A Emergente Ordem Multilateral na Regulação de Privacidade

Nota do Lionel: Bem-vindo ao quarto e último post da nossa série Future Insights 2025. Neste artigo, o Field CTO & Diretor de Negócios Estratégicos para a região APAC, Nick Savvides, explora a regulação de privacidade e as forças que a impactarão no futuro. Clique para ler os posts anteriores da série.

Dois anos atrás, apresentei a primeira de uma série de palestras prospectivas examinando o impacto da geopolítica e das dinâmicas demográficas no cenário global de cibersegurança. Uma das minhas principais previsões foi que uma ordem mundial mais multilateral estava se formando, com implicações significativas para a cibersegurança. Desde o consumo de tecnologias até sua construção; da contratação de especialistas em cibersegurança à implementação de automação por IA; do financiamento de startups ao cumprimento de regulamentações — tudo isso se tornaria significativamente mais difícil, complexo e caro.

Aqui, vou me aprofundar em uma parte desse cenário amplo: como a fragmentação da regulação global de privacidade impactará a segurança de dados. Vejo que a adoção da IA acelerará essa tendência, levando a grandes desenvolvimentos e desafios em 2025.

Uma tendência antiga ganhando velocidade

As regulamentações de privacidade não são novidade, estando presentes em uma forma ou outra há décadas. Já tivemos regulações em níveis nacional, subnacional e supranacional, cobrindo áreas diferentes e, muitas vezes, sobrepostas.

Essa sempre foi uma área complexa, mas a era da internet aumentou consideravelmente essa complexidade, à medida que reguladores tentaram modernizar suas abordagens. Nos anos 1990 e 2000, assistimos a mudanças significativas e à introdução de novas leis em todas as principais jurisdições. Em algumas regiões, até enfrentamos regulações conflitantes, especialmente em relação à coleta e retenção de dados, onde cumprir uma norma significava não estar em conformidade com outra.

Por volta de meados da década de 2010, as empresas já lutavam para manter conformidade com a miríade de regras, e a situação se complicou ainda mais com as implicações extrajurisdicionais do Regulamento Geral de Proteção de Dados (GDPR) europeu, que ampliou seu alcance regulatório para qualquer organização que processasse informações de cidadãos da UE.

Por algum tempo, houve esforços coordenados para simplificar as regulamentações, não necessariamente buscando harmonização, mas sim reconhecimento mútuo. Isso foi inspirado no modo como o reconhecimento cruzado beneficiou outras áreas altamente reguladas, como telecomunicações, eletrônicos, e a fabricação de aeronaves e automóveis.

É bem sabido que a regulação excessiva tem um impacto negativo significativo no crescimento econômico e na inovação. Reguladores em todas as áreas buscam equilibrar regulação e inovação. Contudo, é da natureza das normas crescerem continuamente. Grandes mudanças e esforços reais são necessários para simplificá-las e otimizá-las. Por um tempo, tive esperança de que isso ocorresse aqui.

Mas, atualmente, há um nexo de forças agindo contra essa tendência, tudo em um contexto no qual as empresas coletam, processam e armazenam mais dados do que nunca, ao mesmo tempo em que alimentam seus modelos de IA sedentos por dados.

Expansão Regulatória e Fragmentação

Não acredito mais que devemos nutrir muita esperança em relação à simplificação da regulamentação. Uma das principais razões para isso é a mudança geopolítica rumo a uma ordem mundial multilateral.

Minha previsão é que veremos alguma simplificação, mas será em clusters, alinhados com grupos geopolíticos de países. Quando digo isso, frequentemente me perguntam: "Mas isso não é bom, se reduzir a carga de conformidade?" O grande problema é que acredito que haverá uma falta de reconhecimento mútuo forçada e a introdução intencional de diferenças entre os clusters. O atrito e a complexidade serão planejados.

Também prevejo regulamentações significativamente conflitantes, onde algo obrigatório em uma jurisdição será explicitamente proibido em outra. Por exemplo, empresas podem ser forçadas a coletar certas informações em uma jurisdição, mas proibidas de coletá-las em outra. Além disso, algumas informações coletadas podem ser permitidas para determinados fins em um lugar, mas proibidas para os mesmos fins em outro.

Empresas operando entre essas jurisdições precisarão saber quais são suas obrigações, para quais reguladores, quais usuários, quais dados, onde esses dados estão armazenados, como estão sendo usados e como são gerenciados durante seu ciclo de vida.

