O Professor da FGV Direito Rio e coordenador do CTS-FGV Luca Belli, conjuntamente com os pesquisadores do CTS FGV Rio, Walter Britto Gaspar e Nicolo Zingales, redigiram o artigo para a revista Jota.
Nos dias 17 e 18 de julho, aconteceu a 4ª edição da Computers, Privacy and Data Protection Conference Latin America (CPDP LatAm), conferência que se estabeleceu como a principal – e única – plataforma para debates multissetoriais sobre governança de dados na América Latina. Considerando a presidência brasileira do G20 em 2024, o encontro foi dedicado à “Governança de dados: da América Latina ao G20” e foi organizado como evento paralelo oficial do T20, o grupo de think tanks do G20.
O evento ofereceu uma oportunidade única de reunir perspectivas variadas dos maiores especialistas da região latino-americana e dos países do G20 a respeito da proteção de dados, tendo um objetivo duplo: debater como os desafios globais estão impactando a América Latina e o Brasil e, de outro lado, como as propostas, ideias e soluções latino-americanas podem impactar os debates globais.
Para alcançar esses ambiciosos objetivos, o evento contou com duas sessões plenárias e 27 sessões organizadas ao longo de dois dias, e foi seguido de um side event dedicado à Soberania Digital no G20 no dia 19 de julho. O evento incluiu também um keynote de Max Schrems, fundador da organização European Center for Digital Rights (NOYB), conhecida mundialmente pelos casos Schrems I e II do Tribunal de Justiça da União Europeia, que levaram à renegociação das transferências de dados entre UE e EUA.
Como organizadores do evento, queremos compartilhar algumas reflexões sobre os assuntos que nos parecem se destacar como os mais relevantes para a região. No final deste artigo, o leitor poderá encontrar também as gravações das sessões realizadas.
Soberania digital
É importante ressaltar a crescente conexão entre governança de dados e soberania digital. Particularmente relevante é a emergência de um entendimento positivo da soberania digital como a capacidade de “entender o funcionamento da tecnologia digital, saber desenvolvê-la e regulá-la efetivamente, em conformidade aos seus próprios valores”.
É neste sentido que a governança de dados desempenha um papel essencial para permitir que as pessoas sejam individualmente e coletivamente soberanas sobre seus dados: aos indivíduos deve ser garantida a autodeterminação informativa como base da soberania de dados.
Porém, é extremamente difícil reconciliar autodeterminação informativa com o desenvolvimento de sistemas de inteligência artificial baseados em raspagem massiva de dados pessoais, cujas bases legais continuam sendo altamente questionáveis e cujo tratamento de dados acontece de maneira preocupantemente opaca. Neste contexto, parece muito difícil materializar a responsabilidade e prestação de contas que devem caracterizar todo tratamento de dados.
Assim, é mais que compreensível que, neste particular momento histórico, os reguladores de dados estejam no centro das atenções. Essas autoridades têm uma responsabilidade enorme, desempenhando uma função crucial para orientar não somente nosso desenvolvimento tecnológico, mas até social e democrático.
É normal, e até necessário, que um amplo leque de partes interessadas esteja demandando, cada dia mais, que tais reguladores sejam mais ativos, entreguem mais e assumam uma postura mais clara e assertiva. Precisamos deles e o trabalho deles desempenha um papel fundamental para que nos tornemos digitalmente soberanos.
Ser mais estratégicos com dados
A proteção de dados pessoais é um pilar essencial da governança de dados. Porém, precisamos também ser mais estratégicos na nossa relação com dados e considerá-los realmente como um dos ativos mais valiosos que temos, que desempenha um papel essencial para o desenvolvimento nacional.
O G20 é uma excelente oportunidade para destacar a necessidade de elaborar estratégias de dados integradas e coerentes, capazes de reconhecer que governança de dados não é somente proteção de dados pessoais. Para garantir que o valor dos dados seja aproveitado de maneira mais justa e sustentável, a inclusão de todos os setores se torna uma peça fundamental.
Assim, precisamos ser mais estratégicos com dados para sermos mais inclusivos e precisamos ser inclusivos para sermos mais estratégicos. Necessitamos promover acesso e uso de dados com base no respeito aos direitos individuais, na garantia da cibersegurança e na defesa da equidade. Precisamos também nos perguntar se, como indivíduos e como nações, estamos conseguindo as melhores condições possíveis no que diz respeito ao uso e à governança de nossos dados. Francamente, não parece ser o caso.
Uma abordagem latino-americana
Talvez uma das razões seja porque os países latino-americanos não estão negociando as condições de maneira coletiva, como um bloco regional, mas de maneira fragmentada e totalmente desorganizada.
Precisamos admitir que, fora o Brasil e talvez o México, nenhum ator na região tem o tamanho e capacidade para ser um ator de peso na governança global de dados. Ainda menos, no que diz respeito à IA.
