Muito Além da LGPD: os Desafios da ANPD e do CNPD
(*)
Criada em 2018 e sancionada em 2019, a ANPD (Autoridade Nacional de Proteção de Dados) é o órgão federal responsável por fiscalizar e aplicar a LGPD, a Lei Geral da Proteção de Dados. Por sua vez, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD) é um órgão consultivo da ANPD, com composição mista entre membros do governo e da sociedade civil.
Sua criação está embasada no artigo 58-B da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados - LGPD).
Dentre suas principais atribuições estão:
Propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
Elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
Sugerir ações a serem realizadas pela ANPD; elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e
Disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.
Tal como sugere o nome e ao contrário da ANPD, o CNPD é um órgão consultivo e não executivo. A participação como membro do CNPD é considerada prestação de serviço público relevante, não remunerada. A previsão legal é de que este Conselho se reunirá em caráter ordinário três vezes ao ano e em caráter extraordinário sempre que convocado por seu Presidente.
O CNPD será composto por vinte e três membros titulares e suplentes, com mandato de dois anos, designados pelo Presidente da República. Nos termos do artigo 15 do Decreto nº 10.474/2020, ficam definidas a sistemática de representação de cada membro do CNPD. Neste momento, o CNPD encontra-se em processo de escolha dos indicados para compor lista tríplice dos representantes da sociedade civil, a ser encaminhada ao Presidente da República para escolha dos Conselheiros. Ao todo são 122 candidatos na disputa do quadro de vagas abaixo:
Edital de Referência Vagas Indicações Recebidas
Edital 1 - organizações da sociedade civil 3 28
Edital 2 - instituições científicas, tecnológicas e de inovação 3 25
Edital 3 - Confederações Sindicais 3 13
Edital 4 - entidades representativas do setor empresarial 2 47
Edital 5 - entidades representativas do setor laboral 2 9
Total 122
Entre os critérios para escolha pesam a representatividade e conhecimento técnico de cada candidato, com o fito de enfrentar os atuais e novos desafios para a conformidade de privacidade de dados no Brasil.
Um Horizonte Desafiador
Nas últimas décadas, o mundo viu uma revolução nos tipos de tecnologia que podem gerar dados eletrônicos em grande parte a partir da proliferação de smart phones e sensores. Existem agora mais telefones celulares em uso do que pessoas na face da Terra. O número de sensores conectados à Internet é agora contado em dezenas de bilhões. Do ponto de vista da privacidade, os telefones celulares são mais eficazes e intrusivos do que as tornozeleiras eletrônicas, com capacidade de monitorar e rastrear o dono do dispositivo de forma ostensiva e contínua, por 24h todos os dias.
Com um enfoque multi-angular, esse monitoramento hoje abrange desde detalhes íntimos da vida de uma pessoa (titular dos dados), incluindo suas informações de localização, listas de contatos/amigos e até preferências pessoais tão diversas quanto hábitos de compra, taras sexuais e condições médicas. Daí surge a capacidade de prever, com alto poder de acerto (acima de 95%), o comportamento humano (behavioral science), através da análise de dados prescritiva (prescriptive analytics).
Com o advento da Internet das Coisas (IoT), estes sensores foram colocados em lugares que antes seriam quase inimagináveis como postes de iluminação pública, dentro de injetores de combustível de automóveis, em inaladores para asma e até dentro de corações humanos. Apesar do recente aumento no número e no tipo desses dispositivos de coleta de dados, as questões-chave que estão por trás dos novos desenvolvimentos foram imaginadas há mais de 50 anos.
Em 1965, Gordon Moore, co-fundador da Intel, previu o aumento exponencial do poder computacional necessário para lidar com a enorme quantidade de dados. A Lei de Moore não é uma lei matemática; mas sim uma simplificação útil sobre o crescimento exponencial da computação nas últimas décadas em progressão geométrica. Por sua vez, o escritor de ficção científica Isaac Asimov discutiu as implicações sociais e éticas do poder computacional cognitivo que viria de uma análise de dados tão rica. Doutra banda, Yuri Noah Harari, em sua obra Homosapiens, enfrenta o dilema moral/social dos algoritmos que decidem como um veículo autônomo/auto-dirigível se comportará diante de uma situação de risco, onde existiriam apenas 2 alternativas auto-excludentes: salvar a vida do passageiro ou a vida do pedestre.
Notem a complexidade paradoxal, legal e filosófica, que o BIG Data trás tanto para a ANPD quanto para o CNPD. Com grandes volumes de dados, surgiu uma nova lei de grandeza, onde a quantidade de dados dobra a cada ano. Em 2016, os humanos produziram tantos dados quanto em toda a história da humanidade até 2015. Algumas estimativas são de que a quantidade de dados dobrará a cada 12 horas até 2025. A valoração destes dados é um resultado direto da regra dos 5 V’s
DADOS e 5 V’s
A valoração dos dados se dá dentro do conceito de 5 V’s: Volume, Variedade, Veracidade, Velocidade e Valor.
