Mar Espanha Martí, diretora desde 2015 da Agência Espanhola de Proteção de Dados (AEPD) que faz as vezes de Secretaria Técnica da Rede Ibero-americana de Proteção de Dados (RIPD), lidera uma difícil tarefa: conseguir que a segurança dos dados da cidadania e dos nossos dados na rede não sejam vulnerados. A máxima responsável do organismoadvoga, em particular, pela proteção dos mais vulneráveis: os menores e reconhece neste questionário, que“mais de 70% das solicitações para retirar conteúdo publicado sem consentimento em redes são de violência digital contra mulheres e meninas, que incluem a publicação na Internet de vídeos sexuais para controlar, humilhar e extorquir”. Para sua proteção, e para atalhar problemas que são comuns, a especialista valoriza o trabalho em rede, encaminhado a buscar soluções comuns que envolvem os diferentes atores e partes interessadas em um enfoque multidisciplinar e multilateral”.
A cidadania é consciente do modo em que sua privacidade é exposta e que existe o risco de se faça um uso fraudulento de seus dados? Sabe a importância de protegê-la? Conhece seus direitos (e suas obrigações)?
Um dos indicadores do grau de conhecimento que os cidadãos possuem acerca de seus direitos é o número crescente de reclamações apresentadas perante a Agência nos últimos anos: 21.590 em 2023, 43% a mais que em 2022 e 55% a mais que em 2021.
A Agência tem entre seus objetivos prioritários fomentar uma cultura de proteção de dados tanto entre os que manejam dados pessoais como entre a cidadania. São aqueles que tratam dados pessoais os obrigados ao cumprimento da normativa. A Agência oferece às organizações guias e ferramentas práticas para ajudá-las no cumprimento. Não podemos obviar o componente de deslumbramento que as novas tecnologias emergentes têm, que provoca que a cidadania não perceba os riscos até que se materializaram. Por isso é importante conscientizar.Preocupa-nos especialmente a infância e juventude que, ainda que sejam nativos digitais, ao serem pessoas em processo de maturidade e formação, nem sempre são conscientes de que o que fazemonline pode chegar a ter consequências graves no mundooffline.
Qual é o principal risco e o que podemos fazer? Pode ser atenuado?
Há uma preocupação crescente e compartilhada sobre os riscos que a infância e a adolescência afronta nos entornos digitais ao utilizar serviços projetados para adultos ou que, como asredes sociais, incorporam padrões aditivos em etapas nas que o cérebro ainda não está maduro. Issoafeta, segundo os estudos médicos, o seu neurodesenvolvimento e socialização, ao mesmo tempo que contribui a potencializar possíveis problemas de saúde mental, como a ansiedade e a depressão, e facilita o assédio escolar e a violência sexual. Os dispositivos celulares se converteram também em uma porta a conteúdos pornográficos, o que gera umabanalização das relações sexuais, sexualização precoce e exposição a conteúdos inapropriados.
Para atenuá-lo, desde 2015 oferecemos um serviço telefônico e de ajuda sobre proteção de dados a menores tanto para famílias como para professores e centros docentes. Em paralelo, participamos em ações de conscientização e exercemos a potestade sancionadora, por exemplo, contra páginas pornográficas que não verificavam adequadamente a idade dos usuários. Formamos parte de um Comitê de especialistas multidisciplinar que está realizando uma análise da situação atual e que vai propor diversas soluções para frear este problema, de forma que todos os implicados assumam sua responsabilidade ante esta população vulnerável.
Através do Canal prioritário que lançamos em 2019, pode ser solicitada a retirada urgente de conteúdos sexuais ou violentos publicados na internet sem o consentimento das pessoas que aparecem neles. Pode ser que uma pessoa grave um vídeo sexual com consentimento, ou envie uma foto, mas isso não dá direito ao receptor de publicá-la em páginas web ou de tornar a difundi-la a terceiros. Mais de 70% das solicitações são de violência digital contra mulheres e meninas, que incluem a publicação na Internet de conteúdos deste tipo para controlar, humilhar, extorquir ou amedrontar as mulheres. Até agora todas as solicitações de retirada de conteúdos que a Agência remeteu às páginas web que albergam estes conteúdos foram acatadas e o conteúdo eliminado. Por outro lado, além de requerer de forma urgente a eliminação desses conteúdos publicados sem licença, a Agência também pode impor uma sanção à pessoa que publicou esse conteúdo, e isso é algo que já está sendo feito.
