Nos dias 19 e 20 de julho ocorreu a terceira edição do CPDP LatAm, neste ano com tema “Proteção de Dados, Cooperação e Inovação na América Latina”. A conferência CPDP LatAm tornou-se um espaço único na América Latina e no Brasil, congregando uma ampla variedade de stakeholders para debater perspectivas variadas e complementares a respeito da proteção de dados e seu impacto sobre a democracia, a inovação e a regulação na região.
Trata-se de uma plataforma de debate multissetorial, pesquisa e capacitação reconhecida regionalmente, sendo relevante para o fortalecimento do debate público sobre iniciativas regulatórias e contribuindo para o fomento das políticas de proteção de dados na América Latina.
O evento começou com homenagem a um dos fundadores da CPDP LatAm, o querido Danilo Doneda, ao qual é dedicado o Danilo Doneda Award, prêmio que destaca as melhores publicações da CPDP LatAm para honrar a memória do nosso amigo, colega e mestre, continuando nosso esforço voltado a construir juntos a cultura de proteção de dados no Brasil e na América Latina.
Como diretores do evento, neste artigo queremos compartilhar algumas reflexões sobre os avanços notáveis e os grandes desafios que permanecem ao nível latino-americano, para que a proteção de dados se torne uma realidade concreta além de um mero ideal regulatório. Assim, apesar dos avanços, estamos cientes que a integração da proteção de dados na sociedade, no desenvolvimento social, econômico e tecnológico ainda é muito incipiente, até em países vizinhos que começaram a regular o assunto há uma ou duas décadas.
No final deste artigo, o leitor poderá encontrar também a lista de todas as gravações das sessões realizadas, bem como o Outcome Document da CPDP LatAm 2023, que consolida os principais resultados do evento e oferece links com eventuais materiais de leitura sugeridos pelos organizadores das sessões.
Cooperar, mas como?
Um ponto de convergência ao longo de várias discussões foi a necessidade de fortalecer a coordenação e atuação multissetorial ao nível latino-americano, para enfrentar desafios comuns como reconhecimento facial, Inteligência Artificial generativa, etc. Especialmente no sentido de fortalecer a coordenação das autoridades reguladoras da região.
Nenhum regulador tem um papel mais fundamental do que as autoridades de proteção de dados para orientar a evolução tecnológica baseada em coleta e processamento de quantidades enormes de dados pessoais. Neste sentido, é necessária uma atuação conjunta e coordenada para estimular a integração da autodeterminação informacional como princípio norteador do desenvolvimento.
Cabe destacar que temos uma responsabilidade coletiva de construir essa simbiose entre inovação e proteção de dados. Como falava o artigo 1 da Lei de proteção de dados francesa, já em 1978, “A tecnologia da informação deve estar ao serviço de cada cidadão.” Porém, diferentemente da região europeia, onde o desenvolvimento normativo dos últimos cinquenta anos foi acompanhado de evoluções institucionais e, particularmente, da criação de um órgão de coordenação comum, o Comitê Europeu para a Proteção de Dados (EDPB), tal evolução institucional é ainda inexistente na região.
Contudo, é importante salientar que, apesar da clara fragmentação institucional do cenário regional, nunca foi tão “fácil” estimular uma aproximação dos marcos normativos e das autoridades reguladoras na América Latina. Sendo amplamente inspiradas no modelo europeu, as demais leis de proteção de dados da região são naturalmente compatíveis e as autoridades reguladoras estão cientes que a cooperação e a coordenação se tornaram essenciais.
As transferências internacionais de dados são um exemplo interessante de como a cooperação poderia ser particularmente benéfica, seja por meio de novos arranjos institucionais, seja por meio das cláusulas contratuais padrão, seja por meio de instrumentos de autorregulação regulada, como as cláusulas contratuais específicas, os códigos de conduta e as normas padrões corporativas que são tipicamente elaboradas por iniciativa de stakeholders privados, mas aprovados pelas autoridade reguladoras.
Qual inovação para fortalecer a proteção de dados?
A inovação tem um papel fundamental a desempenhar para fortalecer a proteção de dados e a privacidade. Estamos acostumados a ouvir exemplos de desenvolvimentos tecnológicos que podem prejudicar o pleno gozo da proteção de dados e enfraquecer a privacidade, mas precisamos entender que a inovação e a privacidade podem e devem ser consideradas como aliadas.
Antes de tudo, cumpre perguntar o significado da palavra “inovação”, que muito frequentemente é utilizada como sinônimo de novidade. Para que uma prática seja promovida pelo sistema legal, é necessário que ela ultrapasse um certo limiar que visa a garantir sua utilidade social: assim, por exemplo, a propriedade intelectual exige cumprimento dos requisitos de originalidade, da não obviedade e do caráter distintivo para que seja outorgada a proteção legal do direito de autor, das patentes ou das marcas, que implicam no direito exclusivo de utilização dessas invenções. Também, a inovação deve se sujeitar à reflexão a respeito de sua utilidade social: qual é a inovação que promove o bem público? Como incentivá-la no contexto da governança de dados?
Em primeiro lugar, é necessário que a inovação esteja alinhada com os valores perseguidos pelo marco regulatório, razão pela qual é essencial que o regulador atue com clareza e transparência. Em segundo lugar, essa inovação pode ser promovida por pelo menos três mecanismos: (a) com incentivos reputacionais, por exemplo através da difusão de boas práticas em fóruns de discussão nacionais e internacionais, como a própria CPDP LatAm; (b) com vantagens probatórias, por exemplo, na aprovação de códigos de conduta e selos; e (c) com intervenção do governo no mercado, seja criando infraestrutura desejável (ver nesse sentido o belo trabalho feito pelo governo indiano com a arquitetura de empoderamento e proteção de dados), seja financiando atividades benéficas como, por exemplo, as isenções fiscais oferecidas pelo PL 4/2022 para investimentos em atividades de compliance com a LGPD.
