Ausência de dosimetria não impede ANPD de fiscalizar, diz professora Maria Cecília
Sem aplicar sanções previstas na Lei Geral de Proteção de Dados Pessoais (LGPD), a Autoridade Nacional de Proteção de Dados (ANPD) indica que o cenário deve mudar quando publicar a norma da dosimetria das sanções. Contudo, a ausência da regra não é impeditivo para deixar de punir qualquer comportamento relacionado à violação de dados, afirma Maria Cecília Oliveira Gomes, professora do Data Privacy Brasil.
Em entrevista ao Tele.Síntese, a docente aponta que algumas empresas que já passaram por processos administrativos poderiam ter sido multadas e sancionadas pelo órgão. “[A regra da dosimetria] é, sim, necessária, mas não um impedimento para a ANPD fiscalizar”, pontua .
Maria Cecilia, também doutoranda em Filosofia e Teoria Geral do Direito na Faculdade de Direito da Universidade de São Paulo (USP), também comenta que a autoridade tentar “abraçar o mundo” ao promover agendas regulatórias bienais extensas. Segundo ela, a pauta de 2021/2022 não foi integralmente cumprida, de modo que muitos temas foram incorporados aos compromissos do período 2023/2024.
“É melhor demorar para regulamentar algumas temas e publicar boas orientações do que correr com muitos assuntos e publicar orientações ruins”, argumenta.
Além disso, Maria Cecília, que foi pesquisadora visitante na Data Protection Unit do Council of Europe (CoE), na França, e no European Data Protection Supervisor (EDPS), na Bélgica, defende que Inteligência Artificial (IA), dentre outros conteúdos complexos, não seja regulamentada de imediato, até porque não é uma área que se restringe ao tratamento de dados pessoais. “É necessário compreender os impactos da Inteligência Artificial nas relações humanas”, sinaliza.
Confira, a seguir, a entrevista.
Tele.Síntese: A LGPD foi instituída em agosto de 2018 e entrou em vigor em setembro de 2020. Em agosto de 2021, passou a valer a aplicação das punições. Qual é a avaliação que você faz da implementação da lei até aqui?
Maria Cecília Oliveira Gomes, professora do Data Privacy Brasil: Muita coisa foi feita nos últimos cinco anos em relação à LGPD e a todo o ecossistema – os setores público e privado, terceiro setor e academia. Mas, na minha percepção, por mais que o mercado, especialmente na parte de profissionais que trabalham na área de privacidade e proteção de dados e empresas que foram criadas para atender a uma demanda de adequação à LGPD, busque a conformidade regulatória, ainda estamos nos passos iniciais em relação à construção de uma cultura efetiva de proteção de dados, porque muita coisa ainda falta acontecer. Grande parte do mercado ainda precisa concluir a implementação e estar em conformidade regulatória. Ainda temos um longo caminho pela frente.
O fato de ainda não ter ocorrido a aplicação de multas e sanções é algo que fragiliza a estrutura regulatória, porque a ANPD tem um papel essencial em justamente fazer supervisão, fiscalização e orientação. E muito do que a ANPD tem falado publicamente está mais voltado à orientação. Prometeram, a partir da norma de dosimetria, prevista para fevereiro, que isso vai mudar um pouco, mas sou um pouco cética em relação a isso. Temos que esperar para ver se, de fato, a autoridade vai começar a aplicar sanções.
Até o momento, nestes cinco anos, é muito sobre a disposição das empresas estarem em conformidade regulatória. E cada setor, quando vai fazer contratação, acaba meio que se autorregulando, cobrando que a outra empresa esteja em conformidade com a LGPD. Então, não é tanto a ANPD [que cobra]. É mais uma autorregulação do mercado, e a ANPD ainda não bancou uma aplicação de sanção para vários casos que já aconteceram.
Tele.Síntese: Comparado a outros territórios, a Europa, por exemplo, o Brasil está muito atrás no que diz respeito à efetiva aplicação da lei de proteção de dados?
