Diretora da ANPD discute fluxo internacional de dados e papel do órgão na regulação da IA

Miriam Wimmer, diretora da Autoridade Nacional de Proteção de Dados (ANPD)

Apesar de já há algum tempo ter enorme peso econômico e importância para o desenvolvimento de diversos setores, o fluxo internacional de dados digitais encontra várias barreiras no embate entre as várias legislações nacionais a ele aplicáveis.

Evidentemente, a coleta, o processamento e uso de dados no âmbito nacional ou internacional exigem salvaguardas para a garantia de aspectos como a privacidade e a concorrência econômica. Daí a importância de arcabouços legais como a Lei Geral de Proteção de Dados (LGPD) (13.709/2018) para o contexto brasileiro.

Como tudo relacionado à evolução tecnológica, o sistema digital caracteriza-se como um verdadeiro ecossistema em permanente transformação, marcado atualmente pela intensa participação da inteligência artificial (IA) e sua demanda por dados pessoais.

Todos esses temas estiveram presentes na programação do IEA em agosto por ocasião de dois eventos com a participação da diretora da Autoridade Nacional de Proteção de Dados (ANPD), Miriam Wimmer. No dia 1º de agosto, ela foi a expositora principal da mesa Fluxo Internacional de Dados: Aspectos Regulatórios, integrante da programação da edição 2023 da Escola São Paulo de Ciência Avançada de Diplomacia Científica e da Inovação (InnScid SP, na sigla em inglês), realizada de 24 de julho a 4 de agosto, no Centro de Inovação (Inova) da USP.

O segundo encontro em que Wimmer foi expositora foi Regulação da IA: Qual Deve ser o Papel da ANPD?, no dia 22 de agosto, seminário do ciclo Desafios e Oportunidades da IA - Perspectivas Setoriais, organizado pelo Observatório da Inovação e Competitividade, núcleo de apoio à pesquisa (NAP) sediado no IEA.

