O Judiciário e a LGPD: desafios de adequação
“Diante da ausência da ANPD, as atenções se voltam para o Poder Judiciário que terá que lidar com ‘primeiras’ demandas”
Em matéria de proteção de dados, o processo legislativo brasileiro não tem economizado nas novidades. No dia 26 de agosto de 2020 todos foram, em certa medida, surpreendidos com o trâmite da Medida Provisória (MP) 959/2020 no Senado e com a supressão do artigo 4º que prorrogaria a Lei Geral de Proteção de Dados (LGPD) para maio de 2021. Com isso, a LGPD passará, provavelmente, a viger nos próximos dias, todavia, com efeitos retroativos à 16 de agosto de 2020.
Estruturada às pressas na madrugada de 27 de agosto (Decreto 10.474 de 26 de agosto de 2020), dia subsequente à votação do Senado, a Autoridade Nacional de Proteção de Dados (ANPD) tem, dentre outras, a função de elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade. A princípio, a ANPD deverá se estruturar internamente e traçar diretrizes interpretativas da LGPD para, a partir de 1º de agosto de 2021, fiscalizar o enforcement da lei, aplicando, quando cabível, suas sanções administrativas.
Com isso, num primeiro momento sem a prometida e adequada regulamentação da lei, o Judiciário e demais órgãos de fiscalização assumem o protagonismo em relação às demandas que poderão ser suscitadas, já nas próximas semanas, pelos titulares de dados. O Conselho Nacional de Justiça (CNJ), atento ao papel que o judiciário exercerá nesse período de incertezas, editou a Resolução 73/2020 que recomenda a estruturação de grupo de trabalho para adequação dos procedimentos internos de toda esfera judiciária brasileira (art. 2º).
No entanto, nos últimos dias o Judiciário, em especial alguns tribunais, têm buscado se organizar internamente, designando equipes responsáveis para lidar com o que seria a implementação da LGPD.
Não obstante o esforço sendo realizado às pressas em decorrência da proximidade da entrada em vigor da lei, é possível destacar de forma objetiva que alguns conceitos básicos previstos pela LGPD não foram bem compreendidos, o que demonstra a complexidade da matéria e os inúmeros desafios que terão que ser enfrentados não apenas na iniciativa privada, mas também na Administração Pública. Exemplo disso são a Política de Privacidade dos Dados das Pessoas Físicas – PPD do TJDFT (Resolução 9/2020) e o Provimento 23/2020 da Corregedoria Geral da Justiça do TJSP.
O PPD, além de dispor que o “controlador” seria o Presidente do Tribunal, inova ao criar a figura de “controlador adjunto” que seriam exercidas pelos Vice-Presidentes e pelo Corregedor da Justiça. Já os “operadores” seriam “os servidores e colaboradores que exerçam atividade de tratamento de dados pessoais na instituição ou terceiros” e estariam organizados em três “níveis”, incluindo supervisores e seus subordinados (nível 1); subsecretários, coordenadores e o titulares dos núcleos permanentes (nível 2); secretários, magistrados, assessores de gabinete e diretores de secretaria responsáveis pela gestão finalística ( nível 3).
Tal divisão visaria possibilitar o controle e revisão do fluxo do tratamento de dados pessoais de “um nível pelo nível imediatamente superior”. Estabelece ainda que “o controlador e os operadores respondem solidariamente por todo tratamento inadequado dos dados pessoais dos quais resulte, dentre outros, prejuízo ao titular e comprometimento da confiabilidade da instituição”.
Por sua vez, o Provimento/TJSP comete equívoco técnico ao indicar que os cartórios “poderão nomear operadores integrantes […] do seu quadro de prepostos”, ainda que estabeleça a ressalva de que “na qualidade de prestadores terceirizados de serviços técnicos”.
A compreensão dos conceitos de “controlador” e “operador” é fundamental para a adequada concretização da LGPD. Todavia, podem existir divergências sobre esses conceitos já que a Autoridade Nacional de Proteção de Dados (ANPD), responsável na esfera administrativa pela interpretação definitiva de nossa norma, ainda não existe de fato.
