Medicina S/A| Evento debate Rede GovBr, acesso e proteção de dados na saúde
08/08/2023Pronatec| Cai na MALHA FINA do Imposto de Renda, e agora? Saiba quais são os primeiros passos
14/08/2023Por Maria Cecília Oliveira Gomes
8 de agosto de 2023
A intenção deste texto é contribuir na construção do debate jurídico sobre normas de proteção de dados com o objetivo de apoiar o desenvolvimento de uma regulação consistente para salvaguardar direitos individuais e ter um ambiente com riscos sob permanente escrutínio. Nas pesquisas que desenvolvo pude constatar que o conhecimento sobre risco muitas vezes é impreciso e isso se reflete na norma da ANPD, que aborda de forma genérica esse tema. Há conceitos iniciais que precisam ser muito bem definidos para que o trabalho que todos queremos construir juntos tenha uma base de sustentação sólida: O que é risco? O que é dano? O que é relevante?
Faz séculos que a humanidade em diversas áreas de conhecimento discute o que é risco. De acordo com Bernstein risco “é a capacidade de definir o que pode acontecer no futuro e escolher entre alternativas”. Essa definição é reflexo de um pensamento da matemática que muitas vezes tem ressonância na área jurídica, que é determinar o que pode acontecer no futuro e dizer que os riscos estão sob controle, são gerenciáveis, estão a níveis aceitáveis e que, portanto, não devem ser objeto de uma reflexão profunda.
Esse tipo de pensamento é fruto de uma visão determinista sobre o futuro. Na área da matemática, Pascal, Fermat e em especial Laplace, dedicaram suas vidas a pensar sobre como uma equação poderia prever todas as possibilidades de eventos futuros, ou seja, prever através das teorias das probabilidades o risco de algo acontecer.
Laplace acreditava fortemente nisso, ele achava que o futuro nada mais é do que uma consequência do passado, onde não existem necessariamente escolhas individuais, mas tudo obedece no tempo, ao que foi feito antes.
Quando as pessoas em 2023 pensam “risco” elas estão pensando de forma parecida com Laplace. Elas querem que uma avaliação de risco traduza todas as possibilidades de eventos futuros. E a partir daí determinam se o nível de risco de um incidente é baixo, médio ou alto. Calculando a probabilidade desse evento ocorrer vezes o impacto que elas imaginam que poderá ter na vida de outras pessoas.
O problema desse raciocínio é que Laplace propôs isso no século XVIII, e estamos fazendo isso no século XXI, logo significa que precisamos repensar a teoria da probabilidade como base da avaliação de riscos em regulações baseadas em risco, especificamente em normas que tratam risco sob a ótica de proteção de dados.
Modelos prescritivos de classificação de risco, como é o que está sendo proposto sob o nome de “critérios gerais e específicos” no art. 5, são limitados e imprecisos. Um modelo procedimental de avaliação de risco atende melhor o momento atual. Isso porque já cruzamos a linha como sociedade em relação ao que poderíamos prever de possibilidades de futuro, todos os dias as tecnologias nos demonstram que não conseguimos prever o que elas farão em seguida. Citando Jorge Eduardo Douglas Price: “vivemos o futuro incerto da sociedade do risco”.
Sei o quanto é frustrante muitas vezes querer calcular de forma objetiva, com equações, percentuais, o nível de risco. Francesco Guicciardini conta que Aristóteles certa vez disse que: “A verdade dos eventos futuros não é determinada”. Eu concordo com Aristóteles e, discordo da visão determinista de Laplace. Risco não é quantificável e sim qualitativo, você pode atribuir qualidades a ele, mas não conseguirá vislumbrar todas as possibilidades de eventos futuros. De acordo com Kaminski, risco reflete o “conhecido desconhecido”.
Não tenho a pretensão de dizer: “desistam de calcular risco”, eu tenho a intenção de afirmar com fundamentos que o que precisa ser alterado é a forma como pensamos o conceito de risco, e pararmos de aceitar riscos que não devem ser aceitos.
Muitas vezes os conceitos de riscos e de danos são confundidos, misturados, quando na verdade eles são diferentes. E isso é consequência de olhar o mundo muitas vezes com apenas uma lente, pensando algo através de apenas uma área de conhecimento e, assim vamos reproduzindo problemas. Existem muitos problemas na regulação baseada em risco.
Assim como existem problemas em outros modelos regulatórios, não há nada de novo nisso que estou dizendo. E isso tem fonte na própria Teoria do Direito, algo que Kelsen sabia quando afirmou: “uma ordem que regula a sua própria criação”. Ou seja, se faz necessária uma autocrítica sobre como nós juristas pensamos uma regulação.
Nesse sentido por que não pensar em um estudo técnico sobre risco e sobre dano? Por que não reunir pessoas de diferentes áreas de conhecimento para pensar esses conceitos, com participação multisetorial e proporcional em cada setor. Um grupo de trabalho para elaborar um estudo sobre risco e danos e, assim, pensar em possibilidades e parâmetros do que significa relevante. Servindo esse estudo como base orientadora para o Regulamento e para outras normas que a ANPD irá elaborar, isso porque esses conceitos são
transversais e os controladores precisam entender o que a ANPD está considerando como risco e dano, em linha com o que o art. 5, parágrafo 3 do Regulamento propõe.
Para além disso, também é possível fazer estudos de caso de forma setorial. Assim estabeleceremos um roteiro sobre as formas de avaliar e mitigar riscos e prestar contas deles. Alinhar essa regra às construções jurídicas relacionadas de forma a expor o que deve ser exceção, no sentido do que fazer quando tudo isso foi feito antes, mas, mesmo assim, aconteceu uma falha de segurança que resultou em incidente e ele gerou riscos e danos relevantes.
Construímos conhecimento de forma coletiva desde sempre. Os estudos de pensadores nos ajudam a avançar um degrau a mais, então, por que não subimos um degrau no debate de risco e danos no mundo? Temos pessoas brilhantes pensando esse tema em diversas áreas no País nesse exato instante.
Não responderemos os desafios do presente, sem ousar questionar o que já foi pensado no passado e, se não fizermos isso agora poderá acontecer de não haver uma coerência nos conceitos de risco e de dano em diferentes normas produzidas sobre proteção de dados no Brasil.
Maria Cecília Oliveira Gomes, Doutoranda em Filosofia e Teoria Geral do Direito na Faculdade de Direito da USP. Professora convidada da USP, PUCRS e de outras instituições de ensino. Foi Pesquisadora Visitante na Data Protection Unit do Council of Europe (CoE) na França. Foi Pesquisadora Visitante no European Data Protection Supervisor (EDPS) na Bélgica. Pós-graduada em Propriedade Intelectual e Novos Negócios pela Fundação Getúlio Vargas (FGV).