O papel da ANPD na regulação da inteligência artificial Do ponto de vista prático da coleta, processamento e utilização de dados, pessoais ou de outra natureza, deve-se considerar também a relação desses processos com o desenvolvimento e usos da inteligência artificial (IA). Mas um possível conflito legal precisa ser sanado nesse caso, uma vez que o Projeto de Lei 2.338/23, que trata do uso da IA, não esclarece como serão compatibilizadas as missões da ANPD e da autorizada a ser criada para ser responsável por diferentes aspectos do desenvolvimento e utilização de sistemas de IA, como a fiscalização e a aplicação de sanções em caso de descumprimento da legislação. Para tentar esclarecer essa questão, Miriam Wimmer foi convidada a fazer uma exposição no seminário Regulação da IA: Qual Deve ser o Papel da ANPD?, no dia 22 de agosto, organizado pelo Observatório da Inovação e Competitividade (OIC), núcleo de apoio à pesquisa da USP sediado no IEA. A realização do encontro teve o apoio do Centro de Inteligência Artificial (C4AI) da USP, Associação Brasileira das Empresas de Software (Abes), Confederação Nacional das Indústrias (CNI) e Núcleo de Informação e Coordenação do Ponto BR (NIC.br). O encontro fez parte do ciclo Desafios e Oportunidade da IA – Perspectivas Setoriais, realização do OIC. Além de Wimmer, participou como expositor o advogado Eduardo Paranhos, da Abes. Como ressaltaram os organizadores do seminário, dados pessoais são essenciais ao desenvolvimento e ao funcionamento de sistemas de IA. “Por essa razão, toda e qualquer discussão sobre a regulação dessa tecnologia deve levar em conta a importância de protegê-los e o desenho institucional mais adequado para fazê-lo”, frisaram os pesquisadores. Convergência e conflito Vale destacar que a ANPD divulgou em julho uma Análise Preliminar do PL 2.338/23.  De acordo com o site da autoridade, o documento apresenta os pontos de convergência e conflito entre o PL e LGPD, reforça o “posicionamento da autoridade de fomento à inovação em IA” prevista no PL, “desde que feita de forma responsável”, e conclui que a ANPD, por ser a autoridade responsável por zelar pela proteção de dados pessoais no país, “assume também protagonismo na regulação de IA, no que se refere à proteção de dados pessoais”. Para Wimmer, o ponto de central e de grande complexidade é a questão do arranjo institucional, que não se limita ao Brasil, “pois vivemos um momento coletivo de reflexão sobre uma nova tecnologia”. Diante dos múltiplos impactos de tecnologias como o ChatGPT sobre a economia, a política e a sociedade em geral, afetando aspectos dos direitos fundamentais, direitos autorais, concorrência, a produção e circulação da informação, entre outros, a primeira pergunta que surge, segundo Wimmer, é “se há necessidade de novas normas legais”. Para ela, “a percepção crescente é que a IA traz impactos tão gigantescos que merece um olhar específico, diante dos desafios que suas características intrínsecas apresentam à legislação existente”. Wimmer destacou “as opacidades, vieses e risco de discriminação” presentes nos sistemas de IA, além de questões éticas, como o risco de substituição do ser humano no ambiente artístico-cultural, no judiciário e no poder público, e impactos concorrenciais e geopolíticos. Responsabilidade civil Ela afirmou que um dos temas mais polêmicos é o da responsabilidade civil, pois a IA coloca em xeque aspectos como nexo de casualidade, na comprovação da relação entre ação e danos experimentados. Para ela, a discussão a ser feita é sobre o tipo de abordagem regulatória. Disse que a sociedade vem caminhando no sentido de buscar normas mais vinculantes. Inicialmente surgiram normas e diretrizes da OCDE, Unesco e outras organizações, com um consenso em torno de princípios gerais como aplicabilidade, explicabilidade, transparência, “IA para o bem”, “IA centrada no humano”, disse, mas “aos poucos vemos tendências de como explicar melhor esses princípios”. Outra discussão é sobre o nível de protagonismo que o Estado deve ter diante do patamar de atuação proativa apresentado pelo setor privado, afirmou. As alternativas são autorregulação, corregulação e autorregulação regulada, afirmou. “Estamos tratando de algo em movimento. O dilema sobre como regular e que tipo de arranjo adotar não foi resolvido em nenhum lugar do mundo.” Criação de órgão regulador A tendência é que a cada novo problema sejam criados uma lei e um regulador, mas não é fácil criar um regulador, comentou. “Ao longo dos cerca de dois anos e meio de existência da ANPD, vi como é difícil estruturar um órgão quando não há uma estrutura prévia.” “Quando olho para as propostas [de regulação da IA] no Congresso, especialmente o substitutivo apresentado pela comissão de juristas no Senado e protocolado pelo senador Rodrigo Pacheco, vejo que há sobreposição a estruturas que já temos.” Ela relembrou que a avaliação preliminar feita pela ANPD indica os pontos de contato entre a propostas de regulação da IA e a LGPD no que tange a princípios, direitos e mecanismos regulatórios. Explicou que a LGPD foi uma norma negociada e sempre levando em consideração coisas vistas como antagônicas: de um lado a proteção ligada a direitos fundamentais, privacidade, liberdade de expressão, proteção a dados pessoais; de outro lado, a promoção da pesquisa científica, desenvolvimento tecnológico, inovação, concorrência, modelos de negócios. “E no PL sobre IA vemos conceitos como respeito à ética, aos direitos humanos, não discriminação, diversidade, garantias fundamentais, segurança, proteção de dados, transparência, explicabilidade, devido processo legal.” Segundo ela, as normas trazem o embrião de abertura para mecanismos regulatórios, boas práticas, códigos de conduta e regulação assimétrica baseada em riscos. Há explicações sobre características constitucionais do ente da administração indireta a ser criado, autônomo e infenso a pressões econômicas e políticas, afirmou. Substrato comum “Há um substrato comum à LGPD e ao PL, mas não estou dizendo que a LGPD seja uma solução para tudo. Existem outras questões relativas à IA que não se referem a dados pessoais, como a criação de obras artísticas.” Wimmer indicou que a responsabilidade empresarial está presente na LGPD e no PL. “Nele, há a ideia de programas de governança e avaliação do impacto algorítmico; na lei, há a previsão de relatório de impacto da proteção de dados.” Há também a ideia do “by design”, no sentido de que a própria tecnologia possui um papel regulador: “Na LGPD, vemos a ideia de ‘security by design’, que se reflete no PL no sentido de que as preocupações com a mitigação de riscos têm de estar embutidas desde a concepção do modelo de negócios”. “Os dois textos legais procuram calibrar a intensidade regulatória em função do risco”, afirmou Wimmer. Incentivo à inovação Ela também comentou a questão do incentivo à inovação responsável: “A ANPD e outras autoridades pelo mundo estão iniciando um projeto de sandbox [ambiente regulatório experimental] para IA”. Anunciou convênio de cooperação técnica com o Banco de Desenvolvimento para a América Latina e o Caribe (CAF) e o lançamento em breve de uma consulta pública. O último ponto abordado por Wimmer foi o das sanções administrativas. Ela disse que "as sanções presentes na LGPD e as previstas no PL são muito parecidas; e não é por acaso, pois muitos dos problemas relativos a IA que surgirem serão também um problema relacionado à proteção de dados pessoais". Para ela, é importante que haja uma forma de centralizar a interpretação da legislação para evitar que cada Procon estadual, por exemplo, interprete à sua maneira o que é explicabilidade ou quando cabe uma revisão automatizada. Ela acredita que o debate irá amadurecer à medida que transcorra a tramitação do PL no Congresso Nacional. “O Brasil já tem uma tradição na discussão de normas sobre o ambiente digital, como foram os casos do Marco Legal da Internet e a Lei Geral de Proteção de Dados, sempre com debates plurais, diversidade e coerência.”

