2021.05.25 AIR Fiscalizacao Final1

MAIO/2021 RELATÓRIO DE ANÁLISE DE IMPACTO REGULATÓRIO CONSTRUÇÃO DO MODELO DE ATUAÇÃO FISCALIZATÓRIA DA ANPD PARA ZELAR, IMPLEMENTAR E FISCALIZAR O CUMPRIMENTO DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS Página 2 de 33 RELATÓRIO DE ANÁLISE DE IMPACTO REGULATÓRIO CONSTRUÇÃO DO MODELO DE ATUAÇÃO FISCALIZATÓRIA DA ANPD PARA ZELAR, IMPLEMENTAR E FISCALIZAR O CUMPRIMENTO DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS ELABORADO POR: DIEGO VASCONCELOS COSTA – JR/DIR/ANPD FABRÍCIO G. M. LOPES – CGN/ANPD ISABELA MAIOLINO – CGN/ANPD Nota: Esse Relatório de Análise de Impacto Regulatório é um instrumento de análise técnica, cujas informações e conclusões são fundamentadas nas análises promovidas pela equipe técnica da ANPD responsável pelo tema. Assim, não reflete necessariamente a posição final e oficial da ANPD, que somente se firma pela decisão de seu Conselho Diretor. Página 3 de 33 SUMÁRIO 1. INTRODUÇÃO…………………………………………………………………………………………………………………..4 2. TOMADA DE SUBSÍDIOS ……………………………………………………………………………………………………5 3. ANÁLISE DE IMPACTO – MODELO DE ATUAÇÃO FISCALIZATÓRIA………………………………………….6 SEÇÃO 1 – RESUMO DA ANÁLISE DE IMPACTO REGULATÓRIO………………………………………………7 Introdução ……………………………………………………………………………………………………………………7 Quais os problemas a serem solucionados? …………………………………………………………………….8 Quais os objetivos da ação? Por que a intervenção regulatória é necessária? …………………..10 Quais são as opções regulatórias consideradas para o tema? ………………………………………….11 Da Competência Fiscalizatória da ANPD ………………………………………………………………………..15 Quais os grupos afetados? ……………………………………………………………………………………………17 SEÇÃO 2 – ANÁLISE DAS ALTERNATIVAS ……………………………………………………………………………18 Alternativa A – Adoção do modelo comando e controle pela ANPD…………………………………18 Alternativa B – Fiscalização responsiva………………………………………………………………………….20 SEÇÃO 3 – CONCLUSÃO E ALTERNATIVA SUGERIDA ……………………………………………………………25 Qual a conclusão da análise realizada? ………………………………………………………………………….25 Como será operacionalizada a alternativa sugerida? ………………………………………………………25 Das Disposições Gerais da Atividade de Fiscalização……………………………………………………..25 Do Processo de Monitoramento…………………………………………………………………………………27 Do Processo de Orientação………………………………………………………………………………………..30 Do Processo de Prevenção…………………………………………………………………………………………31 Do Processo de Repressão …………………………………………………………………………………………32 Como a alternativa sugerida será monitorada?………………………………………………………………32 Página 4 de 33 1. INTRODUÇÃO A Agenda Regulatória da Autoridade Nacional de Proteção de Dados (ANPD), aprovada para o ciclo 2021-2022 por meio da Portaria nº 11, de 27 de janeiro de 2021, prevê, dentre as ações a serem priorizadas pela Autoridade para o biênio, o estabelecimento de normativos para aplicação do artigo 52 e seguintes da Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD). A inclusão dos normativos para aplicação do artigo 52 na Agenda Regulatória se deve à iminente entrada em vigor dos artigos 52, 53 e 54, todos da Seção I – Das Sanções Administrativas do Capítulo VIII – Da Fiscalização da LGPD, prevista para 1º de agosto de 2021. Neste momento, convém explicar que a entrada em vigor da LGPD foi prevista para acontecer em três fases. Na primeira, em 28 de dezembro de 2018, entraram em vigor os artigos referentes à criação da ANPD (artigos 55-A a 55-L) e à composição do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (artigos 58-A e 58-B). Na segunda, conforme Medida Provisória nº 869/2018, convertida na Lei nº 13.853, de 8 de julho de 2019, 24 meses após a publicação da Lei, portanto em 28 de dezembro de 2020, entraram em vigor os demais dispositivos da lei com exceção dos artigos 52, 53 e 54. Na terceira, conforme previsto no artigo 65 da LGPD, em 1º de agosto de 2021 entrarão em vigor os artigos 52, 53 e 54, que possuem a seguinte redação: CAPÍTULO VIII – DA FISCALIZAÇÃO Seção I – Das Sanções Administrativas Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (…) Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa. (…) Art. 54. O valor da sanção de multa diária aplicável às infrações a esta Lei deve observar a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela autoridade nacional. (…) Página 5 de 33 Esses artigos versam sobre a realização de fiscalização pela ANPD, sobre o procedimento sancionador e sobre a aplicação de sanções, no exercício das competências previstas no artigo 55-J da LGPD, especialmente aquelas dos incisos IV, VI, XVI, in verbis: Art. 55-J. Compete à ANPD: (Incluído pela Lei nº 13.853, de 2019) (…) IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; (Incluído pela Lei nº 13.853, de 2019) (…) VI – promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; (Incluído pela Lei nº 13.853, de 2019) (…) XVI – realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público; (Incluído pela Lei nº 13.853, de 2019) Regulamentar a aplicação dos artigos acima consiste, portanto, em instrumentalizar o exercício da competência sancionadora da ANPD e materializar o atendimento aos princípios da ampla defesa e do contraditório, bem como aos demais princípios previstos no artigo 2º da Lei nº 9.784, de 29 de janeiro de 1999 (Lei nº 9.784/99), que regula o processo administrativo da administração pública federal. 2. TOMADA DE SUBSÍDIOS Para subsidiar a elaboração da presente Análise de Impacto Regulatório (AIR), foram realizadas reuniões com algumas agências reguladoras, quais sejam, Agência Nacional de Aviação Civil (Anac), Agência Nacional de Energia Elétrica (Aneel) e Agência Nacional de Telecomunicações (Anatel), autarquias que possuem vasta experiência em regulamentação de mercados e que passaram, ou estão passando, por recentes reformulações em seus processos e procedimentos de fiscalização e sancionamento. Essas reuniões foram feitas no intuito de coletar lições, sugestões e conselhos sobre estratégias bem-sucedidas assim como aquelas a se evitar. Adicionalmente, em função de sua participação no Projeto de Pesquisa e Inovação Acadêmica sobre Regulação Apoiada em Incentivos na Fiscalização Regulatória de Telecomunicações, também se considerou oportuno convidar o Professor Mário Iório Aranha, da Universidade de Brasília (UnB), para uma reunião com a equipe para tratar de regulação responsiva. Página 6 de 33 As atas das reuniões acima mencionadas foram juntadas no processo SEI nº 00261.000089/2021-76, conforme documentos SEI nº 2475945, 2437529, 2437522 e 2556894. Foram consideradas, também, na medida da pertinência temática, as lições apreendidas por ocasião da leitura das contribuições à Tomada de Subsídios nº 1/2021, que tratou sobre a aplicação da LGPD às micro e pequenas empresas e startups. Por fim, convém citar como fontes: a) o Relatório de Avalição do Processo Sancionatório da Anatel – Exercício 2020, fruto do Projeto e-aud nº 817782 da Controladoria Geral da União – CGU, cuja análise acerca da efetividade do modelo regulatório de comando e controle adotado pela Anatel abordava questões centrais que eram objeto de preocupação da ANPD. b) as entregas constantes do Processo Sei nº 53500.031122/2018-191 do Projeto de Pesquisa e Inovação Acadêmica sobre Regulação Apoiada em Incentivos na Fiscalização Regulatória de Telecomunicações, conduzido pelo Centro de Políticas, Direito, Economia e Tecnologias das Comunicações – CCOM da UnB em parceira com a Anatel. c) O Relatório da Organização para Cooperação e Desenvolvimento Econômico (OCDE) sobre enforcement2 regulatório e fiscalizações, que aborda as melhores práticas para políticas regulatórias3 , notadamente os princípios para orientar a criação de um sistema de constrangimento efetivo e eficiente. 3. ANÁLISE DE IMPACTO – MODELO DE ATUAÇÃO FISCALIZATÓRIA 1 Disponível publicamente para consulta em: . Acesso em 04 mar. 2021. 2 O termo em inglês é Enforcement e sua tradução não é usual para o idioma português. Há uma diversidade de aspectos da competência de um órgão regulador (zelar, implementar e fiscalizar) encerrados nessa expressão que, em suma, poderiam ser grosseiramente traduzidos como promover, estimular e, em último caso, forçar a conformidade regulatória. A dificuldade se evidencia pela quantidade de textos nacionais de experts em regulação que optam por usar a expressão em inglês mesmo. 