Por Bernardo Fico e Maria Beatriz Previtali
Publicado originalmente no Jota.
Dentre as máximas que um profissional do Direito tem contato em sua formação, talvez a mais inexorável seja que nenhuma regulação ocorre no vácuo: ao perseguir certos objetivos, é natural que outros possam ser prejudicados.
O desafio reside não em privilegiar um interesse em detrimento de outro, mas em ignorar, no momento da decisão e da regulamentação, que certos mandamentos legais podem (ou irão) afetar outros interesses conexos.
Reconhecer essas interdependências é crucial para elaborar políticas equilibradas e eficazes, especialmente em temáticas de rápido avanço e amplo impacto social, como a do Direito e Tecnologia. Alguns exemplos dessas tensões são mais evidentes, enquanto outros são menos perceptíveis.
Um tópico de discussões constantes nesse sentido é a proteção de crianças e adolescentes no ambiente online. Essa válida preocupação pode tomar muitas formas, como em escolas ou a criação de leis e códigos de boas práticas para o desenvolvimento de aplicações voltadas para este público. A conclusão de muitos sobre este tema é que a coleta e o tratamento de dados pessoais de menores deve ser restringido.
O princípio da minimização de dados estabelece que apenas as informações estritamente necessárias devem ser coletadas, visando proteger a privacidade dos indivíduos. Combinada à particular vulnerabilidade de crianças e adolescentes e ao seu “melhor interesse”, especialmente de crianças, não raro se vê o argumento de que os dados tratados deveriam ser, exclusivamente, os estritamente necessários ao funcionamento de determinada aplicação online.
Entretanto, o ferramental técnico de proteção infantil depende diretamente do acesso a dados para identificar e prevenir riscos, como abuso, exploração e exposição a conteúdos inadequados. Essas ferramentas de monitoramento e algoritmos de detecção, por sua vez, necessitam de grandes volumes de informações para funcionar de forma mais eficaz.
O que está em jogo é um equilíbrio entre o volume de dados necessários para monitorar adequadamente as atividades online, identificar comportamentos suspeitos de maneira eficaz e prevenir situações de risco e as garantias de que as informações pessoais de menores serão utilizadas de maneira adequada e conforme a finalidade específica de prevenir e mitigar possíveis danos. Aqui, contudo, a aplicação rígida da minimização de dados (não como princípio, mas como se regra fosse) pode impedir a coleta de informações necessárias para proteger efetivamente as crianças online.
Sem dados suficientes, ferramentas de detecção de ameaças tornam-se ineficazes (ou consideravelmente menos eficazes), expondo as crianças a riscos significativos. Priorizar um aspecto (proteção de dados) sem considerar o outro (segurança) pode resultar em políticas e ferramentas que não atendem adequadamente aos objetivos de proteção infantil.
Outro exemplo, menos discutido, mas com grande impacto em questões de segurança é a tokenização de cartões de crédito. Essa tecnologia substitui os dados do cartão por um token único, aumentando a segurança das transações financeiras. Ao usar uma carteira digital (e-wallet), um token é gerado e transmitido ao comerciante e, posteriormente, à rede de pagamento, que o converte no número de conta associado para processar a transação. A implementação desses tokens é associada a um “cofre” que é usado para gerenciar a re-identificação dos tokens de usuários de maneira segura.
Por um lado, a Comissão Federal de Comércio dos Estados Unidos (FTC) tem questionado essa prática como limitadora da concorrência, mas há também razões de segurança relevantes para a decisão de centralização do sistema tecnológico. A tokenização centralizada proporciona nível de segurança mais alto, reduzindo significativamente o risco de fraudes e violações de dados, além de facilitar o monitoramento e resposta a ameaças, garantindo maior integridade às transações financeiras.
Por isso, exigir a abertura desses cofres pode comprometer (ou, ao menos, reduzir significativamente) a segurança das transações. Diversificar o gerenciamento de tokens também pode aumentar as estratégias de ataque para fraudes, colocando em risco os dados de clientes.
Assim, há uma tensão entre a necessidade de garantir a máxima segurança nas transações e a promoção de um ambiente competitivo. Cada objetivo deve ser visto à luz dos impactos que pode causar no outro, dado que ignorar sua co-dependência pode resultar em consequências negativas em ambos os polos.
