Plantando sementes: o papel do Seminário do CGI.br na construção de uma agenda de privacidade e proteção de dados pessoais no Brasil

Plantando sementes

Bruno Bioni, doutorando em Direito pela Universidade de São Paulo. Diretor-fundador da Associação Data Privacy Brasil de Pesquisa. Jaqueline Trevisan Pigatto, doutoranda em Ciências Sociais pela Universidade Estadual Paulista. Coordenadora de projeto na Associação Data Privacy Brasil de Pesquisa. Thaís Helena Aguiar, bacharela em Direito pela Universidade Federal de Pernambuco. Pesquisadora na Associação Data Privacy Brasil de Pesquisa.

Data da publicação: outubro 2021

1. INTRODUÇÃO

O Seminário de Proteção à Privacidade e aos Dados Pessoais, organizado anualmente pelo Comitê Gestor da Internet no Brasil (CGI.br), consolidou-se como o principal evento do tema no país. Há mais de uma década, a partir de um formato multissetorial com representantes dos setores governamental, privado, terceiro setor e comunidade científica e tecnológica (setor acadêmico), o Seminário se apresentou como o espaço e o momento do ano no qual a comunidade de proteção de dados se reúne para discutir os desenvolvimentos recentes e projetar o assunto para o ano seguinte. Além do foco nacional, o evento sempre trouxe convidados internacionais, o que permitiu um olhar não apenas doméstico, mas também sintonizado com a experiência estrangeira.

Parte-se do pressuposto de que o Seminário é um policy space, isto é, um espaço de aprendizado e articulação do tema que reúne os diferentes atores interessados na pauta da privacidade. A partir disso, investiga-se quais as contribuições do Seminário na definição da agenda do debate público, na formulação de políticas públicas e, em última análise, para a construção de uma cultura de proteção de dados pessoais no Brasil.

A principal hipótese deste estudo, a qual não foi confirmada, considerava o Seminário como um espaço majoritariamente propositivo, presumindo que seu principal valor contributivo estaria na apresentação de novas ideias à conjuntura brasileira. Por outro lado, a hipótese secundária de que o diálogo entre comentários propositivos e reativos seria uma forte contribuição do evento para a comunidade de proteção de dados do país, especialmente em termos de aprendizado, se confirmou, revelando fortes relações de interdiscursividade. Ou seja, as reações e as proposições se complementam e os debates avançam a partir da retomada de reflexões e conceitos já trabalhados (reações), que servem como insumo para o surgimento de novas colocações (proposições).

Assim, as falas não estão isoladas em um painel específico ou um momento de conjuntura, mas repercutem ao longo dos anos e criam essa relação interdiscursiva que enriquece o debate e propicia avanços no desenvolvimento da agenda e das políticas ali colocadas. Destacam-se três temas mais frequentes no Seminário e de evolução significativa na conjuntura brasileira:

  1. (a) a Autoridade Nacional de Proteção de Dados, mencionada no evento de modo constante e desde a primeira edição em 2010, antecipando o cenário brasileiro a partir de 2018 sobre a criação de uma Autoridade em modelo jurídico que não lhe confere autonomia, além da proposta de criação do Conselho Nacional de Proteção de Dados;

  2. (b) o tema de corregulação, inicialmente voltado para a temática do comércio eletrônico, que vai avançando para um aumento da importância do caráter multissetorial no debate e na formulação de decisões e práticas para todo o ecossistema da Internet;

  3. (c) e criptografia, a qual, embora mencionada já no primeiro ano do evento, ganha força a partir de casos como as revelações de Edward Snowden acerca da espionagem da Agência de Segurança Nacional estadunidense (NSA) em 2013, e do bloqueio do Whatsapp no Brasil, em 2016, tendo painéis específicos para esse tema em 2016, 2017 e 2019.

Desse modo, o presente artigo traz a seguir uma explanação acerca da metodologia criada para esta pesquisa empírica, seguida dos casos de formulação da Lei Geral de Proteção de Dados (LGPD) e também do Marco Civil da Internet (MCI) como reflexos do policy space do Seminário, para então realizar um mergulho temático. Como exposto acima, três temas se destacaram na análise da primeira década do Seminário (2010-2019), por terem sido mais frequentes ao longo dos anos e terem desenvolvimentos significativos na construção de uma cultura de privacidade e proteção de dados pessoais no país.

2. METODOLOGIA: O DESAFIO DE CONSTRUIR UMA AMOSTRA DO DEBATE PÚBLICO SOBRE PRIVACIDADE E PROTEÇÃO DE DADOS NO BRASIL

A análise se baseou em uma série de procedimentos de análise de conteúdo, escolha feita para viabilizar a interpretação e categorização das falas mapeadas em duas classificações principais: falas propositivas ou reativas. Seguindo a teoria de Bardin (1979), mesmo com critérios bem definidos para a categorização das falas, embora faça-se uma análise completa e rígida de investigação científica, ainda encontram-se resultados significativos no campo da subjetividade. Ou seja, somente o rigor dos resultados quantitativos não é levado em consideração (número de falas reativas e propositivas), mas é também aliado à subjetividade das análises qualitativas (as falas em si), onde há a riqueza de resultados dentro do contexto analisado.

