O Data Governance Act[1] é um novo marco regulatório europeu, parte da denominada “Estratégia Europeia para Dados”[2], que busca garantir um cenário para o desenvolvimento de mecanismos para disponibilização segura e reaproveitamento de dados.
A norma, que entra em vigor em setembro de 2023, introduz alguns conceitos chave que modificarão a percepção sobre o direito fundamental à proteção de dados pessoais, em especial os intermediários de dados, a partir da premissa de que a regulação considera que a governança de dados, em muitos casos, está inserida em um sistema mais complexo do que o considerado pelo Regulamento Geral de Proteção de Dados (RGPD).
Os intermediários são essenciais para que os objetivos da regulação sejam alcançados. O serviço de intermediação facilita e gerencia as relações envolvendo titulares de dados, assegurando que as vontades do indivíduo sejam respeitadas ainda em sistemas bastante complexos de governança de dados.
Atualmente, considerando o modelo apresentado pelo RGPD – e pela Lei Geral de Proteção de Dados (LGPD) -, o sujeito fica submetido a um sistema de concordância com vários tratamentos de dados sem grande conhecimento sobre os processos aos quais suas informações estão submetidas ou há limites prejudiciais às possibilidades dos usos de dados. Já foram verifuicados vários resultados negativos e não-efetivos desse sistema protetivo como a fadiga do consentimento, a falta de transparência sobre quem está envolvido nos tratamentos e a limitação ao fluxo de dados. Portanto, o governance act propõe novas possibilidades para desenvolver ainda mais o sistema de proteção de dados a partir da criação de novos sistemas de fluxos e acesso a dados pessoais que garantem o respeito pelas escolhas individuais.
Essa atuação vai desde o gerenciamento do consentimento do titular até a tomada de decisão sobre quais tratamentos podem ser realizados a partir das preferências do usuário. Um exemplo seria o/a titular decidir para quais finalidades seus dados podem ser tratados e quais riscos ele/a aceita estar submetido; a partir dessas informações, o intermediário pode gerenciar as relações do indivíduo com agentes de tratamento, definindo limites aos tratamentos, confirmando a identidade do titular, aplicando medidas de segurança, entre outros. Dessa forma, a preocupação sobre o gerenciamento de dados pessoais pode passar a ser delegado, o que traz diversos efeitos positivos para os titulares.
Com uma expansão da autodeterminação informativa, o titular pode delegar as escolhas sobre alguns tratamentos de seus dados. Além de resultados subjetivos positivos, também é possível que os intermediários de dados tragam diversos benefícios competitivos, tendo em vista que esses facilitam o acesso aos dados, garantindo a portabilidade das informações entre diferentes fornecedores e utilizando formas de exploração de dados que tenham resultados sociais positivos.
Sobre o tópico, o Fórum Econômico Mundial[3] defende que modelos de intermediários devem ser explorados para garantir o desenvolvimento do ecossistema de dados, garantindo a proteção das informações paralelamente com a melhor exploração do potencial dos dados. Alguns exemplos de modelos são: cooperativa de dados, comunidade de dados, fiduciário digital, entre outros. A possibilidade de diferentes formas de exercício da intermediação é importante para que o indivíduo possa definir qual sistema faz mais sentido para suas escolhas.
Além disso, para garantir que esse sistema funcione, é necessário que os titulares confiem nos intermediários de dados. Para tanto, a regulação desses atores deve garantir certo nível de proteção aos dados pessoais e à privacidade, traçando limites para o acesso de dados pelo setor público e deveres de exclusão em caso de insolvência das empresas. Também é importante que a abordagem regulatória tenha uma abordagem voltada para os interesses humanos, além de determinar deveres fiduciários aos serviços de intermediação.
Finalmente, é necessário que a regulação preveja diferentes formas de fiscalização do ecossistema de dados, o que inclui possibilidade de responsabilização, padrões mínimos de segurança que devem ser seguidos, exploração de sandboxes regulatórios e até a definição de autoridades fiscalizadoras e sancionadoras.
No Brasil, esse sistema ainda parece incompatível com as normas de proteção de dados, em especial a LGPD. Contudo, é importante que a regulação brasileira considere esse desenvolvimento normativo e passe a explorar a possibilidade de compatibilização do sistema com intermediários de dados, a fim de garantir a efetiva autodeterminação informativa dos indivíduos ao mesmo tempo em que o desenvolvimento de atividades econômicas e de serviços públicos possam explorar da melhor forma o potencial de informações pessoais.
Fonte: JOTA. Leia matéria completa.