Mas, é inegável que o Regulamento Geral de Proteção de Dados (RDPD) da União Europeia é a maior inspiração da LGPD (ainda que existam diferenças relevantes entre as duas normas), motivo pelo qual é importante compreender como a RGPD vem sendo interpretada. Na semana passada (02 de setembro), o Comitê Europeu para a Proteção de Dados (CEPD), composto pela Autoridade Europeia para a Proteção de Dados e por representantes das autoridades nacionais para a proteção de dados, divulgou orientações exatamente sobre os conceitos em questão.[1]
Sobre o conceito de controlador, o documento é incisivo ao esclarecer que embora, em princípio, não exista limitação para o tipo de entidade que pode ocupar esse papel, geralmente é a organização que é classificada como controlador e não um indivíduo dentro da organização. Isso porque tais conceitos seriam funcionais no sentido de que objetivam “alocar responsabilidade de acordo com as funções reais das partes”. E tal função está relacionada a um elemento central do tratamento de dados pessoais: quem decide sobre as finalidades e os meios utilizados nos tratamentos e, consequentemente, quem pode ser responsabilizado em caso de prejuízos deles decorrentes.
No mesmo sentido, a LGPD determina que controlador é pessoa natural ou jurídica “a quem competem as decisões referentes ao tratamento de dados pessoais” (art. 5º, VI). Sendo assim, embora não pareça existir impedimento para a indicação do presidente de uma instituição como controlador, é preciso compreender se de fato é ele que decide o que será feito com os dados pessoais e como tal finalidade será alcançada. Será adequado imaginar que os dados pessoais que são coletados por um Tribunal de Justiça e os demais tratamentos subsequentes decorrem da decisão de seu presidente?
As recentes orientações do CEPD parecem responder a essa pergunta: “às vezes, empresas e órgãos públicos nomeiam uma pessoa específica responsável pela implementação das operações de processamento. Mesmo se uma pessoa física específica for nomeada para garantir o compliance em relação às regras de proteção de dados, esta pessoa não será o controlador, mas agirá em nome da pessoa jurídica (empresa ou órgão público) que será o responsável final em caso de violação das regras em sua capacidade de controlador.”
Importante ressaltar que o PPD do TJDFT, definiu em seu artigo 3º, XVIII que o “controlador” seria “pessoa jurídica de direito público a quem compete definir todas as ações relativas ao tratamento dos dados pessoais”, ou seja, no mesmo sentido do CEPD, mas, paradoxalmente, nomeou pessoas físicas.
Portanto, obviamente, a figura do controlador não é a da pessoa que age em nome do órgão, mas sim o próprio Tribunal, o qual responderá em eventuais casos de violação de dados pessoais.
No que concerne aos operadores, a LGPD conceitua simplesmente como “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador” (art. 5º, VII). De forma muito similar o RGPD define operador (processor) como a entidade “que trata dados pessoais em nome do controlador”. As novas orientações do CEPD vão além e evidenciam uma outra condição básica para qualificar o operador: que seja uma entidade separada do controlador.
“Entidade separada” significa que o controlador decide delegar atividades de tratamento de dados pessoais, no todo ou em parte, para uma entidade externa. “Se o controlador decidir processar os dados por conta própria, usando seus próprios recursos dentro de sua organização, por exemplo através de sua própria equipe, esta não é uma situação de processador. Funcionários e outras pessoas que estão agindo sob a autoridade direta do controlador […] não devem ser vistos como processadores, uma vez que irão processar dados pessoais como parte da instituição controladora”
A partir desse entendimento, os operadores devem ser (i) pessoas físicas ou jurídicas contratadas pelo órgão público para tratar dados pessoais ou (ii) outro órgão público designado pelo controlador para exercer a função.
Feitas tais ponderações, o que a leitura dos recentes instrumentos criados pelos tribunais indica é que, não obstante se deva elogiar o esforço e a preocupação na tentativa de se adaptar para atender a nova legislação, são muitos os desafios e dificuldades a serem superados não apenas pela iniciativa privada, mas também pelos órgãos da Administração Pública em matéria de proteção de dados no Brasil.
Fato é que, diante da ausência da ANPD no momento da entrada em vigor da lei, novamente as atenções se voltam para o Poder Judiciário que terá que lidar com “primeiras” demandas de proteção de dados, ao mesmo tempo em que adota medidas internas de adequação à LGPD. Essa situação, portanto, impõe que os Tribunais estejam devidamente estruturados e capacitados para lidar com as demandas.