Uma abordagem regional da governança de dados é essencial para o desenvolvimento tecnológico sustentável e soberano da América Latina. Nesta perspectiva, o estabelecimento de um arcabouço normativo e institucional coerente e homogêneo embasado em direitos fundamentais pode trazer não somente enormes avanços em termos de direitos, mas benefícios enormes em termos de cooperação em pesquisa, desenvolvimento e comércio e facilitação de transferências de dados regionais de maneira sustentável.
Estamos num momento histórico extremamente importante, no qual a região precisa agir de maneira mais coordenada, ser mais assertiva sobre nossos direitos e o desenvolvimento digital que queremos. Por isso, durante a CPDP LatAm foi lançada uma Proposta de Convenção Interamericana sobre Autodeterminação Informativa e Tratamento de Dados Pessoais.
A ideia é simples. A maioria dos países da região já tem uma lei de proteção de dados. Ou seja, a proteção de dados pessoais é uma escolha que já foi feita pelas nações latino-americanas. Então, podemos ser ambiciosos e propor um instrumento de integração regional sobre governança de dados. Na verdade, não somente podemos, mas realmente devemos ter tal ambição, considerando os últimos desenvolvimentos jurisprudenciais da região.
Em março de 2024, a Corte Interamericana de Direitos Humanos (Corte IDH) publicou a decisão do caso CAJAR vs. Colômbia, destacando que do conteúdo da Convenção Americana sobre Direitos Humanos deriva o direito autônomo à autodeterminação informativa, demandando a aprovação de normativas necessárias para implementar mecanismos ou procedimentos que garantam o direito à autodeterminação informativa. A harmonização regional já não é somente um ideal romântico: deve ser um objetivo comum de políticas públicas.
Reformar o ordenamento jurídico para uma melhor governança de dados
No intuito de promover uma governança de dados e IA transparente, inclusiva e representativa da nossa realidade, é recomendável elaborar e atualizar a legislação em três aspectos. Primeiro, para estimular a criação de espaços comuns de dados (conhecidos como data spaces) ao nível nacional ou regional, onde os reguladores possam garantir o cumprimento de direitos e liberdades.
Trata-se tanto de infraestrutura quanto de normas e mecanismos de governança que permitam acompanhamento regulatório e facilitem a colaboração interinstitucional de vários tipos de reguladores cujas atribuições sejam relevantes para esses espaços de dados. Os espaços comuns europeus de dados oferecem um exemplo interessante para pensar como construir nossa abordagem.
Segundo, para ampliar a participação social expandindo o acesso a dados pelas instituições de pesquisa. Os PLs 2630/2020 e 2338/2023 contêm disposições específicas que oferecem essa oportunidade, mas precisam ser complementados com uma regulamentação que defina quem é pesquisador, qual tipo de pesquisa é legítima e como verificar a sua conformidade à lei e aos princípios gerais do ordenamento jurídico. Isso se conecta a outra figura profissional que será necessária em um mundo sempre mais interconectado e complexo, que é a de “auditores”, e à necessidade de instituições e capacitação nesse sentido.
Terceiro, para criar um marco regulatório voltado a reconhecer intermediários de dados de diversos tipos: desde agentes que auxiliam os titulares no exercício dos seus direitos e os controladores em gerenciar esses pedidos de forma padronizada (gerando eficiência e evitando falhas de segurança) a entidades de destinação coletiva de dados com diferentes graus de governança participativa, como cooperativas e data trusts. Porque o empoderamento de dados não é apenas uma questão de controle individual: é importante assegurar também um controle coletivo, especialmente sobre os riscos e as externalidades produzidas por determinados tratamentos.
Como exemplo, basta olhar o PL 234/2023, que tramita no Congresso Nacional propondo a criação do ecossistema brasileiro de monetização de dados. Por um lado, o projeto traz algumas sugestões que poderiam ser positivas para o empoderamento individual, como a possibilidade de proibir o uso de dados pessoais por padrão pelas empresas que nos fornecem serviços digitais e o direito de compensação em troca de eventual autorização.
Por outro, no seu estado atual ele arrisca produzir também efeitos indesejados, como aumentar as inequidades entre quem pode e quem não pode se permitir proteger a própria privacidade, gerar uma dependência ainda maior desses serviços e exacerbar as dinâmicas do capitalismo de vigilância. Essas são questões complexas sobre as quais a sociedade como um todo precisa discutir para definir uma política de governança de dados com ampla participação social.
Conclusão
Por fim, queremos frisar que o evento incluiu homenagem ao querido Danilo Doneda, um dos fundadores da CPDP LatAm, ao qual é dedicado o Danilo Doneda Award, prêmio que destaca as melhores publicações da CPDP LatAm para honrar a memória do nosso amigo, colega e mestre.
Estimular o trabalho cooperativo e a pesquisa com objetivo de impactar positivamente as políticas públicas é algo que o Danilo – sem o qual a CPDP LatAm não existiria – nos ensinou. É por isso que continuamos o esforço que começamos juntos, com entusiasmo e com alegria, voltado a cooperar para construir a cultura de proteção de dados no Brasil e na América Latina.
Artigo originalmente publicado em https://www.jota.info/artigos/cpdp-latam-2024-construir-governanca-de-dados-de-maneira-soberana-e-sustentavel.