Autorregulação vs Certificação

Autorregulação vs Certificação. Cada vez mais vimos escutando no mercado sobre a quantidade reduzida de servidores, atualmente, trinta e seis, na Autoridade Nacional de Proteção de Dados (ANPD) e sobre o imenso desafio que será atender as suas competências. Dentre essas competências, podemos destacar a fiscalização e aplicação de sanções, em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso.

Contudo, é importante visitarmos o texto do art. 55-J, da Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, que estabelece as principais competências da ANPD, e destas evidenciamos as seguintes:

Diretrizes: Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
Fiscalização e sanções: Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
Disseminação de conhecimento: Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
Padrões: Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
Acordos de Cooperação: Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
RIPD: Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD;
Audiências Publicas: Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
Instrumentos Infralegais: Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à Lei;
Deliberações: Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos;
Outros atores: Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
Reclamações: Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD.

No que se refere às sanções que poderão ser aplicadas pela ANPD, a Lei nº 14.010, de 10 de junho de 2020 postergou-as para 1º de agosto deste ano, daqui a pouco menos que duas semanas. Tais sanções costumam ser foco de muita preocupação nas organizações. Mas, é de extrema importância lembrarmos que, no Brasil, há uma atuação conjunta, em diversos níveis de atribuições e com destaque para:

PROCON – Esferas Administrativas. Dependerá da estrutura legal de cada ente federativo;
SENACON – Processos Administrativos ligados a consumidor;
MP – Judiciário. Ações judiciais ou danos morais coletivos, etc;
Agências Reguladoras: o ideal sera que estas Agências coordenem normatizações únicas, em conjunto com a ANPD.

Trouxemos o General Data Protection Regulation (GDPR), regulamento vigente na União Europeia (EU), mas o sistema Brasileiro é muito mais parecido com o norte-americano. Trata-se do modelo jurídico que optamos. Lá nos EUA, tem por exemplo, o Federal Trade Comission (FTC) multando Facebook, Google; Procuradores Gerais dos Estados com investigações, em mais de quarenta Estados americanos, com investigações contra Big Techs; investigações no Congresso Americano com relação a Apple, Google, Facebook e Amazon. Os EUA têm Agências Estaduais, Federais e Autoridades de Proteção de Dados Estaduais, Procuradoria dos Estados e demais atores debruçados sobre uma mesma matéria. Sendo assim, no que se refere à privacidade e proteção de dados, pelo o mundo, é indiscutível a competência concorrente, a multiplicidade de atores, contudo é importante que sempre haja um diálogo das forças, a fim de evitar uma insegurança jurídica.

A ANPD vem se manifestando publicamente que adotará uma abordagem mais estratégica, ou seja, uma abordagem responsiva, baseada em teorias mais modernas de regulação. Onde o órgão sai da abordagem comando/controle para uma abordagem mais gradual, ou seja, que responde ao comportamento do regulado. Ou seja, uma atuação proativa baseada no monitoramento de setores, onde estão os maiores problemas, isto é, os setores mais complicados.

O modelo de regulação responsiva sugere a adoção de incentivos entre as transgressões à LGPD e seu tratamento de acordo com a sua gravidade. Com isso, espera-se que os incentivos motivem os regulados a manterem um comportamento adequado. Contudo, é claro que a ANPD poderá atuar fundamentada em ofício, e ir direto para a repressão, isto é, no modelo convencional de regulamento versus processo sancionador. Num geral, o modelo de regulação responsiva pode ser desmembrado em:

Acolhimento e tratamento de requerimentos;
Chega-se a indicadores de onde estão as áreas mais sensíveis;
Criação de mapas;
Estratégia de Fiscalização;
Monitoramento;
Orientações: conscientização/ orientação;
Atividades Preventivas;
Atividades com cunho preventivo, reparatório;
Etapa repressiva, com caráter punitivo, sancionador.

Visto todo o exposto, eis que surgem no mercado os termos autorregulação e certificação relacionados à ANPD. E, isso é perfeitamente razoável, considerando é claro, as devidas condições de contorno. A autorregulação, a certificação ou a adoção de ambas, podem auxiliar a ANPD no processo de regulação/ fiscalização.

