Decana Associada da Escola de Direito da PUCRS. Doutora em Direito pela Universidad Complutense de Madrid (1993 com titulo revalidado pela UFRGS em 1994) e Pós-Doutorado pelo Universidad San Pablo – CEU de Madri (2006-2008), Estágio Pós-Doutoral na Universidade San Pablo – Ceu de Madri (2016). Compõe o Grupo Internacional de Pesquisa “Protección de datos, transparencia, seguridad y mercado”. Atualmente, é Professora titular da Pontifícia Universidade Católica do Rio Grande do Sul e Membro da Comissão Coordenadora do Programa de Pós-Graduação em Direito do Estado da Faculdade de Direito. Procuradora Federal/AGU aposentada. Professora convidada do Master Protecciòn de Datos, Transparencia y Acceso a la Información da Universidad San Pablo de Madrid-CEU de Madri/Espanha. Membro Honorário do Instituto Internacional de Estudos de Direito do Estado (IEDE). Lidera o Grupo de Pesquisa cadastrado no CNPq: Proteção de Dados Pessoais e Direito Fundamental de Acesso à Informação. Pesquisadora do Grupo Nedef/PUCRS.
Mestranda em Direito na linha de pesquisa de “Direito, Ciência, Tecnologia & Inovação” na Pontifícia Universidade Católica do Rio Grande do Sul (2021/2022). Bacharel em Direito pela Pontifícia Universidade Católica do Rio Grande do Sul (2016/2021). Membro do Grupo de Pesquisa cadastrado no CNPq “Proteção de Dados Pessoais e Direito Fundamental de Acesso à Informação”, vinculado à PUCRS. Membro do Grupo de Pesquisa cadastrado no CNPq “Governança Corporativa,
O avanço das novas tecnologias, impulsionado pelos influxos disruptivos da Revolução 4.0, proporcionou a criação e o aperfeiçoamento das legislações de proteção de dados pessoais ao redor do mundo. Neste contexto, as autoridades de proteção de dados passaram a assumir papel de grande relevância para orquestrar as trocas comerciais internacionais e o fluxo transnacional de dados. Dito isso, o trabalho busca responder à seguinte hipótese: De que forma as legislações na União Europeia (“UE”) e na América Latina vêm regulamentando a proteção de dados pessoais, especialmente no que toca à independência e à autonomia das autoridades de proteção de dados? O objetivo geral da pesquisa consiste em evidenciar tal contexto internacional na matéria de proteção de dados pessoais na UE e na América Latina. Partindo do cenário delimitado, os objetivos específicos são (i) identificar as principais características das legislações de proteção de dados, notadamente do Regulamento Europeu de Proteção de Dados (“RGPD”) e das leis locais de proteção de dados na América Latina; (ii) verificar a forma com a qual as autoridades de proteção de dados foram estruturadas nesses locais; e (iii) a partir da apresentação do Acordo de Livre Comércio entre a União Europeia e o Mercosul, analisar o caso da Autoridade Nacional de Proteção de Dados brasileira (“ANPD”). Ao final, concluir-se-á no sentido de que as presentes e futuras relações comerciais, especialmente aquelas que impliquem transferência internacional de dados, dependerão do cumprimento de parâmetros de proteção de dados. A pesquisa foi realizada a partir do método de abordagem hipotético-dedutivo, com procedimento comparativo e histórico e interpretação sistemática. A natureza da pesquisa foi teórica, o objetivo foi exploratório e explicativo e, quanto ao objeto, a pesquisa foi bibliográfica.
The rise of new technologies, driven by the disruptive inflows of Revolution 4.0, led to the creation and improvement of personal data protection laws around the world. In this context, the national data protection authorities started to play a very important role in orchestrating international trade and the transnational flow of data. That said, the paper seeks to answer the following hypothesis: How the legislation in the European Union (“EU”) and in Latin America have been regulating the protection of personal data, especially with regard to the independence and autonomy of the data protection authorities? The general objective of the research is to highlight this international context in the field of personal data protection in the EU and Latin America. Within this scenario, the specific objectives are to (i) identify the main characteristics of data protection legislation, notably, the General Data Protection Regulation (“GDPR”) and local data protection laws in Latin America; (ii) verify the way in which data protection authorities were structured in those places; and (iii) after the presentation of the Free Trade Agreement signed between the European Union and Mercosur, analyze the case of the Brazilian National Data Protection Authority (“ANPD”). Lastly, the research concludes in the sense that present and future commercial relations, especially those involving the international transfer of data, will depend on compliance with data protection standards. The research was carried out thorough a hypothetical-deductive approach method, with comparative and historical procedure and systematic interpretation. The nature of the research was theoretical, the objective was exploratory and explanatory and, as for the object, the research was bibliographical.
SUMÁRIO: Introdução; 1 O Regulamento Europeu de Proteção de Dados e as autoridades de proteção de dados; 2 A proteção de dados na América Latina; 3 O Acordo de Livre Comércio entre a União Europeia e o Mercosul e o caso da Autoridade Nacional de Proteção de Dados brasileira; Considerações finais; Referências.
