Quando a digitalização encontra a regulação além das fronteiras: um esclarecimento com percepções acionáveis

Tradução do original reproduzida com autorização das autoras

Coche, E., & Kolk, A. 2024. When Digitalization Meets Regulation across Borders: An Explainer with Actionable Insights. AIB Insights. https://doi.org/10.46697/001c.122505.

Eugénie Coche, Ans Kolk*

Uma enxurrada de regulamentos tem surgido em todo o mundo para governar o uso, a transferência e armazenamento de dados, afetando empresas digitais e tradicionais, de todos os tamanhos. Para orientar os negócios profissionais e educadores, este artigo fornece percepções sobre os principais componentes da legislação sobre tecnologia digital e o que eles significam para diferentes tipos de empresas. Tomamos a União Europeia como ponto de partida, dada a sua definição de regras proeminente e extraterritorial, mas também refletimos sobre outras regulações digitais transfronteiras (futuras). Nossa análise de detalhes relevantes revela a necessidade que os profissionais estejam preparados e com visão de futuro, considerando as especificidades das empresas, princípios éticos convergentes internacionalmente e gerações (futuras) com consciência digital.

INTRODUÇÃO

Nos últimos anos, tem-se assistido a um aumento exponencial das leis que regulam o uso, o armazenamento e a transferência de dados, afetando as empresas multinacionais (EMNs/MNEs*) de formas distintas (Coche, Kolk, & Ocelík, 2024). Apesar das convergências regulatórias em países e regiões, variações – decorrentes de diferentes tradições e motivos – permanecem. Enquanto a União Europeia (UE/EU) é frequentemente caracterizada pelo seu forte enfoque nos direitos humanos, os Estados Unidos pela inovação digital e a China pela segurança nacional (Bradford, 2023), todas as jurisdições compartilham uma crescente necessidade de “soberania tecnológica” (Comissão Europeia, 2020: 3).

Assim, os estudiosos dos negócios internacionais (NIs/IBs) estão cada vez mais conscientes de que “o contexto nacional ainda importa na era digital” (Meyer, Li, Brouthers, & Jean, 2023: 578). Para orientar profissionais e educadores empresariais, este artigo oferece percepções sobre os principais componentes das leis digitais e o que elas significam para diferentes tipos de EMNs. Tomamos a UE como ponto de partida, dada a sua importância definição de regras sobre esses tópicos, com o Regulamento Geral de Proteção de Dados de 2018 (RGPD/GDPR) como o primeiro caso bem conhecido sobre o assunto.

O RGPD foi introduzido para fortalecer os direitos de proteção de dados pessoais europeus. Ampliou a definição de “dados pessoais”; concedeu novos direitos aos indivíduos; impôs novas obrigações para as empresas; e ganhou relevância global através de regras extraterritoriais associadas a multas (por exemplo, Multa de €1,2 bilhão da Meta). Ao regular empresas sediadas tanto na UE quanto fora dela, o RGPD desempenhou um papel fundamental na digitalização das EMNs. Mais recentemente, a estratégia digital da UE avançou para regular outros aspectos da digitalização (Comissão Europeia, 2020), principalmente através de cinco atos principais que complementam o RGPD (resumidos na Tabela 1, anexa em PDF). Com base numa análise jurídica e usando a empresa Alphabet como exemplo ilustrativo (devido ao seu poder de mercado e versatilidade), descobrimos as implicações distintas desses atos e identificamos três principais percepções relevantes para os NIs e as MNEs.

LEI DE SERVIÇOS DIGITAIS (LSD/DSA)

A LSD foi criada para tornar o ambiente online mais seguro, nomeadamente para combater melhor o conteúdo ilegal, conscientizar os usuários sobre práticas de publicidade, combater a desinformação e esclarecer regras de responsabilidade. Impõe obrigações de devida diligência para todos os “intermediários online”, incluindo fornecedores de serviços de infraestrutura e de hospedagem, plataformas online e mercados. Essas obrigações têm como alvo o conteúdo hospedado (por exemplo, postagens em mídias sociais) e variam desde a proibição de “padrões encobertos” (que por exemplo dificultam a alteração de configurações “por padrão” por parte dos usuários) a permitir que os usuários notifiquem e descartem conteúdo ilegal.

