1. INTRODUÇÃO

No contexto de uma sociedade marcada pelo imenso fluxo de informações, a economia baseada em dados pessoais tem se mostrado inerente a todo e qualquer empreendimento realizado com fundamento na livre-iniciativa. Tornou-se imperioso, portanto, a proteção dos indivíduos no que diz respeito à esfera de sua autodeterminação informativa, dando azo a diversos sistemas regulatórios da Proteção de Dados Pessoais. No âmbito brasileiro, essa proteção se deu no escorço normativo da Lei Federal n. 13.709 de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), e a consequente constitucionalização da Proteção de Dados como direito fundamental autônomo, pelo advento da Emenda Constitucional n. 115, de 2022.

Contudo, para além do reconhecimento formal da proteção de dados como direito fundamental, a referida Emenda Constitucional trouxe novos contornos ao enforcement administrativo e regulatório, trazendo à luz a primazia de uma autoridade de proteção de dados. A inserção da Autoridade Nacional de Proteção de Dados (ANPD) nesse ecossistema regulatório é objeto da presente pesquisa, vislumbrando-se compreender o atual estado da arte do sentido e alcance de sua atuação, com base no complexo normativo capitaneado pela Constituição Federal de 1998, tangenciando demais órgãos de atribuição constitucional.

Tem-se por objetivo, ainda, compreender as consequências normativas do reconhecimento da proteção de dados enquanto direito fundamental, entender o desenho regulatório e fiscalizatório estabelecido especificamente na Lei Geral de Proteção de Dados, e inferir a complexidade do sistema de enforcement em proteção de dados no Brasil.

Preconizando-se a interdisciplinaridade da ciência jurídica interseccionada a outras áreas das ciências sociais, de sorte que seja compatibilizado o diálogo da doutrina clássica com manuscritos recentes, empreendeu-se uma revisão literária, materializada por meio de uma pesquisa bibliográfica - de cunho descritivo e natureza qualitativa -, cuja coleta de dados se deu por livros, dissertações e artigos, repositados em bases de dados eletrônicas - Scientific Electronic Library Online (Scielo) e Google Acadêmico -, tendo como descritores: proteção de dados pessoais; autoridades de proteção de dados; regulação; enforcement; ANPD, pluralismo de fontes, regulação baseada em risco.

O presente artigo subdivide-se em três tópicos que integram o desenvolvimento e as conclusões. No primeiro tópico se apresenta a Proteção de Dados Pessoais enquanto direito reconhecidamente fundamental e as consequências de sua constitucionalização através da Emenda Constitucional n. 115/2020. O segundo tópico traz à luz o desenho regulatório estabelecido por ocasião da LGPD, compreendendo-se o papel da ANPD segundo essa legislação. O terceiro tópico, a seu turno, revela as características que tornam complexo o sistema de enforcement em proteção de dados, ante a correlação da ANPD com outros órgãos regulatórios.

2. A PROTEÇÃO DE DADOS PESSOAIS ENQUANTO DIREITO FUNDAMENTAL

O direito à proteção de dados pessoais, embora tenha recebido recentes contornos no ordenamento brasileiro a partir da promulgação da Lei Federal n. 13.709 de 2018 (“Lei Geral de Proteção de Dados Pessoais” - “LGPD”), representa a evolução do pensamento jurídico aliado ao desenvolvimento da economia informacional. A proteção de dados pessoais tem por fundamento a autodeterminação informativa, porém, a ela não se restringe, mas representa um esforço evolutivo¹ significativo, demonstrando a modificação de paradigmas e abordagens normativas do tema por uma gama de ordenamentos.

A autodeterminação informativa remonta ao julgamento Tribunal Constitucional alemão - Bunderverfassungsgericht -, de 15 de dezembro de 1983, que, por ocasião da Reclamação Constitucional Contra Ato Normativo - BverfGE 65,1, verificou a inconstitucionalidade da Lei do Censo de 1983, a Volkszählungsgesetz, e garantiu o direito fundamental de o titular decidir sobre o controle de fluxo dos seus dados pessoais na sociedade².