As formas de coleta e tratamento de informações provocaram a necessidade de rediscutir-se o contexto da privacidade e, com isso, novas estratégias para regulamentar a matéria, especialmente a proteção de dados pessoais. Nesse estado das coisas, atualmente, tomou importância, ademais da privacidade em si, tratar-se da proteção de dados pessoais e outros direitos de personalidade, porque a utilização dos instrumentos já existentes não é suficiente para promover suas condições mais básicas, motivo pelo qual é necessária a criação de novas categorias para a proteção da esfera privada do indivíduo e, da mesma forma, da esfera pública do indivíduo, a dos dados pessoais. A proteção de dados pessoais tornou-se um direito fundamental autônomo.
A discussão atinente à proteção da esfera privada, como se sabe, vem de longa data, a exemplo do julgado
Nesse sentido, a referida evolução tecnológica, cada vez mais rápida, conjuntamente com a integração econômica e social, fenômenos identificáveis tanto na UE quanto no Mercosul, criaram novos desafios em matéria de proteção de dados, inclusive pelo aumento do intercâmbio de informações entre entes públicos e privados. Assim, percebe-se que a proteção de dados pessoais, hoje, está diretamente ligada ao comércio e à troca de bens e serviços, motivo pelo qual é imperativo que a legislação promova segurança e previsibilidade
Por conta disso, as informações pessoais
Na América Latina, diversos países já possuem legislações de proteção de dados, nos quais há especial interesse na proteção dos direitos do titular e sobre o armazenamento e a transferência de informações; contudo, nem todos preveem a criação de uma autoridade nacional de proteção, como se verá adiante, o que dificulta a proteção de dados no contexto da sociedade de vigilância (
Assim, o presente estudo questiona de que forma as legislações vêm regulamentando a proteção de dados pessoais na UE e América Latina
Para fins de responder ao problema apontado, o objetivo geral da pesquisa consiste em evidenciar o contexto internacional na matéria de proteção de dados pessoais na UE e na América Latina. Partindo desse cenário delimitado, os objetivos específicos são (i) identificar as principais características das legislações de proteção de dados, notadamente do Regulamento Europeu de Proteção de Dados (“RGPD”) e das leis locais de proteção de dados na América Latina; (ii) verificar a forma com a qual as autoridades de proteção de dados foram estruturadas nesses locais; e, (iii) a partir da apresentação do Acordo de Livre Comércio assinado entre a União Europeia e o Mercosul, analisar o caso da Autoridade Nacional de Proteção de Dados brasileira (“ANPD”), no esforço de entender se a forma com a qual a ANPD foi criada poderia criar um entrave às futuras trocas comerciais potencializadas pelo Acordo de Livre Comércio.
Nessa linha, a pesquisa partiu do método de abordagem hipotético-dedutivo, com procedimento comparativo e histórico e interpretação sistemática. A natureza da pesquisa foi teórica, o objetivo foi exploratório e explicativo e, quanto ao objeto, a pesquisa foi bibliográfica. Por fim, a presente pesquisa se insere no Grupo de Pesquisa cadastrado no CNPq, “Proteção de Dados no Estado Democrático de Direito”, do Programa de Pós-Graduação em Direito da PUCRS, na linha de pesquisa “Direito, Tecnologia e Inovação”.
Dito isso, passar-se-á à análise das recentes legislações na matéria de proteção de dados, no Brasil, na América Latina e na União Europeia, iniciando-se pelo RGPD, e das autoridades de proteção de dados no Bloco Europeu, partindo-se da premissa de que a proteção de dados pessoais, atualmente, integra o rol dos direitos fundamentais do cidadão, como decorrência do princípio da dignidade humana.
O Regulamento Europeu de Proteção de Dados consolida o posicionamento de vanguarda do Continente no sentido de conferir especial proteção à esfera dos dados pessoais de seus membros. Quer dizer, desde as primeiras normatizações, sabidamente do movimento contra a Lei do Estado de Hesse, na Alemanha, até o atual Regulamento nº 2016/679, a União Europeia vem ditando os padrões a serem seguidos nessa matéria.
Por conta disso, e tendo em vista as parcerias comerciais havidas entre a União Europeia, o Mercosul e, em última análise, com o Brasil, o nível conferido à proteção de dados passou a ser elemento relevante de observação nas tratativas de novos acordos econômicos, sem prejuízo da revisão daqueles já firmados. Aqui é indispensável referir que as novas tecnologias aceleraram em grande medida o processo de trocas comerciais, de forma que, mais do que nunca, os países devem se posicionar de forma afirmativa, para a regulamentação e para a proteção nacional (e internacional) de dados.
É que, apesar do caráter transnacional da Internet e da crescente economia global, os direitos aos dados e os regulamentos de proteção de dados são ainda muito fragmentados (
Assim, desde já, pode-se inferir que há uma clara tendência, resultante de uma “força expansiva” da proteção de dados pessoais, de que a privacidade seja mais do que uma mera característica congênita dos chamados “novos direitos”; verifica-se uma verdadeira mutação do ambiente no qual circulam os dados e nos quais se manifestam os interesses ligados à privacidade (
Dito isso, antes de adentrar à realidade brasileira e aos reflexos do Acordo de Livre Comércio assinado entre a União Europeia e o Mercosul, cumpre analisar (
O Regulamento Geral de Proteção de Dados (“RGPD”) foi aprovado em 15 de abril de 2016 e implementado em 25 de maio de 2018 pelo Parlamento Europeu. Possui 99 artigos e um longo preâmbulo “Considerandos”, o qual estabelece toda a principiologia fundamental para a aplicação da matéria de proteção de dados.
