A ‘avalanche regulatória' da Europa em torno dos dados é reconhecida por todos. E vai trazer enormes desafios de implementação às organizações, sejam elas públicas ou privadas. Mas ao criar um mercado único de dados, com regras standard aplicáveis a todos os players em todas as atividades, traz também consigo um mundo de novas oportunidades. Afinal, os dados são o motor da economia digital e há que tirar partido deles para criar valor e garantir competitividade. O processo de ajustamento será tudo menos fácil, mas as empresas já se estão a preparar, perspetivando-se que a Europa consiga, de facto, fazer a diferença num negócio com um potencial inimaginável.
Estas foram algumas das principais ideias da mais recente sessão do Digital Union, uma parceria entre a APDC e a VdA, sobre "A Regulação dos Dados na Era Digital". Como começou por salientar Tiago Bessa, Sócio da Área de Comunicações, Proteção de Dados & Tecnologia e da Área de PI Transacional da VdA, esta sessão do Digital Union é a 10ª e por isso "muito especial. Começámos há mais de três anos esta parceria e tocámos em temas muito diferentes e relevantes para o setor digital, focados nas novas políticas e estratégias europeias. Entre 2019 e 2024, foram aprovados mais de 116 diplomas com impacto no setor digital. Se considerarmos que cada diploma tem algumas dezenas de regras, são milhares de novas regras para a sociedade digital".
Esta realidade "traz imensos desafios, de conhecimento e compliance, mas também novas oportunidades para as empresas. Este ciclo da Digital Union tem sido muito focado na importância de partilhar conhecimento, apresentar estratégias e recomendações sobre como as empresas se podem preparar para este puzzle legislativo e também partilhar e tentar descomplicar algumas das regras. No caso deste encontro, os dados são claramente o motor da economia digital. São fundamentais para o desenvolvimento da sociedade e das novas ferramentas tecnológicas, como a IA". E porque "têm um poder tremendo e são a nova riqueza, isso atraiu a atenção do legislador".
E, de facto, o tema dos dados no espaço europeu "tem tanto de abrangente como de complexo", como começa por salientar a Associada Coordenadora Comunicações, Proteção de Dados & Tecnologia da VdA, que fez o enquadramento do tema deste webinar. Para Maria de Lurdes Gonçalves, a regulação dos dados é necessária porque hoje estes "assumem um papel central na nossa sociedade, com uma utilização transversal a todos os setores de atividade. Os dados representam o ativo mais valioso para empresas e entidades públicas e são incontornáveis, porque toda a inovação do mundo digital assenta neles".
Atualmente, como refere, os dados têm um impacto não só no desenvolvimento de novos produtos e serviços, cada vez mais diversificados e personalizados, mas também ao nível da tomada de decisões estratégicas das empresas. E, sejam pessoais ou não pessoais, "estão presentes em todas as tecnologias que estão na ordem do dia. A IA alimenta-se de dados, o IoT gera dados, a blockchain armazena dados e o 5G acelera as transferências de dado. São o denominador comum", num mundo que produz cada vez mais dados.
Mas há também riscos e desafios, nomeadamente em termos de privacidade e proteção de dados pessoais, pelo potencial intrusivo que a utilização massiva de dados pode ter para os direitos fundamentais dos cidadãos. Assim como há desafios de cibersegurança ou ainda riscos que decorrem da concentração do poder digital em algumas tecnológicas, que "detêm a maioria dos dados disponíveis e que não estão propriamente interessadas em criar soluções de interoperabilidade para o acesso a esses dados".
REGULAR PARA CRIAR CONDIÇÕES IGUAIS
A resposta de Bruxelas a esta realidade de crescente importância dos dados e dos riscos da sua utilização no contexto da economia digital tem sido a regulação. Esta, refere a responsável, "deve ser vista de uma forma abrangente. A regulação dos dados, que em si mesma já é bastante complexa, vai ter de viver com a regulação de uma série de outras matérias, como a regulação dos serviços digitais e das comunicações eletrónicas, da cibersegurança, da IA e outras tecnologias emergentes, dos serviços audiovisuais, dos conteúdos ilegais e do direito de autor e direitos conexos".