Ao mesmo tempo, precisamos garantir que as inovações satisfaçam necessidades sociais e não aumentem as externalidades negativas. Para isso, devemos ter muito cuidado com práticas que beneficiam poucos e geram prejuízos para terceiros, aumentando desigualdades que estão profundamente enraizadas em nossas sociedades. Pois, sem esses limites, o sistema de governança de dados será desconexo do bem comum e do desenvolvimento sustentável que todos os países da América Latina se comprometeram a seguir conforme a agenda ONU de 2030.
Inteligência Artificial e proteção de dados
Nos últimos meses foi evidente como as tecnologias de inteligência artificial generativa pautaram os debates sobre inovação e seus contornos jurídicos. Esse fenômeno decorre de características específicas de aprendizado de máquina e de identificação de padrões e estruturas, que possibilitam a criação de conteúdos, que anteriormente somente eram possíveis pela produção humana.
A autonomia das tecnologias de IA generativa para a emular a produções humanas como texto, voz, imagem e até mesmo softwares foi destacada em diversos painéis da CPDP LatAm, demonstrando a premência do debate sobre riscos e estratégias regulatórias para lidar com esses sistemas, além da necessidade de refletir sobre os contornos atuais da proteção de dados diante da utilização massiva de dados para o treinamento de grandes modelos de linguagem (Large Language Models – LLMs).
Diante da importância desses sistemas inovadores e das inúmeras possibilidades de aplicação em benefício sociedade, debater os seus riscos, e, em especial, instrumentos para torná-los mais responsivos, conforme os pilares da accountability, são questões de suma relevância para garantir o seu desenvolvimento e uso sustentável. Especificamente em relação à proteção de dados, a utilização de dados pessoais como input para treinamento dos sistemas é, por si só, um desafio para a disciplina da proteção de dados, suscitando questões sobre a legitimidade do processamento dos dados e os impactos desse processamento para a privacidade dos titulares. Soma-se a esse contexto a ampliada possibilidade de inferência de dados sensíveis, além da vulnerabilidade em face de ataques maliciosos.
Nesse contexto, é crucial garantir transparência, a explicabilidade, a mitigação dos riscos associados à segurança da informação e a mitigação de vieses discriminatórios, juntamente com a adoção de outras salvaguardas. A iniciativa de garantir os contornos adequados para proteção dos indivíduos cabe, por um lado, à proteção de dados, mas não somente a ela, já que em muitas situações as leis de proteção de dados sequer serão aplicadas.
A criação de novo marco regulatório aplicável aos sistemas de IA tem se mostrado um caminho promissor para a proteção de direitos individuais e coletivos, além de possibilitar a segurança jurídica para a inovação responsável. Debater os contornos desse marco legislativo futuro e a sua relação com a proteção de dados foi um grande tema da CPDP LatAm 2023 e certamente merecerá ser aprofundado nas próximas edições.
Cooperação e inovação multissetorial
Por fim, cabe frisar que quando falamos de cooperação, precisamos considerar não somente a cooperação entre reguladores e outros atores públicos, mas também o valor essencial da cooperação multissetorial. A governança multistakeholder não é somente algo de instrumental para proporcionar um debate mais inclusivo e para permitir uma maior qualidade no processo de elaboração normativa.
Precisamos ser inovadores também em como organizamos a nossa cooperação, seja de forma internacional, seja de forma multissetorial. As inovações tecnológicas suscetíveis de testar a resiliência da proteção de dados têm uma clara dimensão global, mas o peso e o impacto de cada stakeholder, tomado singularmente, é extremamente limitado.
Os acadêmicos precisam pesquisar as soluções mais criativas. Os desenvolvedores e empresários podem comercializar estas soluções para que a proteção de dados seja uma vantagem competitiva. Os ativistas devem vigiar que as regras sejam respeitadas ou pedir regras mais eficientes e os reguladores, devem educar e fiscalizar. Porém, se cada stakeholder atuar de forma isolada, será pura e simplesmente impossível definir uma agenda convergente e coerente de proteção e dados.
Uma clara mensagem que pode ser destilada da CPDP LatAm 2023 é que a cooperação já não é uma opção, é mais do que nunca uma necessidade para que as sociedades latino-americanas consigam regular o desenvolvimento tecnológico, ao invés de serem reguladas por meio de tecnologias cada dia mais difundidas.
A América Latina no cenário global de proteção de dados: desafios e oportunidades
Antitrust, Data Protection and Privacy: What has happened so far?
Biometric data and urban spaces, privacy vs security?
Regulação inteligente: o que há na caixa de ferramentas?
Cine debate: Justiça Social na era dos Dados
Identifiable or not? Revisiting data anonymization frameworks in a data-driven world
Desafios para o processo de aplicação de penalidades por violação à LGPD no Brasil
Digitalização da educação e tecnologias de vigilância
Developing New Tools to Make AI More Explainable
Comparative Approaches to Facial Recognition Regulation
Os riscos dos dados – os desafios da conformidade com a sobreposição de regulações baseadas em risco
AI and Automated Personal Data Processing in the BRICS Countries
La regulación de sistemas nacionales de identidad: propuestas de cooperación regional
Neuroderechos: una discusión impostergable sobre derechos humanos y protección de datos
Data Transfers and eCommerce: Towards International Cooperation
Responsabilidade Civil na LGPD: dados empíricos e ensaios críticos
Telemarketing sem consentimento: um desafio à proteção de dados na América Latina
Desafios da transparência na Inteligência Artificial: garantindo justiça e responsabilidade
Unveiling the Duality of Digital ID in Latin America: Empowering or Burdening Individuals?