A nova normatização surgiu para regulamentar o tratamento de dados pessoais de todos os indivíduos da União Europeia e do Espaço Econômico Europeu (“EEE”), bem como a exportação de dados pessoais para fora da UE e do EEE – a chamada transferência internacional de dados. Com isso, o RGPD proporcionou novas formas para que os cidadãos controlem seus dados, bem como unificou as normativas até então existentes, revogando a Diretiva de Proteção de Dados Pessoais de 1995 (95/46/CE).
O RGPD consolida o entendimento de que, na União Europeia, o direito à proteção de dados foi uma construção jurisprudencial, a exemplo da experiência alemã. Então, atualmente, o direito à proteção de dados está alçado à categoria de direito fundamental
Tal fato se deve, em grande medida, à natureza legislativa do regulamento, que, ao contrário da diretiva, é um ato legislativo vinculativo, aplicável em todos os seus elementos em todos os países do Bloco (
Já a diretiva
Os Regulamentos constituem atos unilaterais dotados das seguintes características: o caráter geral, a aplicabilidade direta e a obrigatoriedade em todos os seus elementos. Vale dizer: todas as pessoas – singulares ou coletivas, empresas Estados, etc. – que se encontrem no seu âmbito de aplicação – objetivo, subjetivo, temporal e espacial – estão por ele vinculadas, o que faz com que seja obrigatório em todos os seus elementos tendo, portanto, aplicabilidade direta, ou seja, prescinde de qualquer mecanismo de recepção no ordenamento jurídico dos Estados membros incorporando-se automaticamente nesse ordenamento.
Neste contexto, no âmbito na União Europeia, há, em verdade, um sistema de governança em múltiplos níveis e, por isso, a legislação, cada vez mais, vem sendo desenvolvida para ter caráter regulatório, e não redistributivo (
Merece destaque o fato de que os europeus, quando criaram o sistema detalhado de proteção de dados que hoje é o RGPD, estabeleceram uma regra que passou a ser caracterizada como aplicação extraterritorial da lei; em outras palavras, conforme sustenta Maldonado, empresas em qualquer lugar do mundo, que vierem a oferecer bens para aqueles que estiverem na União Europeia, devem obedecer ao regulamento europeu (
Então, hoje, os processos empresariais que tratem dados pessoais, em outras palavras, que manipulem informações dessa natureza, são obrigados a ser desenhados de raiz e por padrão com medidas que respeitem os princípios da proteção de dados por defeito
Dito isso, nos termos do art. 3(1), o Regulamento é aplicável ao tratamento de informações pessoais realizado “no contexto das atividades de um estabelecimento” de responsável pelo tratamento ou por operador situado no território europeu, ainda que o tratamento ocorra fora dos limites territoriais da União Europeia
29. [...] Assim, para determinar se uma sociedade, responsável por um tratamento de dados, dispõe de um estabelecimento, na acepção da Diretiva 95/46, num Estado-membro diferente do Estado-membro ou do país terceiro em que está registada,
Inclusive, nos termos do Regulamento, o local onde se dá o tratamento de dado pessoal é irrelevante se o estabelecimento do responsável é situado na União Europeia. A nova normativa tem evidente pertinência em vista dos avanços da Internet. Alcança, por exemplo, empresas e entidades responsáveis pelo tratamento de dados que utilizam computação em nuvem (
Ainda, a despeito dos elementos de extraterritorialidade do RGPD e efeitos que a normativa europeia pode produzir no sistema jurídico brasileiro ou possíveis conflitos de lei, há ainda a necessidade de se observar as possíveis repercussões em relação à transferência internacional de dados pessoais, disciplinada normativamente nos arts. 44 a 50 do Regulamento Europeu.
Em termos analíticos, uma transmissão transfronteiriça de dados pessoais
Em essência, a regra é ancorada em modelo geográfico de regulamentação do fluxo de dados entre fronteiras nacionais, porquanto “objetiva proteger contra riscos gerados pelo país ou localidade para qual os dados serão transferidos”
Por esses motivos, desde já, evidencia-se a relevância da análise da forma com a qual a legislação brasileira, para fins de conformidade com o RGPD e com o disposto na própria Lei Geral de Proteção de Dados, após as alterações promovidas pela
A Autoridade de Controle – ou
Nos termos do art. 51 do RGPD, cabe aos Estados-membros da União Europeia designar uma ou mais autoridades públicas independentes, ou
Dito isso, Philip Schütz entende que as características da Autoridade de Controle, para serem melhor analisadas, devem ser vistas à luz das
Quer dizer, essencialmente, esse tipo de “agência” (por falta de melhor termo para se utilizar em matéria administrativa)
Na mesma linha de raciocínio, a DPA deve seguir os mesmos rigores da IRA, conforme define o mesmo autor (
Das definições apresentadas, pode-se extrair que a característica central que a Autoridade de Controle deve apresentar é a de independência no exercício de suas funções. Nesse sentido,
Tendo isso como base, o autor se utiliza de um método quantitativo de aferição da independência da autoridade, buscando medir a independência formal de agentes governamentais. Há outros autores, como
Por esses motivos, cabe aos Estados-membros assegurarem às DPAs recursos humanos, físicos, técnicos e financeiros, além de outros que se façam necessários à boa condução dos casos pela autoridade. Um ponto importante a ser salientado é a observação de que caberá aos Estados-membros assegurarem que o orçamento não seja um fator prejudicial à independência das DPAs, ponto que a experiência internacional comprova como relevante em outras autoridades de natureza similar (
No que toca ao âmbito empresarial, também objeto desse trabalho, para fins de efetividade do Acordo de Livre Comércio assinado entre representantes da EU e do Mercosul, merece destaque o fato de que o
Neste contexto, as empresas deverão considerar cuidadosamente se elas fazem parte do contexto no qual é exigida a designação de um
As empresas que nomeiam um DPO precisam garantir que ele tenha acesso a todos os recursos e apoio necessários para cumprir a função e garantir a sua independência e autonomia. Isso é particularmente importante quando um DPO único é designado para um grupo de empresas, pois os desafios dessa abordagem são muito maiores. Se uma empresa deixar de cumprir suas obrigações com relação à nomeação e ao suporte de um DPO, poderá sofrer multas no âmbito do RGPD até um máximo de 10 milhões de euros ou 2% do faturamento mundial (
Feitos tais esclarecimentos, em março de 2010, a Corte Europeia de Justiça entendeu que a Alemanha falhou em cumprir com as suas obrigações, nos termos do parágrafo segundo do artigo 28 (1) da Diretiva nº 95/46/EC, qual seja, assegurar a completa independência da autoridade de proteção de dados:
Em outras palavras, o DPO alemão, ou
Ainda, em caso recente decidido em outubro de 2015
Portanto, o que se buscou demonstrar até aqui é que a
Isso posto, passar-se-á a analisar, em linha com os objetivos desse trabalho, a forma com a qual a proteção de dados se dá na América Latina para, após, vincular este contexto à Lei Geral de Proteção de Dados brasileira e à efetividade do Acordo de Livre Comércio assinado entre o Mercosul e a União Europeia.
Frente às conclusões de um futuro previsível, vive-se uma mudança de era, na qual é impossível ignorar os avanços da tecnologia, notadamente da inteligência artificial e seus reflexos na manipulação de dados. Em face da nova revolução, a América Latina, a exemplo da Europa, também viu na uniformização das diretrizes sobre proteção de dados um caminho para maior segurança, tanto a nível individual quando coletivo.
Neste contexto, antes da análise dos aspectos relativos à proteção de dados no Acordo Bilateral assinado entre a União Europeia e no Mercosul, cumpre tecer alguns esclarecimentos com relação às legislações latinas.
Diversos países têm legislações de proteção de dados na América Latina, como Chile, Argentina, Uruguai e Colômbia, além do próprio Brasil. Em todos os casos, há especial interesse na proteção dos direitos do titular e sobre o armazenamento e a transferência de dados, mas nem todos os regulamentos fazem menção específica à aplicação territorial, de forma que fica em aberto a abrangência da lei, para fins de comparação com a RGPD. É o que se passa a expor, por partes.
A Lei de Proteção de Dados chilena,
Ainda, a LPVP prevê a responsabilização de empresas controladoras de dados em caso de prejuízos aos titulares, prevendo a indenização por danos materiais e morais
Por fim, a LPVP não determina a criação de alguma autoridade nacional para a execução da lei e administração dos dados. Por isso, não existindo uma autoridade de controle, a legalidade do tratamento de dados pessoais é garantida em razão do regime de sanções e do procedimento de recurso judicial disposto na lei. Em última instância, o ordenamento jurídico chileno tem concedido ao Conselho de Transparência competência para fiscalizar a aplicação da lei.
Na
Destaque-se que a LPDP dispõe sobre a criação de órgão de controle (“
Por fim, destaca-se que as penalidades previstas na LPDP incluem (i) sanções administrativas, as quais podem variar de uma advertência (“
No
O manejo de dados nos termos da LPDPA é condicionado ao controle por órgão específico, que poderá aplicar sanções, graduadas em atenção à gravidade, reiteração ou reincidência da infração cometida. Há que se dar especial destaque para o fato de que uma das penalidades previstas em lei é a “clausura da base de dados”
Por sua vez, a lei de proteção de dados da Colômbia, Ley Estatutaria nº 1.581
Ressalte-se que entre as medidas punitivas elencadas na lei está a suspensão das atividades relacionadas com o tratamento de dados por até 6 meses e o encerramento imediato e definitivo da operação que envolva o tratamento de dados sensíveis. Não obstante, a LEPDP estabelece que as sanções previstas se aplicam apenas a pessoas de natureza privada; com isso, caso a Superintendência da Indústria e Comércio apure suposta violação por autoridade pública, a ação será encaminhada para o Ministério Público da Colômbia para que este proceda à respectiva investigação
A LEPDP determinou a incorporação da atividade regulatória de proteção de dados à Superintendência de Indústria e Comércio, para realizar a vigilância e garantir que o tratamento de dados respeite os princípios, os direitos, as garantias e os procedimentos previstos em lei
O Brasil, por sua vez, promulgou a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou “LGPD”), que entrou em vigor em 18 de setembro de 2020, à exceção das sanções administrativas, que passarão a ser exigíveis apenas a partir de 1º de agosto de 2021. A LGPD regulamenta o tratamento das operações envolvendo dados pessoais, seja por meio digital ou não, dentro ou fora da Internet, e abarca, entre outras questões, os direitos dos titulares dos dados, as obrigações dos agentes de tratamento e do encarregado de dados, os parâmetros para segurança da informação, os requisitos para a transferência internacional de dados e, inclusive, as instruções quanto à atuação da Autoridade Nacional de Proteção de Dados (“ANPD”). Com isso, o Brasil passou a ser incluído no grupo de países da América Latina que possui uma Lei Geral de Proteção de Dados.