O Volume se refere ao Big Data, os data lakes e demais fontes inesgotáveis de informações sobre uma infinidade de indivíduos. Neste quesito de análise de dados, tamanho é documento. Quanto maior o volume de dados, maior potencial de exploração se tem.
A Variedade se refere à uma plenitude de ângulos de abordagem de cada titular de dados, tendo assim uma visão holística deste indivíduo. Isto permite uma abordagem completa na leitura das suas características e padrões de comportamento. Se o volume é uma mensuração quantitativa, a variedade e veracidade dos dados são réguas qualitativas.
A Veracidade se refere à precisão dos dados coletados. Quanto mais fidedignos os dados, mais valor se terá, pois mais assertiva será a interpretação das conclusões resultantes do seu processamento. De nada vale se ter volume, sem variedade e veracidade.
A Velocidade se refere à rapidez com a qual os dados podem ser processados. De acordo com a lei de Moore de 1965 o poder de processamento aumenta exponencialmente de tempos em tempos. Através de um conceito estabelecido por Gordon Earl Moore, tal lei dizia que o poder de processamento dos computadores (entenda computadores como a informática em geral, não os computadores domésticos) dobraria a cada 18 meses. Hoje já se encontra saturada esta possibilidade de expansão em progressão geométrica no padrão binário de processamento. Por outro lado, com o advento da computação quântica a velocidade de processamento de dados entrará em um novo patamar onde o céu será o limite!
O Valor nada mais é do que a somatória dos 4 V’s que o antecedem. Agregar valor é o mantra da economia digital, pois ele pesa favoravelmente no delta entre retorno sobre investimento frente aos custos operacionais. Empresas bem sucedidas competem por valor e não por preço.
Robótica, Algoritmos e Inteligência Artificial
Ao combinarmos a regra dos 5 V’s com as Leis de Robótica de Isaac Asimov, temos a síntese de proliferação de algoritmos e análises, o que já permite sistemas de inteligência artificial conectados à nuvem, totalmente independentes de qualquer interação ou intervenção humana. Do ponto de vista metafísico, a famosa afirmação de Immanuel Kant de que "pensamentos sem conteúdo são vazios; intuições sem conceitos são cegas" pode ser modernizada como "algoritmos sem dados são vazios; dados sem algoritmos são cegos ". Em suas obras de ficção dos anos 40, Asimov vislumbrava o surgimento de robôs e estabelecia leis para o convívio destes com seres humanos. No mundo de hoje, estas leis emblemáticas se aplicam não apenas aos robôs, mas também aos algoritmos, ao machine learning e à Inteligência Artificial.
Resumidamente, as três leis de Azimov são as seguintes:
Um robô não pode ferir um ser humano ou, através da inação, permitir que um ser humano venha a se ferir.
Um robô deve obedecer a ordens dadas por seres humanos, exceto quando tais ordens entrarem em conflito com a Primeira Lei.
Um robô deve proteger sua própria existência desde que tal proteção não entre em conflito com a Primeira ou Segunda Lei. Através de uma síntese dos princípios de Asimov com conceitos modernos de privacidade, o Professor Dr. Mark Rotenberg, do Electronic Privacy Information Center, sugeriu dois acréscimos às icônicas leis de Asimov para abordar a transparência em algoritmos e Inteligência Artificial. São eles:
Os robôs devem sempre revelar a base de suas decisões.
Os robôs devem sempre revelar suas identidades.
Na mesma esteira de Azimov e Rotemberg, o CEO da Microsoft Satya Nadella propôs uma lista de princípios de design de Inteligência Artificial, incluindo vários que se concentram em questões de privacidade:
6.A Inteligência Artificial deve ser projetada para ajudar a humanidade.
7.A Inteligência Artificial deve ser projetada para a privacidade inteligente.
8.A Inteligência Artificial deve ser transparente.
9. A Inteligência Artificial precisa de responsabilidade algorítmica para que os seres humanos possam desfazer danos não intencionais.
Estas "leis" apresentadas acima ainda não operam hoje como regras legais positivadas (prescritas com sanções tradicionais). Elas partem de um arcabouço principiológico que deve estar arraigado às práticas e políticas de privacidade de um controlador ou operador de dados. De fato, estes princípios demonstram o quão profundas são estas questões que deverão ser enfrentadas pela ANPD em conjunto com o CNPD, para se coibir o viés algorítmico (“bias algo”) e as práticas discriminatórias de toda sorte, que lesam direitos no que tange gênero, idade, etnia, cor, credo, entre outras essências da natureza humana de cada titular de dados.