3 OECD. Regulatory Enforcement and Inspections, OECD Best Practice Principles for Regulatory Policy, OECD Publishing, 2014. Página 10. Disponível em: . Visitado em: 12 mai. 2021. Página 7 de 33 SEÇÃO 1 – RESUMO DA ANÁLISE DE IMPACTO REGULATÓRIO Introdução Como se pode verificar a partir do Termo de Abertura de Projeto – TAP (Sei nº 2384249), constante do Processo Sei nº 00261.000089/2021-76, em um primeiro momento, o escopo da proposta de AIR se resumia à regulamentação do processo administrativo sancionatório no âmbito da ANPD. Na ocasião, essa regulamentação seria feita em atenção ao disposto no §1º do artigo 52 da LGPD, com vistas a instrumentalizar o exercício da competência sancionadora da ANPD e materializar o atendimento aos princípios da ampla defesa e do contraditório, bem como aos demais princípios previstos no artigo 2º da Lei nº 9.784/1999. Todavia, ao longo dos estudos promovidos pela equipe responsável, sobretudo por conta da riqueza da experiência compartilhada por especialistas das agências reguladoras e da academia, constatou-se que as expectativas e necessidades da ANPD ultrapassavam longamente a confecção de uma norma de cunho processual e procedimental voltada apenas para o processo sancionador. Além disso, percebeu-se que o maior desafio, mais do que publicar a norma, é desenvolver uma estratégia de constrangimento regulatório que contemple as atividades de zelar, implementar, orientar, estimular e fiscalizar, bem como que propicie os melhores resultados possíveis por meio dos mais altos níveis de conformidade. Ao tempo, os custos regulatórios e administrativos deveriam ser os menores possíveis. Consequentemente, combinados esses aprendizados com disposições da própria LGPD, foram determinados os seguintes valores para orientar a concepção de uma estratégia de atuação fiscalizatória da ANPD: (i) regulação baseada em evidências; (ii) proporcionalidade entre riscos e recursos alocados; (iii) transparência e permeabilidade, que permitam à sociedade não só acompanhar, como também contribuir para o aprimoramento da atuação da ANPD; (iv) processos transparentes e justos, com regras claras sobre direitos e obrigações; e (v) promoção da conformidade pelos mais diversos instrumentos e abordagens. Página 8 de 33 A partir desses valores, a ANPD pretende ajustar sua atuação em uma escala gradual, fazendo uso de instrumentos variados para promover, recomendar ou até mesmo forçar a conformidade dos regulados. Esse ajuste se dá com fundamento em critérios que considerarão os perigos envolvidos (risco e dano) e o agente de tratamento regulado e seu histórico de comportamento. Da mesma forma, a ANPD precisa priorizar sua atuação com foco em maximizar seus efeitos sobre a sociedade, dado que os recursos públicos de que dispõe são limitados. Além disso, é possível extrair da LGPD que o legislador tinha em mente a criação de uma autoridade nacional cuja atuação fiscalizatória deveria ser voltada para promover a conformidade e orientar, baseada em risco e com foco em promover melhorias significativas no respeito às normas de proteção de dados pela sociedade. Essa abordagem não decorre de uma percepção do ambiente regulatório isolada no mundo, dado que já consta, desde 2004, em relatório da OCDE sobre princípios de boas práticas de constrangimento e fiscalização regulatórios: Ações de fiscalização e constrangimento geralmente são o principal meio pelo qual negócios, em particular micro, pequenas e médias empresas, ‘experimentam’ regulação e interagem com reguladores. (…) Reforma das fiscalizações e da prestação regulatória para torná-las mais focadas na conformidade, na orientação e baseadas em risco podem levara a melhorias reais e significativas para atores econômicos, mesmo dentro da estrutura das regulamentações existentes. Finalmente, a reforma do constrangimento e da fiscalização envolve tanto a mudança de métodos e cultura quanto a reforma dos mecanismos organizacionais das instituições e da legislação. 4 [Grifamos] Nesses termos, essa visão repercute para além da definição das regras de fiscalização, pois ela envolve também aspectos relacionados à cultura interna e à percepção que a ANPD tem de si, sobretudo porque a ANPD está em fase de estruturação e passa pelo processo de construção de sua identidade institucional e cultura organizacional. Quais os problemas a serem solucionados? Pretende-se evitar os problemas que foram comumente identificados pelos reguladores entrevistados, dos quais se podem citar5 : 4 OECD (2014), Regulatory Enforcement and Inspections, OECD Best Practice Principles for Regulatory Policy, OECD Publishing. Página 12-13. Disponível em: http://dx.doi.org/10.1787/9789264208117-en. Visitado em: 12 mai. 2021. 5 Observações nesse sentido foram compartilhadas por todas as agências reguladoras. Informações mais ricas, contudo, foram obtidas no Relatório de Avalição do Processo Sancionatório da Anatel – Exercício 2020 do Projeto e-aud nº 817782 da Controladoria Geral da União. Página 9 de 33 (i) a concentração excessiva do das ações regulatórias na faceta fiscalizatória, o que, consequente, leva ao congestionamento e ao alto número de processos sancionadores a um nível não gerenciável, sem que isso signifique que eles refletem os problemas mais importantes da sociedade. Isso prejudica tanto a atividade do regulador quanto do regulado, bem como os consumidores, que muitas vezes ficam sem resposta efetiva pelas autoridades; (ii) a ausência do efeito didático que se esperava da aplicação de multas, tendo em vista o alto nível de judicialização das decisões dos regulados e, consequentemente, a baixa arrecadação e a longa duração do processo sancionador; (iii) a ausência de diretrizes para escalonamento e utilização de ferramentas alternativas baseadas em outras facetas do constrangimento regulatório (zelar, estimular, orientar, prevenir); (vi) relação de custo (administrativo e econômico) – benefício (conformidade) possivelmente desfavorável, considerando uma estratégia centrada apenas na fiscalização-sanção; e (v) difícil compreensão pela sociedade dos direitos e obrigações estipulados pela legislação e pela regulamentação setorial, tendo em vista a baixa efetividade sancionatória. Esses problemas, por sua vez, não são exclusivos do cenário nacional, e uma parte deles já havia sido mapeada por ocasião do estudo promovido pela OCDE: Os objetivos devem mirar para resolver as questões que foram identificadas em cada jurisdição como particularmente relevantes ou problemáticas. Essas provavelmente incluem número excessivo de fiscalizações ou instituições cobrindo as mesmas questões (ao menos para alguns tipos de negócios ou setores), requisitos e expectativas pouco claros, foco insuficiente de recursos no risco, e falta de proporcionalidade das sanções com o risco, falta de coordenação e compartilhamento de informações, fornecimento limitado (se é que há) de orientação para a conformidade, sistemas de avaliação que tratam esforço (fiscalizações) como resultados, entre os problemas mais comuns. Eles também incluem, em algumas áreas, o problema da sub fiscalização, devido à carência de recursos, resultando em brechas de constrangimento em algumas áreas críticas (que a realocação de recursos e consolidação poderiam ajudar a resolver) – ou fiscalizações podem acontecer, mas as ações de constrangimento serem insuficientes ou mal implementadas e resultar em baixa credibilidade. [Grifamos]6 Surgiu, assim, a necessidade de a ANPD se antecipar aos problemas listados acima por meio de um normativo que fosse além do mero estabelecimento de um processo administrativo sancionador. 6 OECD (2014), Regulatory Enforcement and Inspections, OECD Best Practice Principles for Regulatory Policy, OECD Publishing. Página 38. Disponível em: http://dx.doi.org/10.1787/9789264208117-en. Visitado em: 12 mai. 2021. Página 10 de 33 Quais os objetivos da ação? Por que a intervenção regulatória é necessária? Se por um lado objetiva-se evitar os problemas elencados acima, de outro lado aspira-se construir um modelo de atuação fiscalizatória que não só se previna contra esses problemas, como também: (i) induza o comportamento adequado conforme a LGPD, recompensando os regulados virtuosos, ou seja, aqueles que cumprem a regulação, oferecendo orientação e promovendo a conscientização, e crie espaços para construção de soluções negociais e atingimento da plena conformidade; (ii) veja o processo completo de constrangimento regulatório da ANPD, capaz de lidar com as mais diversas informações, sejam elas entregues pela sociedade ou captadas pela ANPD, que permita tanto uma atuação planejada quanto uma prontidão para responder tempestiva e proporcionalmente ao inesperado; (iii) dê à ANPD um espaço discricionário e amplamente transparente para o emprego ágil de meios e ferramentas, sempre vinculados ao escopo de sua atuação; (iv) amplie as ferramentas à disposição da ANPD, permitindo o exercício do constrangimento regulatório nas suas diversas facetas (zelar, implementar, orientar, estimular e fiscalizar), pelo emprego de medidas de monitoramento, de orientação, de prevenção e de repressão; e (v)seja capaz de fornecer segurança jurídica aos administrados, dando previsibilidade de sua atuação, amparada em um processo amplo de monitoramento. Sobre esse aspecto, cabe destacar o posicionamento da OCDE: A política de constrangimento regulatório e suas reformas devem ser baseadas em objetivos abrangentes claramente articulados assim como em objetivos específicos (i. e. melhorar eficiência, minimizar encargos, concentrar recursos e esforços onde eles podem render mais resultados, aprimorando transparência e responsividade). Os esforços da reforma devem ser regularmente avaliados e atualizados quando necessários.7 [Grifamos, tradução livre] Especificamente no que toca ao procedimento sancionatório em si, a partir das premissas expostas, a ANPD busca, por meio da edição da norma de fiscalização, estabelecer o procedimento a ser seguido pelos órgãos internos da Autoridade para o exercício de sua competência fiscalizatória 7 OECD. Regulatory Enforcement and Inspections, OECD Best