Doutora em políticas de comunicação e cultura pela Universidade de Brasília e mestre em direito público pela Universidade do Estado do Rio de Janeiro (Uerj), Wimmer dirige a ANDP desde a criação do órgão há dois anos e meio. Ela integra o quadro técnico do governo federal desde 2007, tendo trabalhado no antigo Ministério das Comunicações e no Ministério de Ciência, Tecnologia, Inovação e Comunicações, onde coordenou a elaboração da Estratégia Brasileira para a Transformação Digital.

Em sua participação na InnSciD SP, Wimmer destacou que o fluxo internacional de dados levanta questões complexas sobre jurisdição legal e soberania. Além disso, “os sistemas legais nacionais competem entre si, o que cria dificuldades para os negócios e os indivíduos e até mesmo para a pesquisa acadêmica”.

Nova fase da globalização

Ela apresentou gráfico de relatório publicado por dois pesquisadores do  Centro de Pesquisa de Economia Política (CEPR, na sigla em inglês) com a indicação de um crescimento de 45 vezes no fluxo de dados internacionais entre 2005 e 2016, com a estimativa de um valor anual de US$ 2,8 trilhões em 2016 e a perspectiva que chegue a US$ 11 trilhões em 2025. “Esse relatório indica que estamos entrando em uma nova fase da globalização, marcada pelo comércio, finanças e fluxo internacional de dados”, afirmou.

Outro documento comentado por Wimmer foi um white paper lançado em agosto de 2022 pela  Câmara Internacional de Comércio (ICC, na sigla em inglês) sobre Acesso Confiável de Governos a Dados Pessoais Mantidos pelo Setor Privado. Ela ressaltou que o documento trata de questões sensíveis que impactam o fluxo internacional de dados. O white paper menciona que ao mesmo tempo que esse fluxo é crucial para uma economia interconectada, as tentativas de governos nacionais de acessar dados mantidos por empresas privadas reduzem a confiança nesse fluxo internacional de dados, disse.