A esse respeito, Mendes³ sintetiza quatro gerações de legislações de proteção de dados no contexto internacional, considerando que o fundamento de fato para o nascimento das normas de proteção de dados “foi o contexto generalizado do Estado Social, que requeria, para o funcionamento de sua burocracia, de planejamento sofisticado, o que, por sua vez, somente poderia ser alcançado por meio da coleta e do processamento de dados dos cidadãos”. Para fins do presente estudo, é importante para observar os antecedentes históricos que servem de suporte argumentativo ao surgimento e desenvolvimento de um conceito do que seria a proteção de dados pessoais

A primeira geração de normas de proteção de dados se originou com o Ato de Proteção de Dados do land alemão de Hesse, em 1970, e pelo Estatuto para Banco de Dados - Data Legen 289 - da Suécia, de 1973⁴ que trouxeram uma abordagem correlacionada à privacidade, como direito fundamental de dimensão negativa, que protege o cidadão perante a vigilância do Estado^5-6. O direito fundamental à privacidade é notadamente complexo, extraído a partir da construção de uma esfera pessoal de liberdade de escolha⁷. O direito de ser deixado só - righ to be left alone, nos dizeres de Thomas McIntyre Cooley⁸ - hodiernamente pressupõe o controle informacional pelos próprios cidadãos, como medida de administração das próprias informações, afastando-se da noção de sigilo⁹.

Historicamente, o direito à privacidade tem sua origem atribuída a produção acadêmica realizada por Warren e Brandeis10 em 1890, em artigo intitulado “Right to Privacy”. Contudo, Cancelier¹¹ aponta que a efetiva origem da proteção da vida íntima e privacidade se deu em crédito de Thomas McIntyre Cooley, jurista norte-americano e Presidente da Suprema Corte de Michigan, em 1888, através da expressão “Right to be left alone”, desnudando o caráter negativo desse direito fundamental como sua primeira expressão jurídica. Não se pode olvidar que noção de privacidade como supedâneo ao livre desenvolvimento da personalidade, medida que se impõe para o alcance do livre proceder sem receio de julgamento sobre a vida privada¹².

A segunda geração se endereçou à Lei Federal Alemã de Proteção de Dado, de 1977 e à Lei Francesa 78-17 - Informatique et Libertées -, de 1978¹³, ao passo que a terceira geração se deu em caráter transnacional, através da Convenção de Strasbourg nº 108, de 1981, e da Diretiva 95/46/CE do Parlamento Europeu¹⁴. A quarta geração, em momento mais recente se refere ao Regulamento Europeu 2016/679, ou General Data Protection Regulation¹⁵, que serviu de inspiração para a edição de várias outras normas no cenário globoal, como a Lei Geral de Proteção de Dados no Brasil e o California Consumer Privacy Act of 2018¹⁶.

Contextualizando-se, a partir da década de 1990, com a tendência social por uma crescente economia informacional baseada em dados, armazenados em volume absurdamente maior, o que consubstancia os big data tornou-se premente a necessidade de estabelecer a proteção de dados como direito autônomo^17-18. A difusão das tecnologias de informação e a solidificação dos big data no cenário econômico mundial fomentou a discussão sobre a necessidade de mecanismos eficientes de proteção de dados, o que consubstanciou a Diretiva 95/46/CE, substituída recentemente pelo Regulamento (EU) 2016/679, o General Data Protection Regulation.

No cenário brasileiro, em momento anterior a Emenda Constitucional 115/2022, a tutela de informações pessoais encontrava tímida disposição na Constituição Federal de 1988, essencialmente no que tange à previsão de ação de habeas data com status de direito-garantia fundamental autônomo, ao sigilo da comunicação e aos direitos fundamentais de intimidade e privacidade^19-20. A respeito, Sarlet²¹ sustenta a pré-existência de um direito fundamental à proteção de dados como implícito aos preceitos constitucionais, notadamente quanto ao livre desenvolvimento da personalidade. Segundo o autor²², o fundamento constitucional mais próximo da proteção de dados é o direito ao livre desenvolvimento da personalidade, que se apresenta como corolário da dignidade da pessoa humana, em toda a sua importância para o sistema de direitos humanos e fundamentais.

A noção de autodeterminação informativa, pela qual se depreende os direitos de informação, acesso e controle da disposição dos próprios dados pessoais²³, relaciona-se com o livre desenvolvimento da personalidade, o que por sua vez representa o cerne do direito fundamental à dignidade da pessoa humana²⁴. Nesse mesmo sentido, Fachin²⁵ traz à luz que “podem ser encontrados direitos fundamentais que não estão escritos na Constituição, sendo, portanto, apenas materialmente fundamentais”, ressaltando a presença de um direito fundamental à proteção de dados como materialmente ínsito às disposições constitucionais^26-27.