Practice Principles for Regulatory Policy, OECD Publishing, 2014. Página 35. Disponível em: . Visitado em: 12 mai. 2021. Página 11 de 33 e para a aplicação das medidas de natureza sancionatórias previstas da LGPD. Além disso, busca-se uma norma que preserve a garantia dos regulados ao contraditório e à ampla defesa, assegurando também o respeito ao devido processo legal nos processos administrativos instaurados no âmbito da ANPD. Assim, a norma também tem por objetivo a delimitação clara, objetiva e transparente de todos os ritos e critérios a serem adotados pela ANPD para a abertura e instrução de procedimentos de fiscalização, bem como dos processos de natureza sancionatória instaurados. Sua edição, portanto, é essencial e indispensável para a garantia da efetividade da Lei, por meio do exercício das medidas e ações de fiscalização pela ANPD, assim como para a adoção das sanções administrativas previstas nos incisos do artigo 52 da LGPD, em consonância com os princípios e as garantias administrativas aplicáveis. Ao mesmo tempo, a regulação proposta garante a segurança jurídica necessária para a estabilização do setor regulado em relação às condutas e aos procedimentos a serem adotados pela ANPD, órgão legalmente incumbido da fiscalização acerca do cumprimento da LGPD, garantindo o acesso dos titulares de dados e dos agentes de tratamento ao processo administrativo, às etapas a serem seguidas em sua instrução e às ferramentas para contestarem, se assim desejarem, as decisões tomadas no exercício da competência fiscalizatória e sancionatória da Autoridade. Desta forma, a norma proporcionará a garantia de que as decisões de natureza fiscalizatória ou sancionatória adotadas pela ANPD serão isonômicas, transparentes, objetivas, consistentes e imparciais, sem influências indevidas ou conflitos de interesse, seguindo as mesmas etapas e ritos para todos os regulados. Além disso, a norma permitirá o planejamento fiscalizatório pela Autoridade, o que também promove segurança jurídica aos administrados. Quais são as opções regulatórias consideradas para o tema? Tal proposta, dada a sua complexidade, não pode somente se apoiar na construção de uma identidade institucional e cultura organizacional. Para que sejam perenes, esses valores devem ser institucionalizados, para que possam inspirar a própria evolução da identidade institucional e cultura da ANPD. Página 12 de 33 Para tanto, cumpre destacar o trecho doutrinário a seguir, em que se aborda a teoria processual administrativa que, grosso modo, explica que o desenho do processo em si é a garantia para o administrado: A teoria jurídico-processual da regulação ou teoria processual administrativa da regulação apoia-se no constructo jurídico do processo, como instituição de direito público, cujas características de finalidade objetiva e funcional, nulidade sequencial, publicidade e autonomia processual visam a garantir transparência, visibilidade, imparcialidade e espaço para discussão pública das propostas regulatórias via estruturação da tomada de decisão pública. (…) o enfoque jurídico parte do pressuposto de que tais fatores [individuais racionais que influenciam a tomada de decisão] e outros existem e devem ser controlados mediante um iter processual prescrito em normas de tomada de decisão pública orientadas por principiologia de direito público. Essa teoria serve para posicionar o enfoque jurídico sobre o fenômeno regulatório do ponto do vista da inafastabilidade do processo, enquanto forma regrada de manifestação da decisão pública, e convida o regulador a se debruçar sobre métodos regulatórios que partam dela e dos princípios jurídicos de direito público que orientam a estrutura administrativa autárquica especial das agências reguladoras ou órgãos de Estado, e dos princípios orientadores da conduta do servidor público e dos agentes públicos em geral. Em outras palavras, a teoria processual administrativa da regulação é uma teoria de conformação do ambiente de atuação estatal no setor regulado, dos limites dessa atuação e das garantias para tomada de decisão pública, inclusive quanto à transparência dos procedimentos. Ela não vai além disso, ou seja, essa teoria não opta por determinada forma de regulação apoiada ou não em incentivos intrínsecos ao setor regulado, que dependerá de outras teorias, mas delimita os trilhos jurídicos sobre os quais o resultado de uma opção de desenho regulatório pode trafegar.8 [Grifamos] A partir do exposto, é possível identificar a importância de uma construção equilibrada dos processos sobre os quais a ANPD pretende sustentar sua atividade regulatória para o desempenho de sua competência fiscalizatória, não só repressiva, que compreende a aplicação de sanções, como também preventiva, que pode envolver, mas não se limita, à realização de auditorias, e orientativa, para promoção do conhecimento dos administrados sobre proteção de dados pessoais. Tão importante quanto conhecer a explicação sobre a teoria processual administrativa da regulação é a conclusão que se segue. Nela se constata que o modelo em si não encerra uma escolha de mérito sobre o modelo de imposição da conformidade (constrangimento regulatório – enforcement), sendo possível tanto a opção por um modelo baseado no binômio vigiar e punir quanto por um modelo baseado em um polinômio como monitorar, avaliar, orientar, incentivar, prevenir e punir, entre outros. 8 ARANHA, Márcio Iório; LOPES, Othon de Azevedo. Estudo sobre Teorias Jurídicas da Regulação apoiada em incentivos. Centro de Políticas, Direito, Economia e Tecnologias das Comunicações. Brasília, 2019. p 8-9. Página 13 de 33 Assim, diante dessa natureza ‘neutra’ no que se refere ao modelo de constrangimento regulatório da teoria processual administrativa, a ANPD deve avaliar as teorias de regulação existentes e eleger aquela que melhor se identifica com seus objetivos e valores. Com esse propósito, convém citar trecho que trata das teorias da regulação responsiva e da escolha pública. A escolha pública é uma das teorias atualmente mais conhecidas sobre motivação da decisão política e burocrática e, portanto, essencial para quaisquer pesquisas que pretendam situar a teoria jurídica da regulação. Ela se insere no campo de estudos usualmente conhecido como a teoria econômica da tomada de decisões políticas, economia política moderna ou nova economia política. Ela se situa na interface entre economia e política, e busca compreender e predizer o comportamento dos mercados políticos, mediante o uso de técnicas econômicas analíticas, em especial, do postulado da escolha racional, (…). Enquanto método de pesquisa, a escolha pública segue a tradição da economia neoclássica ao ter por ponto de partida o individualismo metodológico e pressupor, como sua hipótese comportamental fundante, a de que os indivíduos seriam regidos por interesses pessoais de modo racional, procurando maximizar utilidades. (…) Vários são os pressupostos da teoria da regulação responsiva. O pressuposto central encontra-se no fato de que seria no espaço de interação e influência recíproca entre regulação estatal e privada onde estariam as melhores oportunidades de construção de alternativas de desenho regulatório à então discussão polarizada entre regular e desregular. A ideia de que a regulação seria indesejada é rejeitada pela teoria da regulação responsiva. Punição e persuasão são dependentes entre si e reforçam os efeitos de sua contraparte. Persuadir, para a teoria da regulação responsiva, significa negociar, abrindo-se mão da aplicação intransigente de punições para valorizar o comportamento cooperativo do regulado e, em última análise, ampliar os efeitos da regulação. A boa regulação é aquela que sabe impor sanções, quando necessárias – não simplesmente possíveis (…) RELAÇÃO ENTRE A TEORIA DA REGULAÇÃO RESPONSIVA E A ESCOLHA PÚBLICA Sob o ponto de vista prescritivo, um aspecto de distinção central entre as vertentes da teoria da escolha pública e, por exemplo, a vertente responsiva da teoria jurídica da regulação se encontra no fato de que autores da teoria da escolha pública, que são teóricos da escolha racional individual, propõem desenhos regulatórios que tentem evitar a abertura de espaços ao regulado virtuoso. Uma teoria de regulação responsiva, por outro lado, propõe o inverso: que o desenho regulatório seja concebido para fazer o maior uso possível do comportamento virtuoso. A grande diferença entre uma teoria da escolha pública e uma teoria da regulação responsiva está no aspecto prescritivo do quanto recomendam que o desenho regulatório dependa do comportamento virtuoso: o mínimo possível para a teoria da escolha pública e o máximo possível para a teoria da regulação responsiva. A diferença de fundo entre a teoria da regulação responsiva e a teoria da escolha pública aplicada à regulação está no fato de que as recomendações de ambas as teorias divergem pela opção da escolha pública em “economizar na virtude” e da regulação responsiva em “economizar na motivação” pelo recurso à grande arma benigna. Para a regulação responsiva, entretanto, o espaço reservado ao regulado virtuoso não significa que haja espaço para o regulador inocente: essa teoria não depende