Europa não se pode dar ao luxo de lutar internamente pela regulamentação digital

A pandemia do COVID-19 anulou temporariamente o princípio mais definidor da União Europeia (UE): a livre circulação em todo o continente. Para impedir a rápida disseminação do vírus, a maioria de seus Estados-Membros encerrou as suas fronteiras e restabeleceu rigorosos controlos transfronteiriços. É difícil subestimar o quão inédita e histórica foi essa decisão. O mais surpreendente é que os Estados-Membros estão a lutar para coordenarem um sistema tecnológico em toda a Europa para apoiar o rastreamento de contactos, que muitos consideram que poderia desempenhar pelo menos uma pequena parte no afrouxamento de restrições e abertura de fronteiras. Alguns, como o Reino Unido e a França, estão a desenvolver sistemas centralizados internamente, provavelmente incompatíveis com os sistemas usados noutros países. Outros, como a Alemanha e a Itália, serão baseados nas tecnologias Apple-Google. A Bélgica não parece estar a desenvolver qualquer aplicação.

Uma explicação para essa abordagem fracturada é que os Estados-Membros da UE são os principais responsáveis ​​pela organização e prestação de serviços de saúde e de assistência médica. Mas a resposta tecnológica descoordenada da Europa à pandemia também revela uma verdade mais profunda sobre a estratégia digital do continente: está repleta de contradições e não cumpre as suas próprias ambições.

A Europa quer posicionar-se como a terceira via entre a abordagem americana e chinesa de regulamentar a tecnologia. Uma alternativa responsável ao capitalismo da vigilância corporativa ao estilo dos EUA e ao controlo estatal autoritário. Tomemos, por exemplo, a nova proposta da Comissão Europeia de directrizes sobre a Inteligência Artificial (IA), publicada no início de 2020 como parte da nova Estratégia Digital da Comissão. Existem algumas falhas na proposta, que abordámos noutros locais, mas no geral é um passo importante para a realização da ambição tecnológica da Europa. Essas ambições, inicialmente articuladas na legislação da privacidade e da protecção de dados pessoais, como o Regulamento Geral sobre a Proteção de Dados (RGPD), contribuíram para a expectativa de que a Europa seja líder mundial na tecnologia.

https://assets.mofoprod.net/network-pulse/images/user-avatars/2019-09-18_154358.3987110000.jpg
Frederike Kaltheuner

A pandemia do COVID-19 interrompeu o ímpeto em muitas iniciativas políticas em todo o mundo. A consulta em andamento do “white paper” sobre a IA pela Comissão foi adiada de Maio para Junho. Também é provável que um destino semelhante ocorra nas novas regulações de plataformas e revisões da Diretiva ePrivacy (mais conhecida como “Lei dos Cookies”, que abrange toda uma série de tecnologias de rastreamento e não apenas os cookies).

A pandemia pode interromper temporariamente a grande estratégia da Comissão, mas também está a fazer surgir problemas existentes que estavam presentes o tempo todo. O primeiro deles é a suscetibilidade persistente às pressões empresariais. O sector de tecnologia está claramente a aproveitar a “Grande Pausa”. Os avisos de “regulação sobrecarregada” estão a elevar-se à medida que a economia se contrai, e o mesmo ocorre com as alegações de que regras mais rigorosas sobre a IA podem impedir o desenvolvimento de uma IA de ponta para ajudar a combater a pandemia. Um grupo de especialistas em Bruxelas esteve há dias a ouvir o comissário Thierry Breton e Mark Zuckerberg para discutir “como poderia ser a colaboração entre tecnologia e governo após o COVID-19” – um enquadramento impensável há apenas algumas semanas atrás.

No entanto, mesmo sem o pano de fundo de uma pandemia global, a indústria conseguiu moldar a linguagem, a narrativa e os princípios usados ​​para discutir a regulamentação tecnológica na Europa, especialmente quando se trata de IA. Com a pandemia a pressionar imensamente o financiamento académico e na sociedade civil, o COVID-19 terá um impacto inegável na sua capacidade de conter a influência negativa de um sector tecnológico que provavelmente emergirá mais forte.

Uma preocupação diferente, em foco nas últimas semanas, são as lacunas e contradições com a estrutura de privacidade e de protecção de dados existente na Europa. Isso é significativo, pois a nova estratégia digital ambiciosa da Comissão deve basear-se e complementar as regras existentes. No entanto, a resposta à pandemia tornou dolorosamente óbvia a falta de regras existentes.

