Data Privacy Brasil na CPDP 2023: um relato em duas partes

A Computers, Privacy and Data Protection Conference (CPDP) é uma conferência internacional sobre privacidade e proteção de dados – e, mais recentemente, sobre uma série de temas correlatos, com bastante destaque para Inteligência Artificial (IA) – que ocorre em Bruxelas há 16 anos. Tendo crescido no centro da burocracia europeia durante quase duas décadas de desenvolvimento de tecnologias (e correspondentes movimentos para regulá-las), a CPDP tornou-se um ponto de encontro permanente de uma comunidade de acadêmicos, tomadores de decisão e profissionais do direito interessados na interface entre direito, dados e tecnologias. Embora ainda restrita e pouco diversa, essa comunidade tem buscado se abrir para novas temáticas, enfoques e vozes, tanto na Conferência original, quanto por meio da edição latinoamericana, a CPDP Latam.

Em 2023, a proposta para um marco regulatório para IA na União Europeia esteve presente em muitos painéis e workshops (uma novidade mais interativa dessa última edição), tanto em discussões relacionadas a proteção de dados e como regimes como a GDPR interagem com as novas propostas regulatórias, quanto debates sobre pontos específicos, e muitos sensíveis, que podem ser cobertos por estes novos regimes. Um destes pontos é o conceito de vulnerabilidade no contexto de IAs, já que diferentes propostas para regular essas tecnologias utilizam o referencial de sujeito(s) ou grupos vulneráveis para determinar níveis de risco e/ou oferecer proteções mais robustas. 

Os painéis de que o Data Privacy Brasil participou esse ano exemplificam bem esses focos temáticos.

From theory to practice: digital constitutionalism and (data) justice across the Globe 

O painel que nós propusemos, e que moderei, contou com a participação de Laura Schertel Mendes, da Goethe Universitat e relatora da Comissão de Juristas do Senado responsável por elaborar substitutivo sobre IA no Brasil, Katerina Demetzou, do time Global do Future of Privacy Forum, Risper Onyango, do Lawyer Hub Kenya, e Sarah Chander, da rede European Digital Rights (EDRi). O tema central do painel foi a interação entre normas existentes de proteção de dados pessoais e propostas para regular a IA no Brasil, na União Europeia e no Kenya. 

De um lado, discutimos casos em que salvaguardas vigentes já foram mobilizadas para proteger indivíduos em relação a sistemas de IA quando havia dados pessoais envolvidos. Essa foi a contribuição central de Katerina ao painel, que trouxe três casos em que autoridades de proteção de dados europeias aplicaram dispositivos da GDPR ao analisar o funcionamento de sistemas baseados em IA. Possíveis interações no outro sentido, ou seja, lacunas que podem eventualmente ser cobertas por legislações específicas para IA, também foram objeto do painel. 

Laura Schertel, por seu papel central tanto na construção da Lei Geral de Proteção de Dados brasileira, como no texto atualmente em discussão para um possível marco regulatório no país, descreveu o percurso de um ponto até o outro, dando destaque para um terceiro elemento nesse quebra-cabeça normativo: a constitucionalização do direito fundamental à proteção de dados como um direito autônomo no Brasil, e o possível papel desse direito na ‘’era da IA’’, considerando algumas limitações  da proteção de dados, por exemplo ao lidar com dados de treinamento, usualmente anonimizados. Mais tarde, a pesquisadora e professora teceu comentários breves sobre como a proposta atual de Marco Regulatório de IA no Brasil endereça alguns desses desafios ao adotar uma abordagem fortemente baseada em direitos, com elementos de risco que calibram determinados deveres e obrigações. 

Como mencionado, Katerina Demetzou focou sua apresentação na interação entre a GDPR, especialmente conforme vem sendo mobilizada pelas autoridades de proteção de dados europeias, e o futuro marco regulatório para IA na região. Os dois argumentos de Katerina na apresentação foram que há espaço, e diversos precedentes, de aplicação de diferentes dispositivos do regulamento de proteção de dados a sistemas de IA (inclusive generativa), mas que isso não significa que não haja necessidade de uma regulação compreensiva e forte para IA; ao contrário, trata-se de um contexto que requer melhor articulação entre os marcos legais. 

Sarah Chander, representante da sociedade civil europeia que também acompanha de perto o processo legislativo do European AI Act, discutiu sua avaliação do status dos direitos fundamentais desde o primeiro texto até a versão apresentada pelo Parlamento Europeu alguns dias antes da Conferência. Reconhecidamente uma legislação baseada no risco como o fator que desencadeia obrigações e deveres específicos, a proposta também é controversa justamente por não ter como ponto de partida os indivíduos e grupos afetados pelos sistemas de IA, nem os seus direitos fundamentais, a serem assegurados independente do fator risco. Sarah relatou como a incidência da sociedade civil ao longo do processo foi bem sucedida, já que o texto (então) atual reflete mais a visão de direitos, além de ser rígido na proibição total de alguns sistemas considerados inaceitáveis, mas também alertou que os esforços serão tremendos para que essas mudanças sejam incorporadas definitivamente ao texto final, já que no DNA da proposta está uma visão de negócios e facilitação do lançamento e implementação de IAs.

Risper Onyango, advogada e policy lead do Lawyers Hub Kenya, ancorou sua contribuição ao painel na percepção de que, ainda que no Kenya não haja atualmente um processo específico para gerar um marco regulatório sobre IA, é provável que isso venha a acontecer por influência da Europa. Risper destacou que movimentos semelhantes já ocorreram em relação a outras legislações relacionadas a tecnologia e dados pessoais, sem que necessariamente se tenha levado sempre em consideração as especificidades do país (ou da região). Diante disso, destacou esforços como o Artificial Intelligence Practitioner’s Guidebook – Kenya, documento multissetorial que aborda a interação de diversas normas existentes no país, inclusive a nível constitucional, e possíveis lacunas a serem futuramente preenchidas por uma regulação de IA, mas também aprofunda outros pontos relevantes para o contexto queniano, como (falta de) infraestrutura e investimentos e capacidades/capacitação da comunidade técnica, jurídica e da população do país como um todo para navegar mudanças tecnológicas que muitas vezes são impostas por atores externos em busca de mercados consumidores. 

O painel foi encerrado com um espírito colaborativo renovado entre participantes e organizações, interessadas em continuar as trocas sobre o que há de comum, de diferente e de empolgante sobre proteção de dados e regulação de novas tecnologias no Brasil, na União Europeia, no Kenya e além.