A metodologia consiste na comparação entre as falas de cada ano do Seminário, com o contexto brasileiro do respectivo ano, classificando-as em reativas ou propositivas. O contexto foi construído como uma “amostra” da esfera pública brasileira, extraída de três fontes -- onde o alcance público era maior e onde a comunidade multissetorial se reuniu para debates. Essas fontes são artigos jornalísticos de dois dos principais jornais brasileiros (Folha de S. Paulo e O Estado de São Paulo); projetos de lei relacionados à privacidade e proteção de dados pessoais; e as duas consultas públicas realizadas para a lei de proteção de dados, a primeira em 2010 e a segunda em 2015.

A partir de tal critério, a fala “propositiva” é aquela que traz algo novo, não identificado no contexto das três fontes, enquanto a fala “reativa” é aquela que repete ou recupera uma ideia já inserida dentro do respectivo contexto. Portanto, se uma fala já foi identificada nos artigos jornalísticos, nas consultas públicas ou em projetos de lei, é considerada reativa, mas se não foi identificada dentro dessas três fontes, é propositiva.

O percurso da pesquisa consistiu em algumas fases, sendo que a primeira etapa realizou um mapeamento das falas e identificação dos respectivos painelistas, especialmente na identificação dos setores, em um mapa mental2. Em um segundo momento, cada painel foi transcrito em uma ficha de análise, onde categorizou-se os temas discutidos, a composição de setores presentes, se houve um caso motivador do debate e até mesmo uma possível agenda estratégica colocada. Por fim, todas as falas foram agrupadas tematicamente (e não mais por painel), em uma planilha onde se categorizou cada uma como sendo ou reativa ou propositiva, a partir de critério exposto abaixo.

No total, foram analisadas 132 horas e meia de vídeos, ou 7950 minutos, a soma do tempo de duração das dez edições do Seminário.3. Somaram-se 91 painéis, com cada edição anual variando entre oito e dez painéis. Durante esses dez anos, passaram pelo Seminário 195 painelistas, sendo o ano de 2018 a edição com maior número de palestrantes: 51. Quando o Seminário realizou sua primeira edição, em 2010, havia 21 painelistas. O gráfico abaixo representa a composição agregada da participação dos stakeholders na primeira década do evento.

Esquema de classificação das falas do Seminário. Fonte: elaboração própria

Composição multissetorial do Seminário (2010-2019). Fonte: elaboração própria

Abarcar um escopo de tal magnitude e manter uma consistência com os dados e as análises se mostrou um desafio metodológico. Dessa maneira, os processos aqui construídos podem ser reutilizados e aprimorados em outros contextos e pesquisas, mas especialmente no campo da governança da Internet e de regulação de novas tecnologias, onde a agenda temática se modifica rapidamente. A análise conjuntural permite uma clareza a respeito dos temas e tendências, assim como da agenda dos atores envolvidos.

3. APRENDIZADO, ARTICULAÇÃO E INTERDISCURSIVIDADE: O SEMINÁRIO COMO UM POLICY SPACE

O CGI.br é mundialmente reconhecido pela sua tradicional governança multissetorial, que estabelece diretrizes e boas práticas para o uso e desenvolvimento da Internet no Brasil. Em 2009, publicou seu Decálogo com 10 princípios para a governança da Internet (CGI.br/RES/2009/003/P), que inspirou inclusive a criação do Seminário de Proteção à Privacidade e aos Dados Pessoais, iniciado em 2010. A privacidade figura já no primeiro desses princípios, como um dos direitos a serem respeitados na Internet, assim como a liberdade de expressão e os direitos humanos. O segundo princípio preza por uma governança democrática e colaborativa, o que também se reflete no Seminário.

Um forte exemplo de atuação do CGI.br foi o caso de combate ao spam4 através do processo de gerência da porta 25, que se iniciou em 2004 culminando em uma das primeiras, senão a primeira, implementação de política multissetorial no Brasil (CGI.br, 2015). Ainda que não tenha um painel específico sobre essa conquista, o fato é bastante citado em painéis do Seminário como o “Roundtable 3: A proteção de dados na Sociedade da Informação” em 2010, o “Roundtable 1 -- Economia Digital e Privacidade” em 2012, e o “Painel 2 -- Alocando responsabilidades, direitos e deveres dos agentes do ecossistema de dados: um olhar transversal sobre a LGPD” em 2019. Essa conquista ocorreu com as principais características desse modelo, ou seja, descentralização, corpo técnico e político, resultando em um equilíbrio e alcance de um consenso sobre objetivos comuns entre diferentes atores.

O consenso está presente desde os primórdios da Internet, com a formulação dos RFCs (Request for Comments)5 e de políticas geralmente implementadas voluntariamente. É também a base para desenhos de corregulação, onde segundo o representante do Ministério Público Federal, Luiz Costa, no I Seminário em 2010, corregulação “...é uma maneira de tentar construir consenso. Evidentemente o consenso tem limites, mas é um mecanismo a mais para que possamos reduzir ao máximo possível os espaços de tensão” (CGI.br; NIC.br, 2010b). Esse tema é melhor explorado no item 4.2.