Descortinando o status de direito materialmente fundamental, é imperioso citar o julgamento da Ação Direta de Inconstitucionalidade n. 6.387, com pedido de Medida Cautelar, em que se buscava a declaração de incompatibilidade da Medida Provisória n. 954 de 2020 com a Constituição Federal por contrariedade aos direitos fundamentais de dignidade da pessoa humana; inviolabilidade da intimidade e da vida privada e violação à autodeterminação informativa²⁸. Deve-se pôr em foco que o panorama fático do julgamento da ADI 6.387 pelo Supremo Tribunal Federal, em 2020, se assemelha ao do julgamento do BverfGE 65,1, em 1983 pelo Bunderverfassungsgericht, pois ambos os diplomas normativos que se buscava verificar a compatibilidade com a Constituição das respectivas repúblicas tratavam de desproporcional compartilhamento de dados pessoais com a administração pública para fins de censo²⁹.

O Supremo Tribunal Federal, na ocasião, entendeu pela inconstitucionalidade material da Medida Provisória n. 954/2020 por violação de tais direitos fundamentais³⁰, bem como reconhecendo a autonomia da autodeterminação informativa como consectária do livre desenvolvimento da personalidade³¹. Em suma, o Supremo Tribunal Federal, por quórum de dez votos, afirmou a existência de um direito fundamental autônomo à proteção de dados pessoais^32-33.

O reconhecimento do caráter materialmente fundamental do direito à proteção de dados produz consequências imediatas e concretas. Segundo Sarlet³⁴, a incorporação do tema ao sistema jurídico-constitucional promove o seu reconhecimento como norma de status superior às demais, bem como o seu enquadramento como direito fundamental impõe um limite material à reforma constitucional, a teor do art. 60, §§ 1º a 4º da Constituição Federal de 1988. O autor³⁵ também elenca como efeito o deferimento de aplicabilidade direta e imediata a todos os atores públicos.

Nesse ponto, Mendes et al.³⁶ sustentam que a promulgação da LGPD teve o destaque de instrumentalizar o direito fundamental à proteção de dados, bem como de evitar uma “‘sobreconstitucionalização” de uma área nova do Direito brasileiro, com todos os riscos do uso inadequado da ponderação e de outros métodos hermenêuticos dessa natureza em um país como o Brasil”³⁷. Dessa forma, a norma infraconstitucional se mantém hígida no seu papel de estabelecer as normas que irão reger a Proteção de Dados pessoais, a partir de suas regras e princípios, ao revés de eventual pretensão de alocar o debate somente na esfera constitucional³⁸.

Embora a atuação do Supremo Tribunal Federal tenha consignado o caráter materialmente fundamental do direito à proteção de dados, fazia-se necessário o deferimento do seu caráter formal³⁹, inclusive para fins de delimitação da competência legislativa e administrativa em torno desse direito fundamental, à luz do pacto federativo⁴⁰, a fim de evitar conflito com outros entes regulatórios⁴¹.

Como resultado da Proposta de Emenda Constitucional n. 17 de 2019, a Emenda Constitucional n. 115, de 10 de fevereiro de 2022, inseriu no rol do art. 5º da Constituição Federal expressa menção à proteção de dados como direito autônomo⁴², atribuindo uma carga positiva adicional ao seu status constitucional⁴³. Alinhando-se a necessidade de evitar essa sobreconstititucionalização⁴⁴, a formalização da proteção de dados como direito fundamental se revestiu em norma de eficácia limitada, relegando à norma infraconstitucional a sua concretização, ainda que em face do Poder Público.

Indo-se além, a EC 115/2022 descortinou a competência privativa da União em legislar⁴⁵ acerca da proteção de dados, bem como a competência exclusiva da União em administrá-la e fiscalizá-la⁴⁶. Afastou-se, portanto, a vertente que entendia pela competência concorrente entre Estados e União, como defendia Quintiliano, para quem o federalismo seria óbice à uniformização do tema. O autor⁴⁷ apresenta como subsídio à sua vertente a constatação de que os entes federados, dotados de competência constituinte, podem conferir maior proteção aos direitos fundamentais, sendo impossível a sua redução. Nesse sentido, a estatalidade deriva da possibilidade de os entes federados promoverem e ampliarem a proteção a direitos fundamentais⁴⁸.

Para fins do presente estudo, importa consignar que a Emenda Constitucional n. 115, de 2022, teve o condão de elevar ao status de questão constitucional não somente o direito materialmente fundamental, mas o próprio sistema normativo e fiscalizatório, representado em um órgão administrativo central, de competência privativa da União, como já delineado na LGPD, evitando-se a fragmentação do enforcement da proteção de dados pessoais.

