Um filósofo contemporâneo cujas ideias muito aprecio, sugere a seguinte alegoria para defender que sigamos a verdade em nossas vidas: segure a base de uma régua flexível a 90 graus, de modo que a outra ponta fique a poucos centímetros dos nossos rostos. Essa régua representaria a verdade.
Segundo ele, sempre que negássemos ou contornássemos a verdade, a porção superior da régua envergaria para longe dos nossos rostos, acumulando resistência – força elástica – mas como consequência ficando apontada para o caminho (e alvo) da volta. Toda vez que a universalidade e inevitabilidade da verdade mostrassem sua força, vencendo, por exemplo, nossa negação, a régua voltaria para acertar nossos rostos.
Conheça o JOTA PRO Poder, uma plataforma de monitoramento político e regulatório que oferece mais transparência e previsibilidade para empresas
A imagem pode ser substituída pelo ditado: “mentira, até aquelas contadas para nós mesmos, tem pernas curtas”. Não me coloco aqui na condição de dono da verdade, o que também procuro evitar em outros contextos. Até porque, quase sempre, o dono da verdade é aquele que acalenta uma ou mais mentiras. A verdade é objetiva e independente. Não tem donos. É uma força absoluta da natureza.
O que trago é uma análise, o meu mais honesto olhar, a respeito do estado atual das dinâmicas de P&PD que acompanho desde 2010, no Brasil e no exterior. Pretendo mostrar que 2025 tende a ser um ano diferente. Aliás, o que motivou esse artigo, foi ter recebido de um colega que vive a realidade lá de fora, matéria indicando que as grandes empresas globais passam por tendência de “downsizing” do cargo de DPO. Ao invés de ser o CPO (Chief Privacy Officer), o DPO estaria deixando o C-Suite e assumindo novo lugar em middle management.
O movimento representaria uma perda de prestígio, ou de importância na visão dos líderes empresariais, do tema da privacidade. Seria essa uma verdade inconveniente? A qual preferiríamos negar? Proponho oferecer caminho alternativo, que passa pela aceitação da verdade, mas mostra que ela é muito mais palatável do que imaginamos e, portanto, não exige que façamos qualquer contorno escapatório dos fatos.
Peter Hustnix foi o segundo Supervisor da EDPB (2004-2014), com o qual tive a honra de bater longo papo em certa oportunidade. Ele precedeu a Butarelli e Wiewiórowski. Hustnix, em alguns artigos, defendia que proteção de dados pessoais se apoiava num triângulo isósceles, cujos ângulos eram formados pelos Agentes de Tratamento, os Titulares de Dados e a Autoridade de Proteção de Dados. Enfraquecidos, em dada jurisdição, quaisquer desses ângulos, enfraquecida estaria a Proteção de Dados Pessoais. De outro prisma, mas no mesmo sentido daquilo que confere pujança à P&PD, sempre que diminui a percepção de riscos, reduz-se a principal fonte de combustível que mantém esse triângulo de pé.
Os anos entre 2016 e 2018 foram sem precedentes na história da proteção de dados pessoais. Foram os anos de Cambridge Analytica, do crescimento explosivo de associados à IAPP (de 4000 a 40000) e, como consequência desse contexto, da LGPD. A percepção de risco aos titulares era alta. Foram anos em que a economia dos dados pessoais, especialmente as redes sociais, explodiram. No período, por exemplo, as ações do então denominado Facebook dobraram de valor. Fenômeno semelhante foi assistido com o Google.
A percepção dos riscos para a privacidade dos titulares acompanhou o movimento (do mesmo modo que hoje ocorre com a IA). Além do GDPR, que começava a ser discutido 5 anos antes, leis de proteção de dados pessoais foram promulgadas por todo o mundo. Como consequência natural, empresários abriram seus cofres para garantir que seus negócios estivessem compliant. Da mesma forma como agora deixam de sê-lo, DPOs se tornaram CPOs. Outros tempos.
Mas como compatibilizar os sinais manifestos de arrefecimento europeu (e do mundo mais desenvolvido) com um ânimo para nossas atividades em 2025? A resposta passa por dois fatores: (i) a economia dos dados, e não apenas pessoais, está se ampliando; e (ii) a ANPD está se sentindo e mostrando pronta para agir em outro nível.
Com relação ao primeiro fator, há pelo menos dois anos que venho defendendo que não somos mais profissionais de proteção da dados pessoais. Somos profissionais de Regulação Digital, a qual, além de proteção de dados pessoais, tem que lidar com os desafios de IA, com o surto regulatório e ganho de consciência em Segurança da Informação e com a nova regulamentação sobre uso de dados (não só pessoais) europeia. Essas atividades são igualmente importantes (até mais, em alguns aspectos) e estão passando por processos de nascimento ou reforço regulatório. Nessa conjuntura, já ficou claro que o cuidado com essas vertentes da Regulação Digital não será transferido a outros profissionais que não os DPOs. Não faz sentido técnico, nem tampouco econômico.
Na segunda vertente, declarações e condutas recentes da ANPD apontam para a intensificação das ações de fiscalização e sanção, com a ampliação dos recursos destinados a essas atividades, o que tende a resultar em um aumento dos casos de fiscalização e, certamente, na aplicação de sanções. A estratégia fiscalizatória também deve ser mantida, priorizando ações de maior impacto coletivo e relevância geral, no mesmo sentido da recente decisão acerca do caso da OpenAI (ChatGPT). Note, nesse sentido, que não haverá uma profusão de casos, mas aqueles que ocorrerem certamente serão suficientes para dar o tom regulatório. Nesse aspecto regulação de trânsito e de privacidade se assemelham, não se estabelecem pela ostensividade, mas, sim, pelo exemplo.
São ambas forças suficientes para manter pulsante o mercado de compliance digital. Essa é minha mais honesta visão, a qual trás em si o que considero a mais plausível verdade. Passamos a lidar, de 2 anos para cá, aproximadamente, com um sistema regulatório elaborado de forma não estruturada pelo Estado para lidar de 3 a 4 riscos associados às tecnologias da informação. P&PD é a pioneira e mais consolidada dentre as vertentes do sistema, mas não é mais a única.
Curiosamente, como começamos um pouco mais tarde em relação à Europa, principalmente, em 2025 prevejo que vamos viver fenômeno de impulso duplo: (i) o combustível da ANPD justificado pelas suas competências regulatórias ainda não plenamente testadas; e (ii) o nascimento institucional da Regulação Digital.
Apesar de ainda ter o triângulo de Hustnix como belíssima imagem, melhor passarmos a pensar num quadrado ou pentágono, com novos agentes, mas com dinâmicas semelhantes. Novos riscos, novas formas de mitigação e consequentemente, novo fluxo de recursos pelos agentes econômicos.
A verdade do Artese para 2025 é que o DPO precisará ter um olho no peixe, e o outro no gato. O peixe é o incremento das obrigações com P&PD. A sofisticação de controles, do acompanhamento regulatório, da eficiência operacional e do accountability. O peixe tende a ser mais gordo que em 2023 e 2024, por influência direta da ANPD.
O gato é a visão geral. O surgimento de um novo sistema de controle sobre Inteligência Artificial, Segurança da Informação e governança de uso de dados se agrega às regras existentes de P&PD. Essa atividade exigirá criatividade, estudo, analogias e atenção.
Será um ano animado. Eu pelo menos estou. E você?
