Mobile TV: where we are and the way forward Proteção de dados pessoais no Brasil: uma análise da Lei 13.709... (p. 45-58) 45 GARCIA, R. C. de C. Proteção de dados pessoais no Brasil: uma análise da Lei nº 13.709/2018 sob a perspectiva da Teoria da Regulação Responsiva. Revista de Direito Setorial e Regulatório, Brasília, v. 6, nº 2, p. 45-58, outubro 2020. PROTEÇÃO DE DADOS PESSOAIS NO BRASIL: UMA ANÁLISE DA LEI Nº 13.709/2018 SOB A PERSPECTIVA DA TEORIA DA REGULAÇÃO RESPONSIVA Personal data protection in Brazil: An analysis of Law no. 13,709/2018 from the perspective of the Responsive Regulation Theory Submetido(submitted): 05/12/2019 Renata Cavalcanti de Carvalho Garcia* Parecer(revised): 17/12/2019 Aceito(accepted): 09/04/2020 Abstract Purpose – To evaluate the personal data protection regulation, disciplined in the Data Protection Law (LGPD), no. 13,709/2018, August 14, 2018, from the perspective of Responsive Regulation Theory, developed by Ian Ayres e John Braithwaite, aiming at identifying the existence of responsive elements. Methodology/approach/design – Search for related studies and the theoretical framework on Responsive Regulation Theory. Next, the Data Protection Law (LGPD), no. 13,709/2018, which will come into force in August 2020, will be evaluated, highlighting the convergent and divergent elements to the theoretical principles of the responsive model. Findings – From the evaluation of the Data Protection Law (LGPD), no. 13,709/2018, and based on the scientific literature, it will be possible to identify to what extent the new Brazilian data protection model adheres to the Responsive Regulation Theory. Keywords: Personal data protection. LGPD. Law no. 13,709/2018. Regulation. Responsive regulation. Resumo Propósito – Avaliar a regulação da proteção dos dados pessoais, disciplinada na Lei Geral de Proteção de Dados (LGPD), nº 13.709/2018, de 14 de agosto de 2018, sob a perspectiva da Teoria da Regulação Responsiva, desenvolvida por Ian Ayres e John Braithwaite, objetivando a identificação da existência de elementos de responsividade. Metodologia/abordagem/design – Levantamento de estudos relacionados e do referencial teórico sobre a Teoria da Regulação Responsiva. Em seguida, será avaliada a Lei Geral de Proteção de Dados (LGPD), nº 13.709/2018, que entrará em vigor em agosto de 2020, com apontamento dos elementos convergentes e divergentes aos princípios teóricos do modelo responsivo. *Graduada em Direito pela Universidade Federal de Pernambuco - UFPE. Atua como advogada na área de Direito do Consumidor e de Direito Digital. Membro da Comissão de Direito Digital, Tecnologias Disruptivas e Startups da OAB – DF. E-mail: reccarvalhogarcia@gmail.com. mailto:reccarvalhogarcia@gmail.com 46 Proteção de dados pessoais no Brasil: uma análise da Lei 13.709... (p. 45-58) GARCIA, R. C. de C. Proteção de dados pessoais no Brasil: uma análise da Lei nº 13.709/2018 sob a perspectiva da Teoria da Regulação Responsiva. Revista de Direito Setorial e Regulatório, Brasília, v. 6, nº 2, p. 45-58, outubro 2020. Resultados – A partir da avaliação da Lei nº 13.709/2018, e com base na literatura científica, espera-se identificar em que medida o novo modelo de proteção de dados brasileiro adere à Teoria da Regulação Responsiva. Palavras-chave: Proteção de dados pessoais. LGPD. Lei no. 13,709/2018. Regulação. Regulação responsiva. INTRODUÇÃO Até meados de agosto de 2018, o Brasil era um dos poucos países entre as principais economias mundiais a não ter um marco regulatório de proteção de dados pessoais. Diante do cenário atual de vigilância eletrônica em massa, com transferência de expressiva quantidade de dados pessoais, sem plena consciência, conhecimento e consentimento dos titulares; considerando ainda os casos frequentes de vazamentos de dados e os problemas relacionados à mercantilização, com consequências e prejuízos diversos, fez-se necessária uma regulação específica para proteger os direitos à privacidade e à liberdade, atualmente compreendidos sob a perspectiva das inovações tecnológicas. Assim, a regulação da proteção de dados pessoais deve funcionar, simultaneamente, como um mecanismo capaz de resguardar direitos e facilitar atividades, além de empoderar os indivíduos e nortear as condutas dos agentes de mercado. No contexto nacional, a Lei Geral de Proteção de Dados Pessoais (LGPD)1, publicada em 15 de agosto de 2018, veio para consolidar novos movimentos regulatórios, iniciados com o Marco Civil da Internet - Lei nº 12.965, de 23 de abril de 20142, no tocante ao tratamento de informações relacionadas à pessoa natural, identificada ou identificável. Reconhecendo a novidade do tema no Brasil e a ausência de experiências práticas, visto que a Lei nº 13.709/2018 só entrará em vigor em agosto de 2020 (caso não seja prorrogada sua vigência, conforme projeto de lei do Deputado Carlos Bezerra, MDB/MT, em trâmite na Câmara dos Deputados)3, o estado da 1Lei nº 13.709/2018: Lei Geral de Proteção de Dados Pessoais (LGPD), de 14 de agosto de 2018, publicada no Diário Oficial da União nº 157, Seção 1, Página 59, em 15 de agosto de 2018. 