A Autoridade Nacional de Proteção de Dados é o órgão criado pela Lei Geral de Proteção de Dados, Lei nº 13.709/2018, para proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural, com funções de normatização, fiscalização, educação e aplicação de sanções em relação ao tratamento de dados pessoais por todos os setores econômicos do país. Ocorre que, dos cinco integrantes do Conselho Diretor, três são de origem militar, o que nos provoca algumas reflexões pertinentes à sua atuação e, consequentemente, sobre o direcionamento dos trabalhos da ANPD.

A Autoridade Nacional de Proteção de Dados é o órgão criado pela Lei Geral de Proteção de Dados, Lei nº 13.709/2018, para proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural, com funções de normatização, fiscalização, educação e aplicação de sanções em relação ao tratamento de dados pessoais por todos os setores econômicos do país. Ocorre que, dos cinco integrantes do Conselho Diretor, três são de origem militar, o que nos provoca algumas reflexões pertinentes à sua atuação e, consequentemente, sobre o direcionamento dos trabalhos da ANPD.

Em 26 de agosto de 2020, o governo federal publicou o Decreto nº 10.474, que aprova o regimento da Autoridade Nacional de Proteção de Dados e detalha sua composição e funcionamento. Pouco tempo depois, em 15/10, foi publicada no Diário Oficial a indicação dos nomes que viriam a compor o Conselho Diretor da ANPD. Àquela altura, ainda havia a necessidade de aprovação dos indicados por sabatina a ser realizada pelo Senado. Após a sabatina, todos os integrantes indicados para o Conselho Diretor da ANPD foram aprovados e, posteriormente, tiveram sua aprovação publicada no Diário Oficial, tornando-os definitivamente detentores dos cargos de direção da ANPD.

Ao observar as falas de cada um dos diretores durante a sabatina no Senado Federal, restou muito claramente uma confusão entre os campos da proteção de dados pessoais e da segurança cibernética. Eles têm interseções, mas de forma alguma podem ser tratados como diferentes faces da mesma coisa.

Isso porque a proteção de dados pessoais diz respeito, acima de tudo, a uma afirmação da dignidade da pessoa humana, representada pela autodeterminação informativa, ou seja, a possibilidade de o titular dos dados determinar o que será feito com eles. O direito à proteção de dados pessoais vem sendo tratado nos últimos julgamentos do STF como direito fundamental, num entendimento, inclusive, de direito fundamental autônomo, o que constitui um enorme avanço para os brasileiros.

Por outro lado, a segurança cibernética, ou segurança da informação, é uma área da computação que estuda como assegurar a confidencialidade, a integridade e a disponibilidade de informações e suas fontes, no processo de guarda, processamento e transmissão dessas informações. Para tanto, não basta pensar apenas na dimensão tecnológica, mas também na aplicação de políticas, na educação, no treinamento e na conscientização para o uso da tecnologia. O Comitê de Sistemas Nacionais de Segurança do EUA, o CNSS, define segurança da informação como a proteção da informação e seus elementos críticos, incluindo os sistemas e o hardware que usa, armazena e transmite esta informação.

Por isso, é comum que o campo da segurança trate de ataques contra um determinado alvo e como mitigá-los, realizando estudos de vulnerabilidades e ameaças, tentando prever como reduzir os riscos inerentes às atividades.

Percebe-se, portanto, que há um ponto de contato entre as duas disciplinas, mas em nenhuma hipótese a proteção de dados pessoais deve ser encarada como uma dimensão da segurança da informação. Isso porque, desta forma, perder-se-á aquela tão importante característica de direito fundamental, de proteção das pessoas, da autodeterminação informativa.

Nesse sentido, a presença de três militares na ANPD abre a possibilidade de a atuação da Autoridade se pautar por esse caminho, agindo como uma agência de segurança nacional, não de proteção dos dados pessoais dos cidadãos brasileiros.

Com essa preocupação, a Coalizão Direitos na Rede, organização que agrega mais de 40 entidades brasileiras da academia e da sociedade civil de defesa dos direitos digitais, uniu-se à Access Now, entidade global que se dedica a defender os direitos digitais de usuários em risco ao redor do mundo, para enviar uma carta à Comissão Europeia, ao Conselho da Europa e à Global Privacy Assembly alertando sobre os riscos da presença dos militares no Conselho Diretor da ANPD.

Nenhuma outra autoridade de proteção de dados do mundo possui configuração semelhante à brasileira, o que nos coloca numa posição um tanto desconfortável no debate internacional.
Por fim, é preciso que o governo federal, ao nomear os integrantes do Conselho Nacional de Proteção de Dados e da Privacidade, instância da ANPD de caráter consultivo e de constituição multissetorial, seja pautado por aspectos técnicos, a fim de que os representantes dos diversos setores contribuam de fato com a disciplina da proteção de dados no país. Talvez assim seja possível diminuir essa influência militar e avançar nas pautas protetivas aos direitos dos titulares de dados pessoais.