Sobre a regulação, autorregulação e certificação.

É importante fazermos a distinção entre a regulação estatal, também conhecida como heterorregulação e a regulação privada, a qual é atribuída o termo autorregulação. De igual importância é necessário entendermos que sob a ótica teórica não é trivial definir o que seja regulação. Contudo, ela pode ser descrita como o instrumento utilizado pelo Estado na ordenação e organização dos mercados.

Segundo a Organização para a Cooperação e Desenvolvimento Econômico (OCDE, 1997), podemos adotar ainda a visão de que existem ao menos três formas de regulação: a econômica, que interfere diretamente nas relações de mercado; a social, que protege os interesses públicos, tais como meio ambiente e segurança; e a administrativa, que são regras por meio das quais os governos coletam informações e intervêm em decisões econômicas individuais.

Os termos ‘regulação’, ‘heterorregulação’ e ‘autorregulação’ são empregados com variações de sentido pela doutrina especializada. Segundo Alexandre Santos de Aragão, podemos distinguir a regulação lato sensu da economia em:

regulação estatal: feita pelas regras emitidas por órgãos do próprio Estado, mesmo que deles
participem representantes de organismos intermédios da sociedade;
regulação pública não-estatal: feita por entidades da própria sociedade, mas por delegação ou
por incorporação das suas normas ao ordenamento jurídico estatal;
a regulação privada: levada a cabo autonomamente por instituições privadas, geralmente
associativas, em qualquer delegação ou chancela estatal;
desregulação: consistente na ausência de regulação institucionalizada, pública ou privada, ficando
os agentes sujeitos apenas ao livre desenvolvimento do mercado.

Autorregulação

Ainda hoje, há pessoas que associam o conceito de autorregulação à ausência de regulação. A autorregulação aqui tratada refere-se à autorregulação em um sentido mais amplo (latu sensu) que corresponde ao âmbito da autonomia privada. Independente da opção ser autorregulação, certificação ou nenhuma delas, as opções exigem análise crítica bem fundamentada sobre suas vantagens, desvantagens e riscos, além da observância dos limites impostos pela legislação brasileira, pelos instrumentos infralegais dos órgãos competentes e os relacionados aos modelos de bases contratuais.

A partir de todo o exposto, a autorregulação pode fornecer um instrumental interessante para a Sociedade Brasileira, ANPD e demais partes interessadas na disciplina privacidade e proteção de dados. Resta perquirir se a solução mais indicada é a substituição da intervenção estatal pela autorregulação, certificação ou a atuação complementar das três espécies.

A autorregulação possui três pontos relevantes, a saber:

É importante que entendamos a autorregulação como a imposição de regras desenvolvidas pelos próprios regulados. É importante, aqui, ressaltar a sua natureza obrigatória;
A autorregulação é um fenômeno coletivo, fruto de uma organização estabelecida para tal fim, que não pode ser confundida com normas individuais e específicas de autodisciplina;
Em terceiro, como já mencionado, seu caráter privado e não estatal.

Sendo assim, é importante consolidarmos nosso entendimento de autorregulação como arranjo especial para que as atividades regulatórias se desenvolvam. É relevante que nos afastemos da teoria clássica de autorregulação, no sentido de livre iniciativa e ausência de regulação externa sobre as forças de determinado mercado.

Certificação

Não é novidade que a ANPD não é uma Agência Reguladora, mas já está caminhando para tornar-se uma. Além disso, principalmente pelo fato da baixa quantidade de servidores, em Agências Reguladoras, para fiscalizações, temos exemplos como o da Agência Nacional do Petróleo, Gás Natural e Biocombustíveis (ANP), e da Agência Nacional de Telecomunicações (ANATEL), no que se refere ao credenciamento/ acreditação de entidades para certificação, as chamadas Certificadoras, ou Organismos de Certificação.

