Códigos de conduta e a segurança jurídica em proteção de dados

artigo_rony_1_Noticia

POR Rony Vainzof e Ricardo Campos* (artigo publicado no Jota)

A dinâmica da era digital exige regulações versáteis que proporcionem e fomentem, equilibradamente, segurança jurídica para os agentes econômicos e proteção de direitos e garantias individuais.

Especialmente em legislações de proteção de dados pessoais, códigos de conduta setoriais e órgãos privados de monitoramento (monitoring body), que podem ser reconhecidos por autoridades públicas, representam importantes instrumentos regulatórios, de forma a absorver melhor incertezas e desenvolver parâmetros consolidados de eficácia legal mediante a atuação de organizações especializadas nas práticas do seu respectivo setor.

É necessário repensar categorias e institutos centrais do Estado a partir das condicionantes fáticas da nova sociedade informacional. Já há alguns anos, anuncia-se, por exemplo, dentro do direito administrativo, uma tendencial mudança do seu significado[1], pois, especialmente em âmbito dinâmico, tende a perder a tradicional estrita referência à norma como programa condicional, passando a ser mais um instrumento de estruturação procedimental de geração de conhecimento social.[2]

Isso significa que, dada a alta complexidade de determinados setores da sociedade, em certas áreas do direito público, a administração e o Estado devem primeiramente gerar conhecimento necessário para a aplicação do regime jurídico que as governam.[3]

De acordo com a conhecida formulação de Peter Häberle[4], no plano hermenêutico e estrutural, no ambiente digital, o direito necessitaria de uma “sociedade aberta de produtores de normas” e não apenas de uma “sociedade aberta de intérpretes da Constituição”, na qual o Estado e a sociedade estariam mais próximos da relação de complementaridade normativa do que de um modelo tradicional, no qual o Estado impõe padrões próprios por meio de programas condicionais aos setores[5].

A produção de padrões normativos de forma cooperativa entre Estado e sociedade significa que entes privados e particulares, nos ordenamentos jurídicos modernos, não surgem apenas como destinatários da produção regulatória estatal, mas atuam como parceiros e atores ativos na construção conjunta de um sistema de governança adequado para setores dinâmicos da sociedade[6]. Isso se vê claramente no caminho europeu da proteção de dados sob influência alemã e que tem se acentuado nos últimos anos[7].

Dois importantes exemplos práticos recentes da Europa, especificamente o Privacy Code of Conduct on mobile health apps”[8] e o “EU Cloud Code of Conduct”[9], são precedentes relevantes para que o instituto importado do direito europeu, constante no artigo 50 da LGPD[10], possa realmente lograr efetividade jurídica.[11]

O “Code of Conduct on privacy for mobile health applications”, adotado pela Comissão da União Europeia em 7 de junho de 2016, foi elaborado com base em amplo processo de definição de normas e envolvendo grande número de diferentes stakeholders, seguindo os parâmetros do artigo 27 (3) da Diretiva de Proteção de Dados de 1995 (46/95). Seu escopo abrange as aplicações mHealth, nas quais os dados pessoais de saúde são processados e comunicados a terceiros para fins medicinais.[12]

Em termos de padrões de proteção de dados, o código tornou claro para o setor como diretrizes e princípios fundamentais de proteção de dados, ou seja, os princípios de consentimento livre e esclarecido, limitação da finalidade e minimização de dados, seriam aplicáveis às particularidades destes aplicativos, influenciando também a perspectiva dos seus desenvolvedores. Entretanto, o Working Party 29, ao receber requisição de parecer oficial pela Comissão Europeia, não reconheceu o referido código de conduta por considerar não estar em conformidade com o novo Regulamento Geral de Proteção de Dados europeu (RGPD) e por não dispor de um arranjo institucional abrangente com sistema e mecanismos de enforcement setorial do código de conduta (monitoring body).[13]

O segundo caso (EU Cloud Code of Conduct – CoC) é o mais atual, promissor e instigante exemplo prático de código de conduta dentro do regime de proteção de dados. Foi aprovado em 19 de maio de 2021 pelo Conselho Europeu de Proteção de Dados e autorizado formalmente pela Autoridade Belga, órgão líder de acordo com o regime de competências do RGPD. O código gira em torno da criação de níveis de confiança para provedores de serviços em nuvem.