Como já mencionado, o Seminário foi visto com base no pressuposto de ser um policy space, isto é, um ambiente público para aprendizado e debates que visam o desenvolvimento de conceitos e diretrizes, especialmente em novos tópicos que acompanham o rápido desenvolvimento tecnológico. Na governança da Internet, Levinson (2020) chama a atenção para esse conceito originalmente na DARPA (Defense Advanced Research Projects Agency), como um espaço para estudos da Internet. Após sua expansão comercial na década de 1990, houve uma pluralização de espaços e organizações caracterizadas como policy spaces, em níveis nacionais, regionais e internacionais. Além de ver o Seminário como um espaço de aprendizado, é importante olhar para um policy space considerando os contextos e resultados gerados, o que fundamenta a análise comparativa desta pesquisa considerando contextos anuais brasileiros.

Nesse sentido, destaca-se o aspecto de “agenda-setting” do evento, que segundo Kingdon (2003) é uma série de temas considerados importantes por formadores de políticas ou pessoas próximas com poder de influência. Cobb e Elder (1971) identificaram dois momentos desse processo: a agenda em si, que é um conjunto geral de controvérsias políticas que serão vistas como preocupações legítimas que merecem a atenção da política; e um segundo momento de agenda institucional, onde um conjunto de itens concretos passa a ser considerado por um determinado órgão institucional. O Seminário apresenta ambas as fases, em especial se tratando da formulação e aprovação da LGPD.

Ainda nessa perspectiva, pode-se identificar duas fases distintas do evento, semelhantes à proposta de “agenda-setting” de Cobb e Elder (1971). A primeira fase corresponde aos anos de 2010 a 2014, quando é trazido ao evento conceitualizações, demandas de caráter legislativo e reflexões acerca da formação de uma cultura de privacidade no Brasil. O comércio eletrônico foi um tema forte, inclusive de onde partem proposições acerca de processos de corregulação, uma pauta que se estende por outros anos do Seminário e que aparece no texto final da LGPD (artigo 50). Nessa fase também foram mais debatidos conceitos como “dado pessoal”, “privacidade”, “dado sensível” e “interoperabilidade”. Esse período marca a realização da primeira consulta pública do anteprojeto de lei de proteção de dados e antecede em um ano o seu segundo debate público.

Na segunda fase, correspondente à segunda metade da década, os debates se tornaram um pouco mais reativos e se aprofundaram em temas mais específicos. Esse período foi marcado pela segunda consulta pública e o avanço do projeto da lei de proteção de dados no legislativo, o Decreto regulamentador do Marco Civil da Internet, bem como casos de repercussão nacional, como o bloqueio do Whatsapp em 2016. Ou seja, foi um momento onde a esfera pública, seja com casos midiáticos ou através dos seus representantes no parlamento brasileiro, intensificou a discussão do tema da privacidade.

De forma similar ao Marco Civil, a LGPD passou por dois processos de consulta pública. Entre a primeira, realizada no final de 2010 e início de 2011, e a segunda, realizada em 2015, o Seminário se colocou como uma ponte nesse intervalo de cinco anos e, sobretudo, como um espaço de maturação de temas para que as contribuições se tornassem cada vez mais sofisticadas. Nesse sentido, nota-se que vários atores tiveram uma dupla incidência no Seminário e nos processos de consulta pública.

Outro ponto de destaque é o reconhecimento, por parte do relator do projeto da LGPD, o deputado Orlando Silva, de que as audiências públicas foram realizadas em caráter multissetorial, inspirado na experiência do CGI.br (CGI.br; NIC.br, 2018a). E as rodadas finais de discussão do texto acabaram por reunir diferentes atores onde a dinâmica estabelecida era identificar os consensos pragmáticos -- ou “rough consensus” (GATTO, 2016). Segundo o próprio relator, quando havia divergências, o engajamento aumentava, a fim de evitar que a decisão fosse da competência exclusiva do parlamentar.

Em resumo, a multissetorialidade, característica marcante da entidade organizadora do Seminário e da dinâmica do evento, está refletida na forma como foi forjada a discussão regulatória brasileira, bem como no próprio conteúdo das normas da proteção de dados com destaque para o Marco Civil da Internet e seu decreto regulamentador, e especialmente para a Lei Geral de Proteção de Dados.

4. O SEMINÁRIO ATRAVÉS DOS ANOS

Na mesa de abertura do primeiro Seminário, em 2010, foram postos os objetivos do evento como identificar os desafios impostos pelas tecnologias e os possíveis caminhos que o Brasil poderia seguir na proteção dos valores da privacidade e dos dados pessoais (CGI.br; NIC.br, 2010a). Tais metas necessitavam de diferentes perspectivas, a fim de criar uma abordagem holística às questões relativas à Internet e que são interdisciplinares. Isso foi refletido no crescimento do nível multissetorial do evento ao longo dos anos. Na primeira edição, por exemplo, havia apenas dois representantes do setor privado, enquanto em 2016 havia oito e, em 2018, 10. Apesar de os setores mais participativos permanecerem os mesmos -- comunidade científica e tecnológica (setor acadêmico) e terceiro setor -- a representação governamental também cresceu, começando com quatro representantes em 2010 para ter sete em 2019. Em 2018, ano da aprovação da LGPD, 11 pessoas falaram pelo setor governamental, enquanto 21 falaram pelo terceiro setor.