2Lei nº 12.965/2014: Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil, de 23 de abril de 2014, publicada no Diário Oficial da União nº 77, Seção 1, Página 1, em 24 de abril de 2018. 3PL nº 5762/2019, do Deputado Federal Carlos Bezerra: Altera a Le i nº 13.709/2018, prorrogando a data da entrada em vigor de dispositivos da Lei Geral de Proteção de Dados Pessoais – LGPD – para 15 de agosto de 2022. Proteção de dados pessoais no Brasil: uma análise da Lei 13.709... (p. 45-58) 47 GARCIA, R. C. de C. Proteção de dados pessoais no Brasil: uma análise da Lei nº 13.709/2018 sob a perspectiva da Teoria da Regulação Responsiva. Revista de Direito Setorial e Regulatório, Brasília, v. 6, nº 2, p. 45-58, outubro 2020. arte encontra-se apoiado em estudos empíricos sobre a regulação responsiva no âmbito da internet (DIAS, 2017); da segurança cibernética do Sistema Financeiro Nacional (GOETTNAUER, 2019); além de outros mercados regulados (ARANHA, 2019). No exterior, as pesquisas foram mais amplas, demonstrando o uso da regulação responsiva em setores diversos, desde a atividade da administração regulatória, passando por saúde pública, meio-ambiente, transportes e comunicações (ARANHA, 2019). Considerando que o foco do presente artigo está nas obras de Ian Ayres e John Braithwaite, que propõem um modelo de regulação responsiva com estratégias múltiplas, adequadas ao contexto, à cultura regulatória e à história de cada mercado (AYRES e BRAITHWAITE, 1992), a abordagem regulatória da proteção dos dados pessoais merecerá novas pesquisas, num enfoque ainda mais analítico, a partir da concreta implementação da LGPD, vista a necessidade de conhecer a real estrutura do setor regulado. No momento atual, a partir do prisma jurídico-teórico, que ora se propõe analisar, busca-se identificar a presença ou ausência de características de responsividade no esquema regulatório. A pesquisa é dividida nas seguintes partes: a primeira apresenta os principais pressupostos da Teoria da Regulação Responsiva, de Ayres e Braithwaite, assim como as críticas e as alternativas surgidas. A segunda parte traz a contextualização da regulação de proteção dos dados pessoais no Brasil, sob a influência da legislação europeia General Data Protection Regulation – GDPR4, envolvendo uma mudança conceitual do direito à privacidade, em face do cenário de constantes inovações tecnológicas. Por fim, serão analisadas as disposições e as ferramentas regulatórias descritas na Lei nº 13.709/2018, conhecida como LGPD, para verificar os pontos de contato, se existentes, com a regulação responsiva. O enunciado da hipótese de pesquisa que se pretende comprovar no presente trabalho é que a proteção dos dados pessoais, com tutela do direito à privacidade, potencialmente se beneficiará dos resultados positivos do comportamento desejável dos regulados, a partir de elementos de autorregulação (ainda que forçada), de diálogo, de colaboração e de responsabilidade. 4A União Europeia utilizou, por muitos anos, a Diretiva de Proteção de Dados 95/46. A General Data Protection Regulation (GDPR) foi implementada em 25 de maio de 2018, sendo aplicável a todos os indivíduos na União Europeia. 48 Proteção de dados pessoais no Brasil: uma análise da Lei 13.709... (p. 45-58) GARCIA, R. C. de C. Proteção de dados pessoais no Brasil: uma análise da Lei nº 13.709/2018 sob a perspectiva da Teoria da Regulação Responsiva. Revista de Direito Setorial e Regulatório, Brasília, v. 6, nº 2, p. 45-58, outubro 2020. TEORIA DA REGULAÇÃO RESPONSIVA A Teoria da Regulação Responsiva foi concebida para escapar da dicotomia entre a intensificação da intervenção estatal e a desregulação, a partir de uma maior interação entre o regulador e os regulados. Apresentada no início dos anos 90, a obra inaugural Responsive Regulation – Transcending the Deregulation Debate, de Ian Ayres e John Braithwaite (AYRES e BRAITHWAITE, 1992), busca convergir ideias de incentivo regulatório por punição e por