Maria Cecília: Em termos de arranjos regulatórios, não. No Brasil, desde a década de 1990, temos leis setoriais de privacidade e proteção de dados, como o Código de Defesa do Consumidor, entre outras. Quando a LGPD foi sancionada, já tínhamos mais de 40 leis setoriais em relação à proteção de dados, mas faltava muito o papel de uma autoridade para orientar, fiscalizar, supervisionar.
Nesse ponto é que estamos tão diferentes do cenário europeu. Lá algumas autoridades têm mais de 40 anos, então, já têm uma estrutura muito forte, como é o caso do ICO [Information Commissioner’s Office, do Reino Unido], que tem mais de 800 funcionários e aplica muito mais sanções do que vemos no contexto brasileiro. O que vemos no cenário europeu são autoridades muito mais fortes no aspecto fiscalizatório, regulando e sancionando cada tipo de infração fiscalizada.
A Europa, sim, tem regulações mais antigas de proteção de dados do que o Brasil, mas aqui não estávamos totalmente despreparados, já tínhamos leis setoriais. O que faltava era uma autoridade para fazer esse papel de aplicação e sanção em relação às obrigações da LGPD.
Tele.Síntese: Proteção de dados, então, é um assunto que precede à chegada do mundo digital. Mas temos a impressão de que leis como a LGPD foram criadas para regular as atividades em ambientes virtuais.
Maria Cecília: Sim. Na verdade, a primeira lei de proteção de dados do mundo foi uma lei alemã da década de 1970. Então, muito do debate para se criar leis de proteção de dados estava associado aos cadastros e à manipulação de dados feita pelo governo. Existiram vários casos envolvendo censos, por exemplo, na Alemanha e nos Estados Unidos. O governo coletava um volume muito grande de dados pessoais, mesmo no papel. Então, as leis de proteção de dados se aplicam ao ambiente virtual e não virtual e a qualquer tipo de dado que seja classificado dessa forma.
No Brasil, novamente devido à ausência da autoridade, mesmo tendo leis setoriais desde a década de 1990, só em 2018 passamos a ter uma lei geral de proteção de dados e, de fato, a criação de uma autoridade que viesse fiscalizar e regulamentar esse tema no País. Então, dá a impressão de que estamos atrasados em comparação ao resto do mundo e, como vivemos numa economia datificada, seria necessário ter uma lei e uma autoridade, quando não é bem assim. A norma foi criada justamente para regulamentar o uso de dados pessoais, num primeiro momento, em relação ao Estado e ao cidadão e, num segundo momento, em relação a todo o ecossistema.
Tele.Síntese: A LGPD está quase completando cinco anos. E, nesse período, houve uma pandemia que acelerou o uso de ferramentas digitais, inclusive para o trabalho remoto e o ensino a distância. Diante dessas transformações, a lei ficou defasada de alguma forma em relação à conjuntura atual?
Maria Cecília: Tenho uma visão de que a lei veio reforçar a estrutura que ela propôs quando fomos confrontados com as questões associados à pandemia: a digitalização muito rápida de empresas, o trabalho remoto, a educação a distância. A LGPD tem uma espinha dorsal que se baseia em princípios. Então, não é algo que se modifique mesmo ocorrendo o que vivemos desde 2020 para cá. Houve um boom associado à LGPD justamente por ter entrado em vigor na época da pandemia.
Ela veio para fortalecer essas estruturas e criar regras e normas em relação a como os dados pessoais deveriam ser tratados. A visão que tenho é que não apenas para a LGPD, mas para toda a economia global, as leis de proteção de dados e o papel das autoridades foram muito importantes durante esse tempo para regulamentar questões em andamento, como a Lei de Mercados Digitais da União Europeia (UE) e debates envolvendo Inteligência Artificial (IA).
Tele.Síntese: Até aqui, a ANPD tem tido uma postura tímida. O que podemos esperar da autoridade em relação aos processos administrativos e fiscalizatórios?