Tanto as falas propositivas como reativas, promovidas pelo Seminário, contribuíram para a formação de uma massa crítica que foi fundamental nos processos de formulação e aprovação da LGPD, que entrou em vigor em setembro de 2020. Além disso, outras agendas antecipadas pelo evento estão em atual crescimento no Brasil, como o uso de reconhecimento facial e de dados pessoais na segurança pública. Estas acabam gerando insumo para a necessidade de continuidade do Seminário. Em sua primeira década, três temas se destacaram na agenda.

4.1 A Autoridade Nacional de Proteção de Dados (ANPD) e o Conselho Nacional de Proteção de Dados (CNPD)

>Durante a década, o Seminário foi um espaço para questões de vanguarda e falas recuperadas do contexto brasileiro que, certamente, contribuíram para o que hoje é esperado do arranjo do sistema regulatório de proteção de dados no Brasil. O primeiro tópico de destaque se refere à Autoridade Nacional de Proteção de Dados (ANPD) e refletiu a necessidade de discutir não apenas a criação de um órgão regulador, mas também seu formato, papel e competências. Na primeira edição (2010), quase que de modo oracular, um palestrante latinoamericano alertou sobre o risco de constituir a ANPD em um formato que não seria o ideal em termos de autonomia e independência, baseado na experiência regional. Esta foi uma proposição que reverberou durante a década.

Em 2011, já se apresentava o diagnóstico de que a necessidade de um órgão regulador fazia-se ainda mais forte no campo da proteção de dados, em vista da suas normas serem muito abertas e a sua concretização demandar uma regulamentação fluída que refletiria o estado da arte para tanto -- e.g. o direito de portabilidade dos dados e consentimento (CGI.br; NIC.br, 2011). Em 2012 o debate avançou para o papel da Autoridade frente a mecanismos de autorregulação privada, uma preocupação reativa por parte do setor privado, de que a figura da Autoridade poderia coibir tais práticas (CGI.br; NIC.br, 2012b). Isso já estava colocado na primeira consulta pública do anteprojeto de lei (2010-2011).

Em 2013, iniciou-se uma discussão sobre o perfil do corpo diretor da Autoridade de Proteção de Dados e a sugestão de um modelo multissetorial a exemplo do CGI.br (CGI.br; NIC.br, 2013) -- uma outra fala reativa, devido a essa sugestão já estar presente na primeira consulta pública. O papel educativo da Autoridade apareceu em 2014 como uma fala inédita na conjuntura daquele ano, portanto propositiva, falando em educar não apenas os usuários, mas também os desenvolvedores de tecnologias (CGI.br; NIC.br, 2014b).

A segunda consulta pública para a lei de proteção de dados, em 2015, trouxe a ideia de um corpo multissetorial junto a Autoridade, algo que foi recuperado no Seminário e complementado com a proposta do Conselho (CGI.br; NIC.br, 2015). Este foi o entendimento de que o locus apropriado não seria o próprio órgão da ANPD, mas sim um conselho de papel consultivo. Em 2018, na expectativa de aprovação da lei, houve diversas reações em sua maioria presentes na segunda consulta pública, como preocupações do setor privado com “superpoderes” da ANPD, a previsão de um Conselho multissetorial e questionamentos sobre como a Autoridade estabeleceria padronizações e aplicaria sanções (CGI.br; NIC.br, 2018b). O texto final da LGPD criou então o Conselho Nacional de Proteção de Dados (CNPD).

Em um formato multissetorial, com um assento reservado ao CGI.br, o CNPD é o órgão consultivo da ANPD com o poder de propor diretrizes e subsídios, além de conduzir estudos e audiências públicas; mas também com o poder de preparar relatórios anuais sobre a implementação de ações de políticas nacionais para a proteção de dados pessoais, pela ANPD. Em outras palavras, o CNPD está investido com poderes sobre o comportamento dos atores regulados e do próprio regulador. Tal ideia de co-regulação é outro achado do Seminário, como tema em ascensão na agenda brasileira.

Uma amostra da linha do tempo construída para a Autoridade Nacional de Proteção de Dados. Fonte: elaboração própria

4.2 Corregulação e multissetorialismo

É no Seminário onde um arranjo de governança multissetorial no campo da proteção de dados é discutido e amadurecido. Mais do que um meio termo entre autorregulação e regulação estatal "pura" (heterorregulação), a corregulação se caracteriza pela percepção de que a modificação de comportamentos sociais é fruto de um processo preferencialmente colaborativo e cooperativo entre atores públicos e privados (BIONI, 2021). Há, inclusive, a delegação de tarefas tradicionalmente monopolizadas por órgãos estatais para atores privados (BLACK, 2010). Com isso, a própria dicotomia de ator regulado e regulador torna-se nublada, isto porque, não é apenas o Estado que estabelece comandos para o controle das mais distintas atividades econômicas. Desde o início, o Seminário traz essa reflexão e isso está bastante amarrado com o que se entende por multissetorialismo -- como visto no painel “Perspectivas global e nacional sobre a proteção de dados pessoais”, de 2013.