3. O DESENHO DA COMPETÊNCIA REGULATÓRIA NA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

A competência administrativa da União em fiscalizar e dispor sobre proteção de dados pessoais, no contexto da LGPD, desponta na Autoridade Nacional de Proteção de Dados - ANPD, por expressa previsão legal⁴⁹. A existência de autoridades de proteção de dados (“Data Protection Authorities” - “DPAs”) e órgãos de supervisão e fiscalização, enquanto instrumentos regulatórios no contexto desse direito fundamental, tem o objetivo de viabilizar a proteção do indivíduo o livre desenvolvimento de sua personalidade⁵⁰. É, assim, representativo do estado contemporâneo de compreensão do tema⁵¹, que implica na promoção substancial de cultura organizacional e governança de dados⁵².

No decorrer das gerações de legislações de proteções de dados, as DPAs se mostraram instrumentos regulatórios singulares com ampliação de papéis, dentre os quais o de ombudsman, a auditor, educador, negociador, consultor de políticas e executor⁵³. Nesse sentido, Silva⁵⁴ sustenta a existência de evidências de que as DPAs se propuseram a fomentar as atividades de conscientização pública, em viés educacional, fornecendo orientações aos agentes de tratamento. Em contexto, as atribuições executivas mantém seu destaque, muito embora o peticionamento público e individual gere um volume de trabalho que possa impedir a plena efetivação de suas competências⁵⁵. Baseado nisso, Silva⁵⁶ aponta que as DPAs que se estruturaram no papel de Ombudsman puro de investigação e resolução de demandas individuais encontram-se agora sob pressão social para aperfeiçoamento de suas funções a fim de realizarem a regulamentação de novos modelos de tecnologia.

Assim, a autora⁵⁷ aponta que a recente geração de leis de proteção de dados tem agasalhado métodos de colaboração e diálogo entre as os agentes da economia informacional e as Autoridades de Proteção de Dados, como forma de preconizar a mitigação dos riscos de suas atividades. Esse modelo regulatório pautado no diálogo e na responsividade⁵⁸, defere um papel plurívoco às DPAs, na medida em que lhe cabe, não somente o papel de fiscalizar⁵⁹, mas de construir soluções pautadas no diálogo entre a sociedade e agentes econômicos⁶⁰, cujo cerne é a justiça restaurativa⁶¹. Ressalta-se, ainda, que no contexto de evolução constante das tecnologias que permeiam o fluxo informacional, as DPAs desempenham um papel de estruturação legal e demarcação de orientações para o desenvolvimento tecnológico⁶².

A autoridade de proteção de dados brasileira foi esculpida no ordenamento jurídico por advento da Medida Provisória n. 869 de 2018, que alterou a LGPD para tratar especificamente da ANPD^63-64. As atribuições da ANPD encontram-se dispostas no art. 55-J da LGPD, reverberadas no art. 2º do Decreto Federal n. 10.474 de 2020, responsável por estabelecer a estrutura regimental e organizacional da autoridade de proteção de dados brasileira⁶⁵.

Como elucida Lima⁶⁶, as competências deferidas pela LGPD à ANPD podem ser classificadas em (1) preventivas, como, exempli gratia, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e promover e elaborar estudos sobre as práticas nacionais e internacionais, (2) fiscalizatórias, como zelar pela proteção dos dados pessoais e fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, e (3) regulatórias, como estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais e editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade.

A ANPD contemporaneamente se reveste da forma de autarquia de natureza especial, notadamente após o advento da Lei Federal n. 14.460 de 2022, resultado da conversão da Medida Provisória n. 1.124 de 2022⁶⁷, aproximando-se dos modelos de agências regulatórias, amplamente difundidas no Brasil na década de 1990. No ordenamento brasileiro, a agência reguladora é um ente da administração pública indireta, constituído na modalidade de autarquia de regime especial⁶⁸. São entes ou órgãos públicos dotados de substancial independência do governo, caracterizados pela sua autonomia de organização, financiamento e contabilidade, pela falta de controle e sujeição ao Poder Executivo, e dotados de garantias de autonomia através da nomeação de seus membros, dos requisitos para esta nomeação e da duração de seus mandatos, tendo função de tutela de interesses constitucionais em campos socialmente relevantes⁶⁹.

