A corregulação na Lei Geral de Proteção de Dados

A corregulação na Lei Geral de Proteção de Dados

Flávio Henrique Unes Pereira e Renan Cruvinel*

03 de dezembro de 2019 | 16h25

Flávio Henrique Unes Pereira e Renan Cruvinel. FOTOS: DIVULGAÇÃO

Imagine editar regulamentos para todos os segmentos que tratam dados pessoais. Imagine todas as formas de tratamento de dados possíveis em áreas tão distintas: de condomínios a indústria, passando por telecomunicações, planos de saúde, hospitais… Essa é uma das missões da Autoridade Nacional de Proteção de Dados – ANPD, criada pela Lei Geral de Proteção de Dados (LGPD), cuja vigência plena passa a ocorrer a partir de agosto de 2020.

Mas o legislador caminhou bem ao oportunizar o compartilhamento dessa missão. A lei permite que os próprios controladores ou operadores de dados pessoais elaborem, individualmente ou por meio de associações, regras de boas práticas e de governança sobre os dados pessoais, que podem ser reconhecidas pela ANPD. Trata-se da chamada corregulação ou autorregulação regulada. Especificamente quanto a esse ponto, foi apresentado pelo Senador Antonio Anastasia o Projeto de Lei n. 6212/2019 que altera a LGPD para aperfeiçoar os mecanismos de corregulação.

Mecanismos de autorregulação têm se tornado cada vez mais comuns e relevantes, uma vez que, ao mesmo tempo que faz uso da expertise do setor regulado para criar regras mais efetivas, impõe responsabilidade social e jurídica aos agentes que o integram e são por eles regulados. Dadas as limitações a que está sujeito o Estado regulador, é certo que mecanismos como esse têm enorme poder de tornar mais racional e efetiva a regulação. Contudo, é necessário garantir que instrumentos dessa natureza atendam a requisitos que regem o Estado de Direito e a Administração, como a busca pela publicidade e a maximização da participação daqueles que serão afetados pelas novas regras.

Por meio dos procedimentos sugeridos pela proposta do Senador Anastasia, uma norma de autorregulação deve ser submetida à homologação da ANPD para que: a) passe a ter efeito vinculante para quem a produziu ou, no caso de associação, para todos os associados; e b) exclua a possibilidade de aplicação de sanções administrativas aos controladores ou operadores que demonstrem ter seguido as regras e procedimentos homologados pela Autoridade.

Essas regras, se aprovadas, irão fortalecer a ANPD, que será responsável tanto pelo controle de legalidade, ao avaliar se a norma produzida pelos autoreguladores é compatível com a LGPD, quanto pelo controle de conveniência, decidindo acerca da adequação da norma a sua estratégia regulatória. Nesse sentido, poderá a Autoridade aprovar o regramento, rejeitá-lo ou exigir modificações. Nos casos em que não haja aprovação, exigir-se-á, de forma fundamentada, que ela justifique as razões que levaram à rejeição ou ao pedido de adequação. Tal aspecto é fundamental para garantir legitimidade às decisões que a ANPD vier a tomar.

Ademais, o procedimento previsto pelo Projeto prevê exigências que almejam garantir que as decisões das autoridades de proteção de dados pessoais sejam legítimas, isto é, produzidas efetivamente pelos potenciais afetados e com densidade técnica. Dentre elas estão: a) a existência de avaliação de impacto regulatório, a fim de que sejam previstos custos, benefícios e efetividade do regramento; b) a participação efetiva do setor e dos potenciais atingidos pelo regramento, inclusive por meio de audiências e consultas públicas cujos argumentos sejam efetivamente levados em conta na formulação do ato; c) a análise cuidadosa da proposta, a ser feita por meio de um parecer; d) a legitimidade da proposta, que precisa ser aprovada pelo setor competente da empresa (no caso de ato individual) ou pelos representantes do setor, na forma estatutária.

Tendo em vista que as regras se tornam mais legítimas na medida em que aumenta a participação dos afetados por ela em sua formulação, especialmente através das audiências e consultas públicas no caso da Proposta de Lei, busca-se assegurar que elas sejam fruto de uma deliberação bottom-to-up, isto é, de baixo (do setor regulado) para cima (ANPD).

É fato que, à medida que a economia digital e da informação se fortaleceu, roubou espaço da privacidade. A LGPD surge com o propósito de equilibrar essa disputa, estabelecendo, em parceria com os setores afetados, novos padrões regulatórios, capazes de atender ao interesse público e individual através da autorregulação regulada. Enquanto exige-se do Estado verdadeira transformação de suas políticas públicas e regulação, requer-se que os agentes privados adaptem suas políticas de governança e compliance, a fim de que se adequem ao novo quadro normativo.

A nova Lei, que deverá entrar em pleno vigor em agosto de 2020, iniciará a fiscalização e a consequente aplicação de sanções e imposição do ressarcimento de danos, ao mesmo tempo que, desde já, possibilita que controladores e associações sejam protagonistas do desafio de conformidade com a LGPD por meio da elaboração de seus próprios regulamentos os quais poderão ser validados pela ANPD, conferindo segurança jurídica para todos. Mãos à obra.

*Flávio Henrique Unes Pereira, presidente da Comissão Especial de Proteção de Dados da OAB Federal. Doutor e mestre em Direito Administrativo. Advogado

*Renan Cruvinel, mestrando em Direito Comercial – USP.  Advogado

Tendências: