O Data Act (1ª. parte): a nova etapa regulatória da estratégia europeia para a economia dos dados

Na quarta-feira dia 23/2, a Comissão Europeia[1] apresentou sua proposta para regulamentação do acesso e uso de dados não pessoais[2]. O Data Act, como se convencionou chamar a proposta de regulamento[3], pretende garantir equidade e estimular competitividade no florescente “mercado de dados”, criando oportunidades para desenvolvimento de tecnologias baseadas em dados (data-driven technologies). A iniciativa normativa faz parte da “Estratégia Europeia para Dados” (European data estrategy), política para abertura e transformação digital da economia, calcada na criação de um mercado único de dados e desenvolvimento das tecnologias digitais[4].

A Europa quer ser líder na “economia de dados” (data economy). Ao longo dos últimos anos, as tecnologias digitais transformaram a economia, afetando todos os setores, atividades e a vida cotidiana das pessoas. Tecnologias baseadas em dados têm tido um efeito transformador em todos os aspectos da sociedade. A proliferação de equipamentos conectados à “Internet das Coisas” (Internet of Things) tem aumentado exponencialmente o volume e valor dos dados.

A imensa quantidade de dados produzida por corporações privadas e empresas públicas cresce em escala exponencial. O volume crescente de dados industriais (não pessoais) e de dados públicos, combinado com ferramentas tecnológicas para armazená-los e tratá-los, constitui potencial fonte de crescimento e inovação que não pode deixar de ser explorada. Essa onda de “dados industriais” transformará de maneira profunda o modo como serão produzidos e consumidos produtos e serviços. Os dados estão redefinindo nossa forma de produzir, consumir e viver. Dados não pessoais propiciam a tomada de melhores decisões por parte de governos e empresas privadas, bem como o desenvolvimento de tecnologias baseadas em dados (data-driven technologies), a exemplo de carros autônomos, medicina personalizada, cidades inteligentes e aplicações baseadas em inteligência artificial.    

Os benefícios serão sentidos em todos os aspectos da vida, mas para que se estendam a todos os extratos da sociedade, de forma indiscriminada, os dados devem estar disponíveis para todos os intervenientes – públicos ou privados, grandes ou pequenos -, de forma a garantir que todos recebam os dividendos da transformação digital e da economia de dados. Para isso é necessário regulamentação que viabilize o aproveitamento de todo esse potencial, respeitando os valores democráticos e os direitos fundamentais das pessoas. A normatização favorece a competição no mercado de dados,  propiciando a produção de novos serviços e produtos digitais. Calcula-se que 80% dos “dados industriais” nunca são utilizados, daí que uma regulamentação prevendo as condições para acesso, reutilização e compartilhamento desses dados conduz a maior produtividade e mercados mais competitivos.

O Data Act constitui a segunda etapa regulatória para implementação da “Estratégia Europeia para Dados” (European Estrategy for Data). Em novembro de 2021, a Comissão Europeia já havia apresentado sua proposta de regulamento sobre “governança de dados”, que recebeu o nome de Data Governance Act[5]. Esse primeiro regulamento objetivou a criação do mercado europeu de dados, dividido em grandes espaços de dados (European data spaces), que reunirão informações de pessoas jurídicas e cidadãos europeus em diferentes setores (como saúde, indústria, energia, agricultura, meio ambiente, mobilidade, finanças, administração pública etc.). Esses “espaços de dados europeus” permitirão troca de dados entre organismos governamentais e entre eles e empresas do setor privado, facilitando o desenvolvimento de novos produtos e serviços baseados em novas tecnologias[6].

O novo regulamento (o Data Act) complementa o Regulamento sobre Governança dos Dados (Governance Data Act). Enquanto o Regulamento de Governança de Dados cria os processos de organização e estruturas para facilitar o acesso aos dados, o Data Act esclarece quem pode criar valor a partir dos dados e sob quais condições, ou seja, define como pode ser feito o compartilhamento dos dados não pessoais. O consumidor que adquire um produto tradicional passa a ter propriedade sobre todas as partes e componentes que integram o equipamento. Mas em relação a produtos e equipamentos conectados à “Internet das Coisas” (Internet of Things)[7], a legislação não define com clareza o direito de acesso e uso sobre os dados produzidos por esses equipamentos[8]. Além disso, os fabricantes, em regra, não desenham ou habilitam os produtos conectados para que os usuários extraiam completa utilidade dos dados que produzem. Essa realidade conduz a uma injusta distribuição na capacidade de extração de valor dos dados produzidos por esses equipamentos[9], fazendo com que apenas os fabricantes, as grandes empresas, se beneficiem do valor que os dados representam na nova economia digital. Um dos principais entraves ao desenvolvimento da economia digital é a subutilização de dados, causada pela falta de clareza em relação ao uso e acesso aos dados gerados por produtos conectados à IoT[10]. O Data Act tenta remover essa barreira, esclarecendo o que pode ser feito com os dados gerados por aparelhos conectados. 

O RGPD (Regulamento Geral de Proteção de Dados) já disciplina o tratamento de dados pessoais, bem como as formas de compartilhamento dessa espécie de dados[11]. Os dados pessoais são aqueles que possibilitam a identificação de uma pessoa[12], como por exemplo nome, endereço, identidade, CPF etc. Já os dados não pessoais são os que não possibilitam identificar determinado indivíduo. Podem ser produzidos por pessoas físicas, a exemplo do número de acessos a uma página web, o número e horários de viagens em aplicativo de transporte, a frequência de uso de determinado serviço digital, mas também podem ser produzidos por empresas, como dados relativos à indústria, aos serviços financeiros e ao agronegócio, por exemplo[13]. Com a digitalização da economia, os dados não pessoais são produzidos de maneira automatizada. Ferramentas e aplicações de Inteligência Artificial (IA) e a Internet das Coisas (IoT) são grandes fontes geradoras de dados não pessoais, utilizadas em processos automatizados de produção industrial.   

Por meio do Data Act, a União Europeia pretende regulamentar com ênfase esses dados não pessoais gerados automaticamente, de maneira a que a utilização não fique limitada aos fabricantes dos produtos e equipamentos tecnológicos. Em essência, o novo regulamento afasta um “direito de exclusividade dos produtores dos dados”, como solução para os dados gerados automaticamente, criando parâmetros que garantem o compartilhamento desses dados. Não somente os “produtores” (fabricantes dos produtos conectados) devem ter o direito de usar e de escolher outras pessoas que possam utilizar os dados não pessoais gerados por máquinas (machine-generated data), mas também outras empresas privadas e o setor público devem ter o direito de participar de forma equitativa da distribuição dos ganhos que resultam da extração do potencial dos dados industriais. Se por um lado o novo regulamento elimina obstáculos ao acesso aos dados não pessoais, tanto para órgãos públicos como para empresas privadas, por outro preserva os incentivos ao investimento na geração de dados, respeitando os legítimos interesses de empresas que investem em produtos tecnológicos e serviços digitais. A ideia é estabelecer equilíbrio justo na alocação de dados entre os diversos atores da economia de dados, nomeadamente os consumidores, empresas e fabricantes de produtos e serviços baseados em dados.

O Data Act é, portanto, uma legislação que estabelece regras para acesso e uso de dados industriais não pessoais (non-personal industrial data), definindo aspectos importantes da relação entre os atores da economia digital, de maneira a fornecer incentivos para compartilhamento horizontal de dados entre diferentes setores da atividade empresarial e com o Poder Público. É um quadro regulamentar abrangente, que disciplina o acesso justo a dados, facilita a portabilidade e garante a interoperabilidade entre sistemas de diferentes provedores, conduzindo à inovação tecnológica e desenvolvimento de novos produtos e serviços digitais. Os desequilíbrios de mercado decorrentes da concentração de dados restringem a concorrência, aumentam as barreiras de entrada no mercado e diminuem o acesso e uso de dados. Sob essa lógica, a proposta de novo regulamento incentiva e permite um fluxo de dados maior e mais justo entre todos os setores, em benefício de consumidores, empresas e da Administração Pública.

Existem diversas barreiras ao compartilhamento e que impedem a alocação ideal de dados em benefício da sociedade. Elas incluem falta de incentivos para que os controladores dos dados (data holders) adiram voluntariamente a acordos de compartilhamento, incertezas sobre direitos e obrigações em relação a dados, custos de contratação e implementação de interfaces técnicas, alto nível de fragmentação de informações em silos de dados, má gestão de metadados, ausência de padrões de interoperabilidade semântica e técnica, gargalos que impedem  acesso a dados, falta de práticas comuns de compartilhamento de dados e desequilíbrios contratuais em relação ao acesso e uso de dados. Em setores caracterizados pela presença de micro, pequenas e médias empresas, muitas vezes há falta de capacidades e habilidades técnicas para coletar, analisar e usar dados, o acesso é frequentemente restrito a um único ator (o data holder) ou inexiste interoperabilidade entre plataformas e serviços digitais.   

