Ampliando o compartilhamento de dados pelo Data Act europeu

  • Categoria do post:JOTA

Se as regulações de proteção de dados se apresentaram nas últimas décadas em caráter essencialmente limitador, haja vista enfrentarmos um fenômeno amedrontador por suas consequências imprevisíveis, na atualidade estamos diante de uma nova fase: é tempo de ampliar os mecanismos de compartilhamento de dados e, principalmente, comercializá-los com segurança, confiabilidade e equidade.

Na UE, desde fevereiro de 2020, estabeleceu-se uma trilogia estratégica para uma disciplina normativa geral sobre dados, que tem se arquitetado a partir de três instrumentos normativos com objetivos específicos: 1.O Marco da Governança de Dados (Data Governance Act); 2. A Diretiva de Dados Abertos (Open Data Directive); e 3. O Marco Normativo de Dados (Data Act).

Essa estratégia tem o objetivo de instituir e operacionalizar um genuíno mercado interno de dados na Europa. O desenho desse sistema tem um princípio básico: descentralizar por completo o acúmulo de dados sobre indivíduos, sejam dados pessoais e metadados (por exemplo, dados de interação online, uso de internet, dados comportamentais, analíticos ou segmentados), os quais se encontram hoje nas mãos das chamadas Big Techs ou GAFAM (Google, Amazon, Facebook, Apple e Microsoft), possibilitando, assim, o intercâmbio de dados públicos e/ou protegidos.

O primeiro instrumento referido é o Data Governance Act (DGA)[1], que foi publicado em julho de 2022 e passou a ser aplicado a partir de 24 de setembro de 2023. Trata-se do primeiro passo dessa descentralização ao trazer mecanismos para facilitar o compartilhamento de dados entre pessoas jurídicas, fornecendo um ambiente seguro para organizações e indivíduos acessarem informações.

O DGA estabelece um quadro normativo robusto que visa a estruturar o compartilhamento e a governança de dados entre setores e Estados-membros da União Europeia, aumentando a confiança nos serviços de intermediação de dados e promovendo uma cultura de confiança no compartilhamento de dados em toda a UE. O marco normativo, inclusive, nomeia essa diretriz geral como Data Altruism, ou Altruísmo de Dados, provocando os cidadãos a refletirem sobre a racionalização da acessibilidade vs. disponibilidade de dados, tendo em vista a interconexão mundial virtual típica de nossos tempos, ou, como cunhou Marshall McLuhan, nossa “aldeia global”.

A aplicação do DGA parte de uma política pública interessante, ainda não muito bem pensada e discutida no Brasil: os países europeus devem oferecer treinamento para seus órgãos e instituições com o propósito de os empoderar das técnicas, valores e princípios no processo de compartilhamento de informações pessoais dos cidadãos, inclusive de dados sensíveis, mediante consentimento específico. Apesar de ser uma possibilidade que, juridicamente, poderia ser manejada por meio das normas vigentes do Regulamento Europeu de Proteção de Dados, o reforço e o incentivo ao compartilhamento demonstram um compromisso voltado para o fortalecimento da política pública na Europa do que nomeamos datificação altruísta[2]. Ela guiará especialmente o treinamento ‘em’ e ‘sobre’ dados e chancelará a atuação dos agentes públicos como mediadores nesse processo.

Em complemento ao DGA, a Diretiva sobre Dados Abertos – ODD (Open Data Directive[3]) foi publicada em dezembro de 2022 e objetiva regulamentar os dados pertencentes exclusivamente aos órgãos públicos ou que tenham. Ela se concentra nos aspectos econômicos da reutilização de informações, em vez do acesso à informação pelos cidadãos, e aborda barreiras à reutilização de informações direta ou indiretamente relacionadas ao poder público em toda a UE.

O terceiro instrumento normativo é o Data Act[4] (DA), o qual foi adotado no último 27 de novembro de 2023 e é considerado a medida chave destas estratégias digitais, com a promessa de ser o marco legal a regular o compartilhamento de informações pessoais entre setores econômicos, determinando quem pode usar os dados, quais dados podem ser utilizados, e sob quais condições de uso. Ele tem como objetivos assegurar a equidade na distribuição do valor dos dados entre os atores no ambiente digital, incentivar um mercado competitivo de dados, criar oportunidades para inovação baseada em dados, e tornar os dados mais acessíveis para todos.