Um representante governamental apontou, já em 2010, a corregulação como um modelo para construir consensos e reduzir espaços de tensão, isto é, como um processo de soluções medidas por partes com interesses antagônicos a princípio (CGI.br; NIC.br, 2010b). Nesse sentido, a experiência do combate ao spam no país serve várias vezes como exemplo de eficácia do modelo multissetorial, assim como enfatiza a importância do papel do CGI.br (CGI.br, 2015). Embora o termo “corregulação” não apareça nominalmente em todos os anos do Seminário, ele voltou a ser ponto de argumentação ao final da década, agora no contexto da LGPD e na aplicação da lei, olhando tanto para as expectativas dos setores no Brasil de como a legislação seria aplicada, quanto para as experiências europeias de diálogo entre regulador e regulado.

A experiência estadunidense também apresentou contribuições, em 2012, com palestra governamental do país no painel “Palestra I -- Direito é privacidade do consumidor”, que apresentou um projeto de legislação de proteção de dados voltada ao consumidor. A palestra propôs uma abordagem multissetorial para desenvolver códigos de conduta de privacidade aplicáveis, a aplicação pela Comissão Federal do Comércio (FTC), a promoção da interoperabilidade internacional, a adaptabilidade que permitiria à indústria reagir às mudanças tecnológicas e o caráter do projeto favorável ao mercado, evitando barreiras comerciais. A representante estadunidense se mostrou favorável ao enforcement da lei ser exercido pelo setor público, mas que o setor privado poderia intermediar alguns casos (CGI.br; NIC.br, 2012a). Esse aspecto da abordagem estadunidense também está presente no texto final da LGPD, mostrando que a lei brasileira abarca tanto aspectos americanos quanto europeus.

Em falas propositivas, o Seminário de 2014 trouxe a ideia de que é preciso um trabalho conjunto de regulação estatal e autorregulação, com princípios gerais que estabeleçam diretrizes para comportamentos, mas que não fique uma dependência exclusiva do legislador pela própria velocidade de desenvolvimento tecnológico (CGI.br; NIC.br, 2014a). Em 2017, outra proposição falou em investir em mecanismos de corregulação de baixo para cima, e estimular relatórios de impacto à privacidade, ou seja, investir em uma racionalidade premial, em oposição à racionalidade punitiva -- uma ideia que remete a Norberto Bobbio (2007) e a concepção funcional do direito em oposição a uma percepção estrutural. A identificação de atividades como avaliações de impacto e implementação de privacy by design seriam tributários da corregulação (CGI.br; NIC.br, 2017). Em sua décima edição, o Seminário trouxe a proposta de trabalhar regulações em um ambiente teste (sandbox regulatório), exercendo cooperação para a criação de políticas públicas (CGI.br; NIC.br, 2019).

Em termos esquemáticos, desde muito cedo, o Seminário capturou o quão complexo seria a regulação no campo da proteção de dados pessoais e o quão falho seria apostar em estratégias que rivalizassem o papel dos atores públicos e privados. Esse sentido de cooperação está intimamente entrelaçado com a noção de multissetorialismo, pela qual o embate de interesses antagônicos não são paralisantes e sim catapultas para o encontro de soluções mediadas em favor do interesse público. É útil, também, historicizar a corregulação através do Seminário para revelar as origens dessa ideia. Foi em um painel em 2012 sobre os projetos de leis estadunidenses que o tema ganha destaque com a importância de códigos de boas condutas, instrumentos contratuais, selos e certificação para junção do Estado e do privado na regulação. O texto final da LGPD não só incentiva esse movimento de auto-organização dos agentes de tratamento de dados através de formulação de códigos de boas condutas, como também prevê tais instrumentos para fins de transferência internacional.

Uma amostra da linha do tempo construída para corregulação. Fonte: elaboração própria

Com isso, o Seminário serve como uma lente bastante potente para depurar o tema da corregulação em duas frentes. A primeira é a riqueza conceitual por trás da amarração dessa estratégia de regulação com multissetorialismo. E, ao assim fazê-lo, a agenda da corregulação ganhou um vetor de alta legitimidade e já bastante adensado no cenário brasileiro. A segunda é evidenciar e contra argumentar a equivocada ideia de que a LGPD espelharia única e exclusivamente a racionalidade regulatória europeia, quando, na verdade, o protagonismo de códigos de boas condutas, selos e certificações tem suas origens no modelo estadunidense.

O evento conectou esta estratégia regulatória com o multissetorialismo, investindo na ideia de que a governança derivaria da junção entre governo e sociedade civil para a extração de soluções em favor do interesse público. Durante a década, fortemente influenciado pela experiência bem sucedida do combate ao spam, o Seminário promoveu a ideia de que stakeholders públicos e privados devem cooperar para regular e fazer cumprir comportamentos.

4.3 Criptografia

Presente em quase todas as edições do Seminário, com exceção do ano de 2012, a criptografia foi uma "figurinha carimbada" ao longo dos anos e que acompanhou a evolução do evento. De início, a pauta aparecia mesclada a outros debates, mas foi conquistando espaço e ganhou painéis específicos nas edições seguintes, assim marcando presença em 16 painéis até o ano de 2019. Por exemplo, das menções no “Roundtable 4: A proteção de dados na Sociedade da Informação” em 2010, a criptografia passou a ser evidenciada já nos títulos das sessões “Privacidade, segurança, criptografia e identidade digital: questões e tendências contemporâneas”, “Criptografia: Privacidade e segurança ou privacidade versus segurança?” e “Criptografia: decifrando a relação entre matemática, direito, privacidade e segurança da informação”, nos anos de 2015, 2016 e 2017, respectivamente. Como já evidenciado pelos títulos, mas sobretudo depurado pelos debates, o tema foi superando uma seara inicialmente mais técnica para, cada vez mais, dialogar com questões jurídicas e sociais no Seminário.

