Governo prefere não mudar modelo da autoridade de proteção de dados agora

Realizadas as duas primeiras audiências públicas promovidas pela comissão mista do Congresso encarregada de analisar a Medida Provisória 869/18, que trata da proteção de dados pessoais e cria a Autoridade Nacional de Proteção de Dados (ANPD),  o balanço aponta para necessidade de mudanças no modelo funcional do órgão, tornando-o mais independente, e para a necessidade de adequação do texto da MP no sentido de restabelecer algumas regras para o compartilhamento e para o tratamento de dados pelo poder público.

Há consenso entre especialistas ouvidos nas duas audiências públicas, realizadas na terça e na quarta-feira, dias 9 e 10 de abril, que a medida provisória encaminhada pelo governo Temer compromete e fragiliza a proteção de dados pessoais, objetivo maior da Lei 13.709, de 2018, a LGPD. Isso porque a MP 869/2018 revogou alguns dispositivos da lei, como a obrigatoriedade do poder público de prestar contas sobre o uso de dados pessoais coletados de cidadãos em algumas situações e a vedação ao compartilhamento de determinados bancos de dados com o setor privado. E subordinou a ANPD à Casa Civil, comprometendo a necessária independência funcional do órgão até para fiscalizar e punir excessos do poder público no tratamento dos dados pessoais dos brasileiros. 

Uma pergunta está no ar: qual é a possibilidade de um encarregado de proteção de dados chamar atenção para os erros de algum servidor hierarquicamente superior a ele?

Para a maioria dos debatedores, uma legislação sem previsão de regras e responsabilidades do poder público sobre os dados dos cidadãos seria inócua e estaria fora dos padrões internacionais, como os requisitos de proteção de dados da OCDE, organismo no qual o Brasil tem interesse em ingressar.  Para se tornar um membro da OCDE nosso país já terá que promover mudanças no sistema tributário, na política comercial e nas regras de proteção da propriedade intelectual. Pelo andar da carruagem, terá que correr também para mudar o modelo funcional da ANDP.

Independência da autoridade
Especialistas e integrantes do governo federal ouvidos nas audiência públicas consideram as condições de independência funcional e autonomia financeira da ANPD fundamentais para a aplicação equilibrada da LGPD. "De nada vale nós termos uma legislação rigorosa e precisa em relação à proteção dos dados pessoais se não tivermos uma instituição capaz de regulamentar tecnicamente o que significa proteção de dados e como ela deve ser tratada", reconheceu logo de saída o secretário de governo digital do Ministério da Economia, Luís Felipe Salim Monteiro.

Tanto Luís Felipe, quanto Felipe Cascaes, subchefe adjunto para Assuntos Jurídicos da Casa Civil, admitiram durante a audiência que o modelo funcional da ANPD proposto pela MP não é o ideal, mas o possível no momento em que ela foi encaminhada para o Congresso.

"Naquele momento não era possível ao Presidente da República instituir a autoridade nos termos que todos nós desejamos", disse Luís Felipe. "O que foi possível naquele momento foi garantir a independência do Conselho diretor, formado por cinco diretores, com mandato de quatro anos, e instituir a autoridade sem aumento de despesa", completou. Ou seja, se garantiu apenas a independência técnica, abrindo mão das independências funcional e financeira da ANPD.

Os dois Felipes garantem que o atual governo enxerga o modelo atual da autoridade de proteção de dado transitório. E defendem que ela seja aprovada conforme definida na MP, sem demora,  a tempo de entrar da programação orçamentária de 2020.  "É relevante garantir que a autoridade seja de fato instituída. Nós estamos aguardando a aprovação desta MP para instruirmos o processo da criação da estrutura que lhe cabe", disse Luís Felipe.

"Não temos muito para onde correr no momento. O que esta MP faz é criar um embrião, uma semente para, havendo espaço fiscal em um futuro de curto e médio prazo, a autoridade possa vir a ser aquela que todos nós queremos. Com o Cade foi assim. Salvo engano, o Cade começou como um departamento do Ministério da Justiça", disse Felipe Cascaes.  "É relevante garantir que a autoridade seja de fato instituída, e nós, do Executivo, estamos aguardando a aprovação desta MP para instruirmos o processo da criação da estrutura que lhe cabe", reafirmou.

Nos bastidores, comenta-se que o governo considera qualquer tentativa de reestabelecimento dos artigos originais da LGPD vetados pelo presidente Temer um novo vício de origem, uma vez que o poder legislativo não tem prerrogativa para definir a estrutura da ANDP. O que poderia levar a um novo veto. Para resolver a questão, o caminho seria aprovar a ANDP conforme prevista na MP, modificando apenas alguns pontos considerados críticos, como a sua composição formada exclusivamente por conselheiros DAS-5, considerados por muitos como servidores de  "baixa responsabilidade".

