Jota
1/7/2022
Por – Fabrício Bertini Pasquot Polido*
No último dia 6 de maio, a Autoridade Nacional de Proteção de Dados (ANPD) emitiu sua Nota Técnica 49/2022 analisando a situação concreta de adequação da política de privacidade do aplicativo de mensagens WhatsApp às leis brasileiras de privacidade e proteção de dados.
O que poderia parecer mero exercício de poder fiscalizatório da autoridade, na visão mais reducionista de alguns especialistas, na verdade tornou-se um laboratório autêntico para projetarmos o futuro das políticas para proteção de dados e da governança de dados sob a perspectiva da ANPD.
O trabalho de revisão legal de políticas de privacidade adotadas por conglomerados globais de tecnologia passará a representar um processo muito mais arrojado e aberto aos aprendizados recíprocos trazidos entre os diferentes sistemas legais, suas tradições e soluções para questões comuns que atravessam fronteiras e se fincam em espaços geográficos determinados. Não seria diferente para o campo da proteção de dados.
O trabalho da ANPD diante da análise casuística da nova política do WhatsApp, divulgada em janeiro de 2021, ainda nos ensina materialmente o universo das questões jurídicas que estão por trás do funcionamento das modernas tecnologias digitais, do desenho e funcionamento de sistemas computacionais e comunicacionais, além de destacar a natureza transfronteiriça de muitas das operações envolvendo tratamento de dados, como aquelas resultantes das atividades de empresas de TI e tecnologia em distintas jurisdições.
Por isso mesmo, as respostas trazidas pela ANPD, através do diálogo com atores interessados no campo da proteção de dados no Brasil (observando-se especificamente o recente caso WhatsApp), nos permite formular algumas premissas que responderão a futuros cenários envolvendo a aplicação concreta da LGPD e suas interfaces internacionais e extraterritoriais, e com reflexos sobre a regulamentação doméstica.
Nesse cenário, os juristas mais preparados se encarregam de avistar e antecipar algumas das questões trazidas para a realidade brasileira no campo da proteção de dados, deixando de simplesmente replicar ou reproduzir fórmulas (como muitas das europeias) também já colocadas sob revisão nesse domínio. O fato de a Lei Geral de Proteção de Dados ter recebido forte inspiração de instrumentos intracomunitários da União Europeia – tanto a antiga Diretiva 95/46 como o Regulamento Europeu de Proteção de Dados vigente –, não obrigará a ANPD ou nossos tribunais a aplicar ou replicar suas fórmulas. No limite, serão levados a basear e inspirar decisões em relação a princípios, orientações, categorias que possam ser consideradas já “globais” ou “transnacionais” por excelência.
No domínio da proteção de dados, padrões normativos consolidados que admitem níveis variados de elevada harmonização e convergência (por exemplo, certas regras relacionadas a definições legais, direitos de usuários, transferência internacional de dados, modelos de responsabilidade de controladores e operadores) representam níveis de consistência com normas internacionais adotadas por organizações especializadas, como daquelas de que o Brasil já participa ou é candidato à acessão ou adesão de tratados específicos.
Dentre elas, destacam-se a Organização dos Estados Americanos (OEA), o Conselho da Europa (Convenção 108 de 1981 e seu Protocolo Adicional) e a OCDE[1]. Fugir muito desse circuito seria também estranho para um país como o Brasil, que pretende estar na vanguarda de temas relacionados a tecnologias. Para proteção de dados não seria diferente.
Por isso mesmo, partindo-se do caso da política do WhatsApp, a primeira premissa a ser estabelecida para políticas de privacidade de aplicação global é aquela de que lacunas qualitativas em termos de proteção substantiva e procedimental de direitos de titular devem ser integradas a partir da aplicação consistente e legalmente orientada entre esses instrumentos, as leis domésticas vigentes e aplicáveis e as experiências comparadas.
Isso sem que a lei aplicável deixe de reconhecer as especificidades de cada uma das políticas ou instrumentos contratuais adotados pelos agentes de tratamento, pois, a depender da forma como são elaboradas e aplicadas, podem servir de contraponto e reforço na proteção de direitos dos titulares de dados. Afinal, controladores de dados terão muito mais incentivos para assegurar que suas políticas sejam observadas em seu caráter vinculante e que possam também lhes ser oponíveis por titulares de dados como uma saída de previsibilidade e segurança jurídica.
Ao estabelecer a revisão administrativa ou judicial de políticas, autoridades e tribunais devem empreender esse exercício, sem deixar de se contaminar pela falsa ideia de que o caráter aparentemente “territorial” ou “nacional” das leis de proteção de dados lhes retiraria a abertura para considerações normativas da aplicação da lei estrangeira.