O Data Act cria um conjunto de regras e medidas destinadas a eliminar essas barreiras e alcançar seus objetivos, que consistem em garantir maior equilíbrio na alocação do valor dos dados e promover justo acesso e uso entre os atores da economia de dados. Dentre elas, podemos destacar as seguintes:

1- Reforça garantias relacionadas com a proteção do consumidor, estabelecendo o direito de acesso aos dados gerados em razão do uso de equipamentos conectados à “Internet das Coisas” (Internet of Things data access right) e o direito de transferência para outro prestador de serviços, bem como o direito de obter informações sobre o volume de dados gerados, transferência para terceiros e para quais finalidades.   

2- Cria o direito à portabilidade de dados entre diferentes provedores de serviços digitais, especialmente entre os provedores de serviços de armazenamento em “nuvem” (cloud providers). Em particular, a proposta garante que os clientes mantenham a equivalência funcional (nível mínimo de funcionalidade) do serviço depois de terem mudado para outro prestador de serviço.

3- Estabelece medidas para facilitar a interoperabilidade entre os diversos setores do ecossistema de dados, hoje organizados nos espaços europeus de dados (European data spaces). O novo regulamento institui regras que facilitam a transferência de dados entre esses espaços de dados e para fora deles. A criação dos espaços de dados europeus (European data spaces) para setores estratégicos da economia contribuirá para formação de um verdadeiro mercado interno de dados, daí que regras que facilitem a transferência de dados entre os diversos setores e para fora dos espaços de dados contribuirão para consolidação de toda essa infra-estrutura de governança dos dados.

4- Cria medidas para preservar o equilíbrio nos contratos de transferência de dados (data-sharing contracts), definindo cláusulas e termos contratuais abusivos (unfair contractual terms) que coloquem pequenas e médias empresas em situação de desvantagem diante de grandes companhias com acentuado poder no mercado de dados. O novo regulamento prevê que a Comissão Europeia elaborará modelos de cláusulas contratuais com a finalidade de os participantes do mercado de dados negociar contratos de transferência de dados mais justos.

5- Define regras que permitem uso de dados pelo Poder Público em determinadas situações, nas quais fique caracterizado o interesse público. O novo regulamento estabelece que dados sob  controle de empresas privadas podem ser requisitados por órgãos públicos, para fazer face a emergências e outras situações excepcionais. O setor privado pode ser obrigado a disponibilizar dados em seu poder, quando necessários para organizar de serviços públicos, sempre que houver excepcional necessidade de uso dos dados pelo setor público, como em casos de doenças endêmicas, desastres naturais e ataques que possam afetar a cibersegurança de sistemas públicos, entre outras situações. Nesses casos, o direito do data holder é superado pelo interesse público na utilização dos dados para fazer frente às situações de emergência.

Esse conjunto de medidas certamente contribuirá para melhor aproveitamento de dados gerados de forma automática, fazendo com que não fiquem concentrados nas mãos de um pequeno grupo de grandes companhias privadas. Dados gerados automaticamente pelo uso de produtos conectados à “Internet das Coisas” (Internet of Things) quase sempre não são disponibilizados aos usuários, com limitadas possibilidades de serem transferidos para outros provedores ou prestadores de serviços. O fabricante geralmente detém controle exclusivo sobre os dados gerados pelo uso do equipamento, o que contribui para a concentração de poder e dificuldade para ingresso no mercado de dados de outras empresas e prestadores de serviços, comprometendo a concorrência e desenvolvimento de novos produtos e serviços tecnológicos.

O direito do usuário de acesso a “dados industriais não pessoais”, gerados automaticamente por equipamentos ligados à “Internet das Coisas”, e de compartilhá-los com outros provedores e prestadores de serviços contribui para a inovação tecnológica na medida que possibilita o ingresso de novos agentes no mercado de dados, desenvolvendo produtos e serviços mais inovadores e eficientes. Sobretudo pequenas e médias empresas terão possibilidade de competir de maneira mais equilibrada com grandes corporações, já que o direito do usuário a ter acesso e compartilhar os dados gerados por aparelhos e dispositivos conectados à IoT estimula a participação de mais atores na economia de dados.