É importante ressaltar que a lei reconhece heterogeneidade das empresas, tendo em conta o tamanho, o impacto e modelo de negócio. Micro e pequenas empresas (ou seja, menos de 50 funcionários e faturamento anual ou balanço patrimonial não excedendo €10 milhões) estão isentas de inúmeras obrigações (por exemplo, fornecer relatórios anuais de transparência) e provedores de serviços de hospedagem (por exemplo, serviços em nuvem) enfrentam menos regras do que plataformas (por exemplo, redes sociais) por serem principalmente obrigados a ter mecanismos de “notificação e ação” em vigor. Entre as plataformas, os mercados online enfrentam desafios adicionais obrigações (por exemplo, também coletar informações sobre seus comerciantes); enquanto “plataformas e motores de busca online de grande dimensão” (PMBGs/VLOPs) -- operados como tal pela Comissão Europeia com base no número de usuários ativos (ou seja, mais de 45 milhões) -- estão sujeitos ao regime mais rigoroso.

Como PMBG, a Alphabet tem obrigações para com o YouTube, incluindo a necessidade de conduzir avaliações anuais de “riscos sistêmicos” para combater riscos pré-definidos (por exemplo, processos eleitorais ilegítimos) e aplicar medidas de mitigação adequadas (por exemplo, adaptação de algoritmos).

LEI DE MERCADOS DIGITAIS (LMD/DMA)

Complementando a LSD, a LMD aborda principalmente desequilíbrios de mercado para garantir que o mercado digital seja o mais contestável e aberto possível. Para entender sua razão de ser, uma mera referência ao caso do Google Shopping (Persh, 2021), que começou em 2010, mas ainda é debatido, é suficiente: o mecanismo de busca destacava seus próprios serviços no topo dos resultados, relegando concorrentes, mas a UE só poderia intervir depois de os danos terem ocorrido. A LMD procura ajudar a UE a prevenir comportamentos anticompetitivos. Portanto, ela impõe obrigações e restrições aos “gatekeepers” – plataformas dominantes capazes de distorcer os mercados digitais a seu favor. Seis empresas – todas estrangeiras, incluindo a Alphabet – atingiram o limiar cumulativo da lei quando esta foi adotada, sendo importantes na UE em volume de negócios anual (pelo menos €7,5 bilhões) e atuando como portas de entrada para os negócios (ou seja, 45 milhões de usuários ativos mensais na UE e dez mil usuários ativos empresariais anuais na UE nos três últimos exercícios financeiros). As empresas designadas como tal devem abster-se proativamente de se envolverem em práticas desleais. Isso inclui a proibição de combinar dados pessoais dos usuários em plataformas distintas, de dar preferência a seus próprios serviços ou de “prender” usuários.

O Google Android, por exemplo, não tem mais permissão para forçar seus usuários a escolher o Google Chrome como mecanismo de busca padrão ou Google Play como loja de aplicativos. Da mesma forma, a LMD introduz obrigações para permitir que os usuários acessem e compartilhem dados, intimamente interligados com a estratégia de dados explicada abaixo.

LEI DE DADOS (LD/DA)

A estratégia de dados da UE – uma parte da sua estratégia digital – visa otimizar o valor dos dados em todos os setores econômicos. Complementa iniciativas anteriores de liberalização de dados, como o direito de portabilidade de dados do RGPD (ou seja, para que os indivíduos acessem dados sobre eles) e leis setoriais específicas que exigem que empresas compartilhem dados com terceiros (por exemplo, “open banking”). Entre as novidades, a LD apresenta obrigações de compartilhamento de dados relacionados à Internet das Coisas (IdC/IoT) – ou seja, provenientes de dispositivos conectados. Estabelece regras de partilha de dados entre empresas, entre estas e consumidores, e entre empresas e governos, tendo em conta a heterogeneidade das empresas (por exemplo, os “gatekeepers” não devem receber dados; as micro e pequenas empresas não devem partilhá-los). Uma obrigação fundamental para os fabricantes de IdC é projetar e fabricar seus produtos conectados de tal forma que os usuários e terceiros possam “por padrão” (ou seja, sem intervenção do usuário) aceder aos dados gerados gratuitamente.