Maria Cecília: Vou te falar o motivo pelo qual ela tem agido assim. Ela declara que tem seguido esse papel mais orientativo por uma lógica chamada de regulação responsiva, que significa que a autoridade vai orientar e fazer processos de regulamentação para temas que estão dentro da lei. E a autoridade têm justificado a lógica da regulação responsiva para justamente não ter uma postura mais dura como outras entidades, como as do Reino Unido e da Alemanha. Nessa lógica, a ANPD espera que o mercado cumpra as orientações que ela emite, mas isso não necessariamente é uma conta na qual um mais um é igual a dois. Ou seja, não é porque ela orienta que, de fato, será cumprido. Por isso, é necessário o papel da fiscalização.
A supervisão é o monitoramento. Ela pode monitorar e fazer questionamentos para empresas, mas ela tem sido muito cobrada pelo terceiro setor especialmente para ter posturas mais duras em relação à fiscalização, para que, de fato, algumas empresas que já passaram por processos administrativos na ANPD possam ser multadas e sancionados. O que ela tem respondido é que vai fazer isso após a publicação da norma de dosimetria. É, sim, necessária, mas não um impedimento para a ANPD fiscalizar. Todo mundo está esperando para ver se é isso o que vai acontecer, ou se não vai mudar
Tele.Síntese: Qual é sua expectativa para a norma da dosimetria das sanções?
Maria Cecília: Quando publicarem, confesso que acho que ainda haverá espaço para contribuição. Existe um processo de regulamentação. A ANPD tinha uma agenda regulatória 2021/2022 em que isso estava envolvido. E agora ela tem uma agenda regulatória 2023/2024. Esse era um dos dez temas da agenda 2021/2022 que vai ser lançado agora em 2023. Mas acho que, quando publicarem, ainda haverá espaço para contribuição. Não é porque a ANDP publica algo que isso vai ser permanente, não vai sofrer alterações. Pelo contrário, a autoridade pode receber declarações e contribuições de todos os setores da sociedade em relação ao que está propondo para que possa ser modificado ou não.
O que espero? Uma regulamentação estruturada, dizendo o que vai considerar como infração que gere multa ou bloqueio. Existem diversos tipos de sanções administrativas. Então, todo mundo está esperando o que ela vai propor. E a sociedade civil está esperando que justamente saia isso para cobrar a autoridade por sanções. É um pouco do movimento que está acontecendo.
Tele.Síntese: A ANPD foi transformada em autarquia oficialmente em outubro de 2022. Na prática, como isso fortalece as atividades da autoridade de proteção de dados?
Maria Cecília: A ANPD era muito criticada por ser vinculada à Presidência da República e não ter a autonomia de uma autarquia. Ela precisava ser autônoma e ter independência decisória, financeira e administrativa por uma série de razões. Para ser prática, a autoridade ser autônoma é um dos requisitos para o Brasil ter um assento na OCDE [Organização para Cooperação e Desenvolvimento Econômico].
Além disso, para que haja um acordo de cooperação de livre transferência de dados pessoais entre Brasil e União Europeia, por exemplo, a ANPD precisaria ser autônoma também, porque é um dos critérios formais analisados pelo bloco europeu para ter decisões de transferência internacional de dados entre as regiões. Por que isso é bom? Isso facilita o livre fluxo de dados.
A autonomia também era importante para que ela, inclusive, crescesse. Estão propondo fazer concurso para aumentar o quadro de servidores da autoridade. Antes, estavam operando com 50 pessoas. O quadro foi crescendo com o passar do tempo e, agora, conta com mais ou menos 100 pessoas.
Tele.Síntese: Autoridades de proteção de dados em países menos populosos do que o Brasil contam com quadros efetivos de pessoal maiores, não é?
Maria Cecília: Podemos traçar uma comparação entre Brasil e Reino Unido. O Reino Unido tem uma população bem menor do que a brasileira e tem uma autoridade com quase 1 mil funcionários. O Brasil é um país de 210 milhões de habitantes e tem uma autoridade com 100 pessoas. É necessário ampliar, porque é um mercado muito grande para regular.
Você não consegue supervisionar um mercado desse tamanho com pouca gente. Não vai conseguir ter muitos processos administrativos e fiscalizatórios e elaborar orientações para regulamentar tantos temas que ainda são necessários na LGPD.
