O Brasil possui uma série de normas para assegurar os direitos dos cidadãos no ambiente digital, sendo que a proteção dos dados pessoais é considerada um direito fundamental, previsto na Constituição Federal de 1988 e respaldado pelo arcabouço legal, composto pela LGPD (lei 13.709/18), marco civil da internet (12.965/14) – recentemente alvo de polêmica acerca do art.19 no STF – dentre outras normas legais. Vale ressaltar que a ANPD vem analisando a regulação dos sistemas de inteligência artificial, que envolvem dados pessoais, independente da tramitação do Marco Legal da IA no Congresso.
A abordagem de regulação flexível vem sendo adotada no Brasil pela ANPD – Autoridade Nacional de Proteção de Dados, instituída pela lei 13.853/191 e regulamentada pelo decreto 10.474/20, com competências expressas no art. 55-J para fiscalizar e regulamentar a LGPD. Essa postura explica o porquê de a ANPD aplicar poucas multas. Na verdade, aplicou duas multas desde sua criação (2019) para a mesma empresa. Em contraposição, a GDPR – regulamento geral de proteção de dados da União Europeia, vigente desde 2018, já aplicou 2.245 multas, no valor total de 5,65 bilhões de euros, de acordo com a CMS Law2.
Por que tanta discrepância entre Brasil e União Europeia? O fato está vinculado, em parte, ao fato de a ANPD definir como seu modelo de governança – a regulação responsiva, abrindo a discussão de como seria conduzida a conformidade da proteção de dados pessoais no país nessa fase inicial. Este modelo é um contraponto ao modelo tradicional, suscitando um debate que envolve questões regulatórias, éticas e de direito público.
A ANPD aplicou sua primeira multa em 2023 contra uma empresa de telefonia (Telekall Infoservice), depois de constatadas irregularidades no comércio de dados, agravada pela empresa não responder às requisições da ANPD, o que poderia alterar este desfecho. Os demais casos de irregularidades envolviam entes públicos , que não estão sujeitos a multas. Essa única multa pecuniária aplicada destoa das diversas medidas corretivas que se seguiram na linha da regulação responsiva, pela qual a resposta do regulador acompanha o comportamento do regulado, observando educação, orientação e correção voluntária. Em 2024, por exemplo, a ANPD notificou 20 grandes empresas por não estarem em conformidade com a LGPD, principalmente pela ausência de indicação de DPO – Data Protection Officer.
LEIA MAIS: Cancelamento de voo não gera dano moral automático
A regulamentação responsiva já é adotada por mais de 30 entes reguladores em todo o mundo, até porque vivemos a era do capitalismo regulatório. É importnte salientar que a ANPD não é uma agência reguladora, mas uma autoridade com o papel de proteger e fiscalizar os dados pessoais dos brasileiros, tendo limitações de autonomia e estrutura.
A teoria responsiva tem pontos de formulação que passam por não ser pré-concebida, priorizar o diálogo, atuar com consonância com os que resistem à regulação, premiar os mais envolvidos, enfatizar a educação e a capacitação, não fazer ameaças com sanções, ampliar rede de parceiros, atuar diante da responsabilidade ativa e passiva e avaliar o custo dos resultados.
Como o próprio nome deixa entender, o conceito de regulação responsiva, criado por Ian Ayres e John Braithwaite, em 1992, deixa implícito como a prática se processa: abre espaço para a interação, cooperação, engajamento entre o regulador, a empresa (regulado) e terceiros, na busca de uma conformidade, ou seja, de um equilíbrio entre o regulador governamental e a autorregulação, uma vez que todos possuem múltiplas razões para defender este ou aquele ponto de vista.
A regulação tradicional está sedimentada no “comando e controle” e se efetiva por meio de regulamentos e punições previstas na legislação; enquanto a responsiva tem um foco maior na responsabilidade compartilhada, estimulando à conformidade, propiciando ao Estado novas alternativas regulatórias, até porque as questões de regulação se tornaram fenômenos multifacetados, pelos quais a norma regulatória de conduta não consegue contemplar todos os ângulos envolvidos.
“O ponto crucial é que a regulação responsiva é um modelo dinâmico no qual a persuasão e/ou a capacitação são tentadas antes da escalada em uma pirâmide de níveis crescentes de punição. Não se trata de especificar antecipadamente quais são os tipos de questões que devem ser tratadas na base da pirâmide, quais são tão graves que devem estar no meio e quais são as mais graves para o topo da pirâmide”, explica John Braithwaite, um de seus criadores.3
VEJA TAMBÉM: https://lbca.com.br/alerta-do-stj-a-ordem-processual/
Como explicado por Braithwaite, a regulação responsiva atua através de um sistema de pirâmides. A pirâmide de enforcement é escalonável, indo da persuasão até penas severas, ou seja, da base para o topo, quando se torna necessário intervir. E a pirâmide de sanções (pyramid of sanctions), que vai da persuasão/educação até a persecução criminal. Essas são estruturas que devem ser adaptadas a cada regulado, de acordo com a teoria responsiva. Pode, por exemplo, reduzir as infrações para aqueles que se autoidentificam como transgressores das regras vigentes, comprometendo-se em corrigir as infrações praticadas.
O modelo da regulação responsiva permite a criação de regulamentos mais flexíveis e adaptáveis à inovação tecnológica, sem travar a evolução, ao se consolidar em regras sem rigidez, portanto, fugindo da obsolescência das leis. Também, está voltada a adotar boas práticas, que não implicam na fiscalização mais rígida ou de difícil cumprimento, procurando entender quais são as mudanças impostas pelas novas tecnologias e para onde elas nos levam. Dessa forma, o ente regulador é responsivo à conduta dos regulados para cumprir o objetivo deste modelo e promover o aprimoramento do comportamento dos regulados.
A regulação responsiva, segue 3 princípios básicos: O primeiro é a flexibilidade, que permite que as normas se tornem ajustáveis, conforme a evolução dos desafios para o regulador atingir medidas mais severas; em segundo lugar, está o chamado diálogo contínuo, pelo qual, múltiplos atores, como reguladores, regulados e terceiros buscam ampliar o diálogo e criar regras mais eficazes. O terceiro princípio é a construção coletiva, que incentiva a participação de todos os envolvidos no sentido de criar um ambiente colaborativo e novas soluções.
Outras vantagens da regulação responsiva é gerenciar os riscos com o propósito de prevenir ilícitos, reunindo o Estado e as empresas no sentido de que compartilhem a responsabilidade contra a prática de ilícitos, o que permite ao Poder Público atuar com flexibilidade, ampliando pontes entre regulador e regulados. No caso de o regulado violar a norma e não voltar à conformidade de forma espontânea, o regulador aplicará as sanções previstas, sem deixar de levar em conta a proporcionalidade das penas.
A teoria da regulação responsiva traz consigo dois argumentos altamente positivos: não fica exposta à defasagem da legislação sobre tecnologias que evoluem em ritmo acelerado e tem como estratégia o fato de que a punição sai sempre mais cara ao Estado, enquanto a orientação e a persuasão envolvem poucos recursos públicos e traz vantagens para todos os envolvidos A própria GDPR também atuou de forma responsiva inicialmente para que a conformidade fosse se consolidando entre os regulados.
Atuando pela regulação responsiva, a ANPD abre mais espaço para priorizar os dispositivos que ainda precisam ser regulamentados, caso da revisão humana das decisões automatizadas por IA (art. 20 LGPD); direitos dos titulares de dados , tratamento de dados pessoais de crianças e adolescentes, regras de boas práticas e governança, anonimização e pseudonimização de dados, entre outros tópicos de uma ampla agenda.