Portanto, a Alphabet precisa garantir que os dados de seu “smartwatch” Google possam ser facilmente acessados por serviços não-Google (p.ex., manutenção). A lei obriga ainda as empresas a compartilhar dados de forma “justa, razoável e não discriminatória”, com restrições aos custos de compensação (por exemplo, claramente com base em custos das empresas para coletar, produzir e disponibilizar os dados solicitados) e à utilização desses dados para o desenvolvimento de produtos competitivos. Por exemplo, os destinatários dos dados não podem usar os dados do “smartwatch” do Google para criar um “smartwatch” próprio.

LEI DE GOVERNANÇA DE DADOS (LGD/DGA)

Complementando a LD, a LGD visa tornar os dados mais acessíveis e promover a inovação baseada em dados. Diferente da LD, que diz respeito a situações de partilha obrigatória de dados, a LGD busca estabelecer confiança para práticas voluntárias de compartilhamento de dados. Inclui regras para encorajar o crescimento de dois tipos de serviços: organizações de “altruísmo de dados” e “intermediários de dados”. A primeira categoria permite que indivíduos e empresas compartilhem seus dados para fins altruístas, como o combate à poluição. Essas organizações podem ser registradas como confiáveis se não tiverem fins lucrativos e atenderem a certos requisitos do “livro de regras” da UE (por exemplo, os dados devem ser armazenados com segurança).

Em contraste, os serviços de intermediação de dados são de empresas com fins lucrativos que devem atuar como terceiros neutros em transações de compartilhamento de dados (por exemplo, mercados de dados como o Dawex francês). Devido aos poderes de mercado significativos de negócios baseados em plataformas, a LGD exige que essas empresas (potencialmente Alphabet, caso desenvolva tais serviços) notifiquem as autoridades competentes da UE. Elas também precisam cumprir obrigações como o uso justo de dados (por exemplo, os dados não podem ser usado para outros fins que não o descarte de dados), desagregação de serviços de dados (em uma entidade legal separada) e preços justos e não discriminatórios.

LEI DE INTELIGÊNCIA ARTIFICIAL (LIA/AIA)

A LIA regulamenta o uso de sistemas de IA, que se referem a qualquer sistema baseado em máquinas que permita às empresas gerar “resultados como previsões, conteúdo, recomendações, ou decisões que podem influenciar ambientes físicos ou virtuais”. Para tornar esses sistemas confiáveis, a lei impõe obrigações e restrições a todos os agentes da cadeia de valor da IA: provedores de IA (ou seja, desenvolvedores de sistemas), implantadores (ou seja, usuários de sistemas), importadores e distribuidores.

Crucialmente, como parte da abordagem baseada em risco da UE, todos os atores devem examinar a finalidade do sistema de IA e, por sua vez, avaliar seus riscos, que podem ser: inaceitáveis; altos; limitados; ou mínimos. A primeira categoria envolve uma lista exaustiva de práticas de IA (por exemplo, sistemas de pontuação social) que são proibidas. A segunda diz respeito aos sistemas de IA que envolvem grandes riscos sociais, como sistemas automatizados de contratação ou de pontuação de crédito, que a lei permite caso todas as suas obrigações de longo alcance sejam cumpridas. Isso inclui a necessidade dos fornecedores de IA realizarem “avaliações de conformidade” pré-comercialização (seguindo requisitos técnicos, legais e éticos) antes de colocarem os seus serviços no mercado da UE, e os implementadores de IA realizarem “avaliações de impacto sobre direitos fundamentais” (incluindo a identificação de riscos específicos e medidas de supervisão humana). A terceira categoria é vista como menos arriscada (por exemplo, chatbots, geradores de deepfake, modelos de IA de uso geral (IAUG/GPAI)) para os quais a lei exige principalmente transparência para com os usuários e fornecedores de sistemas a jusante, com obrigações adicionais para os modelos IAUG que apresentam “riscos sistêmicos (ou seja, ter capacidade de alto impacto, ter a capacidade computacional dos modelos de treinamento em consideração). Finalmente, a LIA sujeita sistemas de IA de risco mínimo, como filtros de spam ou videogames habilitados para IA, a códigos de conduta voluntários.