persuasão, possibilitando o estabelecimento de formas de regulação adaptativas, compatíveis com o contexto do mercado regulado, o comportamento dos seus agentes e os objetivos buscados. Ao longo do tempo, surgiram vários artigos científicos e livros sobre o assunto, e com propostas de melhoria teórica. Cite-se, como exemplo: i) o diamante regulatório, de Jonathan Kolieb (KOLIEB, 2015); ii) a governança nodal, do próprio John Braithwaite, de expansão do campo de aplicação da teoria para os países em desenvolvimento (BRAITHWAITE, 2006); iii) os avanços para o campo dos princípios regulatórios, que servem de guia para a composição de um mistura de técnicas regulatórias, conforme regulação inteligente de Neil Gunningham e Peter Grabosky (GUNNINGHAM e GRABOSKY, 1998). Considerando que a Teoria da Regulação Responsiva é uma criação coletiva, resultante da contribuição de diversos autores, e com estratégias variadas, resta indispensável o recorte da análise teórica desta pesquisa, para recolher suas características essenciais. No caso, propõe-se o esquema regulatório responsivo a partir da visão de Ayres e Braithwaite, mais especificamente a ideia da pirâmide escalonada. Os autores Ayres e Braithwaite apontam duas ideias fundamentais à regulação responsiva: (i) a cooperação entre os regulados e o regulador, favorecendo a formulação de normas de cumprimento mais efetivo; e (ii) o modelo de pirâmide escalonada de regulação, que prevê medidas crescentes de intervenção estatal, a depender do comportamento dos regulados, como um ator virtuoso, racional ou irracional (AYRES e BRAITHWAITE, 1992). Neste sentido, descreve Márcio Iório Aranha: “Na tentativa de ultrapassar o debate entre regular e desregular, Braithwaite propõe a chamada regulação responsiva, segunda a qual a efetividade da regulação depende da criação de regras que incentivem o regulado a voluntariamente cumprí-las, mediante um ambiente regulatório de constante diálogo entre regulador e regulado. A regulação, para Braithwaite, consiste em um conjunto de atividades distribuídas em uma pirâmide em que, a base, encontram-se atividades persuasivas da conduta do regulado, enquanto, no topo, um conjunto de penas draconianas de condutas indesejadas” (ARANHA, 2019, p. 99). Proteção de dados pessoais no Brasil: uma análise da Lei 13.709... (p. 45-58) 49 GARCIA, R. C. de C. Proteção de dados pessoais no Brasil: uma análise da Lei nº 13.709/2018 sob a perspectiva da Teoria da Regulação Responsiva. Revista de Direito Setorial e Regulatório, Brasília, v. 6, nº 2, p. 45-58, outubro 2020. Busca-se uma regulação cooperativa entre os agentes envolvidos, na tentativa de provocar maior aderência dos regulados às regras, com ideias de incentivo por punição e por persuasão, conforme pirâmide escalonada de regimes de intervenção. Na base da pirâmide, está a autorregulação, um regime de liberdade de ação, capaz de impulsionar a aderência dos regulados às regras e aos padrões mínimos. A partir daí, ocorrerá uma intervenção regulatória gradativa, a depender do comportamento do regulado, com aplicação de medidas punitivas, das mais brandas às mais drásticas (AYRES e BRAITHWAITE, 1992). Figura 1 – Elementos da Pirâmide Regulatória O modelo piramidal proposto por Ayres e Braithwaite busca favorecer o ator virtuoso, dissuadir o ator irracional e punir o ator irracional (DIAS, 2017), gerando responsabilidade social. Para tanto, são desenhados e utilizados comandos legais apropriados, que normalmente demandam a inclusão de técnicas de enforcement, quais sejam: a punição e a persuasão. A primeira é uma técnica de confronto, muito utilizada na regulação brasileira, aplicada em decorrência de infrações às regras. Utiliza-se a premissa de que os regulados são atores racionais, que somente respondem à incentivos econômicos, devendo ser aplicadas punições severas para dissuadi-los. A outra técnica, conhecida por persuasão ou aconselhamento, enfatiza a cooperação e a conciliação, buscando prevenir prejuízos. O foco é alcançar o objetivo da norma, e não simplesmente punir os infratores após o descumprimento. No caso, permanece a ameaça de punição, mas num plano secundário, que só será utilizada quando todo o resto falhar e o regulado continuar não cooperando. Seguindo a ideia da pirâmide regulatória, os reguladores sempre devem iniciar pela técnica localizada na base. Assim, sendo identificado o cometimento COMMAND REGULATION WITH NONDISCRETIONARY PUNISHMENT COMMAND REGULATION WITH DISCRETIONARY PUNISHMENT ENFORCED SELF-REGULATION SELF-REGULATION 50 