🗞️ Onboard #54: Regulações Baseadas em Risco e seus Efeitos na Governança Digital

o que você vai ver aqui:

• 🧠 reflexão da vez: a tal da regulação baseada em risco

Por que as regulações sobre tecnologia tem se tornado cada vez mais complexas?

Essa é uma pergunta que eu me faço com bastante frequência - até porque vivi algumas “eras” muito diferentes da regulação da internet por aqui.

Podemos dizer que tivemos três eras de regulação aqui nas terras tupiniquins:

• A abordagem penalista (1999-2009) Nos primeiros anos da internet e, como bom país conservador, reacionário e reativo, focou-se muito na criminalização e penalização de condutas. Foi a fase da Lei Azeredo, da comoção nacional que gerou a Lei Carolina Dieckman, das ações contra o Orkut, da prisão de CEO de empresas… quem viveu isso, viveu.
• A abordagem civilista-principiológica (2009-2018) A reação veio com um mote: primeiro definir “regras e responsabilidades civis com relação a usuários, empresas e demais instituições acessando a rede” antes de sair criminalizando a turma toda. O Marco Civil - e tantas outras legislações no mundo - nasceram daí, com regras balizadoras que davam poder e discricionariedade para o Judiciário ao focar em princípios, regras mais amplas para a camada de conteúdo e outras mais duras para a camada de infraestrutura (como a neutralidade da rede).

Contudo, o ano de 2016 nos EUA (e 2018 no Brasil) trouxe uma desilusão com a eficácia dessa abordagem, seja por uma desconfiança no sistema judiciário, seja por sua incapacidade de lidar com temas de grande especificidade.

E com isso, levamos nossa jangada de gigabytes para novas direções…

A Ascensão da Abordagem Baseada em Riscos (2016 - atual)

A busca por mais eficiência (odeio essa palavra) e celeridade processual resultou em novas matrizes regulatórias, que passou a ser conhecida como “abordagem baseada em riscos”. Essa visão ganhou força na União Europeia com a GDPR, mas foi inspirada em setores regulados, como bancário e mercado de capitais.

Essa abordagem coloca o risco como fator central, e envolve ao menos quatro elementos:

• a redução de assimetrias informacionais entre aplicadores do Direito e o setor privado com deveres de transparência;
• intensificação de regulação ex ante, reduzindo espaços de discricionariedade judicial (a chamada hiperrregulação)
• deslocamento de questões complexas para órgãos de enforcement especializados, como agências reguladoras; e
• elevação de comportamentos preventivos a deveres jurídicos

parênteses: essa é uma lógica parecida demais com governança corporativa. É tão “neoliberal” e “pró-mercado” que daria orgulho aos Chicago Boys, mas muita gente ainda não está pronta para essa conversa já que, obviamente, nada é mais "eficiente" do que criar um monte de tabelas e gráficos (e fazer reuniões que poderiam ser calls, e calls que poderiam ser e-mails).

Os Problemas da Burocracia Excessiva

Um dos principais problemas dessa abordagem é a quantidade exorbitante de papelada que ela gera. É avaliação preliminar, teste de validade, registro de operações minunciosas, documentação de não-sei-o-que, assessment de risco de acolá…

Não é coincidência que a ideia da “abordagem baseada em riscos” tenha emergido com força na União Europeia, especialmente após o Brexit, que desafiou a relevância e a coesão de suas instituições. A necessidade de uma força tecnocrática que mantivesse a centralização e estabilidade (e pudesse gerar trabalho para si mesma) foi a resposta imediata, ainda que às custas de uma verdadeira democratização e eficiência do sistema como um todo.

A complexidade das estruturas de compliance exige a criação de toda uma classe corporativista, digo, despachante, digo, corporativa dedicada a manter essa estrutura e seus altíssimos custos operacionais em funcionamento - e com resultados duvidosos para a sociedade, já que essa burocracia excessiva também prejudica os próprios processos judiciais, reduzindo sua celeridade e o acesso à Justiça.

Outro problema crítico é a solução proposta para essa “”ineficiência”” do Judiciário: a transferência de responsabilidades para entidades especializadas, geralmente órgãos executivos. Essa solução leva à ascensão de uma classe tecnocrática, que não só centraliza decisões, mas também se torna suscetível à captura por interesses empresariais.

Um exemplo é a própria Comissão Europeia. Só em Bruxelas existem mais de 25 mil lobistas, fazendo um trabalho sério e necessário para a democracia (precisamos desmistificar o lobby, aliás). Mas seus salários são, na prática, impagáveis por pequenas empresas e grupos de interesse da sociedade civil.

E Por que ainda insistimos nisso?

Claro que há vantagens também, não vamos ser obtusos aqui. Essa abordagem permite uma alocação melhor de recursos para empresas e Estado, já que a regulação ex ante permite uma previsibilidade maior. Também há boa flexibilidade, já que as autoridades executivas podem se adaptar mais rapidamente a mudanças no ambiente econômico.

Contudo, a prática é diferente da teoria, por um motivo simples: dinheiro é finito. Na União Europeia, Mais de 80% das autoridades nacionais de proteção de dados afirmam que seu orçamento é insuficiente, e 86% afirmam que seu número de servidores é inadequado para realizar suas atividades.

Ou seja, embora a abordagem baseada em riscos ofereça vantagens, seus problemas intrínsecos e a complexidade burocrática que gera exigem uma reflexão crítica e a busca por alternativas mais equilibradas e inclusivas.

Gosto muito desse texto do querido Zanatta, que em 2017 profetizou em uma análise para proteção de dados pessoais - e que valeria bem para outros temas atuais, como inteligência artificial e moderação de conteúdo:

é preciso um debate qualificado, por toda a comunidade acadêmica e prática, sobre os “riscos da risquificação” em proteção de dados pessoais. Ou seja, a possibilidade de que uma “abordagem baseada em riscos” no Brasil seja utilizada estrategicamente para deslocar a linguagem dos direitos fundamentais e isolar o cidadão comum dos impasses jurídicos da proteção de dados pessoais, fazendo com que as tensões e “negociações coletivas” ocorram somente entre empresas de tecnologia, autoridade reguladora e entidades civis altamente especializadas. Há também o risco de que, diante de metodologias mal formuladas para identificação de potenciais lesões a direitos por parte de empresas intensivas em dados, haja alto grau de judicialização de medidas regulatórias e administrativas, com o travamento estratégico do processo de regulação por interesses econômicos específicos. Pensar nessa nova moldura teórica implica, também, no enfrentamento dessas difíceis questões.

Precisamos enfrentar essas difíceis questões mesmo. Pensar a internet como parte integrante de um processo social maior. Buscar alternativas que vão além das abordagens baseadas em risco. Desenvolver mais imaginação institucional para conceber novas abordagens pragmáticas e justas. Pensar mais nas leis como instrumentos de promoção de direitos, e não como a finalidade em si.

É preciso coragem e criatividade. Ou, quem sabe, apenas continuemos fazendo o mesmo de sempre e esperando resultados diferentes. Afinal, nem sempre a lei é a resposta - embora seja quase sempre a resposta mais barata (mas isso é uma outra história…)

***

👋 tchau! Gostou dessa experiência? Comenta aí e assine para continuar acompanhando os próximos testes e me segue no LinkedIn e Instagram 👨🏻🏫