Página 14 de 33 de atores virtuosos, mas de um desenho institucional em que ser virtuoso é incentivado e nutrido e o Estado se abstém de minar o comportamento virtuoso ao pressupô-lo desviante, inútil ou marginal.9 Avaliado o cenário normativo estabelecido pela LGPD, observa-se que poderiam ser adotados caminhos alternativos na edição do normativo de fiscalização e sanção. Um caminho consiste em adotar o paradigma clássico de comando e controle (escolha pública, como destacado acima), modelo que extrai sua legitimidade do processo (teoria processual administrativa da regulação) por meio do qual ocorre o exercício do poder de polícia administrativo, com fundamento na supremacia do interesse público e na imperatividade dos atos administrativos. Por meio deste modelo, a atividade de fiscalização e sanção a ser adotada pela ANPD se basearia no estabelecimento prévio de condutas tidas como violadoras dos direitos dos titulares de dados e das normas e princípios da LGPD, direcionando-se a atuação da Autoridade à verificação de conformidade dos regulados quanto às obrigações negativas estabelecidas na norma. Com isso, surgiria o poder-dever da ANPD de, ao identificar infrações administrativas, instaurar processo administrativo e aplicar a sanção, nos termos e condições estabelecidos na Lei e na regulamentação sobre o tema. Sintetizando esta lógica, observada a infração, caracterizada pelo descumprimento voluntário pelo regulado de uma norma administrativa10, surge ao poder público, no caso à ANPD, o dever de aplicar a sanção administrativa, o que deve ser feito nos termos das normas existentes. Nesse passo, credita-se à aplicação da sanção o efeito pedagógico, de modo que, uma vez aplicada pela ANPD, ela garantiria a conformidade dos regulados com a legislação aplicável, tendo o condão de corrigir situações irregulares identificadas, bem como educaria os entes regulados por meio da exposição das consequências decorrentes da adoção de condutas infrativas. Esta alternativa, portanto, partiria da indicação unilateral e rígida das condutas infrativas e sua consequência é baseada em imposições e proibições a serem previamente estabelecidas pela ANPD, o que centralizaria a responsabilidade pela conformidade com a Lei quase que exclusivamente com a Autoridade. 9 ARANHA, Márcio Iório; LOPES, Othon de Azevedo. Estudo sobre Teorias Jurídicas da Regulação apoiada em incentivos. Centro de Políticas, Direito, Economia e Tecnologias das Comunicações. Brasília, 2019. 10 DE MELLO, Celso Antônio Bandeira. Curso de Direito Administrativo. 29. ed. re ed. São Paulo: Malheiros. Página 15 de 33 Por outro lado, há modelo mais moderno, baseado no cumprimento das disposições legais e regulatórias sem a exigência do uso de um sistema puramente punitivo. Trata-se do modelo baseado na teoria da regulação responsiva. Por meio desta alternativa, espera-se, em síntese, que a ANPD seja capaz de induzir e direcionar os regulados a se adequarem à legislação, independentemente da aplicação de sanções, mediante o estabelecimento de estímulos normativos de caráter não somente sancionatórios, o que implicaria uma cadeia maior de conformidade, representando as medidas punitivas medida de último grau. O trecho a seguir explica no que consiste essa alternativa e o seu surgimento: “Regulação Responsiva” é uma abordagem que for formalizada em 1992 por I. Ayres e J. Braithwaite (mas que se fundamenta em consideráveis pesquisas e experimentos prévios) e sugere que a estratégia de reforço mais efetiva será aquela que não trata todos os regulados de maneira uniforme, ou todas as infrações similares exatamente do mesmo jeito. Ao invés, a diferenciação deveria se basear no comportamento geral do regulado (geralmente conforme, ou pronto a ficar conforme – ou o contrário, não cooperativo), no padrão de infrações (raras ou reiteradas) etc. Segundo essa abordagem, não só o fiscal deveria agir com as empresas que visita dessa maneira, mas agências reguladoras deveriam anunciar publicamente essa abordagem, porque saber isso vai trazer um incentivo adicional para as empresas serem os mais conformes possível, já que isso também significará que os fiscais serão mais tolerantes se algum problema ou erro acontecer (cf. I. Ayres and J. Braithwaite, Responsive Regulation: Transcending the Deregulation Debate, Oxford University Press, Oxford, 1992).11 [Tradução livre] Essa alternativa pressupõe um escalonamento no âmbito das ações fiscalizatórias da ANPD, dando preferência a que primeiro sejam adotadas ações orientativas, preventivas e, quando essas etapas não forem suficientes para modificar o comportamento do administrado, passe-se para etapa repressiva, com a instauração de processo administrativo para aplicação de sanção. Importa destacar que o escalonamento é uma preferência, porque é importante que a ANPD não seja obrigada a passar por todas as etapas para conseguir adotar medidas repressivas quando a urgência e gravidade da situação recomendarem uma ação mais enérgica desde o início. São estas, portanto, as alternativas regulatórias a serem avaliadas. Da Competência Fiscalizatória da ANPD A LGPD inaugurou no sistema normativo brasileiro o microssistema de proteção aos dados pessoais dos titulares de dados. A lei é aplicável a todas as operações de tratamento de dados 11 OECD. Regulatory Enforcement and Inspections, OECD Best Practice Principles for Regulatory Policy, OECD Publishing, 2014. Página 35. Disponível em: . Visitado em: 12 mai. 2021. Página 16 de 33 pessoais realizadas com finalidade econômica, por pessoa natural ou jurídica, de direito público ou privado, tendo por horizonte a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. A responsabilidade pela fiscalização e aplicação de sanções nas hipóteses de tratamento de dados realizado em desconformidade em relação às regras e princípios estabelecidos na legislação de regência foi atribuída à ANPD, exigindo-se a abertura de processo administrativo que assegure o contraditório e a ampla defesa, bem como o direito de apresentação de recurso. É o que expõe o artigo 55-J, IV da LGPD: Art. 55-J. Compete à ANPD: I – zelar pela proteção dos dados pessoais, nos termos da legislação; […] IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; Da mesma forma, a parte final do Art. 52 da LGPD é expresso ao indicar a competência da ANPD para a aplicação das sanções administrativas estabelecidas em seus incisos. Segue o dispositivo com destaque em sua parte final: Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: […] [Grifamos] Apesar da competência fiscalizatória e sancionatória da ANPD acima destacada, a Lei é clara em diversos dispositivos ao estabelecer um sistema de corresponsabilidade pela constituição de um ambiente de proteção de dados pessoais, estabelecendo a Autoridade como órgão central na normatização e no estímulo da criação e manutenção desse sistema de proteção aos dados pessoais. O artigo 50 da LGPD, por exemplo, elenca medidas de governança e boas práticas, fomentando aos próprios agentes de tratamento em operações de tratamento de dados pessoais a responsabilidade pela adoção de medidas que garantam e evidenciem o respeito aos dados pessoais dos titulares nas operações realizadas. Portanto, embora as ações de fiscalização sejam medidas relevantes para a garantia do respeito à Lei nas operações de dados realizadas pelos agentes de tratamento, não representam as únicas ferramentas disponíveis para a garantia do respeito à legislação. Nesse sentido, na esteira das disposições da LGPD, a ANPD possui competência para normatizar e fiscalizar o cumprimento da Lei, o que não significa, no entanto, a exigência da adoção de uma estrutura verticalizada de comando e controle, mesmo nas ações de fiscalização. Pelo Página 17 de 33 contrário, há campo para o estímulo de ações pelos próprios regulados, bem como para a adoção de medidas educativas pela ANPD, com o objetivo de promover o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais. Observa-se, desta forma, que mesmo em relação às ações de fiscalização a serem realizadas pela ANPD, o norte indicado pela LGPD aponta para a adoção de medidas técnicas de fiscalização, podendo-se dizer que ela segue também a lógica da regulação responsiva. Tal medida permite a ampla participação dos setores regulados em todo o processo regulatório, como garantia do alcance do interesse público de forma transparente, considerando-se, ainda, as necessidades legítimas dos setores afetados na elaboração das normas e regulamentos. Exatamente nesse contexto, situa-se a presente avaliação de impacto regulatório, tendo por meta a identificação e delimitação dos objetivos da norma de fiscalização ora avaliada; a exposição da necessidade de sua edição mediante a apresentação de problemas a serem resolvidos pela norma a ser criada; e avaliação das melhores alternativas para a garantia de sua efetividade no alcance de um ambiente de respeito à privacidade e à proteção dos dados pessoais. Portanto, a delimitação de todo o processo de fiscalização a ser adotado pela ANPD, contendo a exposição detalhada das etapas a serem percorridas pela Autoridade, que vão desde a tomada de conhecimento de uma suposta violação