Direito Comparado, Compatibilização e Integração Internacional
Ao se partir dos princípios universais abordados acima, porém de forma mais concreta e tangível, o direito comparado ou “comparative law”, refere-se `a uma disciplina científica, que estuda as diferenças e as semelhanças entre os diferentes direitos (incluindo suas legislações, jurisprudências e doutrinas). Ele também se define como um método científico que permite comparar elementos desses direitos, com finalidades variadas. No âmbito da privacidade de dados, a finalidade se dá pela capacidade de compatibilizar e integrar os sistemas legais de distintos países e blocos. O objetivo primordial desta harmonização é o de permitir o livre compartilhamento de dados entre diferentes entes nacionais e supranacionais, de forma segura aos titulares destes dados.
Berço do modelo inspirador da LGPD, através do seu GDPR, a Europa ainda não reconhece o Brasil como país capaz de providenciar medidas adequadas para proteção de dados dos seus nacionais. Comparativamente, Argentina e Uruguai já conquistaram o título de porto seguro para a transferência e intercâmbio de dados com a Europa. Outros países latino americanos, como México e Chile, já avançam em painéis de negociação para se enquadrarem neste patamar superior também.
Outra ambição da agenda socioeconômica brasileira é o ingresso do País no seleto grupo de membros da OCDE. Para tanto algumas lições de casa devem ser cumpridas. Dentre estas tarefas estão a promulgação de uma lei de privacidade de dados e a instituição de uma autoridade nacional competente, independente e despolitizada (técnica), para regulamentar, fiscalizar e sancionar penalidade para enforcar a eficácia da referida lei. Neste sentido, o Brasil avançou.
Cabe lembrar o papel da OCDE como pivô no desenvolvimento de políticas para a proteção de dados pessoais há muito tempo. As Diretrizes de Privacidade da OCDE datam de 1980, quando foram acordados os primeiros princípios de privacidade internacionalmente. Atualizadas em 2013, estas normas continuam sendo uma referência essencial, inclusive para as regras e práticas internas da OCDE.
Em consonância com a LGPD, as regras da OCDE exigem que os dados pessoais sejam processados de forma transparente para fins legítimos. Os dados pessoais devem ser adequados, relevantes, mantidos atualizados, limitados ao que é necessário e retidos não por mais tempo do que o necessário. Existem limitações significativas relacionadas ao processamento de dados pessoais sensíveis, processamento automatizado, incluindo a definição de perfis, e para processamento de alto risco.
Quando se tem o tratamento de dados sensíveis, a avaliação de risco é obrigatória (relatório de impacto), com a proteção de dados por projeto e padrão integrada ao processo, dentro do que se define “privacy by design” e “privacy by default”. Os riscos de segurança são abordados através de medidas técnicas e organizacionais razoavelmente adequadas ao risco. Em caso de violação de dados pessoais, os requisitos de notificação seriam acionados.
Conclusão
As discussões e embates teóricos, antes restritos ao mundo acadêmico, hoje perfazem toda gama de percepção, preocupação e conscientização dos operadores e controladores de dados, no que se refere ao zelo pelas suas reputações e logo a perpetuação de sua existência. No Darwinismo do mundo corporativo, só sobrevive quem se adapta. Os paradoxos de natureza científica e também filosófica apontados nesta breve elucubração hipotética (em forma de artigo), demonstram de forma rasa alguns vetores da transformação digital do mundo, ao qual a adaptação se faz necessária.
No âmbito dos regramentos de proteção e privacidade de dados tal adaptação não seria menos crucial. Independente de quesitos culturais, ou do sistema de regramento (Regulatório, Co-Regulatório ou Auto-Regulatório), ou ainda independente do modelo organizacional (compreensivo ou setorial); a essência da proteção e privacidade de dados se guia por princípios universais. Referidos princípios são capazes de harmonizar legislações díspares, ao estabelecer denominadores comuns para compatibilização e harmonização.
O aumento contínuo e exponencial que existe há décadas nas capacidades computacionais, e quem devem acelerar ainda mais com a consolidação do 5G e da computação quântica, tornam evidente a dicotomia muitas vezes conflitantes entre o Direito (Ordem) e o Desenvolvimento Tecnológico (Progresso). Esta constante metamorfose no campo da tecnologia da informação (“TI”) significa um constante câmbio nos desafios que serão enfrentados pelos profissionais de privacidade no Brasil, além dos integrantes da ANPD e do CNPD à ser constituído.
Neste spec, sugere-se que os profissionais de privacidade servem bem, tanto à sociedade como a si através de estudos e pesquisas de forma contínua. Nessa linha, as titulações e certificações culminam em um ciclo virtuoso de evolução permanente e reciclagem intelectual, para não ser atropelado pelas mudanças que se aceleram em ritmo cada vez mais frenético. Em uma perspectiva mais otimista, cabe não só esperar, mas sugerir que os profissionais de privacidade dados estarão na vanguarda de mudanças cruciais na sociedade, desde que se tenha qualificação técnica, proficiência em outros idiomas, conhecimento multidisciplinar e envergadura moral para tanto.
(* texto publicado originalmente no ESTADÃO em 24/04/2021)
Daniel Majzoub - Embaixador Institucional do IBREI para o Golfo Pérsico
Comments