Versão completa da minha fala na audiência pública da ANPD, precisei reduzir o texto original para caber nos 7 minutos.

Link da audiência. Começa no tempo 05:54:00.

Quero agradecer a oportunidade de poder contribuir na construção de normas de proteção de dados, com o objetivo de apoiar o desenvolvimento de uma regulação consistente para salvaguardar direitos individuais e termos ambientes com riscos sob permanente escrutínio. Nas pesquisas que desenvolvo pude constatar que o conhecimento sobre risco muitas vezes é impreciso e isso se reflete na norma da ANPD, que aborda de forma ampla esse tema. Há dois conceitos iniciais que precisam ser muito bem definidos para que o trabalho que todos queremos construir juntos tenha uma base de sustentação sólida: o que é risco? o que é dano relevante?

Faz séculos que a humanidade em diversas áreas de conhecimento discute o que é risco. De acordo com Bernstein risco “é a capacidade de definir o que pode acontecer no futuro e escolher entre alternativas”. Essa definição é reflexo de um pensamento da matemática que muitas vezes tem ressonância na área jurídica, que é determinar o que pode acontecer no futuro e dizer que os riscos estão sob controle, são gerenciáveis, estão a níveis aceitáveis e que, portanto, não devem ser objeto de uma reflexão profunda. Esse tipo de pensamento é fruto de uma visão determinista sobre o futuro.

Na área da matemática, Pascal, Fermat e em especial Laplace, dedicaram suas vidas a pensar sobre como uma equação poderia prever todas as possibilidades de eventos futuros, ou seja, prever através das teorias das probabilidades o risco de algo acontecer. Laplace acreditava fortemente nisso, ele achava que o futuro nada mais é do que uma consequência do passado, onde não existem necessariamente escolhas individuais, mas tudo obedece no tempo, ao que foi feito antes. Quando as pessoas em 2023 pensam “risco” elas estão pensando de forma parecida com Laplace. Elas querem que uma avaliação de risco traduza todas as possibilidades de eventos futuros. E a partir daí determinam se o nível de risco de um incidente é baixo, médio ou alto. Calculando a probabilidade desse evento ocorrer vezes o impacto que elas imaginam que poderá ter na vida de outras pessoas. O problema desse raciocínio é que Laplace propôs isso no século XVIII, e estamos fazendo isso no século XXI, logo significa que precisamos repensar a teoria da probabilidade como base da avaliação de riscos em regulações baseadas em risco, especificamente em normas que tratam risco sob a ótica de proteção de dados.

Modelos prescritivos de classificação de risco, como é o que está sendo proposto sob o nome de “critérios gerais e específicos” no art. 5, são limitados e imprecisos. Um modelo procedimental de avaliação de risco atende melhor o momento atual. Isso porque já cruzamos a linha como sociedade em relação ao que poderíamos prever de possibilidades de futuro, todos os dias as tecnologias nos demonstram que não conseguimos prever o que elas farão em seguida. Citando Jorge Eduardo Douglas Price: “vivemos o futuro incerto da sociedade do risco”.

Sei o quanto é frustrante muitas vezes querer calcular de forma objetiva, com equações, percentuais, o nível de risco. Francesco Guicciardini conta que Aristóteles certa vez disse que: “A verdade dos eventos futuros não é determinada”. Eu concordo com Aristóteles e, discordo da visão deteminista de Laplace. Risco não é quantificável e sim qualitativo, você pode atribuir qualidades a ele, mas não conseguirá vislumbrar todas as possibilidades de eventos futuros. De acordo com Kaminski, risco reflete o “conhecido desconhecido”. Ou seja, “risco” é incerto, desconhecido, complexo e invisível. Você vê a radiação? Você consegue enxergar ela se aproximando? Não. Isso significa que ela não exista? Não, isso significa que você apenas não a vê. Quando Ulrich Beck escreveu em 1986 uma crítica sobre como a sociedade pensava risco, ele deu esse exemplo, porque o seu livro estava sendo escrito no momento em que aconteceu o acidente de Chernobyl. Portanto, pensar risco é partir do pressuposto que se desconhece ele em sua totalidade.

Não tenho a pretensão de dizer: “desistam de calcular risco”, eu tenho a intenção de afirmar com fundamentos que o que precisa ser alterado é a forma como pensamos o conceito de risco, e pararmos de aceitar riscos que não devem ser aceitos.

Muitas vezes os conceitos de riscos e de danos são confundidos, misturados, quando na verdade eles são diferentes. E isso é consequência de olhar o mundo muitas vezes com apenas uma lente, pensando algo através de apenas uma área de conhecimento e, assim vamos reproduzindo problemas. Existem muitos problemas na regulação baseada em risco. Assim como existem problemas em outros modelos regulatórios, não há nada de novo nisso que estou dizendo. E isso tem fonte na própria Teoria do Direito, algo que Kelsen sabia quando afirmou: “uma ordem que regula a sua própria criação”. Ou seja, se faz necessária uma autocrítica sobre como nós pensamos uma regulação. Nesse sentido por que não pensar em um estudo técnico sobre risco e sobre dano? Por que não reunir pessoas de diferentes áreas de conhecimento para pensar esses conceitos, com participação multisetorial e proporcional em cada setor. Um grupo de trabalho para elaborar um estudo sobre risco e dano e, assim pensar em possibilidades e parâmetros do que significa relevante. Servindo esse estudo como base orientadora para o Regulamento e para outras normas que a ANPD irá elaborar, isso porque esses conceitos são transversais e os controladores precisam entender o que a ANPD está considerando como risco e dano, em linha com o que o art. 5, parágrafo 3 do Regulamento propõe. Para além disso, também é possível fazer estudos de caso de forma setorial.

Assim estabeleceremos um roteiro sobre as formas de avaliar e mitigar riscos e prestar contas deles. Alinhar essa regra às construções jurídicas relacionadas de forma a expor o que deve ser exceção, no sentido do que fazer quando tudo isso foi feito antes, mas mesmo assim aconteceu uma falha de segurança que resultou em um incidente e ele gerou riscos e danos relevantes.

Tenho convicção de que conhecimento não é uma construção individual, mas sim coletiva e interdisciplinar, como defende Edgar Morin. Se Aristóteles, Pascal, Fermat, Laplace, Foucault, Beck, Luhmann, Bernstein, Kaminski, Quelle e Price, não tivessem pensado os conceitos de risco, dano e futuro, eu certamente não estaria fazendo essa fala hoje. Construímos conhecimento de forma coletiva desde sempre, os estudos de pensadores nos ajudam a avançar um degrau a mais, então, por que não subimos um degrau no debate de risco e dano no mundo? Temos pessoas brilhantes pensando esse tema em diversas áreas no país nesse exato instante. Não responderemos os desafios do presente, sem ousar questionar o que já foi pensado no passado e, se não fizermos isso agora poderá acontecer de não haver uma coerência nos conceitos de risco e de dano em diferentes normas produzidas sobre proteção de dados no Brasil.