à legislação até o momento da efetiva aplicação da alternativa sancionatória cabível, representa medida de transparência e garantia dos princípios legais e constitucionais aplicáveis. Quais os grupos afetados? Como mencionado, as normas de fiscalização têm por escopo estabelecer, com transparência e de forma prévia, todas as etapas a serem percorridas pela ANPD no exercício de suas atribuições fiscalizatórias e sancionatórias. Desta forma, e tendo em vista a transversalidade inerente à LGPD, que alcança a todas as operações de tratamento de dados, independentemente do meio adotado, do país sede do agente de tratamento, ou do país em que estejam localizados os dados, nos termos do artigo 3º da Lei, a norma de fiscalização ora avaliada poderá afetar toda e qualquer empresa que realize operações de tratamento envolvendo dados pessoais bem como os titulares desses dados, desde que: Art. 3º (…) Página 18 de 33 I – a operação de tratamento seja realizada no território nacional; II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional. Assim, os grupos a seguir foram identificados como mais impactados: i) agentes de tratamento de dados (como, por exemplo, bancos, hospitais, escolas, farmácias, comércio, e-comércio, supermercados, mercados virtuais12, redes sociais, consultórios, escritórios, aplicativos de mobilidade, operadores etc.); ii) os titulares de dados pessoais (adultos, crianças, idosos, pacientes, relativamente incapazes, consumidores, clientes); iii) fabricantes de softwares de gestão e governança de dados; iv) prestadores de serviço de consultoria; e v) encarregados. Portanto, a norma ora avaliada tem alcance, inclusive, extraterritorial, alcançando todas as operações de tratamento de dados pessoais, realizadas por pessoas naturais ou jurídicas, desde que com finalidade econômica, nos termos constantes no dispositivo acima exposto. SEÇÃO 2 – ANÁLISE DAS ALTERNATIVAS Alternativa A – Adoção do modelo comando e controle pela ANPD O modelo de comando e controle, que já foi adotado por muitas agências, consistiria no uso imperativo do poder de polícia pela ANPD. Com isso, cada atividade de fiscalização pela Autoridade que constatasse uma suposta conduta violadora dos direitos dos titulares implicaria na instauração de um processo administrativo. Surgiria, então, o poder-dever da ANPD de aplicar a sanção àquela conduta, nos termos estabelecidos pela LGPD e na regulamentação sobre o tema. Nesse modelo, a ação pedagógica no âmbito da fiscalização seria a aplicação da sanção. A ideia é que com um constrangimento efetivo e vendo que de fato existe o risco de instauração de processo e aplicação de sanção, os agentes de tratamento deixariam de praticar condutas que, no 12 Assim entendidos sítios eletrônicos, normalmente geridos e mediados por uma empresa, em que várias lojas e pessoas se inscrevem e vendem seus produtos. Como se fosse um shopping virtual. SÍTIO de comércio. In: Wikipédia: a enciclopédia livre. Disponível em: https://pt.wikipedia.org/wiki/S%C3%ADtio_de_com%C3%A9rcio. Acesso em: 17 mai. 2021. Página 19 de 33 presente caso, violariam os direitos dos titulares de dados, sob pena de sofrerem as mesmas consequências. Além disso, o modelo presume que, após a sanção, o agente de tratamento corrigiria a situação irregular a fim de evitar nova punição. No entanto, cabe destacar que, ao longo das reuniões realizadas com a Anatel, a Aneel e a Antaq, foram levantados pontos negativos quanto à adoção e desempenho desse modelo, podendose destacar os seguintes: (i) concentração excessiva nas atividades fiscalizatórias e na instauração de processos administrativos, o que, aliado a um número limitado de servidores por agência, leva ao congestionamento processual, sem que isso signifique uma atenção maior aos casos mais relevantes; (ii) ausência de efeito didático, tendo em vista o alto número de judicialização das decisões administrativas. Nesse sentido, cabe destacar os dados públicos da Anatel, que, segundo o sítio eletrônico da própria agência, demonstra o alto volume de questionamento de suas decisões no Poder Judiciário, tendo em vista a grande diferença entre as multas constituídas e as multas integralmente quitadas: Processos com multa aplicada Processos integralmente quitados Multa constituída Multa integralmente quitada 57.582 38.178 R$ 8.280.231.411,67 R$ 949.609.353,48 Fonte: ANATEL. Painel de dados da Anatel. Disponível em: . Acesso em: 18 mai. 2021 (iii) ausência de efeito didático com a aplicação das multas, tendo em vista a longa duração dos processos e o nível de questionamento dos casos no Poder Judiciário; (iv) ausência de escalonamento de medidas a serem tomadas a depender da gravidade da conduta supostamente praticada; e (v) ausência da percepção, pela sociedade, da efetividade das ações de fiscalização e sancionamento. Muito embora seja possível a adoção do tradicional modelo de comando-controle, entendese que essa dinâmica traria para ANPD as mesmas consequências indesejadas que trouxe a outras agências reguladoras e aos seus regulados, e que, invariavelmente, a Autoridade terminaria tendo que rever o seu modelo fiscalizatório com certa brevidade. Página 20 de 33 Resumo da análise de custo-benefício Grupos afetados Custos Benefícios ANPD Acúmulo de processos sancionatórios e, consequentemente, longa duração desses processos. Alto custo administrativo. Ausência do efeito didático da aplicação de sanções. Tendência de judicialização dos processos administrativos. Percepção social de pouca efetividade das ações da ANPD. Diminuição das atividades a serem realizadas no âmbito da fiscalização. Menor dependência de informações externas para planejamento da atividade fiscalizatória. Agentes de tratamento de dados Inexistência de gradação da resposta pela ANPD em relação à gravidade da conduta supostamente praticada. Elevado número de processos instaurados. Processos com longa duração. Não há estímulo para cooperação dos agentes de tratamento com a ANPD, tendo em vista que não há diferenciação na abordagem da ANPD em função de seu comportamento ou histórico. Menor preocupação com o número de etapas fiscalizatórias da ANPD. O custo de litigar pode ser menor que o custo de conformidade. Titulares de dados pessoais Ausência de resposta hábil em razão da duração dos processos, tendo em vista a tendência ao acúmulo de casos. A atuação exclusiva da ANPD com base em sanções e menor foco na atividade orientadora gera incertezas quanto ao exercício de direitos pelo cidadão. Percepção de pouca efetividade das ações da ANPD para solucionar as reclamações e denúncias. Não foram identificados benefícios relevantes. Decisões em casos concretos costumam impactar na esfera de direitos dos titulares. Fabricantes de softwares de gestão e governança de dados A atuação exclusiva da ANPD com base em sanções gera incertezas quanto à adequação dos produtos e softwares à LGPD. Os clientes ficam menos propensos a fazer grandes investimentos, já que existe o risco de que não se atinja a conformidade. Não foram identificados benefícios relevantes. Prestadores de serviço de consultoria A atuação exclusiva da ANPD com base em sanções gera incertezas quanto à adequação dos seus serviços à LGPD. Os clientes ficam menos propensos a fazer grandes investimentos, já que existe o risco de que não se atinja a conformidade. Não foram identificados benefícios relevantes. Encarregados A atuação exclusiva da ANPD com base em sanções e menor foco na atividade orientadora gera incertezas quanto à adoção de condutas adequadas à LGPD. Não foram identificados benefícios relevantes. Alternativa B – Fiscalização responsiva O modelo de fiscalização ou regulação responsiva parte do pressuposto que é possível induzir comportamentos sem necessariamente se fazer uso de punições, a partir de estímulos não sancionatórios. Não há um modelo específico a ser adotado que traduziria o modelo responsivo, mas é possível destacar alguns pontos sugeridos por esse modelo, sendo eles a adoção de incentivos positivos e negativos e a gradação entre transgressões à legislação e seu tratamento de acordo com a sua gravidade. Página 21 de 33 Especificamente no caso da ANPD, a atividade fiscalizatória teria início com a atividade de monitoramento e com a classificação dos agentes de tratamento em quatro faixas distintas, sendo que apenas aqueles classificados na quarta faixa, ou seja, que tiveram condutas mais graves, teriam processo administrativo sancionador instaurado contra si. Além da instauração de processo, estariam previstas atividades preventivas e orientativas. Nesse sentido, acerca do modelo de imposição da conformidade a ser escolhido pela ANPD e que traçará as linhas guias neste Relatório de AIR, convém citar alguns trechos da LGPD que serviram de contorno para sua proposição: Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. § 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular. § 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá: (…) Art. 51. A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais. Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (…) § 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: (…) II – a boa-fé do infrator; (…) VII – a cooperação do infrator; VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei; IX – a adoção de política de boas práticas e governança; X – a pronta adoção de medidas corretivas; e (…) Art. 55-J. Compete à ANPD: (…) Página 22 de 33 VIII – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis; (…) XIV – ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento; (…) XVIII – editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei; [Grifamos] Conforme visto acima, a LGPD estabelece mecanismos que direcionam ao entendimento pela adoção da teoria da regulação responsiva para o normativo ora avaliado. É possível mencionar, por exemplo, o que dispõe o artigo 50, acima mencionado no que diz respeito ao estabelecimento de responsabilidades concorrentes à Autoridade e aos regulados na criação de um sistema normativo de conformidade em relação à proteção de dados pessoais, baseado numa abordagem menos intervencionista por parte da ANPD. A adoção do modelo baseado na teoria da regulação responsiva, adicionalmente, no intuito de conferir maior capacidade para a ANPD graduar sua atuação e agir de modo proporcional ao comportamento do regulado e aos riscos envolvidos, aumenta a discricionariedade à disposição do órgão regulador. Esse aumento da discricionariedade, todavia, pressupõe a definição de parâmetros objetivos e transparentes de decisão, bem como a correlata ampliação do dever de motivar seus atos. Igualmente relevante é a participação de um terceiro interessado na relação reguladorregulado, que servirá de fiel da balança ao exercer o controle social sobre os atos do órgão regulador: TEORIA RESPONSIVA E TEORIA PROCESSUAL Há sinergia entre a regulação responsiva e a teoria processual administrativa da regulação, que não conversa, senão tangencialmente, com a escolha pública. Ela se encontra no fato de que um dos aspectos centrais da teoria da regulação responsiva – a transparência e democratização da tomada de decisão regulatória para compensar a aproximação entre regulador e regulado, mediante o ingresso de grupos de interesse público no jogo regulatório, no chamado tripartismo regulatório – somente faz-se presente e pode efetivamente ingressar no ambiente institucional público mediante aplicação da teoria processual.13 Esse terceiro tem a missão de velar pelos interesses dos titulares/consumidores e agentes de tratamento. Sua inserção no cotidiano da regulação pode ocorrer de diversas maneiras (tomadas 13 ARANHA, Márcio Iório; LOPES, Othon de Azevedo. Estudo sobre Teorias Jurídicas da Regulação apoiada em incentivos. Centro de Políticas, Direito, Economia e Tecnologias das Comunicações. Brasília, 2019. p 10. Página 23 de 33 de subsídios, consultas públicas, reuniões com órgãos de defesa do consumidor públicos ou privados, entidades representativas setoriais). Importa, sobretudo no que se refere ao processo de monitoramento, que a participação desse terceiro ocorra durante o processo decisório, de modo que a ANPD possa captar suas preocupações, conhecer suas propostas e aproveitar suas expertises para confeccionar a estratégia regulatória de atuação proativa de fiscalização. Por meio desse arranjo institucional, a ANPD se vale de salvaguardas procedimentais que (i) ampliam sua visão do setor, enriquecida tanto pela visão dos regulados quanto pela visão dos titulares de dados, (ii) refinam sua percepção de prioridade e relevância para aproximá-la dos anseios da sociedade e, consequentemente, (iii) aumentam a legitimidade do processo decisório e (iv) asseguram a sociedade do uso motivado e transparente do poder discricionário confiado ao regulador. Em tempo, dada sua atual estrutura, a ANPD também conta com a participação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD) que, em função de sua composição pelos mais diversos setores da sociedade e governo, constitui outro espaço de transparência, diálogo e prestação de contas. Em comparação com a alternativa A, cabe apresentar a representação gráfica a seguir, comparando as medidas que serão necessárias pela ANPD nos dois modelos14: Fonte: Elaboração própria. 14 A representação gráfica do modelo de regulação responsiva por meio de uma pirâmide regulatória é utilizada por Ayres e Braithwaite. AYRES, I.; BRAITHWAITE, J. Responsive Regulation: Transcending the Deregulation Debate. New York: Oxford University Press, Inc., 1993. v. 22 Página 24 de 33 Diante do exposto, o modelo baseado na teoria da regulação responsiva15, além de ser compatível e estar em sintonia com a LGPD, é o que melhor atende aos valores identificados anteriormente para a confecção da estratégia de atuação fiscalizatória da ANPD: regulação baseada em evidência, proporcionalidade entre riscos e recursos alocados, transparência e permeabilidade, processos transparentes e justos e adoção de diversos instrumentos e abordagens não necessariamente sancionatórios para conformidade. Resumo da análise de custo-benefício Grupos afetados Custos Benefícios ANPD Custo administrativo de elaboração de normativos adicionais para tratar dos ciclos de monitoramento. Necessidade de destacar equipes para atividades extras de monitoramento, prevenção e orientação. Uso intensivo de dados e sistemas de informações. Custo de gestão das informações trazidas pela sociedade ao longo do procedimento de monitoramento. Aumenta a legitimidade e a eficácia do processo decisório. Gradação das ações de fiscalização, diminuindo o número de processos instaurados. Possibilidade de atuação preventiva. Tendência de diminuição de reclamações de descumprimento da LGPD. Agentes de tratamento de dados Custos de planejamento em razão dos ciclos de monitoramento da ANPD. Necessidade de adaptação ao novo modelo. No curto prazo, a conformidade pode vir a ser mais onerosa do que a correção de falhas, levando à estratégias de litígio administrativo e judicial. Maior estímulo para cooperação dos agentes de tratamento com a ANPD, tendo em vista que há diferenciação na abordagem da ANPD em função de seu comportamento. Tendência de menor número de processos administrativos instaurados. Maior transparência quanto às ações fiscalizatórias. Menor custo regulatório. Possibilidade de atuação preventiva da ANPD. Maior previsibilidade das ações da ANPD. 15 A arquitetura regulatória da teoria da regulação responsiva se expressa na figura da pirâmide regulatória regida por certas orientações: a) que persistam punições ameaçadoras no topo da pirâmide, pois a sua força é tanto maior quanto maior for a distância entre a base da pirâmide e as medidas intrusivas do seu ápice; b) que contemple uma hierarquia de sanções e de estratégias regulatórias de graus variados de intervencionismo; c) que funcione com controle cidadão apoiado no conceito de tripartismo republicano regulatório, o que gera maior aderência aos objetivos regulatórios, previne a corrupção, impede a captura danosa, encoraja certas formas de captura benéfica e nutre a democracia; d) que inspire confiança na atitude esperada do regulador em escalar e desescalar o constrangimento normativo, ou seja, que transmita credibilidade quanto ao escalonamento ser real e efetivo, pois somente assim o regulador poderá, confiante no temor do regulado em sofrer a escalada de punições, concentrar-se em formas menos intrusivas e menos estadocêntricas de intervenção, beneficiando-se de uma governança laissez-faire sem abdicar da responsabilidade pública pela correção de comportamentos desviantes, ou seja, a regulação responsiva prefere tentativas fracassadas de punição à ausência de movimentação por parte do regulador nesse sentido, quando a cooperação falhar; e) que contemple a escalada não somente de punições formais, mas também de constrangimentos em geral, como frequência de atos de fiscalização, monitoramento tripartite, ou seja, quaisquer ações que gerem desconforto ao regulado e percepção de que terá migrado de uma posição de maior liberdade e segurança para outra de maior controle e ameaça. ARANHA, Márcio Iório; LOPES, Othon de Azevedo. Estudo sobre Teorias Jurídicas da Regulação apoiada em incentivos. Centro de Políticas, Direito, Economia e Tecnologias das Comunicações. Brasília, 2019. p 20. Página 25 de 33 Titulares de dados pessoais O titular de dados será estimulado a assumir um papel mais ativo na definição das estratégias da ANPD e na defesa de seus direitos, a partir da contribuição com informações ao longo da atividade de monitoramento. Não foram identificados outros custos relevantes. A atuação orientadora da ANPD contribui para a promoção da cultura de proteção de dados e facilita o exercício de direitos pelo cidadão. A atuação da ANPD junto aos agentes de tratamento voltada a resultados tende a antecipar os possíveis ganhos para o cidadão. Maior previsibilidade das ações da ANPD. Fabricantes de softwares de gestão e governança de dados Necessidade de adaptação ao novo modelo e conhecimento maior da regulamentação e demais manifestações da ANPD. Maior previsibilidade das ações da ANPD. A atuação orientadora da ANPD contribui para a promoção da cultura de proteção de dados e pode auxiliar na geração de segurança quanto à adequação dos produtos e softwares à LGPD. Os clientes podem ficar mais propensos a fazer grandes