O Data Act é mais uma iniciativa legislativa com a finalidade de libertar o potencial econômico e social dos dados e das tecnologias baseadas em dados. A proposta de Regulamento ainda necessita de aprovação parlamentar. O Parlamento Europeu e os Estados-Membros avaliarão a proposta da Comissão, num processo que pode levar anos, mas, se aprovada, suas regras certamente servirão para colocar a Europa na vanguarda da segunda onda de inovação baseada em dados. 

---

[1] A Comissão Europeia é o braço executivo da União Europeia,

[2] Ver comunicado à imprensa divulgado no site da União Europeia, em 23.02.22, acessível em: https://ec.europa.eu/commission/presscorner/detail/en/ip_22_1113

[3] O nome completo (em inglês) da proposta de regulamento é: Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on harmonised rules on fair access to and use of data. O texto pode ser acessado em: https://digital-strategy.ec.europa.eu/en/library/data-act-proposal-regulation-harmonised-rules-fair-access-and-use-data

[4] A European Estrategy for Data foi lançada em fevereiro de 2020. Para saber mais sobre suas linhas principais, acesse o site oficial da União Europeia, na seguinte página: https://ec.europa.eu/commission/presscorner/detail/en/ip_20_273

[5] Para maiores informações sobre o regulamento em questão, sugerimos a leitura do nosso artigo “O GOVERNANCE DATA ACT - A estratégia europeia para manter a soberania sobre os dados e conter o domínio dos mercados digitais pelas big techs”, publicado na Revista Jus Navigandi, disponível em: https://jus.com.br/artigos/87649

[6] Os “data spaces” representam um modelo alternativo de gerenciamento de dados ao que é hoje praticado pelas grandes plataformas.   As grandes empresas de tecnologia, com suas “plataformas” que controlam os diversos nichos dos mercados digitais, levam extrema vantagem no acesso e acumulação dos dados gerados pelos usuários, o que facilita o domínio dos mercados digitais e propicia comportamento anticompetitivo. O monopólio de dados gera uma vantagem competitiva extraordinária. As grandes empresas de tecnologia adquirem um grande poder de mercado, cada uma dentro de determinado nicho, em razão de seus modelos de negócios, que lhes permitem controle sobre imensas quantidades de dados. A criação dos “data spaces” tem a finalidade de quebrar   o monopólio de dados pelas grandes plataformas e empresas de tecnologia, retirando-lhes a exclusividade no gerencimento dos dados que coletam e armazenam. Os data spaces terão um papel importantíssimo na economia de dados (data economy), na medida em que vão permitir e fomentar o compartilhamento dos dados.

[7] A Internet das Coisas (IoT) descreve a rede de objetos físicos incorporados a sensores, software e outras tecnologias com o objetivo de conectar e trocar dados com outros dispositivos e sistemas pela Internet. Esses dispositivos variam de objetos domésticos comuns a ferramentas industriais sofisticadas.

[8] Os dados representam a digitalização das ações e eventos do usuário, durante a utilização de um equipamento conectado à IoT.

[9] Esses equipamentos podem incluir veículos, aparelhos domésticos e bens de consumo, dispositivos médicos e de saúde ou máquinas agrícolas e industriais.

[10] Abreviatura para Internet of Things.

[11] O Regulamento Geral sobre a Proteção de Dados (Regulamento EU 2016/679 do Parlamento e do Conselho Europeu) é um regulamento do direito europeu sobre privacidade e proteção de dados pessoais, aplicável a todos os indivíduos situados no território da União Europeia, editado em 24 de maio de 2016 e que entrou em vigor em 25 de maio de 2018. 

[12] A lei brasileira de proteção de dados pessoais, a LGPD (Lei n. 13.709, de 14 de agosto de 2018), conceitua dado pessoal como a “informação relacionada a pessoa natural identificada ou identificável” (art. 5º., inc. I).

[13] Para melhor compreensão da diferença entre dados pessoais e dados não pessoais, sugerimos a leitura do artigo do Prof. Manuel Masseno, sob o título “Informação é poder – para lá da Propriedade Intelectual e dos Dados Pessoais”, disponível em: https://ioda.org.br/informacao-e-poder-a-propriedade-intelectual-e-os-dados-pessoais/