Como líder da delegação de fluxo de dados internacional e proteção da diretoria geral de Justiça e Consumidores da Comissão Europeia, Bruno Gencarelli acredita que o projeto de lei de proteção dos dados pessoais brasileiro (PLC 53/2018, ou LGPD) necessita da criação da autoridade nacional (ANPD, ou NPA, na sigla em inglês) para entrar em conformidade com as jurisdições internacionais, garantindo o livre fluxo de dados. Apesar de ressaltar que há a possibilidade de o Brasil manter essa transferência de dados com a União Europeia por outros meios, destaca que é com a nova legislação – e a ANPD – que o País conseguiria a dinâmica necessária para dar agilidade ao processo. “Na União Europeia, temos a experiência que a efetiva implantação de privacidade depende de supervisão e aplicação da lei por uma autoridade independente de proteção de dados”, declarou ele durante painel no Seminário de Proteção à Privacidade e aos Dados Pessoais organizado pelo CGI.Br nesta terça-feira, 7.
Gencarelli sustenta que se trata de um entendimento de uma prática moderna baseada na experiência europeia, lidando tanto com a aplicabilidade da lei para cidadãos quanto empresas e instituições, atuando como intermediadora entre indivíduos e negócios. Para ele, a criação da autoridade garantidora dá segurança jurídica, mostrando a aplicação consistente em todos os casos pelo país, evitando fragmentação. “Tipicamente, há ferramentas mais flexíveis, com alguns instrumentos e punições e outras sanções, incluindo financeira, quando necessário”, defende. No entendimento dele, é o “mais importante elemento” para adaptar a implantação das regras. “Uma autoridade de proteção não se transforma em máquina de multas ou sanções, mas ela engaja com governos, notavelmente na Europa. Sei que há preocupações, isso não acontece do dia para noite, mas a autoridade é uma parte chave do processo, é dinheiro público bem gasto.”
Na visão do representante da Comissão Europeia, que trabalhou junto ao Parlamento e ao Conselho europeu na definição do novo regulamento geral de proteção de dados (GDPR), o Brasil é um dos parceiros econômicos e legais mais importantes do bloco econômico, e a adoção das regras poderia facilitar o fluxo de dados e complementar acordos como o do Mercosul. A Comissão firmou parceria recente com o Japão para implantar o livre fluxo de dados após a legislação japonesa passar por mudanças e contar com uma autoridade garantidora, e ele imagina que o governo brasileiro poderia tentar o mesmo. Gencarelli diz que se a LPDP for aprovada com veto à criação da autoridade, não seria um impeditivo para isso, embora reconheça que o elemento facilitaria. “Você tem na lei brasileira vários tipos de ferramentas contratuais, mas a vantagem de uma decisão de adequação [com a autoridade] é ter o Brasil assimilado como um país membro [de relações com] a União Europeia, sem precisar ter nenhuma outra medida de segurança, nenhum outro requerimento contratual específico. É uma grande vantagem, especialmente para empresas, facilita muito a troca de dados.”
ANPD é fundamental
Está em consideração também que o Brasil integre como observador o Conselho da Europa, uma entidade intergovernamental que engloba 47 países e tem em sua proposta a luta pelos direitos humanos. É dessa organização que vem a Convenção 108, originalmente aprovada em 1981, mas cuja modernização foi sugerida em 2011 e só finalizada no último dia 18 de maio de 2018, e que também trata do tratamento autorizado de dados no bloco. Para o País ser aceito, contudo, é necessária a criação da ANPD. “Há elementos essenciais e modelos múltiplos, mas na convenção internacional existe a necessidade de ter certos poderes para garantir a aplicação”, diz a diretora da unidade de proteção de dados do Conselho, Sophie Kwansy. “É um requerimento fundamental que se tenha uma autoridade de proteção de dados”, reforça.
A presidente do Centre for Information Policy Leadership (CIPL), Bojana Bellamy, ressalta que a lei brasileira agrega elementos positivos do GDPR, como a responsabilização (accountability) com a abordagem baseada em risco, levando organizações a investirem mais na aplicação das novas regras onde há mais dados sensíveis. Mas também destaca que a autoridade é necessária. “É um conceito que eu gostaria de ver implantado não só no Brasil com a lei, mas na regulamentação, [na criação] da autoridade e no conselho nacional da ANPD”, declara. A britânica entende haver no PLC 53 um incentivo por boas práticas que busca a consistência pelos negócios por ser uma legislação baseada em princípios.
Anadados
Bellamy endereça ainda a preocupação do secretário da Políticas Digitais do MCTIC, Thiago Camargo, a respeito de possíveis abusos com o direito de auditoria para a ANPD. Segundo ela, esse conceito está presente em todas as autoridades no mundo. “As autoridades não têm poder arbitrário, elas também são sujeitas à confidencialidade, não podem divulgar tudo que encontram”, defende. “Em outros países, parece funcionar porque a lei também deveria dar proteções e limitações de poder na ANPD”, diz, citando o caso de vazamento de dados do Facebook pela Cambridge Analytics como uma ocorrência na qual um órgão precisou agir para auditar o banco de dados.
Camargo defendeu sua posição afirmando que um eventual desenho da “Anadados” teria funcionamento semelhante ao de outras autarquias como a Anatel, e que há diferenças institucionais no Brasil. “A lei dá obrigações ao governo, e não garante accountability ao poder público, porque se um agente público descumprir a lei da segunda sanção em diante, qual fiscal vai determinar que o governo deve parar de funcionar? Porque quem é penalizado é o cidadão”, afirma. “Eu não acho que a Anadados seria diferente de outras agências.”