Ademais, a nível latino-americano, destaquem-se os “Padrões de Proteção de Dados dos Estados Ibero-Americanos”, os quais foram aprovados pela Rede Ibero-Americana de Proteção de Dados (RIPD ou a Rede), para cumprir com um objetivo longamente almejado por todas as entidades que a integram, bem como para um dos acordos adotados na XXV Cúpula Ibero-Americana de Chefes de Estado e de Governo, celebrada nos dias 28 e 29 de outubro de 2016, na Colômbia, relacionado com solicitar à Rede a elaboração de uma proposta de cooperação efetiva com a proteção de dados pessoais e a privacidade, alterando os
Os Padrões Ibero-Americanos conformam um conjunto de diretrizes orientadoras, que contribuem para a emissão de iniciativas regulatórias de proteção de dados pessoais na região ibero-americana para aqueles países que ainda não contam com esses ordenamentos, ou, no caso, para servir de referência na modernização e atualização das legislações existentes. Destaca-se que diversos instrumentos internacionais serviram de referência para os Padrões, tais como o Convênio nº 108 do Conselho da Europa, o Marco de Privacidade do Fórum de Cooperação Econômica Ásia-Pacífico e o Regulamento do Parlamento Europeu e do Conselho.
Entre os objetivos dos Padrões Ibero-Americanos encontram-se (
Ressalte-se que os Padrões de Proteção de Dados para os Estados ibero-americanos admitem aplicação mesmo naqueles Estados que não contam com uma legislação na matéria, porque considera-se que o acelerado uso de tecnologias da informação pode afetar a preservação e o tratamento da informação a nível comunitário, havendo comunicação massiva de dados pessoais de maneira imediata e quase ilimitada.
Com efeito, os Padrões se aplicam, (
Quanto à transferência internacional de dados pessoais, os Padrões elencam regras gerais para a circulação dos dados, estabelecendo que as legislações nacionais aplicáveis na matéria poderão limitar as transferências internacionais de categorias de dados pessoais por razões de segurança, segurança pública, proteção à saúde pública, proteção dos direitos e das liberdades de terceiros, bem como questões de interesse público.
Ainda, os Padrões referem, em seu Capítulo IX, o direito de indenização, de acordo com o qual a legislação nacional dos Estados ibero-americanos aplicável reconhecerá o direito do titular de ser indenizado quando tiver sofrido danos e prejuízos, como consequência de uma violação de seu direito à proteção de dados pessoais. O direito interno dos Estados indicará, nesse sentido, a autoridade competente para receber esse tipo de ações apresentadas pelo titular afetado, bem como prazos, requerimentos e termos através dos quais será indenizado, em caso de corresponder.
Com isso, percebe-se que a proteção de dados já está na pauta da política da América do Sul há tempo muito maior do que no Brasil, o que demonstra ainda mais a urgência para a implementação da Lei Geral de Proteção de Dados e a efetividade dos dispositivos nela previstos, inclusive para favorecer as futuras relações comerciais proporcionadas pelo Acordo de Livre Comércio.
Atualmente, vivemos em uma sociedade na qual os dados assumem importância crescente, necessitando de regras claras e transparência sobre a maneira com a qual os dados são tratados e manipulados, coletados e armazenados, compartilhados e descartados. Neste contexto, as leis de proteção de dados e, em última análise, as autoridades nacionais de proteção de dados trazem a confiança e a previsibilidade necessárias para uma transformação digital sustentável (Gutierrez
A lei uruguaia criou a
A autoridade de proteção de dados argentina, por sua vez, passou por uma severa modificação em seu modelo ao longo dos anos. A sua criação foi determinada em 2000, a partir da aprovação da Lei nº 25.326/2000, e regulamentada pelo Decreto nº 1558/2001, que a batizou de
Anos depois, em 2017, a estrutura da autoridade de proteção de dados argentina foi modificada, para que a atividade da autoridade não sofresse riscos de “ingerências hierárquicas e menores possibilidades para investigar e sancionar as infrações do poder público” (
De outra sorte, a Lei de Proteção de Dados Pessoais da Colômbia estabeleceu que as atividades inerentes à autoridade de controle ficariam a cargo da Superintendência de Indústria e Comércio (SIC), um órgão, à época, desconcentrado
Nesse sentido, na Colômbia, apesar da autoridade ter personalidade jurídica própria – sendo, pois, da Administração indireta –, o fato de os membros serem indiretamente nomeados pelo Presidente (tal como no Uruguai) foi apontado como fator que prejudica a neutralidade dos cargos da autoridade. Por conta desse desenho, corre-se o risco de as posições deixarem de ser técnicas, para serem utilizadas com finalidades políticas.
