No dia 26 de outubro de 2022, a Medida Provisória (MP) nº 1.124/2022 foi convertida na Lei 14.460/2022. A redação, agora devidamente incorporada à Lei Geral de Proteção de Dados (LGPD), conferiu à Autoridade Nacional de Proteção de Dados (ANPD) a natureza jurídica de autarquia em regime especial (artigo 55-A, LGPD), após dois longos anos de funcionamento como órgão vinculado à Presidência da República.
Mais recentemente, inclusive, o Decreto nº 11.348 de 1º de janeiro de 2023 vinculou a entidade ao Ministério da Justiça (artigo 2º, inciso IV, “b”), consolidando uma estrutura que já era aguardada, principalmente quando observarmos as modificações sofridas pela LGPD nos últimos anos, desde sua publicação.
O funcionamento da ANPD como órgão ocorreu de forma transitória, conforme estipulava o revogado artigo 55-A da LGPD, que previa o período de dois anos para a definição da natureza jurídica da entidade.
O modelo proposto à ANPD espelhou-se naqueles que foram implementados em continente europeu, território em que algumas das Data Protection Authorities (DPAs) existem desde a década de 1970. Esse é o caso da Alemanha e da França, países que já contavam, respectivamente, com a Datenschtzbeauftrager e a Commission Nationale de l’Informatique et des Libertés (CNIL) [1].
A criação das DPAs consolidou, no Velho Continente, um modelo jurídico que inseriu tais entidades como elemento integrante da técnica legislativa no que concerne à proteção de dados pessoais [2].
Após a emblemática decisão do Tribunal Constitucional Alemão, que, em 1983, procedeu ao controle de constitucionalidade da Lei do Censo da Alemanha (Volkszählunsgesetz) [3], e conferiu ao cidadão o direito ao controle e à ciência sobre a finalidade que seria conferida a seus dados — que se traduz na autodeterminação informativa —, notou-se, ao final de década de 1980, o desenvolvimento de legislações de proteção de dados em diversos países do Continente Europeu, e, consequentemente, o advento das respectivas autoridades de proteção de dados [4].
Durante a evolução de tais legislações, a Carta de Direitos Fundamentais da União Europeia passou a prever não apenas o direito à proteção de dados pessoais como direito fundamental, mas também a obrigatoriedade da constituição de uma autoridade independente em cada país componente do bloco.
Tal previsão foi incorporada ao General Data Protection Regulation (GDPR), que estabelece que tais autoridades deverão funcionar de forma independente, característica esta que se estende a seus membros, não devendo existir quaisquer influências externas ao exercício de suas funções. Nesta época, houve o recrudescimento de uma legislação de proteção de dados e um significativo fortalecimento do poder de intervenção das DPAs, principalmente diante da possibilidade do estabelecimento de multas monetárias constantes do GDPR [5].
Nos Estados Unidos, por sua vez, predomina um modelo descentralizado, sendo a proteção de dados pessoais competência da Federal Trade Comission (FTC), cuja principal função é regular as relações econômicas [6].
No Brasil predomina, sem sombra de dúvidas, o modelo europeu. Sob essa influência, apesar dos percalços pelos quais passou a LGPD, sobretudo no tocante à constituição de uma autoridade central de proteção de dados, quando do advento do Projeto de Lei nº 53/2018 [7], foi prevista natureza jurídica de autarquia em regime especial, vinculada ao Ministério da Justiça, a ser regida nos termos da Lei 9.986/2000 — a lei que regulamentava a gestão de recursos humanos das agências reguladoras, posteriormente revogada devido ao advento da Lei 13.848/2019, o marco regulatório das agências reguladoras. Percebe-se, aqui, a ênfase na natureza regulatória que seria conferida à ANPD.
Após o imbróglio advindo do veto por inconstitucionalidade formal por vício de iniciativa [8] e a posterior edição da MP nº 869/2018 [9], convertida na Lei 13.709/2018, que conferiu à ANPD natureza de órgão vinculado à Presidência da República, atualmente, a entidade constitui autarquia em regime especial, de acordo com o que restou exposto no início deste artigo.
Porém, mesmo diante do inegável avanço em relação à natureza jurídica que lhe foi conferida em caráter transitório nos últimos anos, merecem destaque algumas peculiaridades pertinentes aos modelos jurídico-administrativos de direito público da administração pública brasileira.
A definição de um ente público, seja como órgão, seja como autarquia em regime especial ou agência reguladora, não diz respeito apenas à questão de nomenclatura. Na verdade, envolve algo mais profundo: diz respeito à definição do tipo jurídico e das competências que serão conferidas e à forma como tais competências serão desempenhadas, não se tratando de “dúvida limitada ao nomen juris da entidade, mas à possibilidade de qualificação de sua ação, limites e conteúdo” [10].
A tênue linha que distingue as autarquias em regime especial em sentido estrito e as agências reguladoras deságua no debate acerca de entidades independentes que possuem natureza regulatória. Tais entidades, apesar de não possuírem peculiaridades suficientes para que se classifiquem como agências reguladoras, têm certo grau de independência. É o caso do Conselho Monetário Nacional (CMN), do Banco Central do Brasil (Bacen), da Comissão de Valores Mobiliários (CVM) e do Conselho Administrativo de Defesa Econômica (Cade).