A LGPD por si somente conduz a vários exemplos de “casos pluriconectados”, para lembrar uma categoria tão cara ao campo do direito internacional privado, por exemplo. Ela faz com que titulares de dados e agentes de tratamento estejam submetidos à jurisdição brasileira em seu sentido mais amplo – regulatória/prescritiva (o poder de regular, disciplinar normativamente), adjudicatória (o poder de decidir) e executiva (o de fazer valer decisões), sem retirar da ANPD ou dos tribunais brasileiros a tarefa de apreciar determinados fatos, situações ou relações jurídicas com conexão internacional envolvendo dados, direitos de titulares e operações de tratamento.
A segunda premissa, a partir do exame da Nota Técnica, pode ser estabelecida quanto à relação necessária entre ajustes textuais de políticas internas e exigências de documentação de adequação de controladores à LGPD, em especial para o caso de empresas adotando políticas de privacidade de alcance global. Não se trata de mera atividade de “domesticação” ou “tropicalização” de instrumentos, como muitos agentes de tratamento passaram a realizar nos últimos meses, com a corrida de implementação dos projetos de adequação à LGPD. Antes, exige-se uma atitude de ajuste fino (fine-tuning) dos instrumentos em relação à exequibilidade, validade e eficácia diante da observância e aplicação das normas da LGPD pelas partes, pela ANPD, autoridades de aplicação das leis e tribunais no sistema jurídico brasileiro.
Em seu exercício, a ANPD parece ter sido mais cautelosa, e merece uma nota digna de elogio, primeiro por não estabelecer um exercício de transposição automática de conceitos e soluções do Regulamento Europeu de Proteção de Dados para o universo interpretativo e aplicativo da LGPD. Diferente disso, a autoridade analisou a estrutura e efeitos da nova política de privacidade do WhatsApp, buscando trazê-los para a realidade e jurisdição brasileiras, estabelecendo contribuições baseadas em “aprendizados recíprocos” — típicos de experimentos transnacionais, do diálogo entre sistemas jurídicos, firmando orientações para agentes de tratamento com atuação no — e para o – Brasil.
Segundo porque a ANPD parece ter rechaçado uma abordagem de senso comum, diante da excessiva espetacularização em torno da entrada em vigor da nova política de privacidade do WhatsApp, como se a questão seria resolvida por obrigar a empresa a dispensar “tratamento não discriminatório” envolvendo proteção de dados entre usuários no Brasil e aqueles na Europa. Seria realmente a proteção conferida a titulares de dados na UE mais rigorosa do que a brasileira graças aos distintos formatos da política de privacidade de uma empresa com atuação em duas distintas jurisdições? Ou porque ainda no caso da jurisdição brasileira agentes de tratamento terão de se esforçar muito para captar as condicionantes regulatórias que permitem aperfeiçoamento de suas políticas de privacidade, com efeitos diretos para titulares de dados, hoje protegidos constitucionalmente?[2]
Talvez a resposta venha dessas e de outras legítimas interrogantes. Em todo caso, vale muito a leitura cuidadosa da Nota Técnica 49/2022 da ANPD, ao explorar várias frentes relacionadas a termos de uso e políticas de privacidade, tais como: 1) documentação de adequação à LGPD por controladores de dados e suas políticas de privacidade de aplicação global; 2) categorias de dados, bases legais e finalidades de tratamentos dentro do desenho (arquitetura) das políticas de privacidade; 3) necessidade e requisitos para a elaboração do Relatório de Impacto de Proteção de Dados e contornos de infração administrativa segundo a LGPD; 4) a especificação de informações relativas a direitos de titulares e dados sensíveis; e 5) a adequação de avisos de privacidade para fins de aplicação segundo o direito brasileiro.
São muitas das contribuições que a ANPD oferece ao vibrante domínio da governança de dados e que serão certamente alvo de atenção para autoridades irmãs em outros países e aprendizados para os sistemas jurídicos comparados.
*FABRÍCIO BERTINI PASQUOT POLIDO – Professor associado de Direito Internacional Privado, Direito Comparado e Novas Tecnologias da Faculdade de Direito da UFMG. Doutor em Direito Internacional pela USP. Foi pesquisador visitante no Instituto Max-Planck de Direito Internacional Privado e Comparado/Hamburgo, Universidade de Kent (Reino Unido) e Universidade Humboldt de Berlim. Advogado e sócio da área de Inovação e Tecnologia e Solução de Disputas de L.O. Baptista
Disponível em: https://www.jota.info/opiniao-e-analise/artigos/a-anpd-e-sua-revisao-domestica-de-politicas-de-privacidade-01072022