Proteção de dados pessoais no Brasil: uma análise da Lei 13.709... (p. 45-58) GARCIA, R. C. de C. Proteção de dados pessoais no Brasil: uma análise da Lei nº 13.709/2018 sob a perspectiva da Teoria da Regulação Responsiva. Revista de Direito Setorial e Regulatório, Brasília, v. 6, nº 2, p. 45-58, outubro 2020. de infração por um agente regulado, o regulador deverá, num primeiro momento, adverti-lo. Se esta primeira resposta regulatória não surtir o efeito desejado, a pirâmide será escalada e outras técnicas mais intervencionistas serão aplicadas, em caráter punitivo crescente, até incapacitar o agente. De igual modo, caso seja constatado que medidas tomadas pelo regulador resultaram em mudanças positivas no comportamento do regulado, ocorrerá o caminho oposto, ou seja, as próximas medidas a serem tomadas terão caráter punitivo e intervencionista inferior àquelas utilizadas previamente. Figura 2 – Pirâmide Regulatória Deste modo, diante da inexistência de métodos ótimos regulatórios, aplicáveis em toda e qualquer situação, a pirâmide regulatória tenta criar uma estrutura dinâmica, na qual o comportamento dos regulados irá determinar a necessidade de uma resposta mais ou menos intervencionista e punitiva. Segundo os autores, a conduta da maioria dos regulados é contraditória e, a depender do contexto, pode estar comprometida com a busca de valores econômicos, com o cumprimento da lei ou com a responsabilidade social do negócio. E, em face da fluidez de comportamento dos regulados, a pirâmide busca modular respostas apropriadas para cada situação. Do mesmo modo, os agentes reguladores também possuem diferentes perfis, e os desastres regulatórios ocorrem quando a personalidade do regulador exigente e não profissional se encontra com a personalidade irresponsável do regulado (AYRES e BRAITHWAITE, 1992). A utilização da pirâmide regulatória, prevendo medidas persuasivas em sua base, busca exatamente evitar tais falhas, possibilitando que personalidades cooperativas se sobressaiam e que o cumprimento das regras ocorra da maneira menos custosa para os envolvidos. LICENSE REVOCATION LICENSE SUSPENSION CRIMINAL PENALTY CIVIL PENALTY WARNING LETTER PERSUASION Proteção de dados pessoais no Brasil: uma análise da Lei 13.709... (p. 45-58) 51 GARCIA, R. C. de C. Proteção de dados pessoais no Brasil: uma análise da Lei nº 13.709/2018 sob a perspectiva da Teoria da Regulação Responsiva. Revista de Direito Setorial e Regulatório, Brasília, v. 6, nº 2, p. 45-58, outubro 2020. Não obstante tais considerações, são diversas as críticas e as propostas de aprimoramento à teoria original, de modo que o próprio Braithwaite introduziu novas ideias em obras mais recentes (BRAITHWAITE, 2011). Dentre as críticas apontadas, vale destacar aquelas relacionadas aos aspectos operacionais envolvidos com a subida ou a descida das camadas da pirâmide. Questiona-se a adequação da escalada passo a passo em situações de riscos elevados, em que a utilização de técnicas de persuasão pode não ser a estratégia mais indicada. De modo equivalente, quando se reconhece o perfil de comportamento indesejado dos regulados, seria mais apropriado partir diretamente para medidas mais duras, situadas em níveis superiores da pirâmide regulatória, sem percorrer os níveis inferiores. Citem-se também as fragilidades relacionadas às situações de ausência ou insuficiência de interação entre reguladores e regulados, tornando difícil ou mesmo inviável a regulação responsiva. Existem ainda as deficiências relacionadas à legalidade da abordagem responsiva, visto o entendimento de que as normas estipulam previamente uma punição a determinada conduta. Logo, qualquer tipo de tratamento diverso pode ser considerado ilegal e inviabilizar a utilização das medidas alternativas. De maneira semelhante, a utilização de respostas individualizadas e adaptadas para cada ator carrega um elevado nível de discricionariedade, o que pode ser interpretado como atuação pouco transparente, parcial e benéfica a determinados atores em detrimento de outros. Por fim, nem sempre estão disponíveis as medidas ou sanções necessárias para que a escalada da pirâmide seja aplicável, já que a regulação responsiva requer um número relevante para que seus efeitos sejam percebidos. Como solução a tais questionamentos, são apresentadas alternativas e evoluções à regulação responsiva de Ayres e Braithwaite, apenas citadas neste artigo, que vão desde pequenos ajustes que possibilitariam contornar as deficiências detectadas, como a Smart Regulation e o Diamante Regulatório, até uma significativa reformulação da ideia, como a Problem-Centered Regulation ou a Meta Regulation. Em trabalhos mais recentes, Braithwaite (BRAITHWAITE, 2011) introduziu o conceito de pyramid of supports, paralela à pirâmide de sanções original, elencando uma série de recompensas aos regulados que superarem os níveis estabelecidos. Concluída a pesquisa sobre os princípios teóricos da regulação responsiva, faz-se, agora, uma análise da Lei Geral de Proteção de Dados Pessoais (LGPD), visando a identificação de possíveis pontos de contato, divergências e/ou ausências com modelo proposto por Ayres e Braithwaite. 