À primeira vista, as leis existentes na Europa, especialmente no que diz respeito à privacidade e protecção de dados, colocam-na numa boa posição para liderar o uso responsável da tecnologia e as soluções que respeitam os direitos. Ao contrário de muitos relatórios iniciais, não há conflito geral entre a protecção de dados (especialmente o RGPD) e o uso de dados pessoais na luta contra uma epidemia. Os princípios e conceitos do RGPD, como a limitação de objectivos, minimização de dados e “privacidade por design”, no entanto, limitam o uso de dados ao estritamente necessário e ajudam a conceber produtos e serviços que vêm automaticamente com um certo nível de protecção. Não é por acaso que foi um consórcio de académicos e tecnólogos europeus que liderou as tentativas de desenvolver protocolos amigáveis ​​à privacidade para aplicações de rastreamento de contactos.

A principal vantagem do RGPD, em contraste com o regime dos EUA, é que ele é abrangente e geral, e não específico do sector. Em contraste com o HIPAA (The Health Insurance Portability and Accountability Act, de 1996), que cobre as informações de saúde protegidas que podem ser usadas para identificar um paciente, o RGPD cobre todos os dados pessoais, incluindo dados que podem identificar alguém indirectamente, enquanto designa assuntos relacionados com a saúde dados como uma categoria especial de dados que têm protecção adicional. O que pode parecer um detalhe técnico tem consequências a longo alcance.

As aplicações e os sites que tratam de saúde, mas que não oferecem serviços de saúde, não se enquadram necessariamente no HIPAA, mas os dados que eles processam podem facilmente enquadrar-se em dados de categorias especiais no RGPD. Isso também significa que os dados que revelam informações sobre a saúde de alguém, incluindo o seu histórico de navegação ou as suas transacções financeiras, podem ser tratados como dados de saúde no RGPD, mas não o são no HIPAA. Direitos de dados aplicáveis ​​e requisitos mais rigorosos para quem processa dados pessoais também significam que os europeus estão muito mais protegidos contra a exploração dos seus dados de saúde do que os seus colegas norte-americanos, especialmente em contextos sensíveis como o local de trabalho.

Corinne Cath-Speth

Isto em teoria. Na prática, os quadros regulatórios actuais, como o RGPD e a directiva ePrivacy, deixam lacunas e sofrem com a falta de aplicação. Quase dois anos depois, houve uma aplicação limitada do RGPD, e a lei até agora fracassou em grande parte em conter o “capitalismo de vigilância” ou pelo menos desafiar o modelo de negócios dominante da Internet. No ano passado, por exemplo, duas investigações separadas da Privacy International e do Financial Times revelaram como inúmeros sites de saúde europeus partilham rotineiramente informações pessoais sensíveis com anunciantes online.

Agora, no meio de uma pandemia global, algumas das aplicações desenvolvidas por fornecedores de assistência à saúde e autoridades de saúde pública também estão aquém das obrigações do RGPD. Deputados e grupos de direitos humanos alertaram que a falta de protecção de dados pode tornar ilegal a aplicação de rastreamento de contactos do Reino Unido. [Agora que o Reino Unido tem um Acordo de Retirada com a UE, o país está num período de transição, actualmente previsto para durar até ao final de 2020, durante o qual o RGPD continuará a ser aplicado no Reino Unido.] Uma análise a 46 aplicações globais da empresa de segurança francesa Defensive Lab Agency mostrou que muitas delas usam rastreadores de terceiros, incluindo para publicidade.

Novamente, este é um tema que está presente há algum tempo. Embora um dos principais objectivos do RGPD seja harmonizar a lei de protecção de dados em toda a UE, os Estados-Membros introduziram vastas e às vezes derrogações abertas ao RGPD, por exemplo, para fins de segurança nacional ou imigração (ver, por exemplo, o ex-membro da UE Reino Unido). E embora a Europa tenha sido elogiada por implementar as leis de privacidade mais difíceis do mundo, países como França, Alemanha e Reino Unido aprovaram leis que concediam às suas agências de vigilância poder praticamente irrestrito para realizar interceptação em massa de comunicações na Europa e fora dela, com limitações limitadas a não efectivas ou salvaguardas processuais contra abusos.

Todas essas questões juntam-se às tensões visíveis entre visões europeias, ambições da indústria de tecnologia e práticas ao nível nacional. A Hungria, que sob a liderança de Viktor Orban desmantelou sistematicamente os travões e os contrapesos constitucionais do país desde o seu regresso ao poder em 2010, implementou um estado indefinido de emergência em resposta à pandemia. O governo húngaro também está a suspender os direitos do RGPD para o processamento de dados relacionados com o COVID-19. (A Comissão está a examinar o regime de emergência da Hungria.)

