A Autoridade Nacional de Proteção de Dados (ANPD) vem acompanhando as discussões referentes ao Projeto de Lei nº 2630/20, que institui a Lei Brasileira de Liberdade, Responsabilidade e Transparência na Internet, buscando dialogar com os diversos setores da sociedade para o melhor posicionamento sobre o assunto.
Nesse sentido, a ANPD reconhece a necessidade e a importância da construção de uma regulação responsiva, que considere os impactos e os riscos envolvidos, a fim de estabelecer as condições necessárias para a garantia de direitos no ambiente digital, em especial quanto à privacidade, à proteção de dados pessoais, à liberdade de expressão e ao direito à informação, com base em parâmetros objetivos e nas melhores práticas internacionais.
A ANPD também reconhece a necessidade de um esforço multissetorial que contemple os posicionamentos do poder público, da sociedade civil e do setor empresarial, em continuidade ao histórico do Brasil na elaboração de legislações sobre o tema, como no processo de elaboração do Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014 – MCI) e da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709, de 14 de agosto de 2018 – LGPD).
A fim de melhor compreender o contexto brasileiro de regulação de plataformas digitais, os possíveis impactos à proteção de dados pessoais e contribuir com o debate público, a ANPD elaborou um estudo preliminar, cujo inteiro teor pode ser consultado AQUI.
A seguir, destacam-se as principais questões levantadas no referido estudo:
1. Entidade supervisora autônoma
1.1. Dentre as diversas versões do PL nº 2630/20, alguns artigos estabelecem regras aplicáveis ao tratamento de dados pessoais, entre as quais podem ser mencionadas as disposições relativas a: (i) hipóteses legais para o tratamento de dados pessoais, como o consentimento; (ii) utilização de dados para perfilamento de usuários e decisões automatizadas – incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; (iii) proteção de dados pessoais de crianças e adolescentes; (iv) acesso a dados pessoais para fins de estudos e pesquisas; e (v) avaliação de impacto sobre dados pessoais no ambiente digital, matérias que encontram previsão na LGPD para regulamentação e fiscalização pela ANPD.
1.2. Como se pode observar, os dispositivos mencionados estabelecem regras sobre proteção de dados pessoais, atribuindo competências de regulamentação, fiscalização e aplicação de sanções à “entidade autônoma de supervisão”, o que suscita potenciais conflitos com as competências legais da ANPD previstas na LGPD.
1.3. Em termos práticos, o PL abre a possibilidade de que sejam atribuídas a outra entidade pública parte das competências legais da ANPD de regulamentação, fiscalização e aplicação de sanções a plataformas digitais no que concerne à proteção de dados pessoais.
1.4. Tal situação de possível fragmentação regulatória e de sobreposição de competências pode trazer forte insegurança jurídica e colocar em risco a garantia do direito fundamental à proteção de dados pessoais no ambiente digital.
1.5. Este potencial conflito é iminente, haja vista que a Agenda Regulatória da ANPD para o biênio 2023-2024 já prevê a edição de orientações e a regulamentação de temas atribuídos pelo PL nº 2630 à entidade supervisora autônoma, tais como proteção de crianças e adolescentes no ambiente digital; direitos dos titulares; acesso a dados para fins de pesquisa; inteligência artificial; e decisões automatizadas.
1.6. Tendo em vista os pontos de preocupação acima elencados, cabe destacar que, nos termos da LGPD, a aplicação das sanções referente à proteção de dados pessoais compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
1.7. Diante desse cenário, a ANPD espera que o PL nº 2630/20, ou a futura regulamentação da entidade supervisora autônoma, preserve de forma expressa as competências da Autoridade no que tange à regulamentação, fiscalização e aplicação de sanções a plataformas digitais quanto à proteção de dados pessoais e ao direito à privacidade.
1.8. A regulação de plataformas digitais deve ser pensada e construída a partir de um enfoque amplo, que considere não somente a moderação de conteúdos, mas também outros aspectos essenciais, em particular a proteção de dados pessoais. Afinal, o uso intensivo de dados está na base do modelo de negócios das plataformas digitais, de modo que, para que a regulação e a garantia de direitos no ambiente digital sejam efetivas, é necessário fortalecer as instituições, estabelecendo regras coerentes que promovam a cooperação e a coordenação entre os órgãos reguladores e o respeito às suas competências e prerrogativas.
2. Coleta de dados pessoais para fins de investigação criminal
2.1 O PL nº 2630/20 estabelece obrigações de guarda de dados para fins de investigação criminal, valendo-se, para tanto, de expressões vagas e imprecisas, o que pode levar a uma ampliação desproporcional da coleta de dados pessoais ou, ainda, ao rastreamento e à vigilância abusivas sobre titulares de dados pessoais.
2.2 Nestas hipóteses, é importante que as autoridades públicas observem a necessidade de definição de finalidades específicas para o tratamento de dados pessoais, a sua limitação ao estritamente necessário para alcançar essas mesmas finalidades, a adoção das medidas de segurança proporcionais aos riscos envolvidos e a ampla transparência das operações realizadas com dados pessoais.
2.3 Além disso, a fim de afastar eventual insegurança jurídica e proteger os dados pessoais dos investigados, é oportuno que o PL nº 2630/20 defina de forma específica e taxativa quais dados pessoais devem ser objeto de guarda pelas plataformas digitais, técnica legislativa que, vale enfatizar, é a utilizada no Marco Civil da Internet (MCI).
2.4 É importante destacar que esse aspecto é central para a avaliação do grau de compatibilidade da legislação nacional com a legislação de proteção de dados de outros países e de blocos internacionais, como a União Europeia. Também por isso, portanto, é essencial que as normas que dispõem sobre o acesso de autoridades públicas a dados pessoais sejam baseadas em parâmetros objetivos e em limites legais claramente definidos na legislação.
2.5 Nesse sentido, sugere-se a revisão da redação do texto, de modo a indicar de forma expressa e taxativa quais dados poderão ser coletados, excluindo-se, tanto do PL como de possíveis alterações do MCI, expressões vagas e imprecisas como “quaisquer dados e metadados conexos envolvidos”, “outros registros e informações dos usuários” e “que possam ser usados como material probatório”.
Por fim, a ANPD mantém a sua disposição de colaborar com o debate público, ao tempo em que reforça a importância do tema e dos esforços multissetoriais para o avanço da discussão. Também reitera o seu compromisso em garantir a privacidade e a proteção dos dados pessoais, prerrogativa estabelecida na LGPD, e conta com a colaboração de todos para o alcance desse objetivo.
A ANPD esclarece, ainda, que pretende contribuir, nos temas de sua competência, na consulta pública disponibilizada pelo Comitê Gestor da Internet no Brasil (CGI.br) sobre a regulação de plataformas digitais.
Veja a Análise preliminar do Projeto de Lei nº 2630/20 feita pela ANPD:
- Fonte: www.gov.br/anpd
- Imagem: Freepik
- 28 de abril de 2023