Cooperação internacional em proteção de dados: conhecendo a Rede Iberoamericana de Proteção de Dados e seu Fórum da Sociedade Civil

Temas complexos como privacidade e proteção de dados, que demandam intercâmbio de informações para a aplicação mais efetiva de leis e compartilhamento de melhores práticas, são áreas que se beneficiam de mecanismos de cooperação internacional. Em regiões como a Europa, historicamente mais atenta a esses direitos, são famosos exemplos como as diretrizes do Conselho da Europa (CoE) e da Organização para a Cooperação e Desenvolvimento Econômico (OCDE). Você sabia, porém, que há uma série de outros âmbitos dedicados à cooperação internacional para proteção de dados – inclusive no Sul Global?

Na região da América Latina, o mecanismo de maior destaque a respeito é a Rede Iberoamericana de Proteção de Dados (RIPD). Formada há quase 20 anos, a RIPD é constituída por órgãos de diversos setores e possui uma série de iniciativas e atividades para fortalecer o intercâmbio de informações e desenvolvimento de políticas eficientes para a proteção de dados na região. Atenta ao diálogo entre os diversos setores, a RIPD conta, inclusive, com o seu próprio Fórum da Sociedade Civil (FSC-RIPD), do qual a Associação Data Privacy Brasil de Pesquisa faz parte.

Em 2021, a RIPD ganhou espaço nas notícias brasileiras quando a ANPD tornou-se membro da Rede, mas ainda segue pouco conhecida no país. Neste post, vamos explicar um pouco sobre a Rede Iberoamericana de Proteção de Dados, um mecanismo regional para cooperação na seara de privacidade e proteção de dados e que envolve organizações de diversos setores, para entender sobre sua história, estrutura, funcionamento e contribuições para promover os direitos de proteção de dados dos cidadãos na região Iberoamericana. 

A Rede Iberoamericana de Proteção de Dados

• Surgimento e história

A cooperação internacional é um poderoso instrumento de articulação entre Estados e organizações para atingir um objetivo comum, desde questões políticas a econômicas, e aplicável às mais diversas searas. Em temas multifacetados como a proteção de dados pessoais, a importância da cooperação internacional torna-se evidente a partir de desafios práticos: pautas como a aplicação extraterritorial de normas e a implementação de mecanismos de salvaguarda para fluxos internacionais de informações são exemplos de como a cooperação entre países é necessária para que esses direitos sejam devidamente exercidos.

Para além de uma necessidade, a atenção ao contexto internacional representa também uma oportunidade para a proteção de dados pessoais. O movimento de regionalização permite identificar similaridades geopolíticas e socioeconômicas com os países próximos, o que representa uma potência para a superação de desafios em comum e para a construção de políticas e práticas que sejam mais eficientes e adequadas à população local. 

Tanto pela conveniência quanto pela necessidade, 14 países da região Iberoamericana perceberam, já em 2003, o potencial de uma articulação conjunta para promover a proteção de dados pessoais de seus cidadãos e consolidá-la como direito fundamental, além de estimular o desenvolvimento socioeconômico regional. Por isso, celebraram naquele ano o Encontro Iberoamericano de Proteção de Dados (EIPD), no qual chegou-se a um acordo que deu origem à Rede Iberoamericana de Proteção de Dados (RIPD). O resultado foi reforçado também em 2003, na Declaração Final da XIII Cúpula dos Chefes de Estado e Governo dos países Iberoamericanos.

Além de ser um resultado concreto desses encontros, o surgimento da RIPD foi um marco para a região porque trouxe um caráter de articulação permanente: desde o início, a Rede propõe-se a ser um fórum para integrar atores de diversos setores para aproximar projetos e iniciativas sobre proteção de dados pessoais em um intercâmbio contínuo de conhecimento e experiências. Com tais trocas, a Rede busca promover desenvolvimentos normativos para uma regulação avançada de proteção de dados pessoais em um contexto democrático e que aproxime os vínculos desses países.

Mais do que um entusiasmo, a proposta inicial mostrou-se consistente e com resultados relevantes: ao longo de seus 19 anos de existência, a Rede promoveu anualmente Encontros e Seminários sobre diversos temas de interesse em proteção de dados, desde o estudo de novas tecnologias a transferências internacionais. Hoje, a Rede se consolidou como o principal promotor de diálogo e iniciativas de proteção de dados na região Iberoamericana e, em termos de impacto, beneficia mais de 350 milhões de cidadãos latinoamericanos que hoje contam com leis de proteção de dados pessoais e autoridades locais para protegê-las. 

