Oportunidades e desafios do Sandbox regulatório da ANPD

A palavra "sandbox", de origem inglesa, traduz-se como caixa de areia. Sim, é exatamente isso que você está pensando. Refiro-me àquela caixa de areia onde, provavelmente, você brincou e soltou a imaginação durante os dias de infância. Mas qual a relação entre o sandbox regulatório e a Lei Geral de Proteção de Dados - LGPD?

O sandbox regulatório recebeu esse nome em referência aos parquinhos de areia infantis. No entanto, na prática, é um ambiente controlado e experimental que permite que empresas testem modelos de negócios inovadores impulsionados por tecnologias experimentais. Nesse espaço, há uma flexibilização temporária das exigências regulatórias e penalidades impostas pelas autoridades do setor. Isso viabiliza que as empresas experimentem novas ideias, como o uso de IA generativa em modelos de negócios, e recebam um feedback substancial das autoridades reguladoras antes de lançarem seus produtos ou serviços no mercado. No Brasil, a previsão para o sandbox regulatório está nos artigos 2º, inciso II e 11 do Marco Civil das Startups (LC 182/21).

Atualmente, a Autoridade Nacional de Proteção de Dados - ANPD lançou mão desses dispositivos legais e abriu uma consulta pública a fim de receber contribuições para a criação de um sandbox regulatório destinado a modelos de negócios que utilizem IA generativa e treinem seus algoritmos com dados pessoais. A consulta encerrou-se em 1/12/23. A intenção é que essas tecnologias sejam testadas para respeitar a LGPD, além de garantir o direito à explicabilidade dos resultados, conforme os artigos 6º, inciso VI e 20 da LGPD. No entanto, essa iniciativa é desafiadora.

Isso se deve ao fato do uso do sandbox regulatório ainda estar em seus estágios iniciais. A experiência mais avançada envolvendo agências reguladoras de proteção de dados é do Information Commissioner 's Office - ICO, autoridade de proteção de dados do Reino Unido, a qual já conduziu 22 projetos¹ desde 2020. Dentre esses projetos, destaca-se o  sandbox envolvendo a Heathrow Airport Ltd.², empresa que administra o aeroporto de Heathrow, em Londres. A empresa desenvolveu um programa de reconhecimento facial, o Automated Passenger Journey, para simplificar as viagens dos passageiros. Essa tecnologia foi aplicada no check-in, nos serviços de autoatendimento, na entrega de bagagens e nos portões de embarque. O maior desafio foi referente à integração da base legal para o processamento dos dados biométricos e a definição dos papéis de controlador e processador à luz da LGPD inglesa.

Um dos principais benefícios do sandbox regulatório é a redução dos riscos de falhas, permitindo que as empresas testem seus produtos ou serviços em um ambiente controlado. Isso ajuda a identificar e resolver problemas potenciais antes que se tornem reais. Ao oferecer às empresas a oportunidade de experimentar produtos e serviços inovadores sob supervisão regulatória e com certas condições suspensas, o sandbox regulatório diminui o perigo de possíveis punições que afetariam sua credibilidade por violação à LGPD.

Além disso, o sandbox regulatório pode acelerar o desenvolvimento de inovações, sem a necessidade de esperar por atualizações regulatórias, garantindo que estejam sempre em conformidade com a legislação vigente, mesmo que temporariamente protegidas. Outro benefício é a possibilidade de obter feedback dos participantes da experiência antes de expandir o alcance do produto.

No que diz respeito ao direito à privacidade e à LGPD, o sandbox regulatório apresenta alguns desafios. O primeiro deles é determinar se os modelos de negócios que se candidatam ao sandbox, utilizando dados pessoais para treinar sistemas e IA generativa, poderiam ser aceitos no sandbox regulatório mesmo que não estivessem projetados ab initio para respeitar a LGPD. Ou seja, durante a fase experimental, até que as tecnologias errem ou acertem, poderiam elas estarem em desacordo com a LGPD sem sofrer punições, pois essas falhas seriam corrigidas durante os testes? Qual o grau de maturidade em proteção de dados que um projeto proposto deve ter para ser aceito? Essa foi uma discussão que ocorreu entre as autoridades europeias nas negociações sobre a futura regulamentação da inteligência artificial, segundo Dragos Tudorache, em uma entrevista que deu para o The Privacy Advisor PODCAST do IAPP.³

Juridicamente, parece não haver argumento para não se exigir que, para participar do sandbox regulatório, a engenharia por trás da nova tecnologia já esteja minimamente projetada para cumprir com a LGPD, já que esta é uma lei vigente no país. Os artigos 46, §2º e 49 da LGPD contemplam a privacidade desde a concepção (privacy by design) para produtos e serviços, de modo que não haveria fundamento jurídico para dispensar-se a aderência à LGPD desde o início. Ademais, já se sabe que, após o treinamento do algoritmo com dados, é muito difícil extraí-los do sistema.⁴ Essa exigência não afastaria a possibilidade da tecnologia apresentar falhas que teriam a leniência do regulador até que fossem consertadas.

O segundo desafio diz respeito à explicabilidade. Segundo o instituto Brookings⁵ de pesquisa, o termo "explicabilidade" no contexto da IA é um conceito multifacetado que varia significativamente dependendo do ponto de vista dos envolvidos. Para os engenheiros responsáveis pelo desenvolvimento dos sistemas de IA, a explicabilidade está fundamentalmente associada à garantia de que esses sistemas não produzirão resultados equivocados. Essa perspectiva está enraizada na busca por sistemas precisos, minimizando erros e inconsistências nos outputs gerados. No universo empresarial, a explicabilidade da IA assume um caráter mais amplo e prático. Para organizações, é essencial compreender racionalmente os resultados fornecidos pela IA, além de vislumbrar a capacidade desta de gerar previsões corretas. Essa compreensão é crucial para orientar estratégias empresariais e tomar decisões informadas. Por fim, para as autoridades encarregadas da governança da IA, a explicabilidade está intrinsecamente ligada à capacidade dessa tecnologia de entregar resultados confiáveis, livres de vieses e em conformidade com as regulamentações estabelecidas (LGPD, por exemplo). 

Dessa forma, o direito à explicabilidade da IA somente será aprimorado em sandboxes regulatórios se existirem técnicas e protocolos de explicabilidade que considerem essa ampla variação de perspectivas. É crucial que os padrões e diretrizes desenvolvidos para promover a explicabilidade abordem as necessidades e expectativas dos engenheiros, organizações, mas também da sociedade.

Em suma, os benefícios de reduzir riscos, acelerar inovações e obter feedback são claros e valiosos no sandbox regulatório. No entanto, os desafios referentes à proteção de dados e à explicabilidade da IA exigem uma abordagem cuidadosa e abrangente. O sucesso do sandbox regulatório dependerá da capacidade de equilibrar a experimentação tecnológica com a conformidade com a LGPD, sem se descurar da adoção de protocolos holísticos de explicabilidade e transparência.

-------------------------- 

1 Disponível em: https://ico.org.uk/for-organisations/advice-and-services/regulatory-sandbox/previous-participants/2020/. Acessado em 01/12/2023.