52 Proteção de dados pessoais no Brasil: uma análise da Lei 13.709... (p. 45-58) GARCIA, R. C. de C. Proteção de dados pessoais no Brasil: uma análise da Lei nº 13.709/2018 sob a perspectiva da Teoria da Regulação Responsiva. Revista de Direito Setorial e Regulatório, Brasília, v. 6, nº 2, p. 45-58, outubro 2020. O SISTEMA DA PROTEÇÃO DE DADOS PESSOAIS NO BRASIL No estágio atual, com a evolução do Big Data5, da Internet das Coisas e da Inteligência Artificial, a sociedade está marcada por uma nova forma de organização, em que a informação é o elemento principal para o desenvolvimento da economia. Conforme famosa frase, creditada ao matemático britânico Clive Humby6, os dados são o novo petróleo. Essa moderna organização social foi sedimentada em razão da evolução tecnológica, que criou mecanismos capazes de processar e transmitir informações em quantidade e velocidade absurdas. Os relacionamentos sociais foram energizados por um fluxo informacional que não encontra mais obstáculos físicos distanciais (BIONI, 2019). Ainda que essa nova forma não se resuma ao meio ambiente virtual, a Internet é considerada uma ferramenta de destaque desse processo. É uma realidade a questão da vigilância em massa dos cidadãos, via dados disponíveis na Internet, tornando-os cada vez mais transparentes. Neste cenário, o conceito de privacidade teve que ser reinventado, para atender novas demandas por liberdade, autonomia, inovação, valores democráticos e quebras de paradigmas convencionais do mundo físico (SOMBRA, 2019). Diante do pluralismo jurídico global e da recontextualização do direito à privacidade, considerando ainda que os dados pessoais passaram a ditar uma lógica de acumulação de capital para geração de riquezas, e em face dos problemas decorrentes do tratamento inadequado e das distorções, nasceu a necessidade da regulação do setor. Em diversos ordenamentos jurídicos, surgiram leis para o tratamento e a proteção dos dados pessoais dos indivíduos, de forma autônoma, destacando-se, dentre outros aspectos importantes: i) a previsão de uma finalidade específica para o colhimento das informações; ii) o consentimento livre e informado do titular dos dados; iii) o direito de acesso aos dados e a retirada do consentimento pelo titular; e iv) a responsabilidade das empresas sobre a segurança das informações armazenadas. 5Big Data é a área do conhecimento que estuda como tratar, analisar e obter informações a partir de conjuntos de dados grandes demais para serem analisados por sistemas tradicionais. 6Clive Robert Humby é um matemático e empresário britânico, no campo da ciência de dados. Em 2006, Humby cunhou a frase “Data is the new oil”, e apontou que a maior riqueza não está na massa de dados em si, mas na inteligência capaz de organizá -los, e a partir disto extrair descobertas que possibilitarão transformar a realidade das empresas de modo geral. https://pt.wikipedia.org/wiki/Conjunto_de_dados Proteção de dados pessoais no Brasil: uma análise da Lei 13.709... (p. 45-58) 53 GARCIA, R. C. de C. Proteção de dados pessoais no Brasil: uma análise da Lei nº 13.709/2018 sob a perspectiva da Teoria da Regulação Responsiva. Revista de Direito Setorial e Regulatório, Brasília, v. 6, nº 2, p. 45-58, outubro 2020. Segundo tais regramentos, dado pessoal é entendido como a informação relacionada à uma pessoa natural identificada ou identificável (quando identificada, direta ou indiretamente, por referência a um identificador). A título de exemplo, menciona-se que se uma informação de geolocalização, em conjunto com outras informações suplementares, for capaz de identificar um indivíduo, será considerada, neste contexto, como dado pessoal. Depois da General Data Protection Regulation (GDPR), que trata da proteção de dados pessoais nos Estados-Membros da União Europeia, o Brasil passou a ter a sua própria legislação sobre o assunto, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Foram