Portanto, caso o serviço Gemini da Alphabet (entendido como o “concorrente” do ChatGPT) seja classificado como um modelo de IAUG de risco sistêmico, suas obrigações incluem a necessidade de avaliar e mitigar tais riscos, realizar avaliações de modelos e implementar medidas adequadas de cibersegurança.

RUMO A PERCEPÇÕES ACIONÁVEIS

As cinco leis acima discutidas têm relevância direta para as empresas da UE e para as EMNs sediadas em outros países não pertencentes à UE, como o exemplo da Alphabet bem ilustra. Crucialmente, essas regulamentações abrangem uma série de questões relacionadas a dados que correspondem a processos em todo o mundo. Curiosamente, embora a UE não tenha grandes empresas de tecnologia “nacionais”, a sua definição de regras estende-se para além da região. Esta extraterritorialidade também se aplica a algumas regulamentações da UE em outros domínios como a sustentabilidade (ver exemplos na Tabela 2, anexa em PDF).

Enquanto o chamado “efeito Bruxelas” (Bradford, 2019), em que a UE influencia as mudanças regulatórias e corporativas fora de suas fronteiras através de seus primeiros movimentos regulatórios, pode ser visto como negativo (oneroso) ou positivo (governança baseada em valores), postulamos que as restrições à digitalização são simplesmente uma realidade a ser enfrentada – com mais por vir, também em outros países (cf. Tabela 2). Além disso, com a “geração Z” e “geração Alfa” como estudantes e (futuros) funcionários, a conscientização digital está se tornando generalizada. Para estarem preparados, os profissionais e educadores empresariais podem usar três percepções de nossa análise jurídica.

Em primeiro lugar, o efeito Bruxelas, que já era evidente com o RGPD (Bradford, 2019; Coche, Kolk, & Ocelík, 2024), provavelmente se estenderá às leis discutidos em nosso artigo, mais notavelmente a LIA (Siegmann & Anderljung, 2022). Isso é importante, uma vez que estas leis são “regulamentos” (não “diretivas”), tornam-se imediatamente leis nacionais dos Estados-Membros, tendo assim uma aplicação imediata em toda a UE.

Assim, para as empresas com atividades na UE, isto proporciona clareza e pode facilitar o seu crescimento, não apenas dentro, mas também fora da UE. Isto também significa que as EMNs sediadas no estrangeiro poderão ser beneficiadas se tiverem uma visão de futuro e implementarem imediatamente as regras emergentes da UE, estando assim preparadas caso outros países adotem em futuro (próximo) regulações similares (Tabela 2). Isso poderia criar uma vantagem competitiva em relação aos parceiros comerciais (globais) ou evitar uma desvantagem, especialmente quando os consumidores estão cada vez mais conscientes de seus direitos de privacidade de dados. Portanto, deixar o mercado da UE – como o “X” sugeriu em relação à LSD – pode não ser a resposta mais adequada tendo em vista as tendências regulatórias futuras mundialmente.

Em segundo lugar, uma vez que estas leis afetam todas as EMNs e não apenas empresas exclusivamente digitais (cf. Stallkamp, 2021), recomendamos a todos profissionais que façam da governança de dados uma prioridade, considerando as especificidades de suas empresas. Isso pode envolver o projeto de “front-end” (por exemplo, mais transparência para os usuários) e mudanças no sistema de “back-end” (por exemplo, tecnologias de compartilhamento de dados); bem como reconfigurações de modelos de negócios e/ou cadeias de valor (por exemplo, contratantes de IA responsáveis).

No entanto, conforme ilustrado pela mudança no modelo de negócios “pague ou aceite” da Meta (ou seja, os usuários pagam ou consentem com a publicidade comportamental) – controverso sob o RGPD (EDPB, 2024), a LMD e a LSD – as empresas devem abordar essas leis de forma holística (ou seja, considerando todas as dimensões relevantes). Em vista da LIA, isso também significa para as EMNs a adoção de uma abordagem baseada no risco em relação a todas suas atividades digitais e, portanto, avaliá-las à luz de direitos humanos e princípios éticos convergentes internacionalmente (por exemplo, “justiça”; “confiabilidade”; OCDE, 2024). Além de ajudar as EMNs a economizar custos de (futuros) litígios e reputação, isso também pode ajudar a atender os interesses dos acionistas “conscientes da privacidade” (SEC, 2023: proposta 15).