Além disso, assim como ocorreu com o tema da ANPD, que era uma discussão que já vinha ocorrendo, mas percebeu um salto após a aprovação da LGPD em 2018, a criptografia foi uma pauta contínua e impulsionada pela conjuntura política de 2013, ano em que o ex-agente da NSA, Edward Snowden, revelou a espionagem estadunidense sobre as comunicações no Brasil (PURCELL et al., 2013). A partir do ocorrido, que motivou o país a adotar medidas internas e externas a respeito -- como a formação da CPI da Espionagem e a propositura da Resolução 68/167 na ONU, também as sessões do Seminário refletiram as preocupações explicitadas pelo governo brasileiro, mas não apenas. Se, à época, o ponto de segurança nacional foi enfatizado na agenda política do país, o Seminário contribuiu para aprofundar também outras preocupações refletidas pelo caso Snowden, como a questão da privacidade pela perspectiva dos cidadãos.

Em termos de evolução da pauta e interdiscursividade, o Seminário apresentou uma inclinação reativa na pauta da criptografia, tendência mais evidente na segunda metade do período analisado. De modo geral, o Seminário deu preferência a aprofundar questões já conhecidas pela conjuntura brasileira de privacidade e proteção de dados, algo que também foi marcante mesmo nas duas únicas edições consideradas mais propositivas para a criptografia -- quais sejam, 2010 e 2013. Destaca-se que a primeira edição do evento contou com 10 proposições e nove reações sobre o tema, enquanto 2013, o ano que trouxe mais comentários a respeito, apresentou 19 proposições e 16 reações.

No entanto, em contraste com a popularidade do tema no ano das revelações de Snowden, a criptografia caiu consideravelmente em 2014 e perdeu o “prestígio” que tinha nas primeiras edições do Seminário, deixando de acompanhar o ritmo ascendente percebido, por exemplo, pela pauta de novas tecnologias -- como Internet das Coisas e algoritmos.

Além disso, o fato de a criptografia não ter mantido o destaque em relação a outros temas, como se via nas primeiras edições do Seminário, não implica perda qualitativa: ao contrário, o tópico foi cada vez mais apresentado de forma interdisciplinar, bem como sua tendência reativa esteve presente em mergulhos temáticos sobre questões abordadas tanto nos parâmetros de avaliação da conjuntura brasileira, como projetos de lei, quanto até nas próprias edições anteriores do Seminário.

Um caso emblemático nessa pauta foram os bloqueios do aplicativo Whatsapp ocorridos no Brasil entre 2015 e 2016 (G1, 2016). O bloqueio, que ocorreu devido a não entrega de mensagens do Whatsapp requisitadas por autoridades devido ao uso que o aplicativo faz da criptografia de ponta-a-ponta, gerou debates mais ricos no país. Como colocado pelo NIC.br na posição de amicus curiae em 2017:

A privacidade, a liberdade de expressão, de reunião e de associação, são todos tributários e interdependentes à confidencialidade das comunicações. A criptografia assume contornos normativo e instrumental a tais liberdades fundamentais, na medida em que dá substrato à confidencialidade das comunicações privadas e, consequentemente, garante uma ‘zona de privacidade’ na qual os indivíduos podem livremente se expressar e, em um sentido mais amplo, exercer sua autodeterminação de forma plena (NIC.br, 2017).

Um dos grandes méritos do Seminário é o esforço de traduzir um tema extremamente técnico e complexo -- como é o caso da criptografia, mais familiar ao campo da engenharia e ciência da computação -- à comunidade em geral e alertando sobre toda sua dimensão jurídica-social. Esse exercício de acessibilidade foi iniciado muito antes das revelações de Edward Snowden mas, como não poderia ser diferente no caso em questão, é intensificado após esse episódio de maior inflexão na história da Governança da Internet. Ao ter semeado, mas, sobretudo, adubado esse tema ao longo das suas edições, o Seminário decifrou a criptografia numa chave de direitos fundamentais. Uma contribuição que antecede os bloqueios de aplicativos do WhatsApp e cuja constitucionalidade está sendo analisada pela Suprema Corte brasileira6.

Uma amostra da linha do tempo construída para o tema da criptografia. Fonte: elaboração própria

5. CONCLUSÕES

A análise da primeira década do Seminário de Proteção à Privacidade e aos Dados Pessoais do CGI.br confirmou o evento como um “policy space”, isto é, um importante espaço voltado à formação de massa crítica, de reflexão e de troca de conhecimentos para a articulação e construção da agenda de privacidade no Brasil. Os resultados encontrados apontam diversas contribuições do Seminário aos processos de construção e aplicação do Marco Civil da Internet (MCI) e seu decreto regulamentador, da Lei Geral de Proteção de Dados Pessoais (LGPD), e de outros temas não abordados nesta pesquisa, como direito ao esquecimento e neutralidade da rede.