O que me preocupa é que há um movimento de querer abraçar o mundo. Publicaram dez temas para a agenda 2021/2022, mas não os cumpriram. Iniciaram os processos de regulamentação de todos os temas, mas não finalizaram. O que aconteceu? Vários temas não finalizados foram jogados para 2023/2024, que tem uma agenda agora com 20 temas. Se você olhar a agenda regulatória, é enorme.
Como vão conseguir regulamentar todos os temas, abrir processos de regulamentação para cada um deles, fazer audiências públicas, consultas públicas, receber contribuições, publicar uma primeira versão para comentários? É complicado, demanda um esforço muito grande. É totalmente normal uma autoridade ter uma agenda regulatória, mas me preocupa uma agenda com 20 temas, se vão conseguir cumprir a regulamentação de todos os assuntos.
E mesmo que dobrem para 200 pessoas, alguns temas são complexos demais, como Inteligência Artificial. A comissão de juristas de Inteligência Artificial do Senado publicou um relatório com 1 mil páginas em dezembro. Não é uma coisa tão simples. Sou um pouco cética, acho que vamos chegar ao final de 2024 e não veremos todos os temas regulamentados, sendo jogados para 2025/2026.
Tele.Síntese: É um pouco parecido com obra pública, que não costuma terminar no prazo inicialmente previsto.
Maria Cecília: Pois é, não tem fim. E anunciaram que cumpriram 100% da agenda regulatória 2021/2022. Não, não cumpriram, porque não foram concluídos todos os temas. Alguns só foram iniciados. Por exemplo, “Relatório de Impacto à Proteção de Dados Pessoais” entrou em 2023/2024 porque não foi concluído em 2021/2022. E por que não foi? Porque é muito complexo. Então, pode ser que termine 2024 e não seja regulamentado. Temos que ver se não vai virar um efeito cascata.
Tele.Síntese: É mais uma questão de falta de priorização de temas?
Maria Cecília: Existe uma pressão dos setores para que a ANPD regulamente muitos temas, como tratamento de dados biométricos, questões de Inteligência Artificial, relatório de impacto, entre vários outros. A autoridade sofre, sim, uma pressão para regulamentar, mas está querendo abraçar o mundo e isso não será possível. É um volume muito grande de temas.
Só para Inteligência Artificial foram feitas 50 audiências públicas no Senado Federal. Isso gerou um relatório de 1 mil páginas. É um tema. Se você vai regulamentar 20, é complicado. Joga 20 em um período de 24 meses. É um pouco complicado fazer tudo isso, porque são temas complexos. É melhor demorar para regulamentar algumas coisas e publicar boas orientações do que correr com muitos temas e publicar orientações ruins. É melhor fazer menos com qualidade do que muito sem qualidade. Do contrário, é um trabalho que precisará ser refeito mais para frente.
Tele.Síntese: Caberá à ANPD regular temas ligados às novas tecnologias que estão emergindo, como IA?
Maria Cecília: Não necessariamente. Se falou, inclusive, nas audiências públicas do Senado Federal sobre ter um outro órgão à frente disso. Alguns setores defendem que outro órgão com uma expertise maior se encarregue de Inteligência Artificial, porque não entra só a parte jurídica de dados pessoais, mas também a parte técnica de engenharia e desenvolvimento. Então, há uma discussão se será a ANPD ou outro órgão.
Mas acho muito complicado regulamentar Inteligência Artificial em 2023, porque ainda estamos compreendendo o assunto. Não temos uma visão completa sobre os impactos e os efeitos, tudo o que ela pode causar. Estamos falando disso há muito tempo. A [filósofa e escritora] Donna Haraway publicou o “Manifesto ciborgue” na década de 1980. Estamos discutindo a relação entre ser humano e máquina há muitas décadas.