Tal modelo administrativo se relaciona com a necessidade estabelecimento e concretização dos atributos de autonomia e independência das DPAs, uma vez que “as agências têm plena autonomia político-administrativa e econômico-financeira, fundamentais para o melhor exercício das funções atribuídas”⁷⁰. A inserção da figura das agências reguladoras no Estado brasileiro se deu no contexto de melhoria do desempenho estatal e inserção da administração pública no âmbito gerencial de atividades não essenciais a partir de entes estatais autônomos^71-72. Nesse momento, a prestação de contas entre agente regulador e agente regulado tinha por elementos a participação de usuários dos serviços delegados ao agente econômico, a utilização de contratos de gestão como meio de responsabilidade por resultados, e implementação de mecanismos de controle social e transparência governamental⁷³. O Estado regulatório, que sucedeu o Estado de Bem-Estar Social, diluiu a intervenção estatal direta na economia, partindo para uma moldura de separação das atividades operacionais e regulatórias, reconhecendo a primazia do paradigma da livre iniciativa e relegando um papel subsidiário ao Estado⁷⁴.

Na preleção de Doneda⁷⁵, a independência das Autoridades de Proteção de Dados Pessoais pode ser garantida por intermédio de mecanismos que busquem isolar sua atuação da influência dos agentes estatais que procedem na administração pública direta. A seu turno, a autonomia pressupõe o deferimento de prerrogativas que assegurem o tratamento isonômico dos setores e modalidades de tratamento de dados pessoais^76-77, de forma que se previna a captação do órgão regulador.

Indo-se além, Stwart⁷⁸ elenca diversos elementos que caracterizam a independência e autonomia no âmbito das DPAs: (i) existência de disposições estatutárias claras sobre nomeação e distinção de cargos de direção; (ii) existência de disposições estatutárias claras sobre prazo de nomeação; (iii) capacidade da autoridade se reportar diretamente ao chefe de governo ou ao poder legislativo; (iv) estrutura administrativa reconhecida pelo ordenamento como própria a uma agência autônoma; (v) existência de restrições estatutárias para que os diretores exerçam outros negócios durante sua nomeação; (vi) mecanismos de financiamentos que reconheçam a autonomia do ente; (vii) imunidade dos diretores contra ações de direito pessoal por ato praticados em suas funções estatais; (viii) proteção contra remuneração sujeita a controle político; (ix) capacidade de seus diretores falarem publicamente sobre questões de interesse; (x) previsão estatutária expressa de agir com autonomia.

Dentre os efeitos socialmente relevantes decorrentes da criação de uma autoridade de proteção de dados independente, Lima⁷⁹ elenca o fortalecimento do Brasil no contexto do capitalismo informacional, permitindo modelos de negócios baseados em dados com tráfego global, a centralização do enforcement da proteção de dados e a segurança jurídica decorrente, a possibilidade de tutela administrativa, evitando-se a judicialização desnecessária, e o diálogo com os diversos setores da sociedade civil, notadamente quanto ao Conselho Nacional de Proteção de Dados e Privacidade, órgão multissetorial que integra a ANPD.

O modelo regulatório elegido na Lei Geral de Proteção de Dados preconiza uma abordagem baseada no risco (risk-based approach), fundada na noção de accountability^80-81, moldado no processo dialógico de modulação de poderes decorrentes da economia informacional⁸² de forma tal que a identificação de medidas apropriadas depende da natureza, escopo, contexto e finalidade do tratamento de dados, bem como da proporcionalidade e gravidade do risco envolvido⁸³. Essa premissa dá sentido e alcance ao modelo regulatório esculpido na ANPD, apontando para a necessidade de uma interpretação sistemática voltada a essa forma de abordagem⁸⁴, a quem é conferido o papel de estruturar processos de responsividade face as condutas dos agentes econômicos⁸⁵.

Ressaltando a diferença entre os direitos fundamentais de privacidade e de proteção de dados pessoais, Keller⁸⁶ traz à luz a noção de que a regulação nesse contexto assume também a necessidade de compatibilização com a viabilidade a atividade econômica baseada em dados, notadamente no que tange a modelos de empreendimentos voltados à inovação. Nesse sentido a autora⁸⁷ aponta o risco regulatório de bloqueio de tráfego de dados indispensáveis a transações e realização de serviços e provisões de bens, tendo ciência do necessário destravamento do fluxo informacional para garantia da confiança dos consumidores no comércio eletrônico.

A predominância da regulação baseada em risco descortina forma específica de regulação ex ante, dando-se primazia à mecanismos preventivos⁸⁸, dando forma ao contexto de autorregulação regulada⁸⁹ e estruturação de boas práticas⁹⁰. Sobre o modelo de regulação baseada em risco na regulação da proteção de dados pessoais, Zanatta⁹¹ sintetiza que no formato de abordagem baseada em risco, a proteção de dados pessoais é performada por instrumentos de tutela coletiva de direitos, participação de entidades representativas da sociedade civil em diálogo com autoridades, formalização de instrumentos de regulação prévia com foco na mitigação de impactos, e por disseminação de metodologias de gestão de risco no contexto de ponderação entre inovação tecnológica e proteção de direitos.