Podemos definir certificação como a certificação de produtos, processos, serviços, sistemas de gestão e pessoal é, por definição, realizada por terceira parte, ou seja, por uma organização independente, comumente chamada de certificadoras, mas que também podem ser referidas como Organismos de Certificação de Conteúdo Local, Organismos de Certificação de Produto, Organismo de Certificação Designado dentre outros.

O produto final do serviço de uma certificadora é um Certificado de Conformidade. Estes certificados estão atrelados a auditorias de conformidade. O que ocorre é que já houve casos de Agências Reguladoras que não regulamentaram de maneira específica os procedimentos e controles das atividades de certificação, o que acarretou baixíssima qualidade associadas aos processos em questão, acarretando revisões futuras e onerosas para o mercado. Ou seja, é de extrema importância que as dificuldades em relacionar o processo de certificação vinculado à ANPD, por exemplo, seja traduzido em um sistema comparável ao Sistema de Gestão da Qualidade (SGQ), para que não haja inviabilidade do sistema de certificação no âmbito da privacidade e proteção de dados, a longo prazo.

Cabe aqui ressaltar que ainda não há iniciativas da ANPD destinadas ao reconhecimento ou à validação de organizações públicas ou privadas para a oferta de certificações de conformidade ou de serviços de assessoria e consultoria relativos à LGPD. Até o momento, a ANPD também não firmou parceria nem credenciou/ acreditou instituições com essas finalidades.

Conclusão:

Muito ainda precisa ser debatido com relação ao tema exposto neste artigo. Contudo, princípios como interesse público, confiabilidade, eficiência do mercado, competitividade e liberdade de atuação no mercado, precisam ser levados em consideração. O tema acarreta inúmeros subtópicos, mas a fim evitar textos demasiadamente longos, abordarei estes, em matérias futuras, como por exemplo sobre a certificação.

Convém que os debates futuros considerem os Programa de Acreditação de avaliação da conformidade, relacionados ao INMETRO, por um organismo de certificação. A fim de que este organismo esteja apto a realizar auditorias de conformidade de 3ª parte e, caso os seus clientes estejam conformes, emitir um certificado com base na norma ABNT NBR ISO/IEC 27701:2019.

Referências Bibliográficas:

ARAGÃO, Alexandre Santos de. O conceito Jurídico de Regulação da Economia. Revista de Revista de Direito Mercantil, Industrial, Econômico e Financeiro, São Paulo, n. 122, abril-junho/2001.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 19011: Diretrizes para auditoria de sistemas de gestão. Rio de Janeiro: ABNT, 20180.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 29100: Tecnologia da informação — Técnicas de segurança — Estrutura de Privacidade. Rio de Janeiro: ABNT, 2020.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR 27701: Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes. Rio de Janeiro: ABNT, 2019.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 20 jul. 2021.

BRASIL. Lei nº 13.874, de 20 de setembro de 2019. Brasília, DF: Presidência da República, [2019]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/Lei/L13874.htm. Acesso em: 20 jul. 2021.

CAMPOS, Humberto Alves. Falhas de Mercado e Falhas de Governo: uma revisão da literatura sobre regulação econômica. Prismas: Dir., Pol. Pub. e Mundial. Brasília, v. 5, n. 2, p. 341-370, jul./dez. 2008. Disponível em: http://www.regulacao.gov.br/publicacoes/artigos/prismas-regulacao-economica. Acesso em: 20 jul. 2021.

GOV.BR; AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Perguntas Frequentes – ANPD. Disponível em: https://www.gov.br/anpd/pt-br/acesso-a-informacao/perguntas-frequentes-2013-anpd#e7. Acesso em: 20 jul. 2021.

GRAJZL, Peter; MURRELL, Peter. Allocating Lawmaking Powers: Self-Regulation vs. Government Regulation. 3 nov. 2005. Disponível em: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=870888. Acesso em 26 mai. 2011.

INSTITUTO NACIONAL DE METROLOGIA, QUALIDADE E TECNOLOGIA. NIE-CGCRE-140 Rev. nº 23. Preços dos serviços de acreditação de organismos de certificação e de inspeção. abr 2019.