No Brasil, a Medida Provisória nº 869/2018 (“MP”), a qual culminou na Lei nº 13.853/2019, estabeleceu os parâmetros para a criação da Autoridade Nacional de Proteção de Dados (“ANPD”), os quais foram formalizados com o Decreto nº 10.474/2020
Tendo em vista esses exemplos, fica evidente que, no caso brasileiro, a vinculação da autoridade à Administração direta e a livre nomeação dos membros pelo Presidente da República, sem participação da oposição, influenciam sua eficácia e dificultam a concretização da independência enquanto órgão fiscalizador, em que pese na letra fria da lei estar disposta a autonomia do órgão. Como visto, todos as autoridades possuem amplos poderes de investigação conferidos pela legislação, motivo pelo qual causa estranheza a vinculação da ANPD, “que não possui poderes expressos para requisitar acesso a bases de dados e sistemas de arquivamento, tampouco para fazer busca e apreensão” (Simão; Oms; Torres, 2019, p. 37):
Além disso, a MP 869/2018 não previu a possibilidade de a ANPD realizar, como forma de fiscalização, auditorias sobre o tratamento de dados pessoais de forma ampla, em descompasso com o Projeto de Lei foi aprovado no Congresso Nacional. Dessa forma, tal possibilidade ficou restringida a casos de verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.
Diante desse cenário e já tendo sido apresentadas as principais características do RGPD e das principais legislações de proteção de dados na América Latina, inclusive no que toca às autoridades de controle, parte-se à análise do Acordo de Livre Comércio assinado entre a União Europeia e o Mercosul e sua efetividade para as relações comerciais a serem travadas com o Brasil e ante a atual estrutura da ANPD.
Em 28 de junho de 2019, foi aprovado o Acordo de Associação entre Mercosul e União Europeia
O Acordo é significativo a nível mundial; somados, Mercosul e União Europeia representam um PIB de 25% da economia mundial, equivalente a 19 trilhões de euros, e um mercado de consumo de 773 milhões de pessoas. A UE é atualmente o 2º maior parceiro comercial do Mercosul, perdendo só para China, e o Mercosul é o 8º principal parceiro extrarregional da UE. Segundo dados da Comissão Europeia, em 2018, o comércio birregional de produtos alcançou 88 bilhões de euros, e o de serviços, 34 bilhões de euros, totalizando a cifra de 122 bilhões de euros (
Após a desgravação prevista no acordo, 92% das importações do Mercosul e 95% das linhas tarifárias entrarão livres de tarifas na UE. Incluídas as linhas com desgravação parcial (quota, preço de entrada e preferência fixa), a oferta europeia se eleva a 99% do volume de comércio. O Mercosul, por sua vez, liberalizará 91% das importações originárias da UE e 91% das linhas tarifárias após a desgravação prevista no acordo
Especificamente para o contexto econômico brasileiro, o Acordo é extremamente relevante, porque removerá tarifas aduaneiras, o que é justificado pelo intenso comércio do país com a União Europeia. Apenas em 2018, o país registrou um comércio de US$ 76 bilhões, com superávit de US$ 7 bilhões, dos quais US$ 42 bilhões são de exportações para a UE, representando 18% do total de exportações brasileiras, segundo dados do Comex Vis do Ministério da Economia, Indústria, Comércio Exterior e Serviços do Brasil
Após a revisão técnica e jurídica do acordo, bem como sua tradução nas línguas oficiais do Mercosul e da UE, o Acordo estará apto a ser oficialmente assinado pelas partes, com o que ele será enviado para aprovação do Conselho da Europeu no Parlamento Europeu. Sucessivamente, no Mercosul, cada Estado-membro deve concluir seus respectivos processos internos para ratificação de tratado internacional. Concluídos esses procedimentos, o Acordo entra em vigência no plano internacional.
Então, é evidente o avanço político e econômico que o Acordo representa para os blocos envolvidos; contudo, parte relevante da Convenção são os padrões exigidos para proteção de dados, em decorrência do princípio da extraterritorialidade, conforme apresentado alhures. Tendo isso em vista, o Acordo de Livre Comércio abordou a matéria de proteção de dados em cinco aspectos do material disponibilizado pelo Itamaraty, quais sejam: (
Quanto ao comércio de mercadorias, o Acordo fala que qualquer parte que introduza procedimentos de licenciamento ou mudanças nesses procedimentos deverá disponibilizar tais informações em
Quanto à facilitação aduaneira e de comércio, a cooperação internacional deve incluir a troca de informações sobre legislação aduaneira e outras relacionadas com o comércio, envolvendo, principalmente, intercâmbios sobre o uso da tecnologia da informação, requisitos de dados e documentação e sistemas de janela única, incluindo o trabalho para a sua futura interoperabilidade
Quanto aos requisitos de documentos e dados, estabeleceu-se que, no que toca ao uso de informações tecnológicas, as partes deverão emitir uma declaração aduaneira e, sempre que possível, demonstrar o preenchimento de outros requisitos de dados importação e exportação de mercadorias a serem submetidas em formato eletrônico e promover o intercâmbio eletrônico de dados entre seus respectivos comerciantes, administrações e outras agências relacionadas com o comércio
O protocolo de assistência administrativa mútua em matéria aduaneira, de forma muito relevante, define que “dados pessoais” são toda a informação relacionada com qualquer pessoa singular ou, quando a legislação das partes o preveja, pessoa coletiva (
Quanto às medidas de segurança bilaterais, o período de recolhimento de dados para as investigações sobre lesões deve normalmente ser de pelo menos trinta até seis meses, prazo que se encerrará tão próximo da data de apresentação do pedido
O art. 13, sobre a implementação do Protocolo, encerra as disposições, referindo que o protocolo deverá ser aplicado “levando em consideração suas respectivas leis e regulamentos, em particular para a proteção de dados pessoais”. Assim, em síntese, o Acordo pretende: (
Nada obstante, o questionamento que se impõe, ante tudo que foi posto,
De antemão, vale lembrar que a LGPD se inspira no conceito que ficou conhecido como o modelo europeu de proteção de dados, amparado na Convenção do Conselho da Europa nº 108, de 1981, na Diretiva nº 46/95/CE e no Regulamento Geral de Proteção de Dados (Regulamento nº 2016/679), conforme apontam
Isso pode ser percebido na exigência de uma base legal para o tratamento de dados, nos princípios gerais, nas regras especiais para os dados sensíveis, bem como no fato de ter como um de seus pilares a criação de uma autoridade para a aplicação da Lei. São influências europeias também a edição de regras distintas de responsabilidade para o operador e controlador e a novidade da portabilidade dos dados, claramente inspirada no Regulamento Europeu.