investimentos diante de uma probabilidade maior de garantir a conformidade. Prestadores de serviço de consultoria Necessidade de adaptação ao novo modelo e conhecimento maior da regulamentação e demais manifestações da ANPD. Maior previsibilidade das ações da ANPD. A atuação orientadora da ANPD contribui para a promoção da cultura de proteção de dados e pode auxiliar na geração de segurança quanto à adequação dos serviços prestados à LGPD. Os clientes podem ficar mais propensos a fazer grandes investimentos diante de uma probabilidade maior de garantir a conformidade. Encarregados Necessidade de adaptação ao novo modelo. Maior previsibilidade das ações da ANPD. SEÇÃO 3 – CONCLUSÃO E ALTERNATIVA SUGERIDA Qual a conclusão da análise realizada? Considerando as alternativas apresentadas como solução para os problemas relacionados à efetividade das atividades de fiscalização da ANPD, identificou-se, por meio das análises de custos e benefícios para cada um dos envolvidos, que a Alternativa B é a mais adequada para endereçar o tema. Tal conclusão decorre do fato de que a adoção dessa alternativa, que trata da fiscalização responsiva, possibilita uma atuação da ANPD em vários formatos para endereçar eventuais descumprimentos da LGPD, sendo que essa atuação será condizente com a gravidade da conduta e com a ordem de grandeza das medidas que são cabíveis no âmbito da fiscalização. Como será operacionalizada a alternativa sugerida? Das Disposições Gerais da Atividade de Fiscalização Neste capítulo, a norma torna claros os quatro procedimentos que a ANPD adotará na sua atuação fiscalizatória. São descritas as atividades de cada um desses quatro procedimentos em Página 26 de 33 função da finalidade a que se vinculam. Essa vinculação à finalidade existe como salvaguarda à maior discricionariedade do regulador, intrínseca ao modelo baseado na teoria da regulação responsiva. A ANPD adotará as seguintes atividades no âmbito de sua atuação fiscalizatória: Fonte: Elaboração própria. Esses quatro procedimentos, mais adiante, a partir da leitura conjunta com a Seção III – Do Encerramento do Ciclo de Monitoramento, constituem a gradação de atuação da ANPD, baseada em risco, em que os regulados são classificados em quatro faixas que indicam que tipos de medidas podem ser adotadas pela ANPD. Em seguida, são expostas as hipóteses em que a ANPD poderá atuar, tanto em relação aos estímulos que serão considerados legítimos (artigo 15, incisos I e II), quanto em relação à possibilidade de atuação conjunta (incisos III e IV). É importante observar que estão previstas tanto a possibilidade de atuação de ofício, diante de representações ou denúncias, quanto em decorrência de programas periódicos de fiscalização da ANPD. Ou seja, a ANPD tanto poderá reagir a demandas que lhe forem apresentadas quanto poderá agir proativamente de acordo com seu planejamento de atuação fiscalizatória. Por fim, são listadas as premissas de atuação fiscalizatória da ANPD. Sua inserção na norma serve a mais de um propósito. Há o propósito de integração da norma, na qual as premissas constituem um conjunto de significados que delimitam as possíveis leituras e interpretações dos dispositivos desta e de outras normas da ANPD que tratarem de sua atuação fiscalizatória. Desse mesmo propósito, deriva a capacidade desta norma estender seus efeitos para acompanhar a evolução dos setores monitorados. Atuação Fiscalizatória da ANPD Atividade (Processo) de Monitoramento Atividade (Processo) de Orientação Atividade (Processo) Preventiva Atividade (Processo) Administrativa Sancionadora Página 27 de 33 Há, ainda, o propósito de evidenciar os valores que orientam a criação e a formação da cultura organizacional da ANPD, tornando igualmente claro para regulador e regulados. Nesse sentido, sem prejuízo dos demais valores, convém destacar a priorização da atuação baseada em evidências, gestão de riscos e a atuação de forma responsiva, com adoção de medidas proporcionais ao risco e à postura dos administrados. Do Processo de Monitoramento A atividade de monitoramento será realizada com o intuito de acompanhar os setores e obter informações relevantes para subsidiar tanto o planejamento quanto a atuação fiscalizatória da ANPD. É por meio do monitoramento que a ANPD realiza a escuta setorial. Parte-se do princípio de que a atividade de monitoramento, notadamente a menos custosa para o regulador e para o regulado em comparação às atividades de fiscalização de aplicação de sanção, deve ser ampla e aberta a todas as possíveis fontes de informações e sensível o suficiente para captar até mesmo problemas que ainda que possam ser pequenos individualmente, podem vir a atingir uma porção relevante dos titulares de dados ou agentes de tratamento. Nesse sentido, ao invés de aumentar a fiscalização16 (no estrito intuito de procurar falhas), acredita-se que o mais importante é aumentar a capacidade de escuta, percepção e monitoramento do setor (aqui incluídos os titulares de dados), trazendo mais dados e evidências para o conhecimento da ANPD, a fim de que ela possa detectar quais aspectos das relações entre agentes de tratamento e titulares de dados estão apresentando problemas que precisem da sua atuação. Nesse sentido, a minuta prevê que a ANPD deve considerar o relatório de análise de ciclo de monitoramento e do mapa de temas prioritários, instrumentos formais previstos na minuta, como também quaisquer outros dados por ela obtidos. Com base nesse conjunto de informações, a ANPD definirá as ações de fiscalização, classificando os agentes de tratamento em distintas faixas, que indicam que tipos de medidas podem vir a serem adotadas. 16 Fiscalizações, por si só, não garantem a conformidade. Uma pesquisa comparativa mostrou que um alto número de fiscalizações não garante maiores níveis de conformidade e muitas sanções não necessariamente garantem proteção ao público. OECD. Regulatory Enforcement and Inspections, OECD Best Practice Principles for Regulatory Policy, OECD Publishing, 2014. Página 14. Disponível em: . Visitado em: 12 mai. 2021. Página 28 de 33 O processo de monitoramento constitui uma atividade rotineira e permanente da ANPD. No intuito de facilitar sua execução e organizar sua conexão com os demais processos de fiscalização, a minuta prevê que a ANPD publicará uma agenda definindo os ciclos que a compõem e a duração desses ciclos. A título de exemplo, se os ciclos fossem semestrais, uma agenda para o biênio 2022/2023 teria quatro ciclos. Ao fim de cada ciclo, elabora-se o relatório de análise do ciclo de monitoramento que consolidará as informações obtidas a partir das reclamações, denúncias, representações e notificações de incidentes, bem como a partir de outras fontes de insumos recebidos pela ANPD. A imagem a seguir sintetiza a atividade de monitoramento: Fonte: Elaboração própria. Este relatório e o mapa de temas prioritários são os instrumentos que contribuem para a compreensão da ANPD dos problemas e oportunidades e, por conseguinte, instruem a elaboração de sua estratégia de atuação, que definem as medidas que serão adotadas com os agentes de tratamento responsáveis ao longo do ciclo seguinte, conforme explica o organograma abaixo. Fonte: Elaboração própria. Atividade (Processo) de Monitoramento Reativo Requerimentos Imprensa Interação com Órgãos de Controle Notificações de Incidente Proativo Mapa de temas prioritários Relatório de Análise de Ciclo Faixa I Sem adoção de medidas, de imediato Faixa II Envio de relatório de reclamações p/ adoção de ações corretivas Faixa III adoção de medidas orientadoras ou preventivas Faixa IV adoção de medidas preventivas ou repressivas Relatório de Análise de Ciclo estratégia de atuação da ANPD Mapa de temas prioritários Página 29 de 33 O mapa de temas prioritários, a seu turno, é o instrumento pelo qual a ANPD faz uma reflexão para além dos problemas cotidianos que orientam sua atuação reativa. Nele, o modelo de monitoramento cria um espaço para que a Autoridade considere temasfuturos ou contemporâneos que, em função de sua relevância, mereçam sua atenção, ainda que não sejam objeto da preocupação imediata da sociedade. Por meio dele, por exemplo, a ANPD coloca seu planejamento estratégico em um formato operacional. Adicionalmente, o monitoramento também prevê como as reclamações, denúncias e representações recebidas pela ANPD devem ser consideradas para fins de planejamento de sua atuação.17 Em suma, são os resultados do monitoramento, por meio do relatório de análise de ciclo e do mapa de temas prioritários, que informarão à ANPD se um determinado problema e os agentes de tratamento responsáveis devem ser tratados por uma abordagem mais orientativa ou preventiva, ou, ainda, se as medidas repressivas são mais apropriadas. É nesse sentido que orienta o guia da OCDE quando explica que uma atuação estratégica deve considerar os riscos envolvidos, seja para identificar as ferramentas mais adequadas para cada demanda, seja para priorizar a alocação de seus recursos: Todas as atividades de constrangimento [regulatório] devem considerar uma análise de riscos. Cada atividade e negócio devem ter seu nível de risco avaliado. Recursos de constrangimento [regulatório] devem ser alocados com base nessa análise. A cada conjunto de regulação, do mesmo modo, deve ser dado um nível de prioridade proporcional aos riscos que tentam endereçar. Risco aqui deveria ser entendido como uma combinação da probabilidade de um evento adverso (perigo, dano) acontecer com a potencial magnitude do dano causado (combinando número de pessoas afetadas e gravidade do dano). (…) É importante que o risco seja considerado em todos os níveis de tomada de decisão em relação ao constrangimento regulatório – desde a priorização estratégica de recursos até metas baseadas em premissas e regimes de sanções proporcionais. Governos devem garantir que uma definição consistente de risco seja usada por todos os fiscais e que ela forme a base para alocação de recursos e para definição da abordagem de constrangimento. Tal análise de risco deve ser usada em todos os passos do processo regulatório – quando desenhando a regulação, ao aplicá-la e ao avaliá-la. É particularmente importante na fase de constrangimento, porque é fisicamente impossível para governos fiscalizarem cada negócio ou problema, e porque mesmo tentar isso (apesar de não ser necessariamente efetivo) resultaria num fardo administrativo 17 Uma gestão de risco adequado também requer que agências reguladoras tratem as informações recebidas de terceiros (reclamações, denúncias de trabalhadores, cidadãos, outras empresas etc.) de maneira eficaz, de modo que de fato permitam que essas informações complementem e atualizem outras fontes de informação e para receber informações chave mesmo na ausência de uma fiscalização, sem resultar no colapso do sistema de priorização baseada em risco e em excessivas reações por falta de discriminação adequada. [Grifamos, tradução livre]. OECD. Regulatory Enforcement and Inspections, OECD Best Practice Principles for Regulatory Policy, OECD Publishing, 2014. Página 30. Disponível em: http://dx.doi.org/10.1787/9789264208117-en. Visitado em: 13 mai. 2021. Página 30 de 33 imenso e desnecessário. Assim, porque é indispensável a priorização na fiscalização e nas ações de constrangimento, governos devem se certificar de que a fiscalização seja feita com base numa análise de risco e avaliação do perfil de risco do regulado.18 [Grifamos, tradução livre] Assim, trata-se de uma escolha, a partir da análise da conformidade do agente de tratamento no que se refere à proteção de dados pessoais, com vistas a diferenciar o risco regulatório em função do comportamento dos agentes de tratamento, para alocar recursos e adotar ações compatíveis com o risco, prevenir práticas irregulares e fomentar a cultura de proteção de dados pessoais, bem como atuar na busca da correção de práticas irregulares e da reparação ou minimização de eventuais danos. Do Processo de Orientação A opção pelo processo com medidas de orientação é uma das opções disponíveis para a ANPD, a partir do resultado do processo de monitoramento, para diferenciar os agentes de tratamento com base em seu histórico e até comportamento. O processo de orientação consiste no uso de ferramentas que eduquem e despertem a consciência do agente de tratamento e do titular de dados para questões importantes, fornecendo meios, modelos e ferramentas que facilitem o tratamento de dados nos limites da lei, garantindo o respeito aos direitos dos titulares de dados e às regras de coexistência no cenário econômico (fair play). Nesse sentido, no âmbito do processo de orientação, são cabíveis as seguintes medidas: elaborar e disponibilizar guias de boas práticas e modelos de documentos para serem utilizados por agentes de tratamento; sugerir aos administrados a realização de treinamentos e cursos; elaborar e disponibilizar ferramentas de autoavaliação de conformidade e de avaliação de riscos a serem utilizadas pelos agentes de tratamento; reconhecer e divulgar regras de boas práticas e de governança; recomendar a a) utilização de padrões técnicos que facilitem o controle pelos titulares de seus dados pessoais; b) implementação de Programa de Governança em Privacidade; e c) observância de códigos de conduta e de boas práticas estabelecidas por organismos de certificação ou outra entidade responsável. A atuação responsiva não se orienta em torno da noção de infração, mas, sim, da noção de ‘problema’. Desse modo, no intento de priorizar as atuações da ANPD, situações poderão ser objeto 18 OECD. Regulatory Enforcement and Inspections, OECD Best Practice Principles for Regulatory Policy, OECD Publishing, 2014. Página 27-28. Disponível em: . Visitado em: 12 mai. 2021. Página 31 de 33 da atenção da Autoridade quando consistirem nos problemas mais reclamados pelos titulares de dados, para buscar uma solução construída conjuntamente com os agentes de tratamento. No sentido amplo, a atuação fiscalizatória da ANPD abrange todas as atividades que visem a promoção da conformidade e o alcance dos resultados regulatórios esperados. Por meio da instituição do processo orientador, a ANPD aumenta seu conjunto de ferramentas e busca uma atuação mais proativa e focada em resultado, bem como que incentive soluções de melhoria do desempenho dos atores. Do Processo de Prevenção No âmbito da atuação fiscalizatória da ANPD, a atividade preventiva objetiva reconduzir o agente de tratamento à plena conformidade e evitar ou remediar situações que acarretem risco ou dano aos administrados, sem que isso implique em sanção imediata ao administrado. As medidas preventivas caracterizam o último recurso da ANPD, como ferramenta de promoção da conformidade, antes do uso de instrumentos sancionatórios. Nesse sentido, é possível perceber que elas possuem uma dupla identidade: por um lado, um viés negocial e educativo, que conectam essas medidas às medidas orientadoras, e, por outro, um viés de constrangimento do agente de tratamento em conexão com as medidas repressivas do processo sancionador, dado que os compromissos assumidos passam a ser exigíveis do agente de tratamento, com consequências materiais para sua esfera de direito se não atendidos. Dentre as medidas preventivas possíveis, destacam-se a divulgação de informações, aviso, solicitação de regularização e plano de conformidade, sem prejuízo de outras que sejam compatíveis com o objetivo da atividade preventiva. No caso, a Coordenação-Geral de Fiscalização selecionará qual é a medida mais adequada ao caso concreto. A atividade orientativa é gradualmente mais formal que a de orientação. Em razão disso, a minuta estabelece com maiores detalhes as medidas possíveis e a finalidade de cada uma, para facilitar sua distinção uma das outras. Sobre o uso de cada uma das medidas, será necessária a elaboração de portaria com as informações complementares pela ANPD. Página 32 de 33 Do Processo de Repressão O processo de repressão compreende a fase de apuração formal de infrações à legislação de proteção de dados de competência da ANPD, nos termos do artigo 55-J, IV da LGPD, ou seja, compreende a instauração e instrução de processo administrativo sancionador para caso comprovada a conduta ilícita, seja então aplicada eventual sanção ao agente de tratamento. Considerando sua natureza preponderantemente litigiosa, ancora sua legitimidade em um formalismo maior em comparação às demais abordagens vistas anteriormente, sobretudo para garantir o contraditório, a ampla defesa e o direito a recurso. Para que seja instaurado um processo administrativo no modelo escolhido, o agente de tratamento primeiramente deve ter sido incluído na faixa IV do ciclo de monitoramento por dois ciclos consecutivos, sem prejuízo do processo ser instaurado de ofício a depender da conveniência e oportunidade da Coordenação-Geral de Fiscalização e do caso concreto, ainda que o agente não tenha sido incluído na faixa IV. Essas condicionantes, que mostram que um processo só será instaurado de ofício em casos de relevância social ou a depender da gravidade da conduta, ou mediante classificação ao longo da atividade de monitoramento, mostram que o processo é voltado primordialmente para questões de maior impacto para a sociedade, seja diante de casos específicos ou de temas relativos a demandas individuais agregadas relacionadas à proteção de dados. O processo se divide em fase de instauração, fase de instrução, fase de decisão e fase de recurso, prevendo momentos para apresentação de defesa e de recurso, bem como prevê a possibilidade de produção de provas e participação de terceiros interessados, respeitando os princípios do contraditório e da ampla defesa. Como a alternativa sugerida será monitorada? A norma não estabelece indicadores objetivos sobre o monitoramento do tema. Entretanto, por meio do acompanhamento das atividades fiscalizatórias da Coordenação-Geral de Fiscalização bem como por meio da elaboração dos relatórios anuais de gestão da ANPD, será possível aferir a efetividade da atuação regulatória da Autoridade. Além disso, a própria atividade de monitoramento realizada pela ANPD poderá demonstrar se houve um aumento de reclamações e denúncias de determinadas atividades ou por agentes de Página 33 de 33 tratamento específico, o que demonstrará se as atividades orientativas, preventivas e repressivas estão sendo efetivas.