A Hungria pode ser uma excepção mas, perante uma pandemia global, cada Estado-Membro preferiu uma retórica de soberania digital a uma unidade europeia. “Os Estados devem poder fazer as suas próprias escolhas num assunto tão crítico – é uma questão de soberania”, disse Cédric O, ministro de assuntos digitais da França, ao Financial Times, ao promover a aplicação do COVID-19 do país. Essas palavras foram feitas para repreender os esforços da Apple e da Google para desenvolver uma única infra-estrutura subjacente a essas aplicações. O facto de a Apple e a Google poderem de facto ditar quais as aplicações de rastreamento de contactos que os governos europeus podem desenvolver é, de facto, nada menos que notável. Pelo contrário, ilustra ainda mais a necessidade urgente de uma acção mais rigorosa anti-concorrência e a competição ao nível europeu.

Essa retórica tem um grande custo. A tendência crescente da soberania digital, no seu zelo pelo controlo tecnológico, pode dificultar os esforços pan-europeus legítimos. O Parlamento Europeu e o Conselho Europeu de Protecção de Dados adoptaram uma postura a favor das aplicações descentralizadas de rastreamento do COVID-19. Mas quando isso importava, as instituições da Europa não conseguiram levar essa ambição à prática. Em vez de reunir apoio, para o que começou em Março como um esforço modesto, mas colaborativo, entre académicos e programadores informáticos para desenvolver um protocolo único de rastreamento de contactos na Europa, o projecto descarrilou por interesses nacionais divergentes (e discordâncias internas).

De muitas maneiras, a pandemia ressurgiu e amplificou alguns dos efeitos mais perniciosos da tecnologia na sociedade. Os corretores de dados (“data brokers”) e os anunciantes têm como alvo os consumidores que se sentem ansiosos e sobrecarregados pelo vírus. Há uma nova onda de vigilância no local de trabalho, desde o software corporativo de spyware instalado para monitorizar as pessoas que trabalham em casa, até ao reconhecimento facial e as verificações de temperatura a funcionar nas fábricas. Alguns dos piores criminosos do sector de vigilância estão a lançar com sucesso os seus produtos para governos e empregadores em todo o mundo.

A pandemia enfatizou as falhas políticas, legais e técnicas existentes na Europa. Atingir as ambições digitais da UE requer revigorar a política da unidade que levou à sua criação, tanto quanto exige novas estruturas regulatórias. Várias iniciativas estão em andamento para desenvolver padrões que garantam a interoperabilidade entre diferentes aplicações europeias de rastreamento de contactos, e a comissária europeia Margrethe Vestager que incentiva os países a usar “armazenamento descentralizado” para garantir que as aplicações sejam compatíveis, diz que “mais e mais países estão a ter essa abordagem”. A unidade também precisa de ser um factor determinante nos debates nacionais.

Para enfrentar completamente o impacto díspar da tecnologia nas populações marginalizadas sócio-económicas, é necessário um projecto político mais amplo. Lilian Edwards e outros propuseram essa legislação no Reino Unido. Embora essa legislação seja obviamente específica do Reino Unido e especificamente sobre aplicações de rastreamento de contactos, ela contém disposições importantes igualmente relevantes para os países e tecnologias da UE. Por exemplo, o projecto de lei sustenta que “ninguém será penalizado por não ter um telefone (ou outro dispositivo), sair de casa sem telefone, não carregar o telefone, etc.” Isso garante àqueles que já estão excluídos digitalmente de que novas tecnologias não aprofundam ainda mais a sua exclusão.

A UE deve ir além da correcção dos quadros de referência existentes e de um reforço eficaz da sua aplicação. O aumento do uso de sistemas de IA sugere, em particular, que a visão regulatória da UE se deve expandir para incluir o impacto da tecnologia na discriminação e nas desigualdades sócio-económicas. Em vez de recuar ou “proteger-se”, agora é o momento de a UE traduzir “o novo possível” de um mundo pós-pandemia para as suas ambições digitais.

* Texto original (CC BY 4.0) da autoria de Frederike Kaltheuner, da Mozilla Foundation, e de Corinne Cath-Speth, dos Oxford Internet Institute e Alan Turing Institute. Fotos: autoras, de Aaron Yoo (CC BY-ND 2.0) e Jacob Bøtter (CC BY 2.0).

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Google photo

Está a comentar usando a sua conta Google Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.