Terceiro, para favorecer esse comportamento empresarial orientado pela ética, recomendamos que os educadores empresariais façam com que os seus alunos (ou seja, futuros profissionais, também usuários de serviços digitais) sejam totalmente conscientes das implicações dos direitos humanos em relação à gestão de dados e às tecnologias baseadas em IA. No mínimo, isso requer deixar de lado a ideia de que as empresas tem a “posse” dos dados dos clientes, que é legalmente inválido, mas ainda sugerido na literatura de NIs (cf., Madan, Savani e Katsikeas, 2022). Na verdade, os dados de natureza não competitiva, aliados ao seu potencial de valor infinito (por exemplo, big data) e aos envolvimentos com direitos humanos (por exemplo, privacidade de dados), torna-os um objeto de propriedade ambígua (cf. Geiregat, 2022). Isso explica o surgimento de novos modelos de governança, bem como as crescentes obrigações de compartilhamento de dados das EMNs (Coche, Kolk, & Dekker, 2024: 19).

CONCLUSÕES

Este artigo tomou a UE como exemplo para mostrar como os NIs são afetados pela regulamentação. Discutimos cinco leis que moldam a digitalização das EMNs não só dentro, mas também fora da UE, e usamos o caso da Alphabet para ilustrar como essas leis complementam-se e influenciam as atividades de uma empresa de tecnologia estrangeira de grande porte (cf. Tabela 1 anexa). Nossa a exposição do panorama regulatório digital da UE, com atenção às especificidades de cada lei, afasta-se dos traços gerais frequentemente adotados em estudos dos NIs.

O efeito Bruxelas influente e potencial dessas leis contrasta com as suposições de que é bastante excepcional para as nações “coordenarem seus quadros jurídicos a nível internacional, por exemplo, através da OMC/WTO ou da UE” (Meyer et al., 2023: 582). Da mesma forma, quando se tem apenas uma visão panorâmica destas leis, os gestores de MNEs ou educadores dos NIs podem associá-las a (novo) “tecnonacionalismo” (Luo & Van Assche, 2023) ou a medidas geopolíticas. No entanto, as leis da UE incorporam principalmente uma ambição de garantir que as tecnologias – independentemente dos países de origem das empresas – estão totalmente alinhadas com os valores europeus (Irion, Burri, Kolk e Milan, 2021).

Enquanto o pacote regulatório resultante pode afetar particularmente empresas sediadas no exterior, isso se deve ao seu poder de mercado e peculiaridades, não à sua nacionalidade. Embora percebamos que as opiniões sobre os prós e os contras da abordagem da UE possam divergir amplamente, o nosso artigo pretendeu fornecer uma abordagem um pouco mais aprofundada, incluindo também exemplos de outros regulamentos transfronteiras (futuros) que incluem extraterritorialidade, propostos por outros países ao redor do mundo (Tabela 2). Praticantes e educadores empresariais podem beneficiar-se com nossos esclarecimentos, também em suas interações com gerações digitalmente conscientes interessadas nos aspectos sociais e éticos da digitalização.

APÊNDICE: TRADUÇÃO DAS SIGLAS

* Ao longo da tradução procuramos reproduzir algumas siglas relevantes em português e inglês na primeira citação das mesmas. A tabela abaixo serve de referência para todas as usadas no texto. A tradução procura usar siglas em português, mas mesmo no Brasil várias delas são referidas pelas siglas em inglês.

Português

Inglês

Significado

EMN(s)

MNE(s)

Empresa(s) multinacional(is)

EU

UE

União Europeia

IA

AI

Inteligência artificial

IcuS

IaaS

Infraestrutura como um serviço

IAUG

GPAI

Inteligência artificial de uso geral

IdC

IoT

Internet das coisas

LD

DA

Lei de Dados

LGD

DGA

Lei de Governança de Dados

LIA

AIA

Lei de Inteligência Artificial

LMD

DMA

Lei de Mercados Digitais

LSD

DSA

Lei de Serviços Digitais

MLG

LLM

Modelo de Linguagem Grande

NI(s)

IB(s)

Negócio(s) internacional(is)

OMC

WTO

Organização Internacional de Comércio

PMBG(s)

VLOP(s)

Plataforma(s) e motor(es) de busca online de grande dimensão

PME(s)

SME(s)

Pequenas e médias empresas

RGPD

GDPR

Regulamento Geral de Proteção de Dados

 

REFERÊNCIAS

Bradford, A. 2019. The Brussels effect: How the European Union rules the world. Oxford University Press.