Dentre os avanços regulatórios da RIPD, além do suporte aos processos locais de formulação de leis de proteção de dados desde 2003, vale o destaque para as “Diretrizes de Proteção de Dados Pessoais para Estados Iberoamericanos”, aprovadas em junho de 2017 no XVI Encontro Iberoamericano de Santiago do Chile. As diretrizes contaram com o apoio da Comissão Europeia em sua elaboração e servem como um modelo regional de referência para o direito de proteção de dados – tanto para a revisão das normas existentes, quanto para a elaboração de normas futuras.

As Diretrizes aprovadas em 2017 têm fundamental importância para a RIPD porque trouxeram, consigo, o reforço de objetivos que a Rede busca atender: estabelecer um conjunto de princípios e direitos comuns de proteção de dados que os Estados Iberoamericanos podem adotar em suas legislação nacional; garantir a tutela e o exercício do direito à proteção de dados para qualquer pessoa física na região; facilitar o fluxo de dados pessoais entre os Estados Iberoamericanos e entre outras fronteiras; e favorecer a cooperação internacional entre as autoridades. Os objetivos refletem o esforço e compromisso da Rede em tornar as normas locais de proteção de dados mais harmônicas e integradas para favorecer o crescimento econômico e social da região. 

Vale destacar que a Rede tem um marcado interesse em desenvolver o fluxo internacional de dados na região – inclusive, obter a Declaração de Adequação por parte da Comissão Europeia é um dos fatores que leva a Rede a estimular o desenvolvimento da regulação normativa das instituições que a compõem.

Para além das diretrizes de 2017, a Rede possui um Regulamento que detalha seus objetivos e sua organização. O Regulamento foi aprovado em 2008 no VI Encontro Iberoamericano de Proteção de Dados e revisado no XVI EIPD, em 2018, em São José da Costa Rica. 

• Composição 

Como observado na história da formação da RIPD, a criação da Rede é fruto de acordos entre governos da região iberoamericana. Como reflexo desse movimento, compõem a RIPD entidades governamentais e intergovernamentais – via de regra, autoridades de proteção de dados, mas também outras agências que se aproximam do tema. 

Vale destacar que, em que pese a RIPD ser composta por entidades do setor público, é notório o diálogo com os demais setores no desenvolvimento de suas atividades. Isso é evidenciado, por exemplo, pela existência do Fórum da Sociedade Civil da RIPD, um canal de comunicação e proximidade entre as autoridades membros da Rede e organizações da sociedade civil interessadas. 

Em 2021, a Autoridade Nacional de Proteção de Dados (ANPD) ingressou na RIPD, tornando o Brasil um país membro da Rede. São também países membros: Andorra, Argentina, Chile, Colômbia, Costa Rica, Espanha, México, Panamá, Peru, Portugal e Uruguai. 

Além dos membros, a Rede conta com entidades observadoras de Cabo Verde, El Salvador, Guatemala, Honduras, Equador, Paraguai, São Tomé e Príncipe, República Dominicana e também das organizações internacionais FIIAPP, EDPS, OEA, Conselho da Europa e Instituto Interamericano de Direitos Humanos (IIDH).

• Estrutura e funcionamento

Aqui apresentadas de forma sintética, a estrutura e a organização da RIPD são elementos que também auxiliam na compreensão de como os compromissos da Rede podem ser alcançados e nos desafios políticos para o futuro. Em maiores detalhes no Título III de seu Regulamento, a organização da RIPD é dividida em Presidência; Secretaria Permanente; Comitê Executivo; e Sessões Fechadas dos membros da Rede.

A Presidência da RIPD é responsável por representar a Rede institucionalmente e em fóruns de proteção de dados; engajar-se em iniciativas legislativas de proteção de dados na região iberoamericana; e presidir as reuniões do Comitê Executivo. Renovada a cada dois anos e decidida por maioria simples entre os membros presentes na Sessão Fechada, a RIPD é atualmente presidida pela Superintendência de Indústria e Comércio da Colômbia (SIC) para o biênio 2021-2022. 

Por sua vez, a Secretaria Permanente da Rede corresponde à Agência Espanhola de Proteção de Dados (AEPD). Pode-se dizer que as funções da Secretaria concentram aspectos decisórios e executivos essenciais para as atividades da Rede: dentre suas atribuições, a AEPD é responsável por estabelecer contato com organismos nacionais e internacionais para apoios técnicos e logísticos das atividades da Rede; executar as decisões e projetos aprovados em Sessão Fechada; ser o canal de comunicação entre os membros da RIPD; promover e coordenar atividades de grupos de trabalho; avaliar a incorporação de novos integrantes e convites de experts e observadores aos eventos da Rede. 