O autor⁹², assim, sustenta a reformatação jurídica a partir da ampliação da tutela coletiva e sua imbricação com a autoridade independente de proteção de dados pessoais, e “a disseminação de instrumentos regulatórios ex ante e o uso intensivo de metodologias de gestão de risco e calibragem entre riscos, inovações e imunidades”. No enfoque regulatório, a risk-based approach pressupõe uma estratégia com elemento central no estabelecimento de uma ligação entre o sistema de avaliação de risco e a alocação de recursos⁹³, de forma que setores ou empresas classificadas como de alto risco recebam atenção prioritária de monitoramento e direcionamento de ações.

Para fins do presente estudo, importa consignar que a estrutura da atuação da Autoridade Nacional de Proteção de Dados se compatibiliza com as funções atribuídas às Autoridades de Proteção de Dados, em dimensão plurívoca, tendo em vista as particularidades da regulação do fluxo informacional. Inserta no ambiente de normatização do fluxo informacional, a ANPD tem suas atribuições correlatas ao horizonte da regulação baseada em risco, atuando a partir da dinâmica de responsividade e prestação de contas.

4. O ENFORCEMENT DA PROTEÇÃO DE DADOS NO BRASIL COMO UM SISTEMA COMPLEXO

Ainda que se tenha elegido um sistema de regulação baseada em risco, em que a União figura como ente federativo com competência exclusiva para exercê-lo, representando, portanto, um enforcement não fragmentado, não se pode confundir com um sistema simples. A complexidade do sistema de enforcement da proteção de dados pessoais no ordenamento brasileiro se descortina na medida em que a própria ordem constitucional atribui a diversos agentes competências que tangenciam o escopo de atuação da ANPD.

Essa perspectiva decorre da noção contemporânea de policentrismo que se atribui à Administração Pública, aceitando-se um pluralismo de fontes normativas, organizando-se microssistemas regidos por princípios de regulação comuns⁹⁴. Essa coexistência de microuniversos jurídicos revela desafios hermenêuticos decorrentes da integração de uma normatividade com outra normatividade, inclusive no que diz respeito às competências institucionais de órgãos da administração pública federal^95-96.

A inserção das autoridades de regulação num dado ordenamento jurídico se compatibilizam com a teoria de regulação descentralizada policêntrica, a qual Black⁹⁷ aponta cinco eixos que lhe subsidiam: (i) complexidade, isto é, as questões sociais objeto de regulação pressupõem uma cadeia de interações complexas com diversos atores e inúmeros fatores⁹⁸; (ii) fragmentação, tendo em vista que existe uma assimetria informacional que impede a plena compreensão das estruturas reguladas pelo agente regulador⁹⁹; (iii) interdependência, pois, a assimetria informacional implica na necessidade de o Estado manter relações os agentes regulados para fomentar sua atividade normativa¹⁰⁰; (iv) autonomia ou ingovernabilidade, que remete à compreensão de que os agentes econômicos direcionam o seu comportamento de forma autônoma, a partir de padrões diretivos internos ao invés de normas externas¹⁰¹; e (v) rejeição de uma distinção clara entre público e privado, tendo em cinzelamento das áreas de atuação do Estado e sua intervenção na economia¹⁰².

Especificamente quanto ao âmbito da Proteção de Dados Pessoais, Wimmer¹⁰³ traz à luz a particularidade de que antes mesmo da existência da LGPD e seu sistema regulatório, já havia disposições sobre o tratamento de informações pessoais em diversas outras normas, revelando uma diversidade de órgãos e entidades públicos com potencial de serem considerados competentes para atuar administrativamente, seja por meio de atribuições normativas, fiscalizatórias ou sancionadoras. Tais normas aportam-se num pluralismo de fontes que alcança a própria normatividade estatal, na medida em que se reconhece atos emanados pelo Poder Legislativo, pelo chefe do Poder Executivo e pela diversidade de órgãos que compõem a Administração Pública, em seus níveis¹⁰⁴.

