Há dois meses, o advogado Danilo Doneda concedeu uma entrevista à Consumidor Moderno onde admitiu certo incômodo com o atraso na aprovação da lei que criava a Autoridade Nacional de Proteção de Dados (ANPD) e que funcionaria como um fiscal da Lei Geral de Proteção de Dados (LGPD) – cujo texto ele é coautor.
Segundo ele, a ausência desse órgão estatal poderia estimular o surgimento de diversas leis municipais e estaduais regulando o tratamento de dados pessoais, o que, consequentemente, desencadearia em uma enxurrada de ações na Justiça sobre o tema.
“Seria um convite ao caos”, disse ele à época.
A autoridade foi aprovada, mas esse temor continua vivo.
Um levantamento inédito feito pela promotora de Justiça do Distrito Federal, Rose Meire Cyrillo, e a reportagem da Consumidor Moderno mostra que, além da LGPD, existem outras três leis municipais de dados já aprovadas e oito projetos em discussão em parlamentos do Oiapoque ao Chuí.
Lei de dados de Norte a Sul
Segundo o levantamento, já figuram normas de proteção de dados nas cidades de João Pessoa (PB), Vinhedo (SP) e Cariacica (ES).
Além disso, existem discussões sobre o mesmo tema nas assembleias legislativas nos estados do Rio de Janeiro, Ceará e Mato Grosso do Sul, além de debates em andamento nas câmaras municipais da capital fluminense, São Paulo, Recife, Salvador e Campinas.
“A aprovação da Lei Complementar nº 161/2018, do município de Vinhedo é o primeiro movimento de edição de normas de proteção de dados em âmbito local. No entanto, existem outros diplomas legais já aprovados em outras cidades, caso de João Pessoa (PB) e Cariacica (ES)”, destacou Rose Meire Cyrillo.
Essa lista, no entanto, poderia ter sido maior. A reportagem ainda identificou um projeto no estado do Rio Grande do Sul já arquivado ou com a discussão encerrada.
LEIA TAMBÉM
Lawtechs: superficiais ou disruptivas?
Leis municipais ou estaduais: válidas?
Mas, afinal, por que a criação de tantas leis estaduais e municipais sobre proteção de dados pode ser problema?
Na avaliação de especialistas, essas normas, embora louváveis sob a ótica da ampliação do debate pelo País, estariam desrespeitando a Constituição Federal de 1988.
Um desses problemas citados seria um suposto desrespeito à chamada hierarquia na criação de uma lei no Brasil.
Via de regra, uma lei federal, como é o caso da LGPD, tem o objetivo de criar conceitos sobre uma determinada ideia para que tenha um alcance nacional.
A função da lei municipal é complementar (e desde que a CF diga expressamente) a norma federal, conferindo uma regra para a aplicação na prática na rotina de uma cidade.
Na avaliação do advogado Fabrício da Mota Alves, especialista em lei de direito digital e um dos nomes cotados para assumir a Autoridade Nacional de Proteção de Dados (ANPD), as normas municipais extrapolam esse limite que é peculiar à LGPD, o que seria inconstitucional.
“É preciso verificar a constitucionalidade dessas normas. A CF estabelece justamente esse limite de repartição de competências, ou seja, é como um legislador pode trabalhar. O município tem um determinado alcance para criar uma norma. O estado tem um limite para criar uma norma. Penso que a LGPD tem esse limite. Trata-se de uma iniciativa que deve ter um alcance macro e é de competência da União”, afirma.
Vítor Morais de Andrade, advogado especialista em direito digital e coordenador do curso de direito da PUC/SP, também questionou a constitucionalidade das iniciativas estaduais e municipais sobre o tema.
Para solucionar esse problema, segundo ele, é preciso incluir à proteção de dados dentro da lista de direitos fundamentais de cada pessoa garantidos pela Constituição, tais como educação, saúde e outros.
Isso, inclusive, já está sendo feito no Senado Federal por meio da Proposta de Emenda Constitucional (PEC) 17, de autoria do próprio Mota Alves. Ao que tudo indica, a PEC deverá ser aprovada até o fim de agosto.
“Para mim, o tema de proteção de dados é uma competência exclusiva da União. Não me parece (que câmaras municipais e assembleias) possam votar esse assunto. Para mim não tem cabimento”, afirma.
Bruno Bioni, professor de direito, fundador do Data Privacy Brasil e outro nome cotado para a assumir a ANPD, é defensor das iniciativas locais, mas desde que elas não extrapolem a sua função.
“Dentro dessa perspectiva, você tem leis compatíveis com a lei federal e pode trazer maior uniformidade na aplicação da LGPD. Olhando para alguns arranjos que já existem (uma lei federal em consonância com lei municipal), notamos que há iniciativas muito bem-sucedidas e que criam circuitos regulatórios novos, considerando a realidade de um município. Temos que pensar que dados pessoais são os principais ativos que uma gestão pública deve se escorar, principalmente dentro de uma agenda de cidades inteligentes”, explica.
Lei de Vinhedo x LGPD
A inconstitucionalidade, no entanto, pode ser apenas a porta de entrada dos problemas criados por iniciativas municipais e estaduais. A pedido da Consumidor Moderno, o advogado Fabrício da Mota Alves analisou e comparou a lei complementar de proteção de dados da cidade de Vinhedo e a LGPD. E à primeira vista o resultado preocupa.
Em linhas gerais, as duas normas são bem semelhantes, mas também possuem diferenças bem significativas.
Uma delas é que a lei de Vinhedo cria conceitos sobre tratamento de dados bem distintos da lei federal, o que, conforme já mencionado anteriormente, pode ser interpretado como inconstitucional.