A tecnologia costuma se associar à modernidade e a avanços, mas não pode se desenvolver sem ter em conta os direitos das pessoas
Em que medida a cidadania geral está educada?
Uma base de conhecimento em matéria de privacidade e segurança é vital hoje em dia. Não obstante, a evolução tecnológica é tão rápida que nem sempre resulta simples. Além disso, as atividades que são realizadas no mundo online não estão limitadas por fronteiras, o que aumenta potencialmente os riscos. É importante continuar investindo em programas de capacitação da cidadania em termos de proteção de dados e segurança. A corrida é constante e, à medida que afloram novas tecnologias, aparecem novas vulnerabilidades. Estamos vendo isso agora com a Inteligência Artificial: hoje em dia é relativamente fácil gerar uma voz com as características de uma voz conhecida à que suplanta, sendo indistinguíveis uma da outra, e a mesma coisa é aplicável a imagens e inclusive a vídeos, que poderiam ser utilizados para cometer fraudes, assédios ou chantagens. Há muito pouco tempo atrás isto não era possível porque requeria uma potência de computação muito elevada, enquanto agora estas “ultra-suplantações” podem ser realizadas com um telefone celular. A legislação e a supervisão devem ser atualizadas para lutar contra este uso indevido da inteligência artificial.
Como a proteção da cidadania favorece o trabalho em rede nesse sentido?
Devido à natureza transfronteiriça dos serviços digitais,nos enfrentamos, cada vez mais, a problemas globais que exigem soluções globais. E, para isso, nada melhor do que trabalhar em rede. Compartilhar os problemas que são comuns e buscar soluções entre todos é um ponto de partida imprescindível, envolvendo os diferentes atores e partes interessadas em um enfoque multidisciplinar e multilateral.
Como descreveria o processo de cooperação efetiva entre as Autoridades Ibero-americanas de Proteção de Dados, qual é sua incidência e em que se traduz este processo na vida cotidiana das pessoas?
No Encontro que organizamos o ano passado na Guatemala, onde celebramos o XX aniversário de criação da Rede Ibero-americana de Proteção de Dados, decidimos modificar os estatutos da Rede em face a “profissionalizá-la”, facilitando a cooperação entre suas autoridades e criandoquatro grupos de trabalho sobre desafios globais que necessitam de soluções globais: WorldCoin, ChatGPT, Violência e Saúde Digital, e Neurodireitos.
Esperamos que daí saiam soluções que reduzam os riscos que estes desafios supõem para os direitos e liberdades das pessoas. De momento, algumas autoridades já adotaram, em alguns casos, medidas cautelares para deter determinados tratamentos de dados que entendemos afetarem negativamente os cidadãos.
A Rede começou a criar grupos de trabalho, em face a buscar soluções comuns a problemas globais, com o propósito de uma maior padronização
Com relação à pergunta anterior, como é a cooperação entre países? Lembra de algum exemplo concreto dessa colaboração?
No marco da Rede Ibero-americana de proteção de dados (RIPD) destaca a criação dos mencionados grupos de trabalho:WorldCoin, ChatGPT, Neurodireitos e Violência e Saúde Digital, por exemplo. Este último, focalizado em coletivos vulneráveis como podem ser mulheres e fundamentalmente menores.
A ideia édesenvolver documentação e ferramentas que ajudem na proteção destes coletivos frente aos abusos cometidos na internet. Desde a Agência Espanhola está se contribuindo a este grupo de trabalho com o Canal Prioritário da AEPD. Também estamos contribuindo com a Estratégia de “Menores, saúde digital e privacidade” que recolhe a colaboração com organismos nacionais e internacionais com medidas agrupadas em blocos como a colaboração regulatória, o reforço para garantir os direitos da infância e da adolescência, o exercício das potestades de pesquisa e sanção, a educação, e a saúde e o bem-estar digital.
De que forma podem ser transladados ao âmbito ibero-americano os esforços que a Agência Espanhola de Proteção de Dados realiza sobre a proteção de menores nos entornos digitais?