Por fim, há casos em que se deve considerar até mesmo o impacto extraterritorial e internacional de determinadas decisões regulatórias — quando vindas da Europa, comumente conhecidas como “efeito Bruxelas”.
Esse efeito é ilustrado nas discussões que rodeiam diversas normas sobre tecnologia como o Regulamento de Inteligência Artificial da União Europeia (AI Act), o DMA (Digital Markets Act), o GDPR, dentre outros. Esses marcos regulatórios são recorrentemente vistos por muitos agentes (públicos, privados, acadêmicos) como inspiração para outros países, muito em decorrência da sua abordagem ampla destas temáticas e seu não raro pioneirismo na regulação de matérias nascentes.
No caso particular do AI Act, há certas tecnologias que são banidas — como sistemas de classificação pessoas por seus traços pessoais ou comportamento social, predição de tendências a cometer crimes, inferência de emoções em locais de trabalho ou instituições de ensino — ou restritas — como uso de reconhecimento facial e biometria em câmeras de vigilância para fins de segurança e investigações policiais.
De um lado, se contestam as altas exigências impostas pelo AI Act europeu, particularmente visto o potencial de se lidar com um ambiente regulatório “imprevisível” e com a elevação de custos de operação. De outro, aponta-se o risco de uma lacuna na regulação permitir a players europeus desenvolver e comercializar com países terceiros as mesmas tecnologias que, na União Europeia, se decidiu por banir ou restringir.
Esse cenário replica problemas verificados em outras regulações do bloco (e.g. regulação de desflorestamento) que, mesmo com boas intenções, na falta de uma análise de impacto adequada dos efeitos extraterritoriais da regulação, arrisca induzir comportamentos contrários ao objetivo da norma, em particular nos países do Sul Global.) que, mesmo com boas intenções, na falta de uma análise de impacto adequada dos efeitos extraterritoriais da regulação, arrisca induzir comportamentos contrários ao objetivo da norma, em particular nos países do Sul Global.
Portanto, nota-se que não considerar as interdependências entre diferentes mandamentos legais pode levar a consequências indesejadas. Uma regulação focada exclusivamente na promoção da concorrência sem avaliar os impactos na segurança pode comprometer a integridade das transações financeiras e a confiança dos consumidores.
Na proteção infantil online, uma ênfase unilateral na minimização de dados pode inadvertidamente expor crianças a maiores riscos, contrariando os mandamentos de proteção da própria legislação de dados pessoais e do ECA. Uma regulação altamente influente e protetiva por um lado (e.g. baixa coleta de dados pessoais) pode evidenciar lacunas e efeitos negativos de outro (e.g. menor eficiência na desejada proteção online de menores de idade).
Situações como essas evidenciam a necessidade de se considerar os efeitos adversos de objetivos bem-intencionados. O problema não está em privilegiar um interesse sobre outro, mas em não reconhecer e considerar as implicações dessas escolhas de antemão para balanceá-las de maneira adequada.
Nem sempre será possível obter um encaixe perfeito entre interesses que competem entre si, mas a identificação de objetivos potencialmente conflitantes e a análise cuidadosa dos comportamentos induzidos por diferentes opções regulatórias é passo necessário para se construir um cenário regulatório que opta, conscientemente, pelo caminho a ser trilhado, em lugar de decidir caminhos a serem trilhados sem buscar avaliar os potenciais efeitos que determinada opção pode vir a causar em outros objetivos igualmente legítimos.
BERNARDO FICO – Mestre em Direito pela Northwestern University, bacharel em Direito pela USP, especializado em Direito Digital, Direitos Humanos e Direitos LGBT, Diretor Executivo da Lawgorithm*}, gestor institucional do Legal Grounds Institute e sócio do Maranhão & Menezes Advogados.
MARIA BEATRIZ PREVITALI – Advogada na Equipe de Proteção de Dados do Opice Blum, Bruno, Advogados Associados. Mestranda em Direito e Tecnologia na FGV-SP. Especialista em Direito Digital pela UERJ/ITS-Rio. Bacharel em Direito pela USP.