Por outro lado, muitos países estão perdendo acesso a  dados transferidos internacionalmente, e vemos um grande  número de países adotando políticas, por exemplo, exigindo que os dados estejam localizados em seu território ou criando restrições legais ou econômicas em relação a transferências internacionais de dados.

Crescimento em terabytes por segundo da banda de transmissão de dados internacionais (fonte: Telegeography; McKinsey Global Institute analysis, 2019)

Wimmer afirmou que há muitas justificativas para essa postura dos países. “Um dos principais argumentos é de que a transferência de dados fica suscetível ao acesso por serviços de inteligência estrangeiros e governos autoritários, por isso a necessidade de algum tipo de restrição protetiva.

Em muitos países, discute-se um armazenamento compulsório dos dados no próprio território e até mesmo regras para acesso de governos à armazenagem em outros países, afirmou. “Isso cria uma quantidade significativa de consequências sociais, políticas e econômicas, porque quando os dados não podem fluir entre países seu valor é de alguma forma capturado ou retido dentro território nacional. Ficamos impossibilitados de obter o uso adequado dos dados”, disse.

Barreiras ao fluxo de dados

Outro documento comentado por Wimmer se chama “Medindo o Valor Econômico de Dados e o Fluxo de Dados entre Países – Uma Pesquisa Comercial”, produzido por um grupo de trabalho sobre privacidade e segurança da Organização para a Cooperação e Desenvolvimento Econômico (OCDE).

O documento apresenta um sumário dos tipos de barreiras ao fluxo internacional de dados:

• muitos países exigem o armazenamento e processamento de dados em servidores locais;
• há países com regulamentação para a proteção de dados que regulam a coleta, utilização e transferência de dados pessoais (o exemplo mais abrangente é a Regulação Geral sobre a Proteção de Dados [GDPR na sigla em inglês] da União Europeia e a LGPD brasileira);
• há países com leis sobre competição e antitruste adaptadas ao mercado digital (exemplo: votação no Parlamento Europeu de lei para a divisão das operações do Google na União Europeia);
• mecanismos de cibersegurança: conjunto de tecnologias, processos e controles projetados para proteger sistemas, redes e dados de exploração não autorizada (um exemplo disso é o trabalho da União Europeia para a introdução de um processo de certificação para a internet das coisas [IoT, na sigla em inglês] para aumentar a cibersegurança dos dispositivos);
• direito de propriedade intelectual (por exemplo, sobre conteúdos digitais como músicas, filmes e livros);
• restrições ao uso da internet, censura e bloqueios contra a transferência de dados (“Experimentamos isso no Brasil algumas vezes em 2017 e, mais recentemente, em relação ao WhatsApp e ao Telegram, com a aplicação da lei local e enormes impactos”, exemplificou Wimmer).

Rede de cabos submarinos para transmissão de dados

Ela comentou que a sociedade está acostumada a um conceito de soberania e jurisdição fortemente ligado ao aspecto físico, ao território, mas quando discute a internet, tende a retratá-la com uma nuvem, algo abstrato e distribuído, onde as fronteiras são irrelevantes. “No entanto, quando se examina a forma como a internet é estruturada, vemos que não há nuvem, apenas o computador de alguém”, comentou. “É uma rede física, com cabos submarinos conectando países, diferentes regimes legais, redes baseadas em protocolos de organizações governamentais e não governamentais.”

Essa fisicalidade conectada leva à tentativa de identificar a qual legislação nacional uma questão se sujeita, mas isso depende de vários fatores, “o que cria um grande problema não só na aplicação da lei como também em relação aos direitos individuais”, afirmou Wimmer.

“No Brasil temos um direito fundamental à proteção de dados pessoais, mas esse não é o caso dos EUA. Temos um sistema de checks and balances e obrigações legais para os serviços de inteligência coletarem certo tipo de informação, mas isso não se aplica nos EUA, China e outras jurisdições.”