Esse conflito positivo de competências, em linhas gerais, pode ocorrer da atuação de diversos órgãos, como a SENACON - Secretaria Nacional do Consumidor, o CADE - Conselho Administrativo de Defesa Econômica, o BACEN - Banco Central, e o CNJ - Conselho Nacional de Justiça. Sobre os riscos inerentes a eventual conflito de competência entre esses órgãos e a ANPD, Wimmer¹⁰⁵ ressalta que as tensão entre normas de diferentes setores e microssistemas não se restringe aos sistemas que possuam objetivos confluentes, como a proteção de dados e defesa do consumidor, mas pode ocorrer entre espaços regulatórios voltados a objetivos distintos, resultando no risco de decisões conflitantes entre órgãos públicos orientados por complexos de vetores interpretativos bruscamente distantes.

Embora a LGPD esteja no mesmo patamar hierárquico que a maioria das normas que originaram os órgãos e entidades citados, o que em tese poderia ser resolvido pelo critério cronológico de solução de aparente antinomia - lex posterior derogati legi priori -, cada um desses entes atua em sua função constitucional¹⁰⁶, o que torna imperativa uma interpretação condizente com o princípio da unidade da Constituição¹⁰⁷, posto que a Constituição deve ser interpretada de forma unívoca, sem contradições, impondo-se ao intérprete a tarefa de harmonizar os espaços existentes entre as normas constitucionais que se pretende concretizar¹⁰⁸.

Tangenciando-se o potencial conflito de competência entre a SENACON e a ANPD, uma vez que a relação entre controlador e titular dos dados pessoais pode se confundir com a relação entre fornecedor e consumidor, respectivamente, é oportuno citar a formalização de Acordo de Cooperação Técnica¹⁰⁹ entre esses entes - no âmbito da competência estabelecido no § 4º, do art. 55-J, da LGPD -, a fim de empenhar esforços na prevenção de incidentes de dados¹¹⁰.

Por sua vez, a atuação do CADE no que diz respeito à defesa da concorrência em negócios baseados em dados encontra-se atualmente balizada em Acordo de Cooperação Técnica com a ANPD. Tal medida se mostra indispensável, na medida em que os objetivos da regulação antitruste e a regulação da proteção de dados representam escopos diversos de atuação. Sobre essa questão, Wimmer¹¹¹ explicita que medidas ou sanções que tenham por fundamento o direito concorrencial, embora possam ser adequadas nesse quesito, podem ter efeitos contrários à proteção de dados pessoais. A autora¹¹² toma como exemplo a sanção de fornecimento de base de dados de uma empresa a seus concorrentes, em razão de o volume excessivo de dados pessoais ser equiparado a uma essential facility. Nesse caso, haveria um compartilhamento de dados pessoais à revelia da vontade ou legítima expectativa dos seus titulares, ensejando críticas à medida sob a ótica da proteção de dados.

Inobstante, quanto ao âmbito de fiscalização da atividade notarial e de registro - serviços delegados a ente privado por força do art. 236, caput, da Constituição Federal - o próprio texto constitucional defere ao Conselho Nacional de Justiça (“CNJ”) a prerrogativa fiscalizatória e sancionatória, por força do inciso III, do §4º, do art. 103-B da Carta Magna¹¹³. Esse poder-dever fiscalizatório decorre excepcionalmente do texto constitucional, afastando a aplicação de normas infraconstitucionais em sentido contrário¹¹⁴.

Atentando-se a essa prerrogativa, o CNJ, por intermédio de ato da Corregedoria Nacional editou o Provimento n. 134, de 24 de agosto 2022, trazendo balizas para a aplicação da LGPD no âmbito dos serviços delegados e uniformizando as diretrizes estabelecidas por Corregedorias de Justiças dos Tribunais estaduais¹¹⁵. Em específico, esse provimento privilegiou as disposições trazidas pela ANPD¹¹⁶ no que diz respeito à normatividade técnica e regulatória, estipulando-se uma cultura de governança de privacidade e proteção de dados pessoais para com as serventias extrajudiciais¹¹⁷.

Em todo caso, releva a competência da ANPD em coordenar a articulação com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação¹¹⁸, recebendo o papel de órgão central na interpretação da LGPD e no estabelecimento de normas e diretrizes para sua implementação, o que se aplica aos casos supracitados, sejam eles já contemplados por Acordos de Cooperação Técnica, ou não.