“A lei de Vinhedo cria conceitos, define princípios distintos da lei federal. Isso pode gerar uma insegurança jurídica”, resume Mota Alves.
Um desses conflitos na conceituação, segundo o especialista, ocorre no coração das duas leis de proteção de dados: o consentimento.
Na lei de Vinhedo, ele é descrito como uma “manifestação livre e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade específica”.
Já a lei federal tem uma definição um pouco diferente: “é uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”.
Embora sutis, essas diferenças podem representar um impasse jurídico.
Outra diferença apontada pelo especialista ocorre nos requisitos para o tratamento de dados.
A lei de Vinhedo afirma que o consentimento é a regra geral para o uso de informações pessoais de terceiros, muito embora a norma inclua ainda seis exceções.
A LGPD é diferente. Nela estão dez possibilidades para o uso de dados, sendo todos em igualdade de condições – o consentimento é apenas uma delas.
“Na lei federal, o consentimento não é a regra geral, assim como acontece em Vinhedo. Na LGPD, para tratar os dados pessoais em geral, qualquer uma das 10 hipóteses legais é válida. E nenhuma delas é maior ou menor que a outra. São rigorosamente iguais. Em Vinhedo, está dito que o consentimento deve ser a regra e o resto, exceção.”, afirma Fabrício.
Mota Alves analisou ainda os requisitos para tratamentos de dados que foram excluídos da lei de Vinhedo.
Na lista com as sete possibilidades de tratamento (ou seja, consentimento e as seis exceções), não foi incluído, por exemplo, a “proteção de crédito” – previsto na LGPD e que teria sido decisivo para a aprovação da lei em Brasília.
Durante as discussões no Congresso Nacional, verificou-se que a norma entraria em conflito com a Lei do Cadastro Positivo que, em linhas gerais, prevê o tratamento de dados pessoais para a concessão de crédito. A pergunta é: o que essa ausência poderia resultar na cidade de Vinhedo?
Mota Alves ressalta que isso pode se tornar um problema em caso da existência de um banco municipal em Vinhedo, o que não ocorre. No entanto, isso pode ser um problema em uma lei estadual, uma vez que existem bancos estaduais.
Vinhedo x LGPD: ouvidor e a autoridade de dados
A análise de Mota Alves aponta ainda na direção da atuação do ouvidor e do conselho municipal, outra inovação da lei de proteção de dados de Vinhedo.
Na visão dele, a norma municipal criou algo uma “mini Autoridade Nacional de Proteção de Dados”.
Em suma, a norma da cidade do interior paulista afirma que o ouvidor do município (um funcionário da Câmara de Vinhedo) teria o poder de realizar auditorias nos tratamentos de dados e até exigir a apresentação de relatórios de dados à empresas e órgãos públicos, entre outras prerrogativas. Ocorre que essa também será uma função da Autoridade Nacional de Proteção de Dados da LGPD.
“É uma mini ANPD, pois até auditoria o auditor pode fazer. Em outras palavras, quero dizer que ele possui amplos poderes de investigação. É quase um órgão legislativo. Trata-se de uma estrutura absolutamente estranha, que tem até poder de polícia (de fiscalizar e sancionar) exercido pela Câmara Municipal. Hoje, os Tribunais e Conselhos de Contas têm essa prerrogativa. Por conta disso, eu entendo que ela não é válida. Essa previsão tinha que ter respaldo constitucional e na lei orgânica do município”, afirma o especialista.
O possível conflito entre a ouvidoria e a ANPD também preocupa Rose Meire, responsável pelo levantamento.
Na visão dela, as ouvidorias públicas devem ajudar e não rivalizar com a ANPD na aplicação da LGPD.
“No tocante à Ouvidoria de Proteção de Dados, até o presente momento tal estrutura só existe no diploma legal acima mencionado (lei de Vinhedo). A diferença é que eles incluíram não só a criação de uma ouvidoria de proteção de dados, mas um conselho municipal de proteção de dados, o que é muito positivo. No entanto, isso não significa que eu afasto o temor de que uma hiperinflação legislativa sobre o assunto ocorra a partir de possíveis contradições entre as duas leis. Isso poderá ser resolvido aplicando-se critérios de resolução de antinomias jurídicas, mormente o hierárquico, com a Lei Geral de Proteção de Dados (Lei Federal) prevalecendo sobre as demais leis sobre o assunto (estaduais e municipais)”, defende.
O “convite ao caos” com tantas leis municipais e estaduais talvez não seja aquele pensado inicialmente por Danilo Doneda. Mas quem disse que os fins sempre justificam os meios?
Veja a lista das leis e projetos que tratam de proteção de dados:
Aprovadas
Vinhedo (SP) – Lei Complementar 161/2018
João Pessoa (PB) – Lei 13.687/19
Cariacica/ES – Lei 5.948/19
Em discussão
Recife (PE) – Projeto de lei de número 182/2018
São Paulo (município) – Projeto de lei de número 01-00807/2017
Campinas – Projeto de lei de número 297/ 2017
Mato Grosso do Sul – Projeto de lei de número 29/2019
Rio de Janeiro (município) – Projeto de lei 1053/2018
Salvador – Projeto de lei de número 08/2018
São Paulo (Estado) – Projeto de lei de número 598/2018
Ceará – Projeto de lei de número 41/2019
Propostas arquivadas
Rio Grande do Sul – Projeto de Lei nº 293 /2017
+ SOBRE LGPD
Como a LGPD pode impulsionar a inteligência das empresas brasileiras
Um ano de LGPD: o que já mudou nas empresas?
Um terço do setor financeiro está adaptado à LGPD