Além disso, nos últimos anos tem havido uma proliferação de legislação sobre o ambiente digital, com regras de proteção de dados, sobre acesso a mercados digitais e sobre inteligência artificial, comentou. “Muitas dessas leis têm alcance extraterritorial, uma vez que estabelecem coisas independentemente de onde os dados estão armazenados.”

Em paralelo a isso, há também a emergência da regulação privada, uma vez que as big techs (Meta [Facebook, Instagram e WhatsApp], Microsoft, Apple, X [antigo Twitter], Amazon e Alphabeth [Google]) e outras empresas de tecnologia exigem a subscrição de seus termos de uso e obediência a critérios sobre que conteúdo é aceitável inserir em seus serviços, como atingir maior audiência, quais as condições para menores de idade os utilizarem etc.

Wimmer lembrou que as redes sociais removeram conteúdos postados por políticos e que “isso às vezes desafiou normas e violou direitos de expressão, mas a resposta das empresas foi simplesmente que essas eram suas regras e se aplicavam ao ciberterritório de seus serviços”.

Soberania e cibersegurança

Um conceito muito discutido na Europa e mais recentemente no Brasil é o de soberania digital, um conceito muito abstrato e que está sendo utilizado de forma bastante flexível para descrever muitos tipos de fenômenos, afirmou Wimmer.

Uma referência mencionada por ela sobre várias ideias relacionadas com a soberania digital europeia é o paper “Towards a More Resiliente Europe  Post-Coronavirus” (para uma Europa mais resiliente pós-coronavírus), publicado pelo Parlamento Europeu em abril de 2021.

Os governos nacionais devem estar seguros de sua capacidade de supervisionar e controlar infraestruturas críticas, de acordo com a diretora da ANPD

Outra questão muito discutida é a de cibersegurança: “O Brasil é outros países estão introduzindo a tecnologia 5G de telefones celulares e um dos principais fornecedores de equipamentos é a empresa chinesa Huawei. Houve uma campanha muito forte dos EUA, Austrália e UK tentando convencer o governo brasileiro e de outros países de que o uso da tecnologia dessa empresa traria riscos de espionagem, à cibersegurança, riscos não apenas domésticos, mas até mesmo para as relações internacionais”.

No entanto, vários países americanos já contam com equipamentos da Huawei para as tecnologias 4G e 3G. “A questão era convencer os países a utilizarem equipamentos americanos, talvez.”

“A discussão sobre o 5G e cibersegurança está conectada com a soberania digital, pois os países devem estar seguros de sua capacidade de supervisionar e controlar infraestruturas críticas”, afirmou.

Outro ponto ligado à soberania digital está relacionado com a competição. “As big techs adquiriram tamanha predominância, dada a vantagem competitiva adquirida com a enorme quantidade de dados que coletam e processam, que inibem a capacidade de inovação e competição de empresas daqui ou da Ásia. E quando alguma startup se torna competitiva é adquirida por uma grande companhia.”

Proteção de dados e privacidade

Também merece atenção, segundo Wimmer, a proteção de dados e da privacidade, um dos hot topics da atualidade. “Temos hoje em dia programas acadêmicos muito interessantes sobre a ideia de vigilância digital e capitalismo de vigilância. O modelo atual de negócios é construído a partir da coleta de informações pessoais e sua transformação em commodities de maneira a torná-los inputs para criação de valor por grandes companhias do Hemisfério Norte”, disse.

A partir desse quadro geral, Wimmer discutiu como a discussão sobre soberania digital e transferência de dados entre países está conectada com proteção de dados pessoais e privacidade.

Segundo ela, 140 países já possuem algum nível de legislação para proteção de dados e privacidade. “O que muitas dessas legislações têm em comum é a abordagem ex ante [expectativa do que irá ocorrer] em relação à proteção de dados, a qual é, basicamente, a abordagem europeia.”