Expandindo-se essa questão, a articulação administrativa não significa deferir à ANPD um papel hierárquico superior aos entes¹¹⁹, mas incide em uma mudança de metodologia de tomada de decisões, de forma que se envolva diversos núcleos e agentes competentes para resolução de uma dada ação pública¹²⁰. A articulação administrativa representa, nesse mote, três dimensões de integração, conforme Maciel¹²¹: (i) articulação entre entes federativos; (ii) cooperação interorgânica entre órgãos públicos diversos; (iii) atuação intersetorial, funcional e temática. Assim, ressalta-se que a formalização de Acordos de Cooperação Técnica costumam ser atos preliminares à implementação de robustas políticas de articulação técnica entre entes de estruturas regulatórias diversas, construindo-se processos de continuidade e estabilidade de relações¹²².

Ao passo que estruturas de regulação policêntrica trazem consigo o risco de fragmentação da atuação de uma autoridade política, a gerência de redes de articulação e coordenação são apontadas como métodos de garantir a eficácia das medidas regulatórias implementada¹²³. A articulação regulatória se coaduna com elementos de transparência de gestão administrativas¹²⁴, que, conforme assevera Batista¹²⁵, pode ser resultado da aplicação de uma série de técnicas de gestão de conhecimento (“knowledge management”), tendo em vista mobilizar e compartilhar informações para a elaboração conjunta de atos normativos, no escopo da melhoria de desempenho institucional.

Ressalta-se, portanto, no presente estudo, a complexidade inerente ao enforcement de proteção de dados pessoais no ordenamento jurídico brasileiro, uma vez que há diversos órgãos e entidades da Administração Pública Federal com atribuições que tangenciam a atuação da ANPD, seja mediante atribuições fiscalizatórias, regulatórias ou sancionatórias, cumuladas ou não. Observando-se a atuação destes órgãos no cumprimento de uma função constitucional, é imperiosa uma interpretação que privilegie a unicidade da Constituição, orientando-se pelo deferimento à ANPD do papel central de coordenação da articulação com autoridades administrativas para exercício de suas competências em setores de regulação específica.

5. CONSIDERAÇÕES FINAIS

Ante o exposto, é imperioso concluir que o reconhecimento do caráter de fundamental do direito à proteção de dados já encontrava baliza na Constituição Federal de forma implícita, por se relacionar com o livre desenvolvimento da personalidade, núcleo sólido da dignidade da pessoa humana, máxime na decisão prolatada no julgamento da ADI 6.387. Dessa forma, a Emenda Constitucional n. 115, de 2022, trouxe segurança jurídica, anunciando a proteção de dados enquanto norma fundamental de eficácia limitada, instrumentalizada pela LGPD, e estruturando o sistema regulatório ao atribuir à União a competência exclusiva para fiscalizar e privativa para legislar nessa seara, evitando-se a fragmentação do enforcement da proteção de dados pessoais.

Infere-se, portanto, que a atuação administrativa e fiscalizatória da União no contexto do direito fundamental à proteção de dados pessoais se consubstancia em um órgão central de enforcement, a Autoridade Nacional de Proteção de Dados, cujas atribuições estão estabelecidas na LGPD e regimentadas no Decreto Federal n. 10.474 de 2020. A atuação da autoridade de proteção de dados brasileira não se restringe à esfera regulatória, mas abrange competências fiscalizatórias e preventivas, atendo-se ao espírito precaucional da LGPD, que se caracteriza por uma abordagem baseada em risco (risk-based approach), dando sentido e alcance à sua performance. A abordagem baseada em risco e a dinâmica de responsividade têm o condão de direcionar a atuação da ANPD, delineando o seu horizonte normativo e fiscalizatório e sua agenda regulatória.

Compreende-se, portanto, a complexidade inerente ao enforcement de proteção de dados pessoais no ordenamento jurídico brasileiro, uma vez que há diversos órgãos e entidades da Administração Pública Federal com atribuições que tangenciam a atuação da ANPD, seja mediante atribuições fiscalizatórias, regulatórias ou sancionatórias, cumuladas ou não. Observando-se a atuação destes órgãos no cumprimento de uma função constitucional, é imperiosa uma interpretação que privilegie a unicidade da Constituição, orientando-se pelo deferimento à ANPD do papel central de coordenação da articulação com autoridades administrativas para exercício de suas competências em setores de regulação específica.

Ressalta-se, ainda, no escopo do presente estudo, a articulação regulatória, capitaneada pela Autoridade Nacional de Proteção de Dados Pessoais, tem sua eficácia otimizada a partir da estruturação de mecanismos de subsídio à continuidade e estabilidade das relações a partir de uma gestão de conhecimento que agasalhe a mobilização e compartilhamento de informações institucionais, de forma que a tomada de decisões seja balizada pelo ideal de legitimidade e democracia.

6. REFERÊNCIAS

Datas de Publicação

Histórico