Organizações independentes que fornecem apenas serviços de intermediação de dados, bem como empresas que oferecem serviços de intermediação de dados, dentre outros serviços diversos, podem funcionar como intermediários no compartilhamento de dados. Estes atores-mediadores serão obrigados a notificar a autoridade competente de sua intenção de prestar tais serviços, o que corresponde a  um indispensável ambiente regulado, nem sempre desejável por conglomerados de tecnologias, hoje concentrando uso, processamento e analítica de dados e metadados de indivíduos. A autoridade competente, por sua vez, garantirá que o procedimento de notificação seja não discriminatório e não distorça a concorrência, e deverá confirmar que o provedor de serviços de intermediação de dados realizou a notificação no padrão exigido, contendo todas as informações necessárias ao controle da prestação de serviço em questão. Após o recebimento de tal confirmação, o intermediário de dados estará autorizado a começar a operar legalmente e a usar o rótulo “provedor de serviços de intermediação de dados reconhecido na União Europeia” em suas comunicações escritas e faladas, bem como em suas marcas e materiais promocionais da empresa.

Essas medidas visam a uniformizar amplamente o uso de dados, com a garantia e chancela da supervisão pelo Poder Público e autoridades regulatórias, vale dizer, resgatar a presença do Estado na mediação do compartilhamento e uso de dados, o que tem sido até o momento domínio e monopólio das Big Techs, contexto em que o Estado não só está a reboque dos processos técnicos encabeçados por empresas e profissionais techies, como também se tornou usuário refém dos serviços por elas desenvolvidos e ofertados, movendo-se como qualquer indivíduo numa espécie de vácuo regulatório. Verifica-se ali o limbo do qual as três normativas europeias, aqui discutidas, tentam retirar a autoridade estatal, restituindo-lhe o papel de protagonista no sentido de garantir e aplicar direitos na era tech. Agora poderemos testemunhar um confronto direto entre a influência que as Big Techs exercem sobre nossas vidas – reflexo do poder corporativa global e transnacional – e a atuação legítima do aparato estatal que busca tomar as rédeas desse processo. Nada mais do que um conflito, mas caminho indispensável em torno da governança dos dados e fortalecimento das instituições democráticas digitais.

O Data Act também objetiva facilitar a acessibilidade/fungibilidade entre os diferentes provedores de serviços de processamento de dados, tal como acontece há décadas com as operadoras de telefonia, a propósito de um setor também concentrado e oligopolizado, mas que se reinventou e passou a conviver com outros agentes econômicos relevantes no campo informacional e comunicativo.

O Data Act estabelece proteções contra a transferência ilegal de dados e propõe comandos para o desenvolvimento de padrões de interoperabilidade para que os dados possam ser reutilizados entre diferentes setores. A mesma exigência de interoperabilidade e portabilidade de dados tem sido, de modo muito inovador, já perseguida há tempos na regulamentação criativa e indutora estabelecida por autoridades bancárias – como o Banco Central do Brasil-, favorecendo as fintechs, serviços de pagamento online e os cidadãos; estes, sobretudo, quanto ao acesso equitativo a uma vida financeira digital.

Já existem empresas europeias que se estruturam no ramo de intermediação de dados, como a Deutsche Telekom, que já atende mais de 1.000 usuários de mais de 100 empresas diferentes em sua plataforma; a empresa francesa Dawex, que não compra nem vende dados, mas reúne empresas interessadas em monetizar e reutilizar dados, e promove a transparência entre fornecedores e usuários de dados, garantindo que eles se comuniquem e realizem transações diretamente em sua plataforma; a Api-Agro, o qual é um hub de compartilhamento de dados agrícolas, utilizando a tecnologia Dawex para atuar como intermediador nas operações de dados. A Api-Agro não monetiza os dados, mas funciona como um terceiro independente neutro que conecta controladores de dados e usuários.