Tudo isso soa caro e complicado, porque realmente é. Provavelmente, isso resultará em infraestruturas e serviços duplicados, problemas maiores de conformidade, riscos residuais significativos e uma infinidade de políticas e procedimentos dentro das organizações.

A Revolução da IA

Nenhuma discussão atual estaria completa sem mencionar a IA. Empresas estão correndo para usá-la, enquanto governos correm para regulá-la. A IA capturou a imaginação não apenas de criadores, mas também de reguladores.

Ainda estamos nos primórdios da era da IA generativa e da terceirização de tomadas de decisão para sistemas de IA, mas os reguladores estão agindo rapidamente. Já vimos regulamentações significativas e propostas em relação à IA. Infelizmente, para a inovação, algumas regulamentações em certas jurisdições variam de levemente excessivas a incrivelmente onerosas.

Recentemente, fui convidado a participar de um painel no GovWare discutindo considerações de segurança de dados na adoção de IA. GovWare é a maior conferência de cibersegurança da Ásia-Pacífico, com mais de 13.000 participantes. A exposição estava repleta de menções à IA. Apesar disso, não acho que ainda atingimos o auge do hype em torno da tecnologia.

O painel ocorreu no segundo dia, quando o público já havia sido saturado com conteúdo sobre IA. Mesmo assim, as perguntas foram abundantes, não sobre a tecnologia em si, mas sobre governança e segurança, com foco em como gerenciar os dados que a IA demanda.

Isso nos leva ao problema multilateral. Volumes massivos de dados são necessários para que a IA seja eficaz, produtiva e gerativa.

Esse é um problema quando os dados estão sujeitos não apenas a regulamentações fragmentadas e conflitantes de privacidade, mas também a regulações específicas de IA.

Organizações podem se ver restritas a usar IA apenas com dados coletados em determinadas jurisdições. Os trabalhos derivados—ou seja, as saídas geradas pela IA—e os resultados comerciais podem variar entre as jurisdições. Dados combinados, aceitáveis para acesso humano, podem não ser permitidos para uso em sistemas de IA.

Ainda pior, o que acontece com modelos baseados em dados cujo consentimento de uso pode ser revogado pelo titular a qualquer momento?

Essas não são apenas questões de design; são considerações operacionais contínuas.

A IA tornou-se um proxy para objetivos estratégicos geopolíticos, e espero que os desafios atuais em torno do acesso a semicondutores, ferramentas e softwares de IA se expandam para o ambiente de proteção de dados.

Não podemos desistir da regulação de privacidade

Diante de tudo isso, é fácil concluir que todos apenas terão que lidar com as dificuldades: algumas organizações sofrerão violações, outras violarão leis, algumas receberão multas massivas e outras passarão anos em disputas judiciais. Apesar de haver uma parcela de verdade nisso, há medidas que podemos tomar para nos preparar.

Um guia que sempre me ajudou consiste em fazer e responder a duas perguntas:

1. “Sou um bom custodiante dos dados que possuo?”
2. “Estou atendendo às expectativas em proteger esses dados?”

Essas questões continuam valiosas hoje, mesmo em um mundo multilateral. Quando algo dá errado, reguladores razoáveis geralmente avaliam ações com base nessas perguntas.

Escolhi deliberadamente o termo custodiante, pois ele carrega uma grande responsabilidade. Ser um bom custodiante significa saber quais dados você possui, onde estão, quais regulações os cobrem e quem tem acesso a eles. A partir daí, seguem-se a observabilidade e os controles sobre o uso dos dados.

Esse é um bom começo, mas a ordem multilateral exige também eficiência. Isso pode surpreender, dado o número de outras prioridades, mas acredito que a eficiência será determinante para o sucesso ou fracasso.

Organizações devem adotar tecnologias que permitam escalar suas práticas de segurança e privacidade de dados para cobrir esse novo ambiente complexo. Caso contrário, os programas colapsarão, restringindo-se aos mercados principais e negligenciando os demais. Antes, isso poderia ser apenas um infortúnio; agora, pode ser catastrófico.

A eficiência implica ferramentas que capacitem os colaboradores a identificar rapidamente quais regulações se aplicam aos dados que estão utilizando. Isso deve ser combinado com programas de educação reformulados para elevar o entendimento e o gerenciamento de dados.

Embora alguns discordem dessa tese, acredito que todos podemos concordar que os desafios relacionados à segurança, privacidade e regulamentação de dados só tendem a aumentar. É nossa tarefa identificar e implementar soluções para impedir que esses problemas saiam de controle.