Segundo Alexandre Aragão [11], a fim de que uma entidade componente da Administração Pública seja classificada como agência reguladora, é necessário que estejam presentes algumas características, quais sejam: (1) atribuição de competências regulatórias; (2) impossibilidade de exoneração ad nutum de seus dirigentes; (3) organização colegiada; (4) formação técnica; e (5) impossibilidade de interposição de recursos hierárquicos impróprios contra suas decisões.
Sob essa ótica, o autor conclui que: CMN e Bacen não são agências reguladoras, muito embora exerçam funções regulatórias; a CVM, apesar de não ser entidade reguladora e possuir autonomia orgânica, não possui autonomia funcional, já que suas decisões estão sujeitas à interposição de recursos hierárquicos impróprios à administração direta; o Cade também não é agência reguladora, apesar de sua natureza independente e o exercício de atividade regulatória.
Sabemos, entretanto, que, na prática, a teoria acaba por sofrer alguma elasticidade. É o que se observa, por exemplo, quanto aos recursos hierárquicos impróprios, que já foram admitidos excepcionalmente no ordenamento jurídico pátrio [12].
A definição da natureza jurídica de uma entidade possui relevância para a aferição de segurança jurídica não apenas à própria administração pública e, consequentemente, àquela entidade, mas também ao administrado, cujos direitos fundamentais serão tutelados — neste caso, o direito fundamental à proteção de dados pessoais (artigo 5º, inciso LXXIX, da Constituição da República).
Outro ponto que nos faz concluir que o intuito do legislador era que a ANPD funcionasse como agência reguladora é a superficial observância das competências: (1) normativa, pela qual pode estabelecer normas gerais ou standards [13]; (2) fiscalizatória, pela qual pode restringir ou condicionar liberdades e direitos nos termos do que estabelece a lei [14]; (3) sancionatória, consistente na aplicação de penalidades impostas pela Administração Pública quando do descumprimento de determinada norma [15]; e (4) regulatória, pela qual a entidade pode propor atos incitativos ou indicativos cujo propósito é promover restrições intencionais de eleição com o objetivo de beneficiar a coletividade [16].
Quanto à competência regulatória, como se notou anteriormente, não é o fato de uma entidade possuí-la que a classificará como agência reguladora. Contudo, é preciso ressaltar que a ANPD conta hoje com uma gama de elementos para que tal competência seja exercida. Este é o caso da previsão da Análise de Impacto Regulatório (AIR), que advém da ideia de instrumentalização de boas práticas regulatórias mediante mecanismos que confiram eficiência e transparência à entidade [17]. A autarquia emitiu, em maio de 2021, seu primeiro relatório de AIR, documento que estabeleceu que o modelo de regulação adotado pela ANPD seria o de regulação responsiva, em substituição ao modelo de comando e controle, usualmente adotado dentre as demais agências reguladoras em território nacional [18].
Além disso, a ANPD adotou um sistema de corresponsabilidade, funcionando como componente central na normatização e no estímulo da criação e manutenção do sistema de proteção de dados pessoais. É o que prevê, por exemplo, o artigo 50 da LGPD, que dispõe sobre medidas de governança e boas práticas, que visam a estimular os agentes de tratamento na responsabilidade pela adoção de políticas que protejam o direito fundamental à proteção de dados pessoais.
Independentemente disso, em consonância com o que se sustenta, é importante frisar que a LPGD conferiu à ANPD autonomia técnica e decisória, em substituição ao artigo 55-B incluído pela MP nº 869/2018, cuja redação previa apenas autonomia técnica, subordinando, portanto, as decisões da entidade à Presidência da República.
Dessa forma, o que de fato distingue as autarquias em sentido estrito das autarquias em regime especial é que a estas é conferido, tanto pela Constituição da República, quanto pela respectiva lei criadora, maior grau de autonomia e independência [19].
Tais peculiaridades são essenciais, por exemplo, para que sejam efetivos os processos de fiscalização e posterior sanção a serem perpetrados pela ANPD. No que diz respeito ao processo fiscalizatório, os procedimentos administrativos ainda estão sob sigilo, apesar da transparência que devem guiar os atos da administração pública. Quanto ao processo sancionatório, este sequer foi iniciado, tendo em vista a ausência de definição da norma que define a dosimetria para a aplicação de sanções previstas na LGPD (com previsão de publicação até o final do mês de fevereiro de 2023).
Por isso, conquanto seja notória a evolução legislativa em relação à ANPD, entidade que passou por diversas alterações em curto lapso temporal, apenas a atuação prática de seus dirigentes e a execução da política relativa à proteção de dados pessoais é que trará as respostas aguardadas pela comunidade jurídica, principalmente no que diz respeito às atividades fiscalizatória e sancionatória. É o que aguardamos para os próximos capítulos referentes à proteção de dados pessoais.
Fonte:
https://www.conjur.com.br/2023-fev-12/publico-pragmatico-natureza-juridica-autoridade-nacional-protecao-dados