Muitas leis possuem alcance extraterritorial, não importando onde o banco de dados está instalado

Ela explicou as características dessa abordagem. A primeira está ligada à ideia de que ao tratar de proteção de dados pessoais estão sendo protegidos direitos fundamentais, porque esses dados são uma projeção da personalidade da pessoa, sua aparência física, status, coisas que gosta de fazer, família, orientação sexual e outros elementos que a definem, afirmou. “É preciso alguma espécie de controle sobre o que é feito com meus dados pessoais. Eles não podem ser utilizados para me prejudicar, piorar minha situação econômica, social ou política de alguma maneira.”

Por esse motivo, muitos países têm reconhecido a ideia dos direitos fundamentais no que se refere à proteção de dados pessoais e “isso implica proteção do ponto de vista das organizações privadas e do próprio governo, que precisa agir de acordo com certos princípios e regras”. A noção de dados pessoais é geralmente abrangente, “pois não estamos tratando apenas de identificar indivíduos, mas também de indivíduos identificáveis [que podem ser identificados a partir de dados não pessoais]".

Outro aspecto é que essas leis trazem vários princípios importantes para a criação de uma espécie de fricção no que se refere a novas tecnologias, um princípio de minimização de dados, para não haver coleta de dados maior do que o necessário para o que é intencionado, explicou. Há também a limitação ou especificação da intenção: “Isso significa que quando coletamos dados de alguém, devemos informar claramente o que faremos com eles e que não faremos nada mais do que isso”.

Wimmer pondera que, ao tratar de big data, aplicações de inteligência artificial e uso comercial de dados pessoais, esses princípios de fato criam fortes limitações. “E são princípios muito tradicionais, mencionados pela OCDE no início dos anos 80, e agora presentes em muitas legislações de proteção a dados no mundo.”

Finalmente, ela destacou a criação de uma autoridade de proteção de dados independente e com um espectro amplo de responsabilidades, que inclui a supervisão dos setores público e privado e, em muitos países, regulações para a transferência de dados internacionais.

Muitas legislações produzem efeitos extraterritoriais bastante definidos, disse. O exemplo claro disso é a legislação da União Europeia, que “se aplica tanto a processadores de dados instalados na UE, não importando se os dados estão nela ou não, quanto a processadores de dados externos cuja atividade tenha como alvo o mercado da UE".

“A mesma coisa acontece no Brasil, com a LGPD [Lei Geral de Proteção de Dados, 13.709/2018], que se aplica não importa onde a companhia tenha sua sede e onde os dados estão armazenados, desde que o processamento dos dados ocorra no Brasil para o fornecimento de bens ou serviços, ou se o processamento envolve dados de indivíduos residentes no Brasil, ou se os dados pessoais a serem processados foram coletados no Brasil.”

Wimmer: ''O modelo atual de negócios é construído a partir da coleta de informações pessoais e sua transformação em commodities de maneira a torná-los inputs para criação de valor por grandes companhias do Hemisfério Norte''

Graus de restrições ao fluxo

Wimmer ressaltou a complexidade para os dados serem transferidos internacionalmente, já que as legislações dos diversos países competem entre si.

Ela citou o artigo “Trade and Cross-Border Data Flows” [comércio e fluxo de dados transfronteiriços], de 2019, produzido por dois técnicos da OCDE, Francesca Casalini e Javier López González. “O trabalho apresenta uma taxonomia muito interessante sobre abordagens quanto a fluxos de dados internacionais.”

No quadro apresentado pelo artigo, uma coluna é dedicada aos países onde há ausência de regulação ou acontece um fluxo livre com regulação pelo setor privado, “ou seja, faça o que quiser e se algo errado acontecer, veremos o que fazer”.

A coluna intermediária inclui casos como os da União Europeia e do Brasil, em que há diferentes instrumentos para habilitar o fluxo internacional, que vão desde o reconhecimento da adequação (em que um país reconhece outro país com nível similar de proteção) até mecanismos contratuais e certificação.

