No último dia 14 de junho, por meio da Medida Provisória 1.124/2022, a Autoridade Nacional de Proteção de Dados (ANPD) ganhou status oficial de autarquia, passando a integrar o rol das agências reguladoras federais. Este importante incremento institucional confere à ANPD a possibilidade não apenas de zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD), como também de pôr em marcha uma agenda regulatória que contribua para a realização dos objetivos previstos nessa lei.
O novo status assegura à ANPD uma importante, mas não suficiente, autonomia formal. Isso porque uma agência reguladora digna desse nome precisa, também, ser dotada de meios que lhe permitam conceber e implementar, com transparência e segurança jurídica, regimes regulatórios de modo efetivo. Neste momento, de esforços incipientes de institucionalização e de escassez de recursos, é crucial que a ANPD, entre outras medidas importantes, priorize a regulação das atividades de tratamento de dados pessoais que representam maior risco aos seus titulares. Em especial, as atividades que envolvem coleta massiva de dados pessoais, realizadas por grandes plataformas digitais com atuação transnacional. O assunto é tema de consulta pública no momento.
A disciplina do risco – social, ambiental, econômico – é uma tarefa importante do Estado, voltada ao objetivo de promover o bem estar à população por meio de uma regulação voltada a lidar com as tensões suscitadas pelo desempenho, por agentes privados, de certas atividades econômicas que podem causar danos ao cidadão consumidor, ao meio ambiente e ao funcionamento da economia como um todo. O campo da proteção de dados é um exemplo importante e a própria LGPD confere à autoridade brasileira poder para regular de forma diferenciada situações em que o tratamento de dados pessoais representa alto risco.
Ao definir as competências da ANPD, a lei explicitamente prevê a possibilidade de edição de regulamentos e procedimentos para supervisão de atividades que envolvam alto risco à garantia dos princípios previstos na legislação (artigo 55-J, XIII da LGPD). Ademais, ao estabelecer os critérios para avaliação das regras de boas práticas e de governança por controladores de dados, a lei deixa clara a importância de alinhar as regras com “a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular” (artigo 50, §1º). Para tanto, prevê que sejam considerados critérios como “a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados”. Ou seja, a lei de dados brasileira oferece uma base robusta para que a ANPD elabore e faça valer uma agenda regulatória centrada nas atividades de alto risco, considerando o volume e a natureza dos dados coletados em certos contextos específicos. A LGPD considera, vale notar ainda, irregular o tratamento de dados pessoais que deixar de observar o resultado e os riscos que razoavelmente se esperam desse processo (artigo 44, II).
Como parte da agenda regulatória 2021-2022, a ANPD priorizou o desenvolvimento e a aplicação de um regime simplificado para microempresas e empresas de pequeno porte, bem como para startups ou empresas de inovação. Esse regime reduz a carga regulatória e exime agentes de pequeno porte de algumas obrigações, tais como a indicação de uma pessoa encarregada. Tal aplicação da LGPD é proporcional ao menor risco representado por esses atores econômicos, além de ser compatível com a cultura nascente de proteção de dados. Tem os contornos do que é conhecido na literatura como regulação assimétrica.
No momento atual, no entanto, com o fortalecimento da cultura de proteção de dados no Brasil, é importante que a agenda regulatória também se volte para os casos de alto risco. Em tais casos, seguindo a mesma lógica da regulação assimétrica, empresas que ofertam maior risco devem estar sujeitas a obrigações mais rígidas. Para tanto, o grande desafio regulatório será estabelecer critérios claros e thresholds que delimitem quais são as atividades de alto risco e quais são as obrigações às quais empresas que as desempenham passam a estar sujeitas. Vale lembrar que regimes assimétricos precisam ser usados com parcimônia, levando à criação de uma prática regulatória, bem como de uma jurisprudência, consistentes.
Do ponto de vista dos critérios, a regulação de alto risco deve ser aplicada para quem coleta muitos dados, tanto direta como indiretamente. Um parâmetro para mensurar esse risco pode ser o volume de dados tratados, que pode ser estimado a partir do número de usuários de determinado serviço. A adoção de uma regulação de alto risco exigiria o estabelecimento de limites quantitativos claros, que podem e devem ser constantemente revisados.
Outro aspecto a ser levado em conta é o elemento transnacional da coleta e do tratamento de dados, o que pode tornar a atividade fiscalizatória da ANPD mais difícil, dado que há empresas atuantes no país mas não possuem sede ou representantes em nosso território. Ainda, em caso de mercados digitais não regulados, o risco é maior por inexistir um regulador responsável. Ademais, as diferentes formas de processamento de dados devem também ser considerados. Por exemplo, no caso das chamadas big techs – as grandes e poderosas plataformas de tecnologia –, os riscos são maiores não apenas por causa do volume de dados de usuários dos seus serviços e produtos, mas também por conta dos complexos e interdependentes ecossistemas, de abrangência internacional, que elas controlam.
Esses ambientes digitais criam relações de dependência em relação a empresas que o utilizam, o que amplia exponencialmente o volume de dados aos quais as big tech têm acesso. Em uma compra online que usa um arranjo de pagamento facilitado por uma plataforma digital, por exemplo, não apenas o varejista terá acesso aos dados pessoais, incluindo dados financeiros do usuário, como também a plataforma visualizará operação e do fluxo de tais dados.
Do ponto de vista das obrigações, atividades que sejam classificados como de alto riscos devem estar sujeita a maior escrutínio, bem como sujeitas a obrigações mais robustas de transparência, acesso não discriminatório e portabilidade. Um regime assimétrico, com regras mais rígidas para agentes econômicos de maior porte (dos quais outros usuários comerciais dependam) está sendo considerado em outras jurisdições e já foi adotado na União Europeia. O Digital Markets Act (DMA), aprovado pelo Parlamento Europeu no início de julho de 2022, sujeita plataformas designadas como gatekeepers – aquelas com elevado faturamento e mais 45 milhões de usuários finais mensais ativos na União Europeia – a regras de interoperabilidade e portabilidade, incluindo a oferta de mecanismos para transferência de informações para outras plataformas, e cria regras para facilitar a integração de serviços oferecidos por terceiros, entre outras obrigações. A racionalidade subjacente ao DMA, assim como no caso da regulação de tratamento de dados de alto risco, é a de que empresas de maior porte e poder econômico oferecem maiores riscos a usuários e ao mercado como todo e por isso devem ser supervisionadas com mais atenção.
Desde a criação da ANPD em 2019, houve significativos aprendizados e ganhos consideráveis de maturidade, tanto do lado da instituição, como da perspectiva dos titulares e daqueles que atuam no processamento de dados pessoais. Com a transformação da ANPD em agência regulatória e a Tomada de Subsídios sobre a Agenda Regulatória 2023-2024, abre-se, em suma, a janela de oportunidade perfeita para regular atividades que impactam a vida dos brasileiros, ou seja, as atividades de alto risco que envolvam a coleta massiva de dados por plataformas transnacionais com volume de usuários superior a 45 milhões e que sejam desempenhadas por atores econômicos de grande porte, em mercados digitais não regulados. Trata-se, sem dúvida, de uma prioridade para a ANPD agora.
Fonte: JOTA. Leia matéria completa.