De outro lado, o Comitê Executivo – composto pela Secretaria Permanente, Presidência e três Membros (“Vocalías”) – é responsável por aprovar o programa de trabalho da Rede; organizar as Sessões Fechadas; participar dos eventos da Rede; aprovar a constituição de grupos de trabalho e cooperar com a Secretaria Permanente em suas funções.

Por fim, a Sessão Fechada da RIPD funciona como sua Assembleia Geral e tem por finalidade concentrar os aspectos decisórios mais relevantes, como escolha da presidência e definição da direção estratégica da RIPD. Compõem a sessão fechada todos os Membros e Observadores da Rede, embora apenas os primeiros tenham voz e voto. Além disso, também podem participar, convidados e também de forma limitada, organizações da sociedade civil e experts em proteção de dados.

O panorama da estrutura da RIPD evidencia que, mesmo entre instituições em grau de paridade e advindas do mesmo setor, há um maior grau de protagonismo para algumas entidades governamentais dentro da Rede: Membros e Observadores não possuem o mesmo nível de participação; além disso, a Agência Espanhola de Proteção de Dados é uma figura central e com espaço permanente para aspectos de articulação entre as autoridades, além de concentrar a gestão dos membros, projetos e atividades da Rede. 

O Fórum da Sociedade Civil (FSC-RIPD): a voz e a vez da sociedade civil na Rede Iberoamericana de Proteção de Dados

Uma breve análise da história e estrutura da RIPD permite observar a intensa mobilização do setor governamental para o fomento da proteção de dados pessoais na região Iberoamericana. Sabe-se, no entanto, que a elaboração política beneficia-se da diversidade de perspectivas setoriais e permite atingir resultados mais benéficos à tutela dos direitos fundamentais da população. Além disso, o terceiro setor, cuja existência é voltada à solução de problemas sociais, conta com organizações da sociedade civil com expertise em direitos digitais, as quais têm bastante a contribuir no espaço de construção de cultura de proteção de dados da RIPD.

De fato, as organizações da sociedade civil estiveram presentes em eventos e marcos ao longo da trajetória de formação da RIPD mas, até 2018, não contavam com um espaço formal que aproximasse o diálogo entre os setores, e sentiam falta de mecanismos participativos e de transparência em relação às atividades da Rede. Naquele ano, uma intensa campanha de ativistas e organizações que desejavam um trabalho mais amplo na proteção e promoção de direitos fundamentais destacou que a RIPD, a maior referência regional para a regulação de proteção de dados, ainda carecia de um debate mais amplo e participativo.

Na carta de campanha enviada à RIPD em março de 2018, a campanha pontuou que “a contribuição das organizações da sociedade civil é fundamental, pois oferecem uma perspectiva de defesa dos direitos humanos e representam as demandas de setores negligenciados ou minoritários, que de outra forma poderiam ser impedidos de serem ouvidos nesses tipos de áreas e influenciar a tomada de decisões.” Além disso, evidenciou que a proteção de dados pessoais “é um dos pilares da governança contemporânea da Internet e que, de acordo com a ‘Reunião Multissetorial Global sobre o Futuro da Governança da Internet’ de 2014, os processos decisórios devem incluir múltiplos stakeholders e devem ser inclusivos e equitativos”.

A campanha do terceiro setor também foi enfática quanto ao potencial contributivo da sociedade civil para o objetivo da Rede de alcançar um marco regulatório que respeite integralmente os direitos dos indivíduos. Ressaltando, inclusive, os compromissos assumidos nas diretrizes de 2017 no Encontro ocorrido no Chile, o esforço resultou na formalização de um espaço participativo na RIPD: graças à campanha, a Rede inseriu em seu Regulamento (artigo 15, versão modificada de 2018) uma seção específica formalizando o Fórum da Sociedade Civil.

Fruto de uma conquista e com importância estratégica, o Fórum da Sociedade Civil (FSC) da RIPD é o espaço que cria esse canal de comunicação e colaboração entre as organizações da sociedade civil e as autoridades e membros que compõem a RIPD. O FSC busca trazer a perspectiva de direitos humanos e abordagem baseada no cidadão para a proteção de dados pessoais e privacidade em toda a Iberoamérica. 

Hoje, o Fórum da Sociedade Civil da RIPD é composto por 12 organizações dedicadas ao estudo e projetos em direitos humanos e tecnologias da informação e comunicação, todas da América Latina. Somos elas: ADC – Asociación por los Derechos Civiles; Associação Data Privacy Brasil de Pesquisa; Datos Protegidos; Hiper Derecho; Idec – Instituto Brasileiro de Defesa do Consumidor; InternetLab; Ipandetec; Fundación Karisma; Privacy Latam; R3D – Red en Defensa de los Derechos Digitales; Sulá Batsú – Cooperativa; TEDIC – Tecnología y Derechos Humanos. Outras organizações interessadas em participar podem consultar o processo de ingresso e admissão ao FSC, o qual reconhece a importância dos direitos a serem tutelados e, ao mesmo tempo, a dimensão dos desafios pela frente e o potencial de mais colaborações. 