INSTITUTO NACIONAL DE METROLOGIA, QUALIDADE E TECNOLOGIA. NIT-DICOR-001 Rev. nº 30. Procedimento utilizado na concessão, manutenção, extensão, redução, suspensão e cancelamento da acreditação dos organismos de certificação, verificação de desempenho de produto e de verificação de inventários de gases de efeito estufa. mai 2019.

INSTITUTO NACIONAL DE METROLOGIA, QUALIDADE E TECNOLOGIA. NIT-DICOR-024 Rev. no 13. Critérios para a acreditação de organismo de certificação de produto e de verificação de desempenho de produto. mai 2018.

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC FDIS 17029 – Conformity assessment – General principles and requirements for validation and verification bodies. Disponível em: https://www.iso.org/standard/29352.html. Acesso em: 20 jul. 2021.

MENDES, Conrado Hübner. Reforma do Estado e Agência Reguladoras: Estabelecendo os Parâmetros de Discussão. Direito Administrativo Econômico. São Paulo: Malheiros/SBDP, 2000.

MOREIRA, Vital. Auto-regulação Profissional e Administração Pública. Coimbra: Almedina, 1997.

OECD Guidelines for Multinational Enterprises. Disponível em http://www.oecd.org/dataoecd/43/29/48004323.pdf. Acesso em: 20 jul. 2021.

Agências Reguladoras Amazon ANPD art. 55-J Autorregulação Certificação EUA Facebook Fiscalização FTC GDPR heterorregulação’ Lei nº 13.709/2018 LGPD MP Política Nacional de Proteção de Dados Pessoais e da Privacidade PROCON regulação sanções SENACON

Name	Domain	Purpose	Expiry	Type
wpl_user_preference	www.acpdbrasil.com	WP GDPR Cookie Consent Preferences	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	53 years	HTTP

Name	Domain	Purpose	Expiry	Type
__gads	acpdbrasil.com	Google advertising cookie set on the websites domain (unlike the other Google advertising cookies that are set on doubleclick.net domain). According to Google the cookie serves purposes such as measuring interactions with the ads on that domain and preventing the same ads from being shown to you too many times.	1 year	HTTP
VISITOR_INFO1_LIVE	youtube.com	YouTube cookie.	6 months	HTTP

Name	Domain	Purpose	Expiry	Type
_ga	acpdbrasil.com	Google Universal Analytics long-time unique user tracking identifier.	2 years	HTTP
_gid	acpdbrasil.com	Google Universal Analytics short-time unique user tracking identifier.	1 days	HTTP
__utma	acpdbrasil.com	Google Analytics long-term user and session tracking identifier.	2 years	HTTP
__utmc	acpdbrasil.com	Legacy Google Analytics short-term technical cookie used along with __utmb to determine new users sessions.	53 years	HTTP
__utmz	acpdbrasil.com	Google Analytics campaign and traffic source tracking cookie.	6 months	HTTP
__utmv	acpdbrasil.com	Google Analytics tracking cookie.	2 years	HTTP
__utmt	acpdbrasil.com	Google Analytics technical cookie used to throttle request rate.	Session	HTTP
IDE	doubleclick.net	Google advertising cookie used for user tracking and ad targeting purposes.	2 years	HTTP
__utmb	acpdbrasil.com	Google Analytics short-term functional cookie used to determine new users and sessions.	Session	HTTP

Name	Domain	Purpose	Expiry	Type
_GRECAPTCHA	www.google.com	---	6 months	---
aiovg_rand_seed	www.acpdbrasil.com	---	1 days	---
mailchimp_landing_site	www.acpdbrasil.com	Mailchimp functional cookie	28 days	HTTP

Name	Domain	Purpose	Expiry	Type
_gat_gtag_UA_174368660_1	acpdbrasil.com	---	Session	---
__gpi	acpdbrasil.com	---	1 year	---
test_cookie	doubleclick.net	A generic test cookie set by a wide range of web platforms.	Session	HTTP

Autorregulação vs Certificação, na LGPD

NOTÍCIAS RECENTES

Próximos Eventos

BUSCAR POR MÊS

BUSCAR POR CATEGORIA

ACPD Brasil