E se a multiplicidade de regulamentos é "dificil de acompanhar e representa inúmeros desafios para as organizações", num "quadro regulatório que já é bastante denso", o "ritmo legislativo não está propriamente a abrandar", não só em termos de produção de regulamentos como das várias orientações que vão saindo sobre estas matérias, ao nível europeu e nacional. Espera-se para breve a aprovação do regulamento ePrivacy, assim como os regulamentos dos espaços europeus de dados.
Em toda esta multiplicidade de normas, a responsável da VdA centrou-se em três diplomas em especial, que surgem no âmbito da Estratégia Europeia para os Dados, aprovada em 2020 e que visa criar um verdadeiro mercado único dos dados: Data Governance Act, Data Act e Common Data Spaces . Com eles, a UE pretende assumir-se como líder na economia mundial dos dados, contrariando a tendência de estes serem dominados por um pequeno grupo de tecnológicas.
Assim, como avança, o Data Governance Act vem responder a uma necessidade já identificada de que o potencial dos dados públicos está subaproveitado, enquanto o Data Act o complementa, numa perspetiva mais virada para o setor privado, clarificando quem pode criar valor a partir dos dados e sob que condições. É também estabelecido um enquadramento para os espaços comuns de dados, enquanto terceiro pilar da estratégia europeia. Sendo que qualquer um dos diplomas se aplica a dados pessoais e não pessoais.
Detalhando cada um dos diplomas, explica que o Data Governance Act, publicado em junho de 2022, é aplicável desde 24 de setembro de 2023, embora "muitas das organizações ainda não despertaram necessariamente para este tema". Este regulamento aplica-se aos organismos do setor público, aprestadores de serviços de intermediação de dados e às organizações de altruísmo de dados reconhecidas (até agora só existe uma entidade registada na EU). E visa garantir uma maior partilha de dados entre as entidades publicas e privadas, a criação de um quadro de notificação e compliance para os prestadores de serviços de intermediação de dados e um regime de registo voluntário para as entidades que recolham e tratem dados para fins altruístas.
Já o Data Act cria regras sobre quem pode aceder e utilizar os dados que são gerados na UE e para que fins em todos os setores económicos. Centra-se principalmente nos dados industriais e não pessoais, mas acaba também por ser relevante para a proteção de dados pessoais. Tendo entrado em vigor em janeiro último, será aplicável a partir de 12 de setembro de 2025, para dar ao mercado tempo para se preparar. Como antecipa a oradora, o regulamento "pretende eliminar um certo monopólio de dados que existia apenas do lado dos produtores dos bens, produtos e aplicações e dos prestadores de serviços, abrindo o acesso a muito mais entidades".
Na sua perspetiva, o Data Act vai "facilitar o acesso e utilização de dados que são gerados por consumidores e empresas, através de uma partilha de dados B2C e B2B by default. Deve promover a utilização os dados das empresas para fins específicos de interesse público em caso de necessidade, criar as condições necessárias para que os clientes possam alternar entre os diferentes fornecedores e prestadores de serviços cloud, evitar a transferência ilícita de dados para países terceiros e criar normas de interoperabilidade entre setores, que permitam uma reutilização dos mesmos".
Por fim, destaca os European Data Spaces, que "serão uma espécie de pools de dados partilhados, organizados sectorialmente (para nove áreas distintas), que poderão ser utilizados para fins altruístas ou comerciais. Além de facilitarem a livre circulação de dados na UE e de fomentarem a criação de novos produtos e serviços, pretende-se com eles superar os obstáculos jurídicos e técnicos à partilha de dados entre as organizações, com o desenvolvimento de regras comuns". O primeiro, aprovado a 24 de abril deste ano, será o de Saúde. E aguarda-se para breve o da mobilidade. Cada um incluirá instrumentos e plataformas comuns de partilha de dados, quadros de governação e mecanismos para aumentar a disponibilidade, qualidade e interoperabilidade dos dados.