quase oito anos de tramitação do projeto de lei no Congresso Nacional, para a promulgação e a publicação da Lei nº 13.709, em 15 de agosto de 2018. Em princípio, a Lei Geral de Proteção de Dados Pessoais (LGPD) entrará em vigor em agosto de 2020, e as empresas que realizam quaisquer operações de tratamento de dados pessoais (coleta, armazenamento, uso e transferência), inclusive nos meios digitais, no território nacional, deverão se adequar às suas disposições. Antes da Lei nº 13.709/2018, a tutela da privacidade e proteção dos dados pessoais encontrava respaldo no Código de Defesa do Consumidor7 (Lei nº 8.078/90) e no Marco Civil da Internet (Lei nº 12.965/14). Relativamente à proteção dos dados pessoais do consumidor, preconizada no CDC, e que inspirou a modernização da legislação civil pátria, Laura Schertel Mendes aponta: “o direito básico do consumidor à proteção de dados pessoais envolve uma dupla dimensão: (i) a tutela da personalidade do consumidor contra os riscos que ameaçam a sua personalidade em face da coleta, processamento, utilização e circulação dos dados pessoais e (ii) a atribuição ao consumidor da garantia de controlar o fluxo de seus dados na sociedade” (MENDES, 2016). Com o mundo conectado em rede, surgiu, no país, o Marco Civil da Internet, que passou a declarar a proteção de dados pessoais como fundamento para uso da internet. A propósito, cite-se o disposto no artigo 11 da mencionada lei, que estabelece que qualquer tratamento de dados pessoais que seja processado no Brasil, ainda que parcialmente, ou cujos dados sejam meramente coletados por meio de um terminal localizado dentro do território, deve obrigatoriamente se submeter à legislação brasileira: 7Lei nº 8.078/1990 – Código de Defesa do Consumidor, de 11 de setembro de 1990, publicada no Diário Oficial da União, Seção 1, em 12 de agosto de 1990. 54 Proteção de dados pessoais no Brasil: uma análise da Lei 13.709... (p. 45-58) GARCIA, R. C. de C. Proteção de dados pessoais no Brasil: uma análise da Lei nº 13.709/2018 sob a perspectiva da Teoria da Regulação Responsiva. Revista de Direito Setorial e Regulatório, Brasília, v. 6, nº 2, p. 45-58, outubro 2020. “Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros”. Bruno Bioni afirma que, historicamente, a proteção de dados pessoais tem sido compreendida como o direito de o indivíduo autodeterminar as suas informações pessoais, fazendo com que, por meio do consentimento, o cidadão emita autorizações sobre o fluxo dos seus dados pessoais, controlando-os (BIONI, 2019). LEI Nº 13.709/2018 SOB A ÓTICA DA REGULAÇÃO RESPONSIVA Conforme apresentado em tópico acima, um dos objetivos da Teoria da Regulação Responsiva é fugir do dilema entre a intensificação da regulação e a ausência da regulação, partindo para um processo de cooperação entre regulador e regulado, no qual o diálogo entre as partes contribui efetivamente para a aderência às normas. A Teoria Responsiva propõe envolver diversos grupos de interesse, que devem ser trazidos para o jogo da decisão regulatória. E, de certa forma, isso ocorreu já na fase do anteprojeto brasileiro de proteção de dados, com a realização de consultas públicas pelo Ministério da Justiça8, que permitiram uma discussão ampla e a colaboração de vários atores interessados na sua regulamentação. E na abordagem da legislação da proteção dos dados pessoais, verificam- se também algumas disposições neste sentido, de diálogo e cooperação entre as partes, como, por exemplo, a previsão contida no artigo 5º, que dispõe sobre o encarregado ou Data Protection Officer (DPO), que será o canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).De igual forma, o artigo 50 da Lei nº 13.709/2018 prevê: “Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de 8O debate buscou promover a participação da sociedade brasileira na elaboração do anteprojeto de lei para proteção de dados pessoais, por meio da formulação de comentários e sugestões sobre o texto proposto. Proteção de dados pessoais no Brasil: uma análise da Lei 13.709... (p. 45-58) 55 GARCIA, R. C. de C. Proteção de dados pessoais no Brasil: uma análise da Lei nº 13.709/2018 sob a perspectiva da Teoria da Regulação Responsiva. Revista de Direito Setorial e Regulatório, Brasília, v. 6, nº 2, p. 45-58, outubro 2020. mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.” Neste contexto, algumas empresas brasileiras, antes mesmo da vigência da Lei nº 13.709/2018, já criaram, voluntariamente, manuais de procedimentos internos, de boas práticas e