A aprovação não decorreu unicamente da qualidade do código de conduta em si, mas especialmente do sistema de governança independente montado em torno do monitoring body, que tem a função constante de garantir real eficácia e aplicabilidade do código de conduta dentro da rede de associações e empresas que o integram. O órgão de supervisão setorial tornou-se o pilar central do instituto do código de conduta, distanciando-se assim da primeira onda de códigos de conduta na Europa, sem real eficácia jurídica.

A entidade privada supervisora chancelada pela autoridade belga foi a Scope Europe, que opera como órgão de monitoramento do código para garantir a conformidade dos membros com as seguintes funções:

  • Revisar e verificar a conformidade das organizações declaradas aderentes ao Código;
  • Monitorar regularmente se as organizações aderentes estão em conformidade com o Código;
  • Analisar e decidir reclamações sobre violações ao Código por parte das organizações aderentes;
  • Estabelecer procedimentos e estruturas para lidar com reclamações sobre infrações ao Código, ou a forma como o Código foi/está sendo implementado pelas organizações, e comunicar com transparência esses procedimentos e estruturas;
  • Implementar procedimentos e estruturas que evitem conflitos de interesses;
  • Tomar as medidas adequadas contra uma organização em caso de violação ao Código ou em caso de não fornecimento das informações necessárias para analisar uma possível violação; e
  • Atuar como mediador entre associadas e autoridades de proteção de dados, de maneira centralizada e independente.

O Brasil, seguindo a tradição europeia[14], introduziu a possibilidade de coprodução normativa setorial em proteção de dados. O artigo 50 da LGPD elenca diversos elementos e balizas para o instituto dentro da ordem jurídica da norma brasileira. Já seu §3º estabelece que regras de boas práticas e de governança poderão ser reconhecidas e divulgadas pela autoridade nacional. A LGPD não prevê, mas também não veda a criação do monitoring body.

Há, paradoxalmente, um perigo e uma oportunidade do instituto dentro do contexto brasileiro, em razão da ausência de previsão do monitoring body: de seguirmos a infeliz primeira onda europeia de códigos de conduta como, parafraseando Ferdinand Lassalle, uma mera folha de papel; ou a chance, como ocorreu com o Cloud Act na Europa, em reconhecer que um código de conduta com uma estrutura de governança independente do setor econômico, além da própria ANPD (Autoridade Nacional de Proteção de Dados), faz-se parte essencial para garantir a efetividade da regulação setorial.

Esse desenvolvimento traz consequências regulatórias evidentes para o Estado, para a economia setorial e, acima de tudo, para a ANPD. Com a operacionalização do código de conduta por um monitoring body independente, ocorre uma clara diminuição de custos para a autoridade de proteção de dados com relação à sua atividade fiscalizadora[15], uma vez que a primeira fiscalização já ocorre no plano privado setorial do código de conduta.

Nesse contexto, a autoridade de dados, no caso brasileiro a ANPD, transforma-se em um metarregulador, analisando, numa segunda ordem de observação, se o sistema de governança do monitoring body de fato está agindo de forma eficiente e eficaz. Também é gerada, concomitantemente, segurança jurídica para uma cadeia de operadores, controladores e nos indivíduos titulares dos dados[16].

Portanto, códigos de conduta e monitoring body modernizam modelos regulatórios, subvertendo o cenário baseado em comando e controle do Estado, que deixa de ter o monopólio da regulamentação e da fiscalização econômica e dos bens jurídicos, porém permanece como observador/garantidor do cumprimento normativo.

Qual será o caminho a ser tomado pelo Brasil nesse assunto?

*Rony Vainzof é coordenador da Pós-Graduação em Direito Digital na Escola Paulista de Direito. Consultor em Proteção de Dados da Fecomercio-SP. Diretor do Departamento de Defesa e Segurança da Fiesp. Sócio do Opice, Bruno e Vainzof Advogados.