Desde a AEPD, como Secretaria Permanente desta Rede, nosso labor é apoiar a região em tudo o referente à proteção de dados pessoais e analisar como implementar aquelas ferramentas que possam ser de utilidade, fundamentalmente na proteção de coletivos vulneráveis. A AEPD propôs, por exemplo, dez princípios efetivos que qualquer sistema de verificação de idade deve cumprir para proteger os menores do acesso a conteúdos inadequados, ao mesmo tempo que o anonimato dos adultos é garantido. Está a se trabalhar conjuntamente para implementar estas ferramentas de proteção dos menores na Ibero-América. A documentação associada a este sistema está à disposição dos membros da Rede e estão sendo compartilhados não só no grupo de trabalho, senão em qualquer intercâmbio de boas práticas realizado no marco da RIPD.
Desde 2017 com a aprovação dos Padrões de Proteção de Dados Pessoais para os Estados Ibero-americanos a influência da RIPD foi fortalecida nos novos processos regulatórios na região, quais são os passos a seguir para consolidar as Autoridades de Proteção de Dados na Ibero-América?
Um desafio geral que existe, praticamente, para a totalidade das autoridades de proteção de dados é afalta de recursos, tanto financeiros como humanos. A isso se acrescenta, em alguns casos, afalta de independência. Este é o caso, por exemplo, de autoridades que se constituem como direções gerais dentro de um Ministério do qual dependem organicamente.
Avançar nestes assuntos requer de compromisso político ao mais alto nível que, por um lado, outorgue às autoridades uma independência orgânica real e por outro, dote de recursos suficientes para poder realizar suas funções em defesa do direito fundamental à proteção de dados pessoais. Essecompromisso político de alto nível poderia ser refletido mediante a ratificação dos padrões da Rede por parte dos presidentes de Governo e primeiros-ministros da região ibero-americana.
A que obstáculos ou resistências se enfrentaram na elaboração de tais padrões?
Não houve obstáculos ou resistências para a elaboração de tais padrões: todas as autoridades coincidem quanto ao que querem ser ou como gostariam de funcionar. Questão distinta é a realidade de cada uma delas quanto à independência e recursos disponíveis.
A AEPD propôs dez princípios efetivos que qualquer sistema de verificação de idade deve cumprir para proteger os menores do acesso a conteúdos inadequados
A distinta normativa nos países e sua aplicação no trabalho dificulta? Como isto pode ser paliado?
Vivemos em um mundo globalizado onde, para as empresas, não há fronteiras e estão estabelecidas em um país, desde o qual oferecem serviços digitais a cidadãos que residem em outros países. Neste contexto, hoje, não têm sentido normativas que não tenham em conta esta extraterritorialidade.
A redação atual dos padrões da Rede recolhe, em seu parágrafo 22, esta circunstância. Não obstante, atualmente, ainda há países na região cujas normativas vigentes não podem ser aplicadas a empresas que prestam serviços desde terceiros países, fazendo-se imprescindível sua atualização.
Com que outro tipo de guias ou recomendações, além desses padrões ibero-americanos de proteção de dados, trabalham desde a Rede para tratar de homogeneizar ou homologar os marcos normativos regionais em matéria de proteção de dados?
Os Padrões da Rede, além de promover a proteção de dados na região, buscam fomentar a livre circulação dos dados pessoais, já que isso contribui a um maior desenvolvimento econômico na região. Esse desejado desenvolvimento econômico é favorecido também com a harmonização dos marcos regulatórios e de seus critérios interpretativos. Neste sentido, a Rede tem uma importante missão no fato de buscar essa harmonização e, para isso, além dos Padrões da Rede, elaboram-se guias e diretrizes que se encontram publicadas em sua página web.
Além disso, a Rede também começou a criar grupos de trabalho, em face a buscar soluções comuns a problemas globais, também com o propósito de uma maior padronização. Na atualidade está a se trabalhar para explorar colaborações e ações conjuntas entre Autoridades da região, estabelecendo eixos temáticos e calendários de atuações.
Que benefícios proporciona?
Entre as responsabilidades da RIPD está a dereforçar as alianças da Rede com organismos públicos que desenvolvem suas funções em estreita conexão com ela e, no âmbito privado.