Dito isso e conforme já adiantado, a forma com a qual a autoridade nacional de proteção de dados brasileira foi criada gera dúvidas quanto à forma com a qual levará a cabo, de forma imparcial e independente, a legislação de proteção de dados. Isso porque (
Em síntese, o aspecto central debatido é que, hoje, na maioria dos marcos regulatórios de proteção de dados, as autoridades de proteção de dados constam, na maior parte das vezes, como um de seus sustentáculos principais, ou seja, como elemento integrante da técnica legislativa utilizada para abordar o tema de proteção de dados
Isso porque, sendo a ANPD órgão integrante da Presidência da República, ela deixa de possuir atributo fundamental a sua funcionalidade, a independência, ou seja, a ausência de ingerência governamental sobre seus atos (
Destarte, muito embora o pano de fundo ora sob análise seja a conformidade da LGPD para fins de aplicação e efetivação do Acordo entre a União Europeia e o Mercosul, em verdade, não se trata da emulação de algum modelo estrangeiro, mas sim a devida consideração das características fundamentais da Autoridade de Proteção de Dados – as quais parecem não terem sido refletidas pela Lei nº 13.853/2019. Aqui, refere-se
Diante de todo o exposto, responde-se à hipótese formulada, no sentido de que as legislações na UE e na América Latina vêm regulamentando a proteção de dados pessoais há mais tempo e com mais profundidade do que no Brasil. Isso quer dizer que, ainda que o Brasil conte com um significativo contexto regulatório no que toca à tutela da proteção de dados e da privacidade, a exemplo do Marco Civil da Internet e a Lei de Acesso à Informação, entre outros, a LGPD é uma lei geral e, como tal, precisa ser regulamentada em muitos de seus aspectos.
Além disso, quanto à segunda parte da hipótese apresentada ao início, parece que a forma com a qual a ANPD foi criada, de forma vinculada à Presidência da República e com natureza transitória, afeta significativamente a independência e a autonomia da autoridade, que, rije-se, deve ser capaz de fiscalizar o tratamento de dados realizado tanto por pessoas jurídicas de direito público quanto de direito privado – além, é claro, das pessoas físicas.
Assim, é inegável que a LGPD representou um marco para a garantia da privacidade e da proteção dos dados dos cidadãos no Brasil. Além de proteger as informações pessoais daqueles que fazem uso da Internet e, cotidianamente, divulgam seus dados por conta de práticas rotineiras, especialmente durante a pandemia do Covid-19
Portanto, não se extrai outra conclusão, se não a de que as normas e orientações atinentes à proteção de dados só são realmente eficazes quando discutidas e elaboradas com a participação de diversos segmentos sociais afetados, em especial os setores diretamente regulados. Em outras palavras, em um momento de tamanha transformação tecnológica, é imperativo do momento que haja uma conjugação de esforços entre Poder Público, privado e sociedade civil, para fielmente cumprir e aplicar a LGPD, de forma a potencializar as presentes e futuras relações comerciais, em um ambiente virtualmente seguro. É necessário, portanto, uma verdadeira mudança de cultura corporativa e organizacional.
Nesse aspecto,
No âmbito da América Latina, serão analisados os casos dos seguintes países: Argentina, Colômbia, Chile, Brasil e Uruguai.
Assim, na linha do que já definia a Diretiva nº 45/96, o Regulamento nº 2016/679 da União Europeia trata da proteção de dados pessoais de forma mais específica e mais rigorosa. Refere, inclusive, da proteção de dados genéticos e culturais, conforme art. 4 (1) do GDPR: “
E acrescenta: “
Diretivas são instrumentos normativos típicos do direito comunitário europeu, recomendações e pareceres. As fontes primárias são os tratados que compõe a União Europeia. Por intermédio de diretivas, a EU busca obter a uniformidade legislativa de seus Países-membros. Uma vez aprovada uma diretiva, cabe a cada um dos Países-membros, dentro de certo espaço de tempo, editar ou adaptar leis internas para que seus respectivos ordenamentos nacionais estejam nos moldes estabelecidos na diretiva. Esse fenômeno é designado de transposição. A força da diretiva deriva do fato de que, excedido o prazo para sua transposição, passa ela própria a ter certa eficácia direta internamente ao país desidioso, ao acréscimo de que este é levado a responder pela mora perante a Corte Europeia de Justiça.
Nesse particular, refere
A proteção de dados por defeito implica que a sua empresa adote sempre, como definições por defeito, as definições que mais protejam a privacidade. Por exemplo, se forem possíveis duas definições para a proteção da privacidade e uma delas impedir o acesso aos dados pessoais por parte de terceiros, deverá ser essa a definição por defeito.
Em outras palavras, as empresas/organizações são incentivadas a aplicar medidas técnicas e organizativas, nas fases iniciais da concepção das operações de tratamento, de forma a garantir os princípios da privacidade e proteção de dados logo desde o início.
Pseudoanonimizar é tornar um determinado dado pessoal em um dado que não permita identificar de forma directa o seu titular, mas que o possa tornar identificável, por exemplo, o sistema de controle biométrico.
Anonimizar é dissociar definitivamente o dado de seu titular.
Art. 3(1) do GDPR: “O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União, independentemente de o tratamento ocorrer dentro ou fora da União”.
“[...]
A respeito do tema, vide trabalho publicado pelo IRIS com comentários ao Projeto de Lei nº 5.276/2016 da Câmara dos Deputados (Cf.
Tradução livre de: “
“
É por esse motivo que se justificará a apresentação de alguns julgados do Tribunal Constitucional Europeu anteriores ao GDPR, principalmente no que se refere a (ir)regularidade na atuação de algumas ANPDs.
Ou seja, questiona-se se uma Autoridade Nacional de Proteção de Dados, vinculada à Presidência da República, conforme determina o art. 55-A da LGPD cumpre com os níveis de proteção de dados exigidos pelo GDPR, para fins de cumprimento do Acordo de Livre Comércio entre o Mercosul e a União Europeia.
A discussão sobre a natureza jurídica da ANPD é extensa, principalmente no Brasil, aonde a Legislação de Proteção de Dados é extremamente recente. Refere-se ao termo “agência”, tendo em vista a ausência de estrutura administrativa própria que atenda aos requisitos da Autoridade Nacional de Proteção de Dados dentro do direito administrativo brasileiro. O Centro de Estudos da Fundação Getúlio Vargas do Rio de Janeiro refere que a estrutura mais próxima daquela exigida seria a de uma autarquia, cuja criação se justificaria em função de sua (i) natureza jurídica de direito público; (ii) independência e autonomia; e (iii) possibilidade de exercer poderes de polícia (
Ibidem.
“
“
Judgment in Case C-288/12
Nesse sentido, fundamentou a Corte: “
Disponível em: <
Título I – De la utilización de datos personales: “
“
“
“
Disponível em: <
“
“
“
“
“
“
“Art
Capítulo VII – Acción de protección de los datos personales: “
Disponível em: <
“
“
Disponível em: <
Para mais informações, ver: <
“
“
Capítulo III – Del Registro Nacional de Bases de Datos: “
“
Disponível em: <
Concentração administrativa – conforme a tradição do Direito espanhol – ocorre quando as funções são exercidas pelo Poder Executivo, com o qual os órgãos concentrados mantêm uma relação de hierarquia. A desconcentração, por outro lado, é uma ferramenta que atribui através de lei alguma competência permanente a órgão inferior da mesma entidade, mantendo, assim, a hierarquia ao Poder Executivo. Já a centralização é definida como o agrupamento de várias matérias em um centro comum, de forma que os órgãos centralizados dependem e são subordinados do poder central. Na contramão, a descentralização é a transferência de funções estatais a entes com personalidade jurídica própria e autoadministração, reduzindo a hierarquia frente o Poder Executivo (
A FTC é uma agência do governo dos Estados Unidos, criada em 1914 pelo Federal Trade Commission Act, e sua principal missão é a promoção da proteção ao consumidor e a eliminação e prevenção de práticas comerciais anticompetitivas. Desde a década de 1970, a FTC tem sido a principal agência federal responsável pelo
Disponível em: <
“Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da Administração Pública federal, integrante da Presidência da República. § 1º A natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.”
Disponível em: <
Disponível em: <
Disponível em: <
Art. 6º, sobre procedimentos para licenciamento de importação e exportação.
Art. 2º, sobre cooperação alfandegária.
Art. 17, sobre requisitos de documentações e dados.
Art. 18, sobre requisitos de documentações e dados.
Art. 19, Subseção 3, sobre serviços postais.
Art. 12, sobre troca de informações e confidencialidade, item 5.
Seção 4, sobre investigação e procedimentos de transparência, art. 9º, item 3: “
Art. 11, Item 2, Seção 4. A este respeito, os pedidos de confidencialidade devem ser considerados em situações em que determinadas estruturas do mercado e/ou da indústria nacional o justifiquem.
“Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da Administração Pública federal, integrante da Presidência da República.”
“[...] § 1º A natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.”
Inclusive, a Carta de Direitos Fundamentais da União Europeia de 2000 trouxe a significativa previsão de que a constituição de uma autoridade de fiscalização é um ponto integral e orgânico do próprio direito fundamental à proteção de dados pessoais (
Doneda prossegue, referindo que, “além disso, o recurso a uma tutela baseada na responsabilidade civil não é, por si só, capaz de proporcionar uma tutela eficiente para o direito fundamental que representa a proteção de dados pessoais – como não o é a tutela exercida somente pelo interessado ou a autorregulamentação pelo mercado” (2019, p. 320-321).
“Se, por um lado, a implementação em larga escala do