*Ricardo Campos é docente na Goethe Universität em novas mídias e proteção de dados. Mestre e Doutor pela Goethe Universität Frankfurt am Main, Alemanha. Vencedor do prêmio Werner Pünder (2021). Diretor do Instituto Legal Grounds e Sócio no Sampaio Ferraz.


[1] Antes visto como uma ciência das normas (Verwaltungsrechtswissenschaft als Normwissenschaft), que por conta de sua necessária referência à realidade em constante transformação, tem transformado sua própria natureza para se adequar às demandas do seu objeto (realidade).

[2] Burkard Wollenschläger, Wissensgenerierung im Verfahren. Mohr Siebeck 2009, p. 37 e ss. Ver também Ricardo Campos, Prozeduralisierung als Wissens-Fertigung im Recht, em: Kritische Justiz, 2019, p. 400 e ss.

[3] Tradicionalmente, a administração se valia de categorias centrais como Pessoa, atividade para cumprimento de fins públicos na relação entre indivíduo e Estado. Atualmente, cada vez mais comunicação, conhecimento e informação passam a figura como conceitos-chave na administração pública da sociedade informacional. Para os conceitos tradicional de administração pública ver W. Jellinek, Verwaltungsrecht, 3 edição 1931, reimpressão de 1966, p. 1 ss. E também Ernst Forsthoff, Lehrbuch does Verwaltungsrechts, tomo 1, parte geral, 10 edição, passim.

[4] Peter Häberle, Die offene Gesellschaft der Verfassungsinterpreten, JZ 1975, p. 297 ss.

[5] Dentro da tradição jurídica ocidental, a questão da produção ou competência para produção de normas por privados sempre foi tema controverso e constante. Para tanto ver Stefan Meder, Ius non scriptum – Traditionen privater Rechtsetzung, Mohr Siebeck 2008, p. 10 ss. : „[…] es wäre wohl kaum übertrieben, die Frage nach den Rechtsetzungskompetenzen von Privaten als eines der wichtigsten Probleme von Rechtsbildung und juristischer Entscheidungsfindung zu bezeichnen.“

[6] Wolfram Höfling, Professionelle Standards und Gesetz, em: Hans-Heinrich Trute, Thomas Groß, Hans Christian Röhl, Christoph Möllers (Orgs.), Allgemeines Verwaltungsrecht – zur Tragfähigkeit eines Konzepts, (2008), p. 45 e 48.

[7] Martini, Do it yourself im Datenschutzrecht. Der „GeoBusiness Code of Conduct“ als Erprobungsfeld regulierter Selbstregulierung, NVwZ 2016, 353, 354.

[8] https://digital-strategy.ec.europa.eu/en/policies/privacy-mobile-health-apps.

[9] https://eucoc.cloud/en/home/

[10] Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

  • 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.

[11] Esse desenvolvimento é antigo e já ocorria mesmo antes do Regulamento Geral de Proteção de Dados de 2016 (RGPD) seguindo a tradição alemã do instituto da autorregulação regulada ou corregulação. Para tanto ver Alexander Roßnagel, Das neue Datenschutzrecht, Baden-Baden, Nomos 2019, Capitulo 3 notas marginais 36 e seguintes, 53 e seguintes, l. No Brasil, sobre autorregulação regulada ver Ricardo Campos e Georges Abboud, A autorregulação regulada como modelo do Direito proceduralizado. Em: Ricardo Campos, Georges Abboud, Nelson Nery Jr (Orgs.) Fake News e Regulação. RT 2018, p. 19 ss.

[12] Gassner, Software als Medizinprodukt – zwischen Regulierung und Selbstregulierung, Medizin Produkte Recht (2016), 109, 114.

[13] https://digital-strategy.ec.europa.eu/en/policies/privacy-mobile-health-apps

[14] Art. 27 da diretiva de 1995 e dos arts. 40 e ss. do RGPD.

[15] Ver ST 5419 2016, REV 1 ADD – 2012/2011 (OLP), cifras 5.6

[16] Kranig, Peeintinger Zeitschrift für Datenschutz, 2014, p. 8.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp