O gorila e a loja de lustres

Não é mais novidade para ninguém que a lei mais polêmica dos últimos tempos
está na iminência de entrar em vigor nos próximos dias. Não está nem um pouco
fácil acompanhar a linha do tempo da Lei Geral de Proteção de Dados (LGPD).
Ademais, ao que tudo indica, há uma probabilidade considerável de que alguns
prognósticos sombrios realizados pelos autores em outras oportunidades
materializem-se.

Entre eles, vale mencionar uma hermenêutica da lei capenga pela falta de
regulamentação infralegal por parte da ANPD[1]
uma enxurrada de ações
indenizatórias de danos morais in re ipsa por violações à LGPD e associações civis
de “porta de data center” a espreita com pedidos aventureiros e temerários contra
empresas expostas e com o bolso fundo.[2]
No mise-en-scène deste lme de terror com elementos da física quântica, que mais
parece uma produção conjunta dos Stephens – o Hawking e o King –, limitaremos
este texto a uma dura e sincera advertência: os PROCONs não podem promover o
enforcement da LGPD. E é com essa premissa que levaremos o leitor a concluir, por
A + B, que o órgão de defesa do consumidor é incapaz de fazê-lo.

Você deve se lembrar do FaceApp, aquele aplicativo que, no ano passado, deixou os
usuários novos e velhos, e, neste ano, voltou com a feature de mudança de gênero.
Pois bem. No nal de 2019, o PROCON multou a Google e a Apple nos valores de R$
9.964.615,77 e R$ 7.744.320,00, respectivamente por condutas perpetradas
exclusivamente pelo FaceApp; na verdade, as empresas autuadas somente
disponibilizam o aplicativo de edição de fotos em suas lojas virtuais.
Como provedores de aplicação, Google e Apple somente poderiam ser
responsabilizados “por danos decorrentes de conteúdo gerado por terceiros” se, após
ordem judicial especíca, não tomassem as providências para “(…) tornar
indisponível o conteúdo apontado como infringente, ressalvadas as disposições legais
em contrário“, tal como previsto ipsis litteris pelo artigo 19 do Marco Civil da Internet.
Não é outra a interpretação do Superior Tribunal de Justiça na forma dos
precedentes REsp 1.501.603/RN, REsp 1.698.647/SP, AgRg no AREsp 730.119/RJ,
AgInt nos EDcl no REsp 1.402.112/SE, entre reiterados outros.
[4]

Com a LGPD não está sendo diferente. Em maio deste ano, o PROCON do estado de
São Paulo noticou a rede social TikTok para exigir esclarecimentos sobre a forma
como a qual a empresa lida com dados pessoais dos seus usuários[5]
.
Escorando-se nos dispositivos da LGPD e aproveitando-se da ausência de uma
Autoridade Nacional de Proteção de Dados, o PROCON realizou uma série de
questionamentos sobre (i) os critérios para disponibilização da plataforma para
usuários; (ii) o processo de obtenção do consentimento dos representantes legais
dos menores de idade; (iii) a forma de armazenamento e delegação de dados
pessoais; (iv) a transparência sobre quais tipos de dados são coletados; (v) a coleta
de dados sensíveis; e (vi) o compartilhamento de informações pessoais e sensíveis
dos usuários da rede social[6]
.
Embora aparente legítima a preocupação com a proteção dos dados pessoais e a
privacidade dos usuários do aplicativo, sobretudo de crianças, chamou atenção não
só o fato de o PROCON ter tomado iniciativas antes da entrada em vigor da lei em
um momento profunda crise sanitária, mas principalmente a gritante extrapolação

de competência do órgão em tratar a LGPD como uma extensão do CDC. Se há
alguma abusividade, absit iniuria verbo, ela diz respeito unicamente à atuação ilícita
do PROCON.
Com efeito, se antes da entrada em vigor da lei de proteção de dados o PROCON já
meteu os pés pelas mãos, muitas empresas devem temer ser alvo de sua
scalização a partir da sanção ou veto do Presidente da República – o sinal verde
para a vigência da LGPD.
Justamente diante desse cenário é que cabem considerações e críticas à atuação
desmedida do PROCON, o qual deve se limitar à defesa e proteção em matéria
consumerista prevista no CDC (Decreto nº 2.181/97, art. 4º) por força do princípio
da legalidade. Isso implica dizer que qualquer scalização, com a consequente
aplicação de sanção administrativa, jamais pode se dar por outro motivo que não a
violação a direito do consumidor, eis que essa medida extrapolaria o escopo de sua
competência. Com o perdão pela repetição, o PROCON, como órgão da
Administração Pública, deve respeitar integral e literalmente todas as leis em vigor
na República Federativa do Brasil. O órgão não pode ignorar o sistema jurídico
brasileiro e agir como se o CDC fosse a única norma a qual ele devesse prestar
deferência.
A questão é lógica muito antes de ser jurídica. O PROCON, assim como qualquer
órgão integrante da Administração Pública, não pode fugir de suas funções
institucionais, debruçando-se sobre matéria que não detém conhecimento técnico e
especializado por força do princípio da eciência. Nas palavras do professor
Gustavo Binenbojm, hoje, o princípio da separação de poderes implica em uma
divisão de funções especializadas, delimitando jurídica e funcionalmente a atuação
da Administração Pública e dos órgãos jurisdicionais[7]
.
Frente a esse cenário de incertezas e receios de que o PROCON tome as rédeas da
scalização do cumprimento da LGPD, as empresas devem estar preparadas para
frear essa gritante usurpação de competência pelo órgão de proteção do
consumidor. Nesse sentido, o grande contraponto que se coloca à essa atuação
está traduzido na teoria das capacidades institucionais, a qual indica os limites
funcionais da atuação dos órgãos administrativos, legislativos e jurisdicionais.
A proposta desta teoria, que cai como uma luva como forma de resistência à
atuação scalizatória do PROCON na LGPD, é de que, no momento da tomada de
decisão, deve-se levar em consideração a capacidade da instituição responsável
sobre o assunto
[8]. Isso implica dizer que determinadas instituições são mais
capacitadas do que outras para resolver determinados assuntos.

Para tornar mais claro aquilo que se aduz aqui, vale trazer a reexão feita por
Marcus Abraham, Diana Castro e Edenilson Farias. Por vezes, o Congresso Nacional
e a Presidência da República podem oferecer uma resposta melhor a determinado
problema do que o Poder Judiciário, detendo, portanto, maior capacidade
institucional “em virtude de sua expertise técnica e de sua habilidade para lidar com o
elemento político envolvido”
[9]
.
Objetivamente, o argumento das capacidades institucionais pressupõe uma
determinada concepção de separação de poderes e de desenho institucional, de
modo que se tenha nítida a ideia de que diferentes funções devem ser alocadas aos
órgãos que possam melhor exercê-las, dado o seu conhecimento técnico. Nesse
panorama, então, a Constituição da República distribui competência e poderes entre
instituições especícas para promover certos objetivos, do que surge a presunção
de “suas decisões são adequadas para os problemas que ela é chamada a
solucionar.”
[10]
Essa mesmíssima teoria deve ser respeitada no âmbito do direito administrativo
sancionador, mais especicamente quando da aplicação de sanção por órgão
integrante da Administração Pública; anal, a constatação de infração e posterior
aplicação de penalidade implica que a entidade seja dotada da devida capacidade
institucional sobre determinado setor
[11]
.
Com efeito, voltando os olhos para o preocupante cenário que aqui se analisa,
embora não ainda constituído, o órgão institucionalmente competente para scalizar
e aplicar sanções em caso de descumprimento da LGPD é, indubitavelmente, a
ANPD
[12], cuja criação está prevista em seu art. 55-A
[13]
.
Os incisos I e IV do art. 55-J derrubam qualquer dúvida quando à competência da
autoridade nacional, que, entre outras, consiste em “zelar pela proteção dos dados
pessoais, nos termos da legislação”, bem como “scalizar e aplicar sanções em caso
de tratamento de dados realizado em descumprimento à legislação, mediante
processo administrativo que assegure o contraditório, a ampla defesa e o direito de
recurso”.
E o art. 55-K coloca uma pá de cal sobre a discussão ao dispor que a “aplicação das
sanções previstas [na LGPD compete] exclusivamente à ANPD, e suas competências
prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências
correlatas de outras entidades ou órgãos da administração pública.” É também nesse
mesmíssimo sentido que dispõe o artigo 2º do Decreto nº 10.474/20, que constitui a

ANPD, sobre as atribuições exaurientes do novo órgão em matéria de proteção de dados e privacidade. Devemos ter muito claro que o Legislador previu a ANPD como órgão competente para scalizar as obrigações contidas na LGPD e, por outro lado, que o PROCON não possui competência institucional para tratar de proteção de dados pessoais e privacidade. Com o perdão do truísmo, a dinâmica das leis, a distribuição de competências e a organização da Administração Pública em órgãos especializados não são aleatórias. Este texto se fez necessário, pois a Secretaria Nacional de Defesa do Consumidor (SENACON), vinculada ao Ministério da Justiça, deixou bem claro que os PROCONs aplicarão multas fundamentadas na LGPD[14] e, na mesma linha, o PROCON-SP anunciou, sem ruborizar que já estava recebendo reclamações referentes à proteção de dados desde o início do ano. Com frequência, aquilo que é óbvio precisa ser dito a plenos pulmões: o PROCON não pode, a seu bel prazer, atropelar a sistemática prevista para scalização da lei. Não pode o órgão se imiscuir em assunto que extrapola a sua capacidade institucional e, nesse sentido, as regras da experiência já escancaram a sua completa incapacidade institucional para fazê-lo: o PROCON age como um gorila numa loja de lustres quando extrapola sua estreita função.

Fonte: Jota

Comentários

Comentários