A terceira coluna é dedicada a sistemas bem restritivos, onde o fluxo internacional de dados não é permitido, exceto se uma autoridade de proteção autorizar ou houver uma decisão de adequação.

Segundo Wimmer, o sistema brasileiro é relativamente similar ao europeu, com a diferença que, enquanto na União Europeia certo número de mecanismos para o fluxo internacional de dados são considerados “derrogações”, excepcionais, não podem ser utilizados para transferências operacionais, no Brasil há outras condições, que podem ser utilizadas em qualquer caso: cooperação legal internacional para aplicação da lei; proteção da vida ou segurança física; autorização pela ANPD; acordos de cooperação internacionais; política pública; consentimento; observância de obrigação legal ou regulatória; execução de contrato; exercício de direitos.

Ela lembrou que outros países possuem diferentes abordagens. “A questão é se nós, enquanto sociedade, consideramos benéfica a transferência internacional de dados, num contexto em que mais de uma centena de países possuem diferentes sistemas legais e diferentes fluxos de dados. Como podemos fazer isso funcionar?”

Para ela, a melhor postura é “pressionar fortemente por decisões de adequação”. Numa relação assim, “os europeus dirão: o Brasil tem legislação similar à nossa, então discutiremos decisões de mútua adequação”. O problema é multiplicar esse tipo de relação mutual para 140 países, considerando as diferentes nuances entre seus sistemas legais, ponderou.

A tendência, disse, é a adoção de instrumentos contratuais, como as chamadas Standard Contractual Clauses (SCC) [cláusulas contratuais padrão], ou ainda a adoção de alguma espécie de certificação ou código de conduta, “quando uma companhia é certificada de forma privada e reconhecida como cumpridora de um certo nível de proteção na transferência de dados entre países”.

Diferenças entre EUA e União Europeia

Para Wimmer, um dos principais desafios internacionais está em habilitar a transferência de dados entre UE e EUA, que possuem sistemas muito diferentes. “Os Estados Unidos não têm uma proteção geral de dados. Não há legislação federal, não há direitos fundamentais quanto à proteção de dados. Por outro lado, há muitas leis estaduais. A Comissão Federal de Comercio dos Estados Unidos está trabalhando nessa questão, mas sob a ótica de práticas injustas ou enganosas, o que é uma abordagem completamente diferente."

Ela citou o caso de Max Schrems, um ativista austríaco que por três vezes impediu acordos internacionais de transferência de dados entre EUA e EU. “O seu argumento é que não importa o quanto uma companhia seja certificada e os compromissos que assuma, pois os serviços de inteligência dos EUA têm permissão para acessar dados pessoais”. Em julho, foi anunciado um novo acordo entre a EU e os EUA, e Schrems manifestou seu descrédito no X logo em seguida: "Em geral, trata-se de uma cópia de velhos princípios”.

Uma vez que os benefícios do fluxo internacional de dados são muito claros, a questão que se coloca é “como resolver as diferentes abordagens quanto a restrições, soberania, proteção a dados pessoais e propriedade intelectual, salvaguardas, aplicação da lei etc.”, afirmou Wimmer.

“Esse é um dos mais estimulantes pontos de discussão em diferentes organizações internacionais, não apenas aquelas ligadas à proteção de dados, como a Global Privacy Assembly. A questão está presente em relatórios produzidos pelo Fórum Econômico Mundial, pela OCDE e em anexos de dois ou três encontros do G7”, afirmou.

Wimmer frisou que “a solução para a questão ainda não está clara, mas talvez esteja claro o que devemos desejar: precisamos de melhores acordos e arranjos para facilitar a cooperação legal internacional: essa é uma das dificuldades que temos na mesa hoje em dia”.

Imagens (a partir do alto): Roque de Sá/Agência Senado; Telegeography; Wikimedia; Pxfuel; Rawpixel; Wikimedia; X