O Data Act traz ainda a promessa de que os indivíduos e empresas terão mais controle sobre seus próprios dados por meio de um direito reforçado de portabilidade, permitindo-se copiar ou transferir dados com mais facilidade entre diferentes serviços, especialmente quando os dados são gerados por objetos inteligentes. Dentre as promessas, também está o fortalecimento dos consumidores e das empresas ao conferir-lhes voz ativa sobre o que pode ser feito com os dados produzidos por seus produtos conectados (datificação cidadã).

Para a execução do Data Act, cada Estado-Membro designará uma ou mais autoridades competentes para garantir a aplicação, podendo ser indicadas instituições ou estruturas já existentes. O regulamento também detalha as condições para a disponibilização de dados entre empresas, enfatizando a não discriminação no compartilhamento de dados.

É importante também o desafio que se avizinha para a compreensão dos futuros conflitos reais e aparentes de norma que surgirão quanto ao exercício do direito à portabilidade. O Regulamento Geral de Proteção de Dados da UE já consagra, em seu art. 20, o direito à portabilidade, que permite ao titular de seus dados solicitar o envio de seus dados para outros controladores, além de não ter esta solicitação negada. O direito à portabilidade no Data Act, por seu turno, ganha maior detalhamento, apresentando instrumentos para remoção de barreiras que dificultam a mudança de provedor (Cap.6º, Artigo 23).

Igualmente, o Artigo 25 exige que os contratos abordem especificamente o processo de portabilidade, assistência ao cliente, continuidade dos negócios, limitações técnicas, segurança dos dados, minúcias sobre o processo de saída e custos associados à troca. O Artigo 29 estabelece que os custos associados à troca devem ser progressivamente eliminados ao longo de três anos após a implementação do regulamento. Por fim, o Artigo 30 enfatiza a responsabilidade dos provedores em facilitar a troca para os clientes, fornecendo informações, suporte técnico e ferramentas necessárias, garantindo a compatibilidade com especificações comuns e mantendo os registros on-line atualizados.

Contudo, a normativa ainda pende de densificação, especialmente porque os diversos setores da economia já possuem formas de comunicação e compartilhamento de dados, inclusive, mediante códigos comunicacionais tecnicamente precisos, que necessitarão de regulamentos específicos no futuro. Nesse sentido caminha a indústria médica, que ressalta a necessidade de possibilitar a troca de dados transfronteiriça com o bloqueio de rastreamento de localização e o diálogo com os marcos normativos já existentes que regulam os dispositivos médicos e os diagnósticos de doença a partir de objetos tecnológicos, sob pena de reduzir o campo de pesquisa e as descobertas na medicina.

À guisa de conclusão, verificamos que o Data Act, adotado em 27 de novembro de 2023, é fruto de um trabalho multissetorial e interdisciplinar que prima pela construção da confiança do cidadão para permitir e desejar o compartilhamento e o tratamento econômico de seus dados. Esse processo começou a partir de da implementação do treinamento dos agentes públicos, os quais passam a ter expertise na temática, gerando condições prévias de confiabilidade em torno do controle estatal desta atividade.

Cria-se, portanto, um regime normativo inovador para dados que, somente agora, será sucedido pela implementação das possibilidades de compartilhamento, reutilização e monetização dos mesmos pelos agentes privados e cidadãos, focando, principalmente, em educação para a datificação cidadã no âmbito de uma legislação protetiva que deve trazer equilíbrio pelas mãos do Estado no bojo do novel “capitalismo dadocêntrico”.

[1] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on European data governance (Data Governance Act)

[2] BROCHADO, Mariah. Inteligência artificial no horizonte da filosofia da tecnologia: técnica, ética e direito na era cybernética. Belo Horizonte: Editora Dialética, 2023.

[3] Directive (EU) 2019/1024 of the European Parliament and of the Council of 20 June 2019 on open data and the re-use of public sector information

[4] Regulation on harmonized rules on fair access to and use of data (data act), 27 November 2023