Bradford, A. 2023. Digital empires: The global battle to regulate technology. Oxford University Press. https://doi.org/10.1093/oso/ 9780197649268.001.0001.

Coche, E., Kolk, A., & Dekker, M. 2024. Navigating the EU data governance labyrinth: A business perspective on data sharing in the financial sector. Internet Policy Review, 13(1): 1–32.

Coche, E., Kolk, A., & Ocelík, V. 2024. Unravelling cross-country regulatory intricacies of data governance: The relevance of legal insights for digitalization and international business. Journal of International Business Policy, 7: 112–127.

EDPB. 2024. Opinion 08/2024 on valid consent in the context of consent or pay models implemented by large online platforms. Bruxelas.

European Commission. 2020. Shaping Europe’s digital future. Luxemburgo: European Union Publication Office.

Geiregat, S. 2022. Who owns ‘your’ (business’s) digital data? New EU law in the making. https://blogs.law.ox.ac.uk/oblb/blog-post/2022/12/who-owns-your-busines….

Irion, K., Burri, M., Kolk, A., & Milan, S. 2021. Governing “European values” inside data flows: Interdisciplinary perspectives. Internet Policy Review, 10(3): 1–14.

Luo, Y., & Van Assche, A. 2023. The rise of techno-geopolitical uncertainty: Implications of the United States CHIPS and Science Act. Journal of International Business Studies, 54: 1432–1440.

Madan, S., Savani, K., & Katsikeas, C. S. 2022. Privacy please: Power distance and people’s responses to data breaches across countries. Journal of International Business Studies, 54: 731–754.

Meyer, K. E., Li, J., Brouthers, K. D., & Jean, R.-J. “Bryan.” 2023. International business in the digital age: Global strategies in a world of national institutions. Journal of International Business Studies, 54: 577–598.

OECD. 2024. Recommendation of the Council on artificial intelligence. https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449.

Persh, J. 2021. Google Shopping: The general court takes its position. https://competitionlawblog.kluwercompetitionlaw.com/2021/11/15/google-s….

SEC. 2023. Notice of 2023 annual meeting of stockholders and proxy statement. Califórnia: United States Securities and Exchange Commission.

Siegmann, C., & Anderljung, M. 2022. The Brussels effect and artificial intelligence: How EU regulation will impact the global AI market. Centre for the Governance of AI. https://cdn.governance.ai/Brussels_Effect_GovAI.pdf.

Stallkamp, M. 2021. After Tik Tok: International Business and the Splinternet. AIB Insights, 21(2). https://doi.org/10.46697/001c.21943.

(*) Eugénie Coche é doutoranda na Escola de Negócios, Universidade de Amsterdã, Holanda. Com formação em direito da informação, seus interesses de pesquisa estão na intersecção entre direito e negócios internacionais, com foco particular nas implicações empresariais e sociais das políticas de digitalização. No centro do seu projeto atual, financiado pelo ABN AMRO, está explorando a tensão entre privacidade de dados, segurança e inovação, além de descobrir como as multinacionais enfrentam os desafios transfronteiriços associados.

Ans Kolk é professora titular na Universidade de Amsterdã, Amsterdam Business School, Holanda. Suas áreas de atuação e expertise estão em responsabilidade social corporativa, desenvolvimento e sustentabilidade, especialmente em relação a empresas internacionais e suas interações com reguladores e outras partes interessadas. Uma corrente de pesquisa, na qual ela publicou extensivamente em meios de comunicação empresariais e interdisciplinares, envolve as implicações sociais, éticas e ambientais de novas tecnologias baseadas em dados e estratégias de digitalização. Para mais informações, consulte http://www.anskolk.eu/

As autoras, que autorizaram a publicação desta versão em português, agradecem os três revisores anônimos por seus comentários perspicazes e aprofundados sobre nossos originais e artigo revisado, e ao editor por seu apoio. Publicado originalmente em agosto de 2024. Para contato: akolk@uva.nl.