo[12].
E é assim que surge o desafio à SENACON de promover a articulação e a integração dos órgãos componentes do SNDC. O que se verifica, na prática, é que a Secretaria vem atuando de forma a regulamentar um processo uniforme e racional para todo o SNDC, fixando critérios sistêmicos e parâmetros para a aplicação de sanções administrativas, buscando sempre alcançar a máxima segurança jurídica.
Inclusive, com essa finalidade, e já antevendo a insegurança jurídica que paira sobre a matéria de dados pessoais no âmbito consumerista, especialmente no início da aplicação das sanções, firmou Acordos de Cooperação Técnica com a própria ANPD[13]. Isso demonstra uma postura de preocupação da Secretaria com a complexidade do sistema de proteção de dados, o qual necessita da fixação de interpretações sobre o tema, até mesmo para evitar a judicialização em massa.
Não obstante a PEC, tampouco a LGPD, não tenham delimitado uma autoridade sancionatória para as demais legislações, fato este que garante autonomia às entidades do SNDC, faz-se necessária a cooperação entre as instituições, a fim de se evitar a desarticulação destes órgãos e maximizar os efeitos práticos da punição pelo uso indevido dos dados pessoais dos consumidores. E para tanto, a SENACON possui competência na imposição de diretrizes que possam tornar o sistema coordenado.
Apenas a prática vai demonstrar qual o melhor caminho a ser percorrido, porém uma coisa é certa: a segurança jurídica somente poderá ser alcançada quando as decisões do sistema forem sinérgicas, coesas e respeitem a due process clause contida na Constituição de 1988. A falta de um processo administrativo unificado e cogente, bem assim da não submissão de todas as entidades a critérios unificados de interpretação, dosimetria e aplicação de sanções implica o enfraquecimento do SNDC e não efetiva a tutela do consumidor. A efetividade da tutela dos dados pessoais e do consumidor somente pode decorrer de uma atuação transversal e coordenada das entidades de defesa do consumidor (capitaneadas pela SENACON mediante a instrução com diretrizes de interpretação, regras de processamento e padrões de dosimetria e aplicação de sanções) e a ANPD.
[1] https://www.camara.leg.br/proposicoesWeb/prop_mostrarintegra?codteor=1773684&filename=PEC+17/2019
[2] https://leismunicipais.com.br/PB/JOAO.PESSOA/LEI-13697-2019-JOAO-PESSOA-PB.pdf
[3] https://www.legiscompliance.com.br/images/pdf/lei_complementar_161_vinhedo_lgpd.pdf
[4] http://www3.camaracariacica.es.gov.br/Arquivo/Documents/legislacao/image/L59482019.pdf
[5] https://www12.senado.leg.br/noticias/materias/2021/10/20/senado-inclui-protecao-de-dados-pessoais-como-direito-fundamental-na-constituicao
[6] https://www.oecd.org/publications/a-caminho-da-era-digital-no-brasil-45a84b29-pt.htm
[7] Lei nº 12.965/14: art. 3º, II e III; art. 7º, VII a XI; art. 10º, caput e §1º; art. 11, caput; art. 16, I e II.
[8] Lei nº 8.078/90: art. 43.
[9] Constituição Federal: artigo 5º, X, XII e LXXII.
[10] Lei nº 10.406/02: art. 21.
[11] Lei nº 8.069/90: art. 17.
[12] DOMINGUES, Juliana Oliveira; GABAN, Eduardo Molan; BRAGA, Viviane Salomão. O Processo Administrativo em defesa do consumidor e o vetor interpretativo da LGPD: desafio de um sistema de muitos atores. No prelo, p. 9.
[13] https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-e-senacon-assinam-acordo-de-cooperacao-tecnica