O fato de harmonizar e alinhar as legislações em matéria de proteção de dados é algo que vem sendo solicitado tanto por parte das autoridades nacionais de proteção de dados como por parte das empresas para conseguir umas legislações coerentes, de forma que os fluxos transfronteiriços de dados sejam fomentados.
Isso não só conseguiria um fomento da economia e de implantação de empresas na região, senão dar resposta ao interesse da cidadania, já que o fato de ter marcos normativos harmonizados se reflete em maior segurança jurídica para usuários e empresas.
As pessoas em processo de maturidade e formação, a infância e juventude, nem sempre são conscientes de que o que fazem online pode chegar a ter consequências graves no mundo offline
Quais são os aportes que a RIPD poderia fazer em face aos trabalhos de implementação da Carta Ibero-americana de Princípios e Direitos nos Entornos Digitais?
A RIPD forma parte do Registro de Redes da SEGIB e, como tal, há umacontínua colaboração em diversos âmbitos, entre eles na Carta Ibero-americana de Princípios e Direitos nos Entornos Digitais (CIPDED). Neste marco de colaboração, vários membros da Agência Espanhola e eu mesma participamos em seminários e webinários online relacionados com diferentes temáticas relativas à implementação da CIPDED.
Além disso, está se trabalhando conjuntamente na atualização dos Padrões ibero-americanos de Proteção de Dados através da realização de um estudo que aponte diretrizes para o projeto e implementação de políticas públicas em matéria de proteção de dados nos países ibero-americanos aproveitando estes padrões e alinhando-os com os desafios atuais. Como objetivos particulares, também há de se destacar a análise dos desafios derivados das neurotecnologias, a inteligência artificial, e a internet das coisas em matéria de proteção de dados ou em torno à proteção da Saúde Digital, especialmente em coletivos vulneráveis como a infância ou a adolescência. A estes objetivos devemos acrescentar a análise das características a ter em conta no momento de projetar ou criar Autoridades Nacionais de Proteção dos países ibero-americanos.
Nos três casos, serão formuladas propostas específicas (diretrizes, padrões, recomendações…) para ajudar o projeto de políticas públicas nos países ibero-americanos.
Quais são os desafios da região sobre a Proteção de Dados com o avanço, por exemplo, dos neurodireitos?
O desenvolvimento respeitoso e compatível com osdireitos fundamentais da neurotecnologia e da Inteligência Artificial são desafios importantes que preocupam a Agência e que teriam de nos preocupar a todos como sociedade. A evolução tecnológica costuma se associar à modernidade e a avanços que melhoram nossa vida, mas atecnologia não pode se desenvolver sem ter em conta os direitos das pessoas, já que então se corre o risco de construir uma sociedade distópica que perde sua humanidade. A neurotecnologia pode gerar um grande impacto em nossa sociedade, com consequências que propõem desafios importantes que requerem de uma reflexão ética, social e legal. A Agência defende que os dados neurológicos ou neurodados, quando estão associados a pessoas identificadas ou identificáveis, são dados pessoais segundo o Regulamento Geral de Proteção de Dados (RGPD) e, portanto, nesse sentido estão protegidos.
Os neurodados e os dados genéticos são categorias especiais de dados; têm em comum o fato de exporem aspectos únicos e pessoais, já que o cérebro é identificador tão único como uma impressão digital ou um genoma. Além disso, ambos os tipos de dados oferecem a possibilidade de predizer ou inferir informação adicional das pessoas. Se a isto somamos a Inteligência Artificial, assistimos a como está se avançando em decodificar a atividade cerebral, podendo chegar a revelar informação que pode ser, inclusive, desconhecida para a própria pessoa e ser usada para fins preditivos ou de perfilagem, entre outros.
Na Agência publicamos vários documentos sobre estes temas, financiando projetos de pesquisa, impulsionado a ‘Declaração sobre neurodados’ da Rede Ibero-americana de Proteção de Dados e colaboramos com o Escritório do Comissionado de Informação, a autoridade de proteção de dados no Reino Unido. Também apoiamos os cinco neurodireitos identificados pela fundação Neurorights Foundation, da Universidade de Colúmbia, Nova York: a identidade pessoal, o livre arbítrio, a privacidade mental, o acesso equitativo e a proteção contra os vieses.
