Dependência Prejudicial

Idec estuda Autoridades de Proteção de Dados da Argentina, da Colômbia e do Uruguai para analisar modelo brasileiro.

Com base na análise das autoridades de proteção de dados da Argentina, da Colômbia e do Uruguai, Idec conclui que a autonomia e a independência desse órgão são essenciais para investigações imparciais

No ano passado, a Lei Geral de Proteção de Dados brasileira (LGPD) foi aprovada, finalmente. Porém, alguns artigos que previam a existência de uma Autoridade - peça fundamental para fiscalização, investigação e monitoramento dos tratamentos de dados conduzidos no país - foram vetados. Em dezembro de 2018, o então presidente, Michel Temer, editou a Medida Provisória no 869/2018, que criou uma Autoridade vinculada à Presidência da República. Assim, ela perdeu a capacidade de realizar auditorias e ter orçamento próprio, entre outros elementos previstos no texto aprovado pelo Congresso Nacional.

“A autoridade nacional de proteção de dados é o principal autor para a execução de políticas de privacidade e de proteção de informações pessoais, bem como para a conscientização da população. Por encabeçar a regulação do tema, sua independência é de suma importância”, declara Bárbara Simão, advogada e pesquisadora em telecomunicações e direitos digitais do Idec. Marcos Urupá, membro da coordenação executiva do coletivo Intervozes, lembra que a Autoridade brasileira também servirá como peça-chave na implementação da LGPD, garantindo a sua eficácia, e será responsável por detalhar, por meio de normas e diretrizes, a aplicação dos inúmeros dispositivos da Lei pendentes de regulamentação.

Diferentemente das agências reguladoras, que analisam um respectivo setor da economia, as autoridades possuem um escopo mais amplo, com enfoque transversal. Dessa forma, elas podem (e devem!) monitorar não apenas empresas privadas, mas também o poder público. E é exatamente o poder público a maior ameaça às autoridades de proteção de dados, uma vez que ele pode manipular as ações da Autoridade se sofrer críticas. Considerando esse risco, o Idec decidiu avaliar como funciona a autoridade de proteção de dados pessoais de três países latino-americanos – Argentina, Colômbia e Uruguai –, classificando seu grau de autonomia e independência, entendendo suas vantagens e desvantagens e averiguando se há ligação entre a estrutura e os níveis de garantia da proteção de dados pessoais no território nacional. Esses dados serão usados para buscar o melhor modelo para a autoridade brasileira. Veja mais detalhes sobre como foi feita a pesquisa no quadro abaixo.

Como foi feita a pesquisa

O primeiro passo foi escolher os países da América Latina que seriam analisados. Optamos por esse continente pelas semelhanças históricas entre os países. Após estudo de todas as autoridades de proteção de dados latino americanas, decidimos nos aprofundar nas da Argentina, da Colômbia e do Uruguai.

As perguntas que guiaram a pesquisa foram: 1. Como são os desenhos institucionais das autoridades de dados na América Latina?; 2. Qual o grau de autonomia e independência?; 3. Há ligação entre a estrutura e os níveis de garantia da proteção de dados pessoais? Foram considerados a bibliografia acadêmica sobre o tema e os parâmetros adotados pela União Europeia para classificar o nível de independência das autoridades (autonomias administrativa, financeira e dos diretores).

Também analisamos as atribuições e a competência de cada autoridade (poder de investigação, de intervenção, de receber e solucionar reclamações, poderes normativo e consultivo etc.) e entrevistamos um membro da Autoridade, um representante do setor empresarial e um cidadão do país.

Bárbara Simão, advogada do programa Telecomunicações e Direitos Digitais do Idec

ARGENTINA: MUDANÇAS POSITIVAS

A Agencia de Acceso a Información Pública tem autonomias administrativa, financeira e funcional, de modo que não recebe ordens do Poder Executivo. “Tal distanciamento é importante para garantir maior neutralidade e menor interferência política nas decisões tomadas pelos diretores”, opina Simão. Mas nem sempre foi assim. A antiga autoridade – a Dirección Nacional de Protección de Datos Personales –, que atuou de 2001 a 2017, era subordinada ao Ministério da Justiça. Além disso, os diretores não possuíam mandatos, pois eram funcionários do ministério substituídos a cada troca de governo. Essa subordinação hierárquica limitava a atuação da diretoria, prejudicando a fiscalização do tratamento de dados pelo poder público. “A reforma da autoridade foi centrada na melhoria do seu desenho institucional, para conferir maior autonomia financeira, além de garantir independência a seus diretores, cumprindo, assim, a recomendação da União Europeia”, informa a advogada do Idec.

