A Câmara dos Deputados aprovou no dia 31 de agosto a PEC 17/2019, que torna a proteção de dados pessoais um direito fundamental. Esta aprovação, com votação expressamente favorável à PEC (em primeiro turno, foram 439 votos a 1; em segundo turno, 436 votos a 4), demonstra mais uma vez a importância que o tema da proteção de dados pessoais tem ganhado no Brasil na última década e, especialmente, após a aprovação da Lei Geral de Proteção de Dados Pessoais (LGPD), em 2018.
A bem da verdade, a jurisprudência do Supremo Tribunal Federal já reconhece tal direito fundamental desde o ano passado, quando o Plenário do STF, em decisão proferida nos autos da Ação Direta de Inconstitucionalidade 6.387/DF, suspendeu a eficácia da Medida Provisória nº 954/2020 (que determinava que as empresas de telecomunicação deveriam disponibilizar ao IBGE os nomes, os números de telefone e os endereços de seus consumidores). É inegável, contudo, a PEC 17/2019 dá maior segurança jurídica aos cidadãos brasileiros ao confirmar o entendimento do STF e incluir tal direito fundamental diretamente na Constituição Federal. A PEC também oferece um reforço aos direitos.
No entanto, é preciso reconhecer que a PEC 17/2019 traz em seu bojo uma questão que, entendo, mereceria maior discussão antes de eventual aprovação e inclusão em nossa Constituição: trata-se da atribuição de competência exclusiva da União para legislar sobre o tema da proteção e o tratamento de dados pessoais. Embora a lei principal sobre o tema no Brasil hoje seja a LGPD (que é federal), estados e municípios também possuem competência para editar suas leis sobre o tema. Por exemplo, a Lei Estadual 17.301/2020, de São Paulo, proibiu farmácias e drogarias de exigir o CPF do consumidor no ato da compra sem informar de forma adequada e clara sobre o uso de seus dados pessoais. Com a aprovação da PEC 17/2019, esta e outras leis poderão ser consideradas inconstitucionais, tendo o efeito de diminuir, ao invés de aumentar, a proteção garantida aos cidadãos.
Outra questão que merece atenção é que a Câmara dos Deputados, por 266 votos a 165, aprovou destaque do Partido Novo e retirou do texto a previsão de criação de um órgão regulador sobre proteção de dados na forma de uma entidade independente, integrante da administração pública federal indireta e submetida a regime autárquico especial. Deputado do Novo, Vinícius Poit argumentou que não se questiona a necessidade de autonomia e independência da autoridade reguladora, mas não caberia incluir diretamente na Constituição tal necessidade.
O Brasil já possui hoje um órgão regulador: a Autoridade Nacional de Proteção de Dados (ANPD), o órgão criado pela LGPD para orientar, regulamentar e fiscalizar o cumprimento da lei. No projeto de lei originalmente aprovado pelo Congresso Nacional, a ANPD seria uma entidade independente, organizada em regime de autarquia. Contudo, sua natureza foi alterada por meio de vetos, medidas provisórias e leis posteriores. Embora tenha feito um excelente trabalho nos últimos meses, hoje não é possível dizer que sua atuação é completamente independente, pois a ANPD é subordinada diretamente à Presidência e não possui autonomia administrativa, financeira ou hierárquica.
Assim, embora o argumento do deputado não seja equivocado, a verdade é que a ANPD precisa ganhar independência para que seja efetivado o regime de proteção de dados pessoais no Brasil. Em outubro de 2020 a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) fez uma recomendação expressa para que o Brasil garantisse a independência da autoridade. Como a entrada do Brasil na OCDE foi um dos motivos para a própria aprovação da LGPD, entendo que Congresso e Poder Executivo precisam dar um rápido encaminhamento à questão de modo a garantir enfim a independência da ANPD.
*Marcelo Cárgano, advogado da área de regulação e proteção de dados pessoais, do escritório Abe Giovanini Advogados