"Imagina um diretor DAS5 tendo que multar o Ministro da Saúde pelo vazamento de dados do SUS? A gente acha que a autonomia que esses diretores terão para responder aos desafios dessa lei estará muito comprometida. Eles poderão ser afastados por processos administrativos instaurados pelo Ministro Chefe da Casa Civil, quando já há jurisprudência na Justiça no sentido de entender que os diretores de agências reguladoras não podem ser afastados por um ato discricionário do poder executivo, justamente para você poder garantir a autonomia desses mandatos", argumentou Bia Barbosa, da organização Coalizão Direitos na Rede.

Felipe Cascaes defendeu que a parte da independência técnica do conselho diretor da ANPD seja aprimorada pelo Congresso Nacional, exigindo, por exemplo, que os indicados aos cargos sejam sabatinados pelo Senado.  E acenou com a possibilidade de uma nova MP, ou um projeto de lei, já no próximo ano, modificando a estrutura da ANDP para um modelo de autarquia na administração indireta.

"Repito: esse modelo da ANPD foi pensado para ser temporário. Para que, assim que possível, nessa gestão ou na próxima… aliás até, gostaríamos que já no próximo ano pudesse ser possível essa transformação por meio de uma lei de iniciativa do próprio presidente", completou o subchefe adjunto para Assuntos Jurídicos da Casa Civil.

Embora os representantes do governo não tenham dito claramente, durante a audiência, como se dará essa transformação da ANDP em uma autarquia, nos bastidores está claro que eles pretendem delegar ao conselho diretor do órgão a tarefa de propor qual será o futuro modelo, sacramentado via projeto de lei ou uma nova MP.

Fiscalização do setor público
Já na opinião de representantes da sociedade civil presentes à segunda audiência pública, que discutiu a proteção de dados no âmbito do poder público,  a medida provisória flexibilizou a legislação quanto às obrigações do Estado nesse sentido.

"A proteção de dados pessoais precisa ser simétrica, horizontal, para abraçar tanto o setor privado quanto o setor público", alertou Bruno Bioni, fundador do instituto Data Privacy Brasil, lembrando que a falta de confiança do cidadão em trocar dados com o setor público pode prejudicar toda a sociedade ao provocar uma paralisia na prestação dos serviços.

No trato com o poder público há uma assimetria de poderes em relação à coleta e tratamento de dados. O cidadão não tem poder de barganha em decidir se quer ou não quer fornecer os dados para um gestor público. Muitas vezes essa coleta de dados é compulsória.

"O cidadão precisa dar os seus dados para ser elegível a uma série de serviços públicos e benefícios sociais", lembrou Bioni, ressaltando que justamente por conta do fato de a lógica do consentimento não funcionar em relação ao setor público, as leis gerais de proteção de dados existentes no mundo pensaram em imputar mais deveres e responsabilidades ao poder público. "Isso estava muito bem refletido na nossa Lei Geral de Proteção de dados, aprovada por unanimidade pelo Congresso Nacional, mas agora tende a patinar se essas alterações propostas pela medida provisória passarem", disse ele.

Na opinião de Bioni, a falta de assimetria na relação de poder entre o Estado e o cidadão obriga o Estado a ser mais transparente quanto ao tratamento dos dados pessoais por parte de cada ministério e entidade púbica. "Só assim será possível exercer controle social sobre os atos da administração pública, sobretudo do ponto de vista da moralidade. O tratamento é realmente para persecução [agir em interesse] do interesse público?", explicou.

Segundo ele, a regulação do poder público na proteção dos dados pessoais tem que garantir que ele se paute pelos quatros princípios básicos expressos na Constituição: transparência, legalidade, moralidade e eficiência. "Na toada do que propõe a medida provisória, a gente não está indo contra só aos padrões internacionais de proteção de dados, mas também ao próprio texto constitucional, ao retirar do poder público a obrigação de dar publicidade como ele trata os dados pessoais, informar ao cidadão os motivos pelos quais está coletando aqueles dados, para qual finalidade, e qual atribuição legal lhe permite fazer isso. Estamos retirando uma série de deveres pelos quais podemos exercer controle social", disse Bioni.

O maior problema em relação ao tratamento de dados feito pelo poder público é o seu uso para fins diferentes daqueles para os quais foram coletados. "Não pode haver desvio de função de uso dos dados. E, infelizmente, temos verificado inúmeros casos em que isso não ocorre", ponderou Renata Mielli, coordenadora-geral do Fórum Nacional pela Democratização da Comunicação, citando o Serpro, investigado pela Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MP-DFT) por um suposto esquema de venda de dados pessoais de cidadãos brasileiros .

Também presente à audiência, o coordenador estratégico de Gestão de Segurança dos Ativos da Informação do Serpro, Ulysses Machado, disse que a empresa está ciente da venda de bases de dados sob sua responsabilidade, mas salientou que isso é decorrência de "atividades ilegais", de vazamentos que têm sido combatidos.  "Eu concordo que deveríamos ter uma autoridade de proteção de dados mais forte, da qual não deveríamos ter medo", disse Machado.

Na próxima semana, a comissão mista que analisa a MP promove mais duas audiências públicas, dessa vez sobre  o tratamento de dados no setor privado e o tratamento automatizado de dados e o Direito à Explicação, além do compartilhamento e a proteção de dados na saúde e na pesquisa científica.