Mesmo recente, a reforma tem se mostrado positiva para a proteção de dados pessoais no país. “Um modelo institucional robusto, com autonomia e mais funcionários permite a realização de investigações mais profundas e de casos mais relevantes”, defende Simão.

A autoridade ideal

Tanto o Idec quanto o Intervozes defendem que a Autoridade Nacional de Proteção de Dados tenha:

Autonomia administrativa;
Autonomia técnica;
Autonomia financeira;
Independência decisória;
Corpo funcional estritamente técnico para realizar o gerenciamento do tema perante seus múltiplos e distintos atores, inclusive o Estado;
Conselho Consultivo multissetorial;
Plena capacidade de investigar e supervisar, com rigor, tanto o poder público quanto a iniciativa privada;
Transparência nos seus procedimentos.

COLÔMBIA: AUTORIDADE SEM DIRETORIA

A Delegatura para la Protección de Datos Personales não é subordinada a nenhum órgão do governo. Portanto, ela possui independência funcional. Contudo, não há diretoria – o que é negativo – e ela é vinculada, como um departamento, à Superintendência de Indústria e Comércio (SIC). Na prática, significa que o chefe da Autoridade é escolhido pelo superintendente da SIC, que, por sua vez, é indicado pelo Presidente da República, não havendo mandato (ele pode ser exonerado a qualquer momento). Ou seja, a decisão não passa pelo crivo da oposição ao governo e da sociedade civil.

Outro aspecto negativo é a falta de técnicos em áreas diversas do conhecimento (a maioria dos funcionários é advogado). “A multidisciplinaridade permitiria investigações melhores, além de uma análise mais atualizada dos problemas da economia de dados pessoais e dos riscos existentes para os consumidores”, aponta Simão.

URUGUAI: DEPENDÊNCIA FINANCEIRA

A Unidad Reguladora y de Control de Datos Personales, faz parte de outro órgão da administração pública, a Agência do Governo Eletrônico e da Sociedade da Informação e do Conhecimento (Agesic). Embora, em teoria, goze de autonomias técnica e funcional, depende financeiramente da Agesic. Além disso, o diretor da agência faz parte do Conselho Diretor da Autoridade, e os diretores são indicados pelo poder público. Assim, apesar de formalmente prevista, a independência funcional é prejudicada por conta da dependência administrativa e da proximidade com o governo.

As investigações sobre violações no tratamento de dados também são afetadas pela falta de profissionais especializados em TI.

O MODELO BRASILEIRO IDEAL

A análise das autoridades argentina, colombiana e uruguaia revelou que a subordinação à Presidência da República não é algo positivo. Assim, o melhor modelo para o Brasil é aquele em que a Autoridade tenha personalidade jurídica própria, como parte da administração indireta; a nomeação de seus membros passe pela apreciação da oposição ou tenha a participação da sociedade civil, por exemplo, em audiências públicas; e os membros tenham mandato, ou seja, não possam ser exonerados pelo Presidente da República, o que garante a imparcialidade e a liberdade para investigar ministérios e órgãos públicos.

Também se concluiu que é extremamente importante que a Autoridade seja composta por profissionais técnicos de diversas áreas, entre eles especialistas em economia digital e dados pessoais.

Cidadãos bem-informados

Um dos papéis da autoridade brasileira – assim como das argentina e colombiana – é difundir informações sobre a proteção de dados aos cidadãos do país. “Essa função, se bem desempenhada, faz com que as pessoas conheçam melhor seus direitos e as formas de exercê-los e garanti-los. Dessa forma, empresas e órgãos públicos que controlam dados são pressionados a seguir estritamente os direitos legais”, acredita Bárbara Simão. “O conhecimento de seus direitos pelos cidadãos, e dos deveres pelas empresas e órgãos públicos, é um dos pontos mais relevantes para que um sistema tenha nível satisfatório”, ela completa.

Ainda que não haja expressa previsão na lei uruguaia, a autoridade desse país entende a importância dessa função. Pesquisa recente feita pela Autoridade uruguaia revelou que mais da metade da população conhece seus direitos em relação aos dados pessoais. Desse modo, o Uruguai é um bom exemplo a ser seguido.