Global Law Educa – Cursos de Direito Digital

Oportunidades e desafios do Sandbox Regulatório na LGPD

O sandbox regulatório na LGPD é mais controvertido do que parece.
caixa de areia infantil que faz relação com a palavra inglesa sandbox
Foto: Antonio Augusto/STF (Coordenadoria de Imprensa do STF)

A palavra “Sandbox”, de origem inglesa, traduz-se como caixa de areia. Sim, é exatamente isso que você está pensando. Refiro-me àquela caixa de areia onde, provavelmente, você brincou e soltou a imaginação durante os dias de infância. Mas qual a relação entre o Sandbox Regulatório e a Lei Geral de Proteção de Dados (LGPD)?

O Sandbox Regulatório recebeu esse nome em referência aos parquinhos de areia infantis. No entanto, na prática, é um ambiente controlado e experimental que permite que empresas testem modelos de negócios inovadores impulsionados por tecnologias experimentais. Nesse espaço, há uma flexibilização temporária das exigências regulatórias e penalidades impostas pelas autoridades do setor. Isso viabiliza que as empresas experimentem novas ideias, como o uso de IA generativa em modelos de negócios, e recebam um feedback substancial das autoridades reguladoras antes de lançarem seus produtos ou serviços no mercado. No Brasil, a previsão para o sandbox regulatório está nos artigos 2º, inciso II e 11 do Marco Civil das Startups (LC 182/2021).

Atualmente, a Autoridade Nacional de Proteção de Dados (ANPD) lançou mão desses dispositivos legais para abrir uma consulta pública a fim de receber contribuições para a criação de um sandbox regulatório destinado a modelos de negócios que utilizem IA generativa e treinem seus algoritmos com dados pessoais. A intenção é que essas tecnologias sejam testadas para respeitar a LGPD, além de garantir o direito à explicabilidade dos resultados, conforme os artigos 6º, inciso VI e 20 da LGPD. No entanto, essa iniciativa é desafiadora.

Isso se deve ao fato do uso do Sandbox Regulatório ainda estar em seus estágios iniciais. O projeto mais avançado nesse sentido vem do Reino Unido, onde o Information Commissioner ‘s Office (ICO) experimentou um sandbox na Heathrow Airport Ltd., empresa que administra o aeroporto de Heathrow, em Londres. A empresa desenvolveu um programa de reconhecimento facial, o Automated Passenger Journey, para simplificar as viagens dos passageiros. Essa tecnologia foi aplicada no check-in, nos serviços de autoatendimento, na entrega de bagagens e nos portões de embarque. O maior desafio foi referente à base legal para o processamento dos dados biométricos e a definição dos papéis de controlador e processador à luz da LGPD inglesa. Na Austrália, o Sandbox Regulatório da Australian Securities and Investments Commission (ASIC) foi utilizado para testar novos produtos e serviços, como aplicativos baseados em blockchain em plataformas de financiamento coletivo.

Um dos principais benefícios do sandbox regulatório é a redução dos riscos de falhas, permitindo que as empresas testem seus produtos ou serviços em um ambiente controlado. Isso ajuda a identificar e resolver problemas potenciais antes que se tornem reais. Ao oferecer às empresas a oportunidade de experimentar produtos e serviços inovadores sob supervisão regulatória e com certas condições suspensas, o Sandbox Regulatório diminui o perigo de possíveis punições que afetariam sua credibilidade por violação à LGPD.

Além disso, o Sandbox Regulatório pode acelerar o desenvolvimento de inovações, sem a necessidade de esperar por atualizações regulatórias, garantindo que estejam sempre em conformidade com a legislação vigente, mesmo que temporariamente protegidas. Outro benefício é a possibilidade de obter feedback dos participantes da experiência antes de expandir o alcance do produto.

No que diz respeito ao direito à privacidade e à LGPD, o sandbox regulatório apresenta alguns desafios. O primeiro deles é determinar se os modelos de negócios que se candidatam ao sandbox, utilizando dados pessoais para treinar sistemas e inteligência artificial generativa, poderiam, nos estágios iniciais de experimentação no ambiente controlado, estar isentos das regras de proteção de dados. Ou seja, durante a fase experimental, até que as tecnologias experimentais errem ou acertem, poderiam elas estarem em desacordo com a LGPD, mas sem sofrer punições, pois essas falhas na proteção de dados seriam corrigidas durante os testes?

Juridicamente, parece não haver argumento para não se exigir que, para participar do Sandbox regulatório, a engenharia por trás da nova tecnologia já esteja projetada para cumprir com a LGPD, já que esta é uma lei vigente no país. Ademais, os artigos 46, §2º e 49 da LGPD contemplam a privacidade desde a concepção (privacy by design) para produtos e serviços, de modo que não haveria fundamento jurídico para dispensar-se a aderência à LGPD desde o início. Isso não afastaria a possibilidade da tecnologia apresentar falhas que teriam a leniência do regulador até que fossem consertadas.

O segundo desafio diz respeito à explicabilidade. Segundo o instituto Brookings de pesquisa, o termo “explicabilidade” no contexto da IA é um conceito multifacetado que varia significativamente dependendo do ponto de vista dos envolvidos. Para os engenheiros responsáveis pelo desenvolvimento dos sistemas de IA, a explicabilidade está fundamentalmente associada à garantia de que esses sistemas não produzirão resultados equivocados. Essa perspectiva está enraizada na busca por sistemas confiáveis e seguros, minimizando erros e inconsistências nos outputs gerados. No universo empresarial que utiliza a IA, a explicabilidade assume um caráter mais amplo e prático. Para essas empresas, é essencial compreender racionalmente os resultados fornecidos pela IA, além de vislumbrar a capacidade de gerar previsões corretas e prospectivas. Essa compreensão é crucial para orientar estratégias empresariais e tomar decisões informadas. Por fim, para as autoridades encarregadas da governança da IA, a explicabilidade está intrinsecamente ligada à capacidade dessa tecnologia de entregar resultados confiáveis, livres de vieses e em conformidade com as regulamentações estabelecidas (LGPD, por exemplo). 

Dessa forma, o direito à explicabilidade na IA somente será aprimorado em sandboxes regulatórios se forem estabelecidos protocolos de explicabilidade que considerem essa ampla variação de perspectivas. É crucial que os padrões e diretrizes desenvolvidos para promover a explicabilidade abordem as necessidades e expectativas dos engenheiros, organizações, mas também da sociedade.

Em suma, os benefícios de reduzir riscos, acelerar inovações e obter feedback são claros e valiosos no Sandbox Regulatório. No entanto, os desafios referentes à proteção de dados e à explicabilidade na IA exigem uma abordagem cuidadosa e abrangente. O sucesso do Sandbox Regulatório dependerá da capacidade de equilibrar a experimentação tecnológica com a conformidade com a LGPD, sem se descurar da adoção de protocolos holísticos de explicabilidade e transparência.

Inscreva-se para receber o nosso boletim de notícias