governança, objetivando a implementação da cultura de preservação dos dados pessoais e de proteção da privacidade dos seus usuários. Os agentes regulados também têm buscado a capacitação de profissionais para o tratamento dos dados pessoais e o investimento em soluções tecnológicas para a segurança da informação. São estratégias que indicam elementos de responsividade na regulação da proteção da privacidade e do tratamento dos dados pessoais, com foco na adequação à Lei Geral de Proteção de Dados Pessoais (LGPD). Não obstante, e a título de mera informação, uma pesquisa recente, lançada pelo Serasa Experian9, aponta que 85% das empresas brasileiras ainda não estão preparadas para garantir os direitos e deveres em relação ao tratamento de dados pessoais exigidos pela Lei Geral de Proteção de Dados. O segundo ponto destacado como essencial à regulação responsiva é a presença de uma pirâmide regulatória escalonada. E a Lei nº 13.709/2018 favorece um ambiente de autorregulação imposta, cumulada com a obediência de normas específicas de natureza compulsória, a demonstrar uma aproximação com o modelo piramidal proposto por Ayres e Braithwaite. A escalada da intervenção regulatória vai depender do comportamento do regulado e dos resultados obtidos. Propõe-se, em primeiro lugar, a aplicação de medidas de persuasão, apelando-se para as dissuasórias apenas subsidiariamente e quando a resposta do regulado não for suficiente para o alcance do resultado regulatório pretendido. Ou seja, a interação entre o ente estatal e as empresas irá determinar o tipo de ação a ser tomada, baseando-se no custo, no risco e no comportamento do regulado, refletindo responsividade. Não se pode ignorar que a não obediência das normas, por parte dos regulados, pode levar a um escalonamento de sanções, da advertência até a multa de até 2% do faturamento da pessoa jurídica de direito privado, limitada a R$ 50.000.000,00 (cinquenta milhões de reais). Cite-se que a LGPD também apresenta afastamentos do modelo teórico da regulação responsiva, especialmente na ausência de um regime sem interferência estatal. Pela cultura regulatória brasileira de proteção de dados, em fase de amadurecimento mas sob forte influência do regime europeu, o direito 9Pesquisa publicada em 08 de agosto de 2019, em www.serasaexperian.com.br http://www.serasaexperian.com.br/ 56 Proteção de dados pessoais no Brasil: uma análise da Lei 13.709... (p. 45-58) GARCIA, R. C. de C. Proteção de dados pessoais no Brasil: uma análise da Lei nº 13.709/2018 sob a perspectiva da Teoria da Regulação Responsiva. Revista de Direito Setorial e Regulatório, Brasília, v. 6, nº 2, p. 45-58, outubro 2020. fundamental à privacidade e à proteção dos dados pessoais revela-se protegido por meio de legislação e de fiscalização abrangentes. CONCLUSÃO A governança de atividades desempenhadas para a proteção dos dados pessoais é bastante complexa. Tem-se a intervenção de diversos agentes, de natureza pública e privada, em contexto de globalização e acelerada evolução tecnológica, com múltiplos fatores a serem observados, como a discussão quanto aos limites territoriais e a recontextualização do direito à privacidade em face da vigilância em massa. Não considerar tais aspectos pode sugerir uma desconexão da proposta regulatória com o cenário abordado, com possível impacto na efetividade e na aderência da regulação. A estratégia regulatória brasileira para o tratamento e a proteção dos dados pessoais e da privacidade revela alguns aspectos teóricos de regulação responsiva, na visão da pirâmide escalonada de Ayres e Braithwaite (1992), aqui tratada. Valendo-se de uma análise inicial do mercado, mesmo em fase embrionária, é possível identificar possíveis elementos de autorregulação (forçada), diálogo, colaboração e responsabilidade dos agentes, em conformidade com os objetivos da regulação estatal. Por exemplo, algumas empresas brasileiras, antes mesmo da vigência da Lei nº 13.709/2018, mas sob a influência da implementação da General Data Protection Regulation (GDPR) na União Europeia, além do receio sancionatório de pesadas multas por descumprimento, criaram manuais de procedimentos internos, de boas práticas e governança, objetivando a implementação da cultura de preservação dos dados pessoais e de proteção da privacidade dos seus usuários. De igual forma, parte dos agentes regulados têm buscado: i) a capacitação de profissionais para o tratamento dos dados pessoais, como é o caso do encarregado ou Data Protection Officer, nos termos do artigo 5º da LGPD, que será o canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados; e também ii) o investimento em soluções tecnológicas diversas para a segurança da informação. Obviamente que a Lei Geral de Proteção de Dados Pessoais também apresenta afastamentos do modelo da regulação responsiva, especialmente na ausência de um regime sem interferência do Estado. De fato, no contexto atual, os padrões mínimos para a proteção da privacidade e do tratamento dos dados pessoais dos usuários resultam de Proteção de dados pessoais no Brasil: uma análise da Lei 13.709... (p. 45-58) 57 GARCIA, R. C. de C. Proteção de dados pessoais no Brasil: uma análise da Lei nº 13.709/2018 sob a perspectiva da Teoria da Regulação Responsiva. Revista de Direito Setorial e Regulatório, Brasília, v. 6, nº 2, p. 45-58, outubro 2020. ingerência regulatória estatal, por meio de normas de comando e controle, com aplicação de punições em caso de transgressão. Se o modelo brasileiro, ainda não concretizado, terá condições de compreender a policontextualidade do processo regulatório e realmente admitirá manifestações espontâneas do direito para além da regulação estatal, é algo que demandará tempo e experiências práticas. Por enquanto, tem-se apenas evidências empíricas em outros setores regulados, e ferramentas características da regulação responsiva na legislação da proteção dos dados pessoais. É necessário continuar avançando, por meio do emprego de outras estratégias de responsividade, a fim de se obter um aprimoramento da atuação regulatória no país. REFERÊNCIAS BIBLIOGRÁFICAS ANDRADE, Natália Resende. Regulação Responsiva no Setor de Águas: Propostas de Aperfeiçoamento do Desenho Regulatório Responsivo Brasileiro. Journal of Law and Regulation, v. 4, n. 2, p. 41-60, 2018. ARANHA, Márcio Iorio. Manual de Direito Regulatório. Londres: Laccademia, 5ª ed, 2019. AYRES, Ian; BRAITHWAITE, John. Responsive Regulation: Transcending the Deregulation Debate. Oxford University Press, USA, 1992. BALDWIN, Robert; BLACK, Julia. Really Responsive Regulation. The modern law review, v. 71, n. 1, p. 59-94, 2008. BIONI, Bruno Ricardo. Proteção de Dados Pessoais: A função e os Limites do Consentimento. Forense, 2019. BRAITHWAITE, John. The Essence of Responsive Regulation. UBC Law Review, Vancouver, v. 44, p. 475 - 520, 2011. BRAITHWAITE, John. Responsive Regulation and Developing Economies. World Development, v. 34, n. 5, p. 884 – 898, 2006. DIAS, Patricia Yurie. Regulação da Internet como Administração da Privacidade. Journal of Law and Regulation, v. 3, n. 1, p. 239-254, 2017. DONEDA, Danilo. Da Privacidade à Proteção de Dados Pessoais. Rio de Janeiro: Renovar, 2006. 58 Proteção de dados pessoais no Brasil: uma análise da Lei 13.709... (p. 45-58) GARCIA, R. C. de C. Proteção de dados pessoais no Brasil: uma análise da Lei nº 13.709/2018 sob a perspectiva da Teoria da Regulação Responsiva. Revista de Direito Setorial e Regulatório, Brasília, v. 6, nº 2, p. 45-58, outubro 2020. GUNNINGHAM, Neil; GRABOSKY, Peter. Smart Regulation: Designing Environmental Policy. Oxford: Clarendon Press, 1998. KOLIEB, Jonathan. When to Punish, When to Persuade and When to Reward: Strengthening Responsive Regulation with the Regulatory Diamond. Monash University Law Review, v. 41, n. 1, p. 136-162, 2015. MENDES, Laura Schertel. O Diálogo entre o Marco Civil da Internet e o Código de Defesa do Consumidor. Revista de Direito do Consumidor, 105, 1- 30, 2016. MENDES, Laura Schertel. O Direito Fundamental à Proteção de Dados Pessoais. Revista de Direito do Consumidor, 79, 45-81, 2011. MENDES, Laura Schertel. Privacidade, Proteção de Dados e Defesa do Consumidor: Linhas Gerais de um Novo Direito Fundamental. São Paulo: Saraiva, 2014. SILVA, João Marcelo Azevedo Marques Mello da. A Regulação Responsiva das Telecomunicações: Novos horizontes para o Controle de Obrigações pela Anatel. Revista de Direito, Estado e Telecomunicações, v. 9, n. 1, 2017. SOMBRA, Thiago Luís Santos. Fundamentos da Regulação da Privacidade e Proteção de Dados Pessoais: Pluralismo Jurídico e Transparência em Perspectiva. São Paulo: Thomson Reuters Brasil, 2019. Journal of Law and Regulation Revista de Direito Setorial e Regulatório Contact: Universidade de Brasília - Faculdade de Direito - Núcleo de Direito Setorial e Regulatório Campus Universitário de Brasília Brasília, DF, CEP 70919-970 Caixa Postal 04413 Phone: +55(61)3107-2683/2688 E-mail: ndsr@unb.br Submissions are welcome at: https://periodicos.unb.br/index.php/RDSR mailto:ndsr@unb.br https://periodicos.unb.br/index.php/RDSR