1) O veto à Autoridade Nacional de Proteção de Dados, na Lei n.13.709/2018, representou uma significativa perda para a estrutura de proteção dos dados pessoais das pessoas naturais no País, bem como atingiu diretamente a efetividade da mencionada norma, a fiscalização de seu cumprimento e sua devida aplicação pelas instituições. Com o veto, foi esvaziado todo o capítulo IX da Lei, o qual tratava da Autoridade Nacional de Proteção de Dados e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (Arts.55-59). Diante disso, além das pessoas naturais disporem de garantias e de instrumentos reduzidos para a tutela de seus dados pessoais e privacidade, as empresas não gozarão de facilidades e orientações que uma Autoridade poderia lhes proporcionar.

2) Como será analisado ao longo do relatório, o estabelecimento de uma autoridade verdadeiramente independente, autônoma e com corpo técnico qualificado é fundamental para que a regulação do tema ocorra de forma apropriada, privilegiando a pessoa natural, e em linha com o Regulamento Geral Europeu sobre a Proteção de Dados (General Data Protection Regulation – GDPR). Como a Autoridade deve ter, entre suas funções, a possibilidade de monitorar tanto o Estado quanto sujeitos privados, ela deve se encontrar em posição que lhe permita atuar sem intervenções indevidas.

3) A experiência de outros países mostra a relevância da existência de uma Autoridade nacional específica para a aplicação eficiente de suas respectivas leis de proteção de dados pessoais. Reino Unido, França, Itália, Argentina e Uruguai são exemplos significativos no tema e, como será apontado, devem servir de inspiração para o modelo brasileiro. Não há dúvidas de que uma maior compatibilidade entre os diferentes sistemas facilitará, por exemplo, os fluxos internacionais de dados, o que beneficiará os mais diversos setores e poderá ser utilizado para variados fins, como comerciais e para a cooperação entre 3 entidades públicas.

4) A existência de uma Autoridade Nacional independente e com elevada autonomia é um dos requisitos para que o Brasil e sua legislação sejam reconhecidos como adequados ao modelo de tratamento de dados pessoais estabelecido na Europa por meio do GDPR. Na América do Sul, apenas Argentina e Uruguai receberam essa chancela até o momento. A mencionada
análise, ao verificar a situação da autoridade nacional de proteção de dados no País, levará em conta especialmente sua independência em aspectos como estrutura/organização, exercício de funções/atribuições e poderes da autoridade, devendo tanto o legislador brasileiro quanto o Presidente da República, portanto, observarem com cuidado tais requisitos no momento de constituir a Autoridade Nacional.

5) Vindo por meio de lei ou de medida provisória, o importante é que a mencionada Autoridade Nacional brasileira para a proteção de dados seja estabelecida nos moldes do que havia sido proposto no Projeto de Lei da Câmara n. 53/18, o qual se encontrava alinhado com excelentes modelos e práticas internacionais, bem como havia sido objeto de amplo debate público, democrático e multissetorial. Esse é, vale ressaltar, o entendimento majoritário dos diversos setores da sociedade que vêm discutindo a regulação do tratamento de dados pessoais no País, nos últimos anos. Debate esse que o ITS Rio, seus diretores, pesquisadores e associados vêm participando há mais de 10 anos.

6) Para que o Brasil alcance um patamar elevado de proteção aos direitos humanos e de desenvolvimento enquanto nação, defende-se a necessidade da criação de uma Autoridade Nacional de Proteção de Dados Pessoais que goze de autonomia, seja amplamente independente, apresentando as disposições presentes no PLC n. 53/18, e detenha características semelhantes àquelas preconizadas na norma europeia de proteção de dados.

Estudo elaborado por:
Chiara Spadaccini de Teffé e Mario Viola.

Contribuíram com o estudo:
Jaqueline Simas de Oliveira, Fabro Steibel,
Eduardo Magrani e Giovana Carneiro.

Leia o estudo completo.