O Brasil não está sozinho nesse processo. Há todo um esforço internacional para ouvir as pessoas que programam, desenvolvem e respondem juridicamente pelas tecnologias, para haver no futuro uma regulamentação. Mas acho que isso não está próximo. Não é porque o relatório foi publicado que tenha que andar rápido. Acho que ainda é necessário conversar, ouvir mais pessoas e compreender os impactos da Inteligência Artificial nas relações humanas.
Tele.Síntese: A LGPD deve dar conta de novas tecnologias que utilizam dados pessoais ou será preciso criar leis específicas para cada caso, como IA, por exemplo?
Maria Cecília: A LGPD foi uma construção de uma década. Quem esteve muito à frente desse processo foi o [advogado] Danilo Doneda, que, infelizmente, faleceu no final do ano passado. Mas não acho que a lei supre Inteligência Artificial, são contextos muito diferentes. É como se a LGPD conseguisse cobrir uma parte, mas outra grande parte não. Então, é necessário, sim, ter uma regulamentação. No entanto, a percepção que tenho é que ainda estamos entendendo a Inteligência Artificial e os efeitos dela na nossa vida. Então, é cedo para ter uma regulamentação que já diga o que é Inteligência Artificial.
Por mais que o mercado não espere, porque várias empresas já estão desenvolvendo, entendo que, caso saia uma regulação agora, provavelmente precisará ser revista, porque ainda estamos justamente num processo de conscientização em relação ao tema.
Penso que algumas coisas não serão supridas pela Inteligência Artificial. As pessoas têm uma certa idealização da tecnologia. O Yuval Noah Harari, autor de “Sapiens”, tem um livro chamado “Homo Deus”. No último capítulo, ele fala da sociedade datificada, ele acredita que o futuro será assim, envolvendo dados e Inteligência Artificial. Eu acho que, na verdade, é mais complexo do que isso. O argumento dele no livro é que deixaremos de ser homo sapiens para ser homo deus, porque a sociedade vai ser totalmente datificada e a Inteligência Artificial vai controlar e dizer como o mundo deve funcionar.
O Edgar Morin, pensador francês que adoro, fala da complexidade que existe na sociedade. Então, construir conhecimento não é algo tão simples. Uma Inteligência Artificial consegue dar respostas simples, ou mais ou menos elaboradas, mas ela não supre o ser humano. E acho que estamos nesse ponto de inflexão, entendendo quem somos e qual o nosso papel no mundo, enquanto tem uma tecnologia que está ressignificando a nossa relação com o mundo, que é muito complexo para ser reduzido a uma Inteligência Artificial.
Gostei muito de um livro que li no ano passado: “Quando deixamos de entender o mundo”, do Benjamín Labatut. Ele fala justamente sobre como nós, enquanto sociedade, deixamos de refletir, fazer questionamentos e ter dúvidas em relação ao mundo. Hoje, vivemos de uma maneira muito simplificada nas nossas relações, onde a tecnologia nos diz o que comprar, o que usar, o que comer, o que vestir, quando, na verdade, precisamos repensar o mundo e as relações humanas. Caminho mais para um lado filosófico-sociológico em relação a isso porque acho que não é tão simples.
Tele.Síntese: O que acha que podemos esperar do no novo governo em relação à pauta de proteção de dados pessoais?
Maria Cecília: Sinto que haverá um esforço maior. Foram feitas declarações em relação a uma possível regulação de plataformas, até devido questões envolvendo fake news e a tentativa de golpe no dia 8 de janeiro. O governo tem dado declarações num processo de regulamentação de plataformas, que é algo parecido com que está sendo concluído na União Europeia.
O que sei é que há essa predisposição para uma regulamentação sobre plataformas, assim como foram criadas secretarias de governo digital em alguns ministérios. Estou acompanhando para ver como isso vai se desdobrar.
A ANPD ficou vinculada ao Ministério da Justiça e houve a nomeação da Estela Aranha para justamente ser assessora especial do [ministro] Flávio Dino em relação a essa parte que envolve a autoridade e questões associadas a políticas digitais. Então, vamos ver como isso irá se desdobrar. Me parece que haverá muita movimentação no novo governo, já que há essa predisposição para regulamentação de plataformas e vários ministérios estão com secretarias para governo digital.