Desde sua constituição, o Fórum da Sociedade Civil tem realizado uma série de atividades em parceria com a RIPD com o objetivo de contribuir para melhorias regulatórias e disseminação de informações para fortalecer uma cultura de proteção de dados na região. Do ponto de vista de colaboração normativa, há três principais contribuições técnicas enviadas à rede sobre prevenção à violência digital de gênero; gestão de dados pessoais em serviços em nuvem e tratamento de dados pessoais utilizando tecnologias de inteligência artificial.

O FSC também tem se dedicado a difundir informações sobre os mais variados temas envolvendo direitos fundamentais relativos à proteção de dados. Já em seu segundo ciclo de webinars, o FSC vem realizando eventos que abordaram, entre outros, reflexões sobre inteligência artificial e direitos humanos, alterações em políticas de privacidade por big techs e relatórios de avaliações de impacto e direitos humanos – este último realizado pela Associação Data Privacy Brasil de Pesquisa. 

Afinal, por que devemos estar mais atentos à Rede Iberoamericana de Proteção de Dados?

Quanto mais espaços e atores dedicados a aprimorar a regulação e práticas em torno de proteção de dados, mais beneficiada será a população. Ao longo de seus quase 20 anos de existência, a RIPD tem se mostrado mais do que um compromisso em torno deste ideal: trata-se de um verdadeiro projeto que vem concretizando conquistas para os cidadãos da região. Há, nesse sentido, tanto oportunidades quanto desafios para a proteção de dados no Brasil que tornam imprescindível o olhar regional e atento à RIPD.

De um lado, o recente ingresso da Autoridade Nacional de Proteção de Dados na Rede aponta para mais atividades a serem desenvolvidas no âmbito regional. No XIX Encontro da RIPD, primeira participação da ANPD, o Diretor-Presidente Waldemar Gonçalves Ortunho Junior indicou perspectivas de colaboração com os países e com outras Autoridades, sinalizando o estreitamento de relações e trocas de experiências. 

No mesmo momento em que ingressou na RIPD, a Autoridade Nacional de Proteção de Dados firmou um Memorando de Entendimento com a AEPD, a Secretária Permanente da Rede. O Memorando, ou MoU, define bases de colaboração entre as Autoridades e tem, entre seus objetivos, garantir a cooperação conjunta em matéria de proteção de dados pessoais, promover a disseminação do direito à proteção de dados pessoais e estabelecer trocas de conhecimentos e melhores práticas para capacitação das equipes internas de ambas as instituições. Além disso, o MoU com a AEPD é o primeiro instrumento do tipo assinado pela ANPD e reflete compromissos do Planejamento Estratégico da Autoridade, especialmente o do fortalecimento da cultura de proteção de dados pessoais a partir do diálogo multissetorial. 

Um outro destaque sobre o MoU entre ANPD e AEPD é que o documento parte do reconhecimento da “necessidade de garantir o processamento adequado de dados pessoais e riscos na circulação e troca de informações pessoais transfronteiriças, a crescente complexidade das tecnologias de informação e a consequente necessidade de aumentar a cooperação internacional” – precisamente um dos principais pontos de atenção da Rede desde o seu surgimento. Além de demonstrar a aproximação com o espaço da RIPD em si, a ANPD demonstrou compartilhar valores similares aos de sua Secretária Permanente: ao firmar o MoU, Gonçalves mencionou em comum o respeito à privacidade, autodeterminação informativa, liberdade e livre desenvolvimento da personalidade do indivíduo.

Além da aproximação da Autoridade Nacional com a Rede, o potencial desse espaço para outros setores, em especial a sociedade civil, é um fator que não pode ser ignorado, ainda mais quando levados em consideração aspectos de conjuntura política. O fato de o Brasil compartilhar com seus países vizinhos quadros socioeconômicos similares representa uma oportunidade para o fortalecimento do marco regulatório nacional de proteção de dados em ao menos duas frentes: de um lado, o aprendizado a partir de experiências estrangeiras; de outro, a articulação para unir vozes do Sul Global em contextos mais amplos e projetar as reais necessidades da conjuntura local para promover o exercício de direitos fundamentais, em especial de grupos minoritários. 

Os objetivos, atividades e eventos realizados tanto pela RIPD quanto pelo FSC estão disponíveis em suas páginas próprias. O site da RIPD encontra-se disponível pelo link. O site do FSC, criado recentemente e traduzido para português pela Associação Data Privacy Brasil de Pesquisa, pode ser acessado aqui.