Através de um método de investigação inovador em que se construiu uma amostra da percepção pública brasileira sobre o tema da proteção de dados, conseguiu-se classificar e mensurar o quão inovadoras ou reativas eram as discussões travadas no evento. Uma técnica que permitiu analisar o Seminário de dentro para fora e de fora para dentro, bem como a sua influência em forjar a agenda pública de discussão sobre privacidade ao longo do tempo. Um ferramental endógeno-exógeno e temporal-conjuntural de análise de conteúdo de um policy space que pode ser aproveitável para outros campos de investigação.

A hipótese inicial da pesquisa, sobre o Seminário ser um espaço de caráter majoritariamente propositivo, não foi confirmada e isso se mostrou como algo profundamente científico. O valor de um policy space para construção de uma massa crítica e, sobretudo, de uma agenda pública de discussão não se faz através apenas do novo. É a sua mesclagem com o velho que permite florescer um imaginário de certa forma revolucionário, mas não desconectado da realidade social e que lhe permite ganhar tração. Isso foi confirmado pela análise qualitativa temática de como o Seminário enfrentou três temas de maior relevância no campo da proteção de dados pessoais: a Autoridade e seu Conselho Nacional de Proteção de Dados, a criptografia, e as práticas de corregulação, todos baseados na premissa multissetorial.

A alta velocidade de transformações e agenda são bem aproveitados pelo Seminário, em conjunto a processos exteriores a ele. É o exemplo da primeira metade da década de 2010, onde o evento serviu como uma plataforma de apresentação de conceitos e ideias, ao mesmo tempo em que ocorria a primeira consulta pública para o anteprojeto de lei que seria o texto base da LGPD. Do mesmo modo, a segunda metade da década amadurece a discussão e ocorre a segunda consulta pública, o que naturalmente torna o Seminário mais reativo. É também nesse período que o projeto ganha tração no Congresso Nacional e ocorrem rodadas de discussão multissetorial por iniciativa do relator do projeto de lei, que participou do Seminário nos anos de 2016, 2017 e 2018. A década de 2020 se inicia com novas pautas e com a expectativa de monitoramento da LGPD em vigor, consolidando o Seminário como um legítimo espaço de discussão e aprendizado.

Recupera-se, assim, a semântica da própria palavraseminarium, onde sementes (sēmen) encontram um espaço adequado (ārium), podendo ser plantadas, bem como “irrigadas” ou “adubadas”. Isto é, ideias vindas do próprio evento ou mesmo fora dele encontram um espaço oportuno para “germinarem” e “florescerem”. A interdiscursividade é, portanto, a principal característica do Seminário e, em última análise, do valor e da utilidade de um policy space onde os temas avançam a partir do encontro do “novo” com o “velho” para o imaginário e a articulação de uma agenda sobre um determinado assunto.

REFERÊNCIAS

BARDIN, Laurence,Análise de conteúdo, [s.l.]: Edições 70, 1979.

BIONI, Bruno, Tratado De Proteção De Dados Pessoais, Ed. Forense: São Paulo. 2021.

BLACK, Julia, The Role of Risk in Regulatory Processes, in: BALDWIN, Robert; CAVE, Martin; LODGE, Martin (Orgs.), The Oxford Handbook of Regulation, [s.l.]: Oxford University Press, 2010, p. 301–348.

BOBBIO, Norberto. Da estrutura à função: novos estudos da teoria do direito. Tradução Daniela Beccaccia Versiani. Barueri: Manole. 2007.

CGI.br; NIC.br. [IX Seminário de Privacidade] Mesa de Abertura, 2018a. Disponível em https://www.youtube.com/watch?v=GKMul1c4YYU&list=PLQq8-9yVHyOZVGYJeegT8I...(link is external)

CGI.br; NIC.br. Abertura do Seminário sobre Proteção à Privacidade e aos Dados Pessoais (2010), 2010a. Disponível em https://www.zappiens.br/portal/VisualizarVideo.do?_InstanceIdentifier=0&...(link is external)

CGI.br; NIC.br. Painel 1 -- Regulação e proteção no mundo globalizado, do II Seminário sobre Proteção à Privacidade e aos Dados Pessoais, 2011. Disponível em https://zappiens.br/portal/VisualizarVideo.do?_InstanceIdentifier=0&_Ent...(link is external)

CGI.br; NIC.br. Palestra: Aspectos Contextuais e desafios contemporâneos à proteção da privacidade e dos dados… 2014a. Disponível em https://www.youtube.com/watch?v=n3rN7JjsXUo&list=PLQq8-9yVHyObdaHRLupXMJ...(link is external)

CGI.br; NIC.br. Palestra 1 -- Direito à privacidade e do consumidor -- III Seminário sobre Proteção à Privacidade e aos Dados Pessoais. 2012a. Disponível em https://www.zappiens.br/portal/VisualizarVideo.do?_InstanceIdentifier=0&...(link is external)

CGI.br; NIC.br. Perspectivas global e nacional sobre a proteção de dados pessoais -- IV Seminário de Proteção à Privacidade e aos Dados Pessoais, 2013. Disponível em: https://zappiens.br/portal/VisualizarVideo.do?_InstanceIdentifier=0&_Ent...(link is external)

