Originalmente publicado no Conjur.
O artigo 50, da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), prevê que os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, poderão formular regras de boas práticas e de governança acerca das condições de organização, o regime de funcionamento, os procedimentos, normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão, de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Reprodução
Contudo, no parágrafo terceiro do artigo 50, o legislador condicionou o reconhecimento e a ampla divulgação dessas regras à futura regulamentação pela autoridade nacional, o que, além de esvaziar sua potencialidade na expectativa de como serão os condicionantes ao reconhecimento, trouxe uma série de questionamento quanto à segurança jurídica, à extensão de sua aplicação e à legitimidade do instituto, notadamente em âmbito associativo. Vale dizer: os formuladores de regras de boas práticas e de governança dependem do andamento da agenda regulatória.
A agenda regulatória, instrumento de planejamento estratégico do regulador, assume especial importância em legislações novas, principalmente naquelas em que o ordenamento jurídico aguardava a edição de uma lei específica. Ou seja, cada dispositivo, cada ato regulador e normativo, as decisões do ente regulador, serão expostos ao ambiente regulado pela primeira vez. Esse é o caso da LGPD, que ingressou no ordenamento jurídico brasileiro para disciplinar, de forma específica, a proteção de dados pessoais e da privacidade no Brasil, recebendo ainda maior atenção com a inclusão no artigo 5º, inciso LXXIX, da Constituição.
Cronograma, objetivo e prioridades
A atual agenda regulatória da LGPD foi aprovada pela Portaria do Conselho Diretor da Autoridade Nacional de Proteção de Dados (CD/ANPD) nº 35, de 4 de novembro de 2022. O documento foi revisto pela Resolução CD/ANPD nº 11, de 27 de dezembro de 2023, com alteração do Anexo I, que postergou o artigo 50 à fase final da agenda bienal para a regulamentação dos critérios de aprovação e publicação das regras de boas práticas e de governança em privacidade, padrões técnicos mínimos.
O objetivo da agenda é nortear as ações regulatórias prioritárias e sinalizar ao ambiente regulatório a ordem em que os temas serão discutidos. A cada fase a discussão regulatória nos temas em construção ganham intensidade, o que permite aos envolvidos ampliar os espaços de análise e a construção dos institutos.
A agenda vigente possui 20 temas prioritários e cabe à Coordenação-Geral de Normatização (CGN) elaborar relatórios semestrais de acompanhamento das iniciativas regulamentares em atendimento ao artigo 7º, § 6º, da Portaria CD/ANPD nº 16, de 8 de julho de 2021.
Oportunidade de (re)avaliação
Recentemente, no dia 9 de setembro, foi publicado o relatório do primeiro semestre de 2024 da ANPD para o biênio 2023–2024. O documento, além de conferir transparência ativa regulatória das participações sociais, os avanços regulatórios e de normatização, oferece uma oportunidade importante aos destinatários da LGPD de (re)avaliação dos instrumentos regulatórios de expansão e de implementação da lei nas organizações.
Primeiro, pois a existência de uma regulamentação não necessariamente equivale ao aprimoramento das práticas dos agentes de tratamento, tendo em vista que a regulamentação tem cunho geral e nem sempre se adequa às realidades de cada agente. Por outro lado, a cada etapa atinge-se maturidade regulatória maior, o que permite identificar quais dispositivos trazem maior insegurança jurídica, quais pontos ainda carecem de real atenção do regulador e dos regulados, quais dispositivos já estão envolvidos em projetos de lei para alteração.
Segundo, pois o avanço da regulamentação da lei permite uma análise mais crítica pelos operadores jurídicos acerca do quanto foi possível ou não ao regulador superar a réplica de modelos legislativos estrangeiros que influenciaram o legislador, em prol de uma identidade regulatória própria em proteção de dados e privacidade no Brasil. E não tendo isso ocorrido, nos questionarmos se a réplica, embora pareça empiricamente mais segura, resulta, na prática, em um distanciamento ainda maior dos regulados à conformidade legal por não refletir a realidade brasileira.
Fato é que, dos seis anos de existência desde a publicação da LGPD, dos quatro anos de vigência e dos três anos de início das atividades sancionadoras, já é possível examinar quais soluções e definições regulatórias oportunizaram melhorias na fixação de rotinas preventivas pelos agentes de tratamento; quais destas não foram viáveis ou adaptáveis à realidade organizacional, quais revisões e correções são necessárias ao aprimoramento da matriz de riscos dos agentes de tratamento; o quanto a organização foi capaz de reduzir ataques e incidentes de vazamento; quais os desafios impactam o uso responsável e transparente dos dados pessoais; o quanto as edições normativas da ANPD incentivaram a cultura de proteção de dados e privacidade no país. E por esses vieses olhar aos temas que reservam maior oportunidade a todas as questões, como é a regulamentação do artigo 50, da LGPD.
Análise de suficiência regulatória
O artigo 50, previsto para a fase 4 da Agenda, é uma autorização legislativa de compartilhamento de parcela de função regulatória do regulador ao regulado. Os instrumentos permitem que os agentes de tratamento, com o conhecimento específico sobre suas atividades, dificuldades, desafios e rotinas, formulem regras de boas práticas e/ou de governança em privacidade no âmbito de suas competências sobre aspectos centrais do tratamento de dados pessoais. Ou seja, permite que o regulado faça a leitura das normas da LGPD e as regulamente ao seu âmbito interno.
Ocorre que para que esses Códigos ofereçam segurança jurídica a todo o ambiente regulado, (regulador, usuários de dados e ao próprio regulado) é indispensável que haja um procedimento de validação e publicização de que as regras zelam de forma satisfatória à LGPD. Isto é, é necessário que as formulações passem por uma análise de suficiência regulatória (ASR) [1] pela Autoridade Nacional, responsável constitucional pela tutela do direito fundamental envolvido.
O tema, que é pouco repercutido em comparação com outros dentro da LGPD, recebeu maior atenção por ser irmão do instrumento regulatório responsável pela absorção de grandes atores mundiais em serviços de nuvem pelo início operacional do primeiro Código de Condutas do Regulamento Europeu, em maio de 2021. No Brasil, o dispositivo é objeto de projetos de lei que visam por diferentes vieses teóricos reformar o dispositivo, e ainda mais recentemente pela discussão em torno dos Códigos de Conduta no projeto de lei que disciplina o uso da inteligência artificial (IA) no Brasil.
Aliás a ANPD, em agosto de 2023, externou, por meio de nota técnica ao Projeto de Lei do Senado Federal nº 2.338, de 5 de maio de 2023, a conexão do artigo 50 com então artigo 30 do PL (anterior ao projeto sucessor). O dispositivo propõe a possibilidade de os agentes IA aderirem a um Código de Boas Práticas e Governança com redação muito semelhante à LGPD. O mesmo PL recebeu em junho de 2024, com o substitutivo [2], a expressão Código de Conduta ao invés de Código de Boas Práticas [3].
O campo de análise dos instrumentos do artigo 50, da LGPD, é muito extenso, complexo e que clama, urgentemente, por receber o espaço que recebeu do legislador. Espaço destinado a servir como instrumento de expansão da lei, que respeite e assegure, com legitimidade e segurança jurídica, as individualidades e os sigilos empresariais no mercado interno e externo, que permita o engajamento organizacional de equipes que se identifiquem com as normas de condutas, de escalonamento de práticas de conformidade no âmbito doméstico e externo. As vantagens ultrapassam o espaço desse texto. Como também a ponderação e consciência necessária dos desafios que os institutos nos oferecem e que, nem nos piores prognósticos, justificam a manutenção dessa opacidade em tornos dessa porta única de oportunidade.
Rumo à fase 4
Estamos no século 21 e isso não é novidade; logo a lógica do “same risk; same regulation” diz muito sobre como planejamos e compreendemos o ambiente regulatório. O direito regulatório precisa de concretude para rever suas premissas, demanda um direito administrativo informacional que identifique, de forma reflexiva, como gerar conhecimento e como o seu destinatário irá recepcionar os mecanismos já sob uma ótica colaborativa, multiparticipativa. Não nos preparamos ao risco, à incerteza, mesmo sabendo que ela é uma presença constante do nosso tempo.
Que venha a fase 4 da agenda regulatória da ANPD e com ela o direcionamento à inauguração proativa de trabalhos regulatórios de médio e longo prazo. São estes que edificaram os resultados que tanto miramos em legislações estrangeiras e para os quais temos todo o acervo necessário a uma identidade nacional de proteção de dados pessoais.
[1] O termo foi criado e desenvolvido na Parte II, Capítulo 3 da obra: HAHN, Tatiana Meinhart Hahn. Regras de boas práticas e governança em privacidade: conceitos, controles e projeções. Belo Horizonte: Fórum, 2024.
[2] Disponível em: https://www25.senado.leg.br/web/atividade/materias/-/materia/157233#tramitacao_10494842. Acesso em: 19 set. 2024.
[3] HAHN, Tatiana Meinhart Hahn. Regras de boas práticas e governança em privacidade: conceitos, controles e projeções. Belo Horizonte: Fórum, 2024, p. 46.
- Tatiana Meinhart Hahné procuradora federal, com atuação no contencioso prioritário e no Laboratório de Inovação da AGU (Labori), mestre em Direito Administrativo (PPGD/UFSC), especialista em Direito Público, MBA em Relações Internacionais, pesquisadora do Legal Grounds Institute e autora do livro Regras de Boas Práticas e Governança em Privacidade: Conceitos, Controles e Projeções.