CGI.br; NIC.br. ROUNDTABLE1, parte1: Economia Digital e Privacidade -- III Seminário sobre Proteção à Privacidade e aos Dados Pessoais, 2012b. Disponível em https://www.zappiens.br/portal/VisualizarVideo.do?_InstanceIdentifier=0&...(link is external)

CGI.br; NIC.br. Seminário II: A operacionalização/aplicação da lei brasileira: imperativos legais em ... (1/2), 2014b. Disponível em https://www.youtube.com/watch?v=plAdIWidd04&list=PLQq8-9yVHyObdaHRLupXMJ...(link is external)

CGI.br; NIC.br. Sessão 4 -- Comércio Eletrônico: perspectivas do consumidor e do setor privado, do Seminário sobre Proteção à Privacidade e aos Dados Pessoais (2010). 2010b. Disponível em https://www.zappiens.br/portal/VisualizarVideo.do?_InstanceIdentifier=0&...(link is external)

CGI.br; NIC.br. [VI Seminário de Privacidade] Seminário “Formas de consentimento e Proteção...”, 2015. Disponível em https://www.youtube.com/watch?v=maWxplEXDi4&list=PLQq8-9yVHyOZxBiff34QU8...(link is external)

CGI.br; NIC.br. [VIII Seminário de Privacidade] Seminário “Proteção de dados pessoais como elemento de...” 2017. Disponível em https://www.youtube.com/watch?v=EKxp9-eY6ac&list=PLQq8-9yVHyObllBz3YJwMX...(link is external)

CGI.br; NIC.br, [IX Seminário de Privacidade] Painel 3: O papel do setor privado, 2018b. Disponível em https://www.youtube.com/watch?v=J6qGZw5YYLw&list=PLQq8-9yVHyOZVGYJeegT8I...(link is external)

CGI.br; NIC.br. [10o Seminário de Privacidade] Coquetel de debates (Português). 2019. Disponível em https://www.youtube.com/watch?v=zkmQBNoC9OM&list=PLQq8-9yVHyOZNXyuvsrJAa...(link is external)

COBB, R. W.; ELDER, C. D. The politics of agenda-building: an alternative perspective for modern democratic theory. Journal of Politics, v. 33, n. 4, 1971, p. 892-915.

CGI.br. Combate ao spam na Internet no Brasil: Histórico e reflexões sobre o combate ao spam e a gerência da porta 25 coordenados pelo Comitê Gestor da Internet no Brasil, São Paulo: CGI.br, 2015.

G1. WhatsApp bloqueado: Relembre todos os casos de suspensão do app, Tecnologia e Games, 2016.

GATTO, Raquel. A Perspectiva Contratualista na Construção do Consenso da Sociedade na Internet. Orientador: Claudio de Cicco. 174f. Tese (Doutorado em Direito). Pontifícia Universidade Católica de São Paulo, São Paulo, 2016.

KINGDON, J. Agendas, alternatives, and public policies. 3ª ed. New York: Harper Collins, 2003.

LEVINSON, Nanette. Toward Future Internet Governance Research and Methods: Internet Governance Learning, 2020.

NIC.br. ADPF Nº 403/SE. Ação de Descumprimento de Preceito Federal Habilitação de Amicus Curiae. STF, 2017. Disponível em http://redir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&docID=651655700(link is external)

PURCELL, Alex et al. The Snowden files: facts and figures -- video animation. The Guardian, 2013. Disponível em https://www.theguardian.com/world/video/2013/dec/02/the-snowden-files-gu...

SUPREMO TRIBUNAL FEDERAL. Relatores consideram inconstitucional quebra do sigilo de comunicação em aplicativos de mensagens. Portal STF, 28 maio de 2020. Disponível em https://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=4443...

1 Esta pesquisa é realizada pela Associação Data Privacy Brasil de Pesquisa, comissionada pelo Núcleo de Informação e Coordenação do Ponto BR (NIC.br).

2 O mapa mental pode ser visualizado aqui: https://mm.tt/1656828778?t=TrhCaMqzwU

3 Todos os vídeos das edições passadas podem ser acessados na página do evento: https://seminarioprivacidade.CGI.br/#eventos-anteriores. Acesso em: 04 de janeiro de 2021

4 Forma de abuso na Internet que consiste no envio de mensagens não solicitadas por e-mail, geralmente feito de forma massiva e com conotação comercial ou maliciosa. Ver: Hoepers, Cristine; STEDING-JESSEN, Klaus. Gerência de Porta 25: motivação, importância da adoção para o combate ao spam e discussões no Brasil e no mundo. NIC.br, 2009. Disponível em: https://www.cert.br/docs/ct-spam/ct-spam-gerencia-porta-25.pdf Acesso em 06 de janeiro de 2021.

5 Um dos principais mecanismos de trabalho colaborativo, pelo qual mais tarde se basearia a governança técnica da rede, nasceu entre os universitários presentes na criação da Internet em 1969: notas trocadas entre eles, chamadas de "Request for Comments" (RFCs), que consolidaram o espírito do consenso nessa área.

6 Ainda em discussão, a pauta teve os importantes votos dos Ministros Edson Fachin e Rosa Weber em 2020 julgando inconstitucional os bloqueios de aplicativos criptografados, ou seja, entendem que o sigilo das comunicações é uma garantia constitucional. Para mais informações, ver: SUPREMO TRIBUNAL FEDERAL, 2020.