"Estamos perante uma enorme complexidade, atual e futura, do ecossistema regulatório dos dados. Que começa desde logo pela dificuldade de conhecer e enquadrar os players desta economia de dados, que são muitos. Os diplomas são muito densos, para além de extensos", salienta Maria de Lurdes Gonçalves. Que alerta ainda para a existência de um conjunto de desafios na articulação destes novos diplomas com o RGPD. E para as dúvidas que persistem sobre as entidades responsáveis pelo enforcement destas regras. Ou ainda desafios como o equilibro entre o princípio da minimização e do privacy by design e by default.
Mas se os desafios são muitos, havendo "claramente a tendência de olhar para a legislação como um obstáculo", ela tem também de ser olhada como uma oportunidade. E, para isso, "é absolutamente crítico reconhecer os dados como um ativo e saber tirar partido deles em termos de inovação. Os dados permitem múltiplas utilizações e por várias organizações em simultâneo, proporcionam informações precisas e atualizadas, permitindo às organizações tomarem decisões mais estratégicas e baseadas em evidências. Têm ainda um impacto muito importante na sustentabilidade e permitem otimizar processos e procedimentos, só para dar alguns exemplos".
Aproveitar as oportunidades terá de passar, na sua ótica, pela adoção de uma estratégia de dados, "que pode ter um poder realmente transformador para uma empresa, independentemente do seu setor de atividade. Há que ter um plano abrangente - que oriente os processos, as políticas, as tecnologias - para a recolha, armazenamento e utilização dos dados. E é fundamental alinhar estas iniciativas com os objetivos de negócio, para que se possa desbloquear todo o potencial dos ativos de dados. Isto não é apenas algo de desejável. É crucial para o crescimento dos negócios e para a competitividade das organizações".
ENTRE OS DESAFIOS E AS OPORTUNIDADES
No debate que se seguiu, moderado por Sandra Fazenda Almeida, diretora Executiva da APDC, e por Tiago Bessa, ficou claro que os players do mercado - das áreas da indústria das telcos, setor financeiro e saúde - se estão a preparar para este novo enquadramento dos dados e a tentar retirar dele todos os benefícios possíveis. Ainda que as dúvidas e receios sejam muitos, vêm aqui uma oportunidade de criar um verdadeiro mercado único de dados no espaço comunitário, com todos os benefícios que isso poderá trazer aos respetivos negócios.
A Nokia é um dos casos em que se olha com expetativa para o que vai acontecer na UE. Sara Louro, Senior Legal Counsel da subsidiária nacional do grupo finlandês, começa por dizer que "se as dificuldades que são muitas, com esta avalanche de regulamentos, está a ser feito o caminho para que a Europa consiga atingir os objetivos de ter um mercado de circulação de dados livre entre os estados-membros, setores, empresas e investigadores". Ainda que destaque que dentro da fabricante há vozes bem mais críticas, que consideram que este não é o caminho e que a regulação é excessiva e detalhada demais, com incoerência entre as várias legislações, o que poderá criar entraves às empresas, sobretudo às PME, e ser um entrave ao desenvolvimento tecnológico.
Mas, tendo em conta que o mercado europeu compete como blocos gigantescos como os Estados Unidos ou a China, tem mesmo de ser feito este caminho de criar um mercado único em várias frentes, para se fomentar a liberdade de circulação. O digital é um deles, com todas as áreas que envolve, como os dados, a IA ou a cibersegurança, avança João Ferreira Pinto. Para o DPO da SIBS, "um dos objetivos de Bruxelas foi identificar um conjunto de burocracias, ineficiências e ineficácias que matavam a competitividade da economia digital europeia, pela falta de uniformização. Portanto, vejo com muita alegria todos estes diplomas e a uniformização de regras. É uma excelente ferramenta de competitividade".
A Head of Innovation & Head Virtual Client da Lusíadas Saúde concorda que a standartização facilita a vida das empresas em muitas áreas. Sobretudo quando se trabalha com tecnologias exponenciais. "Tal como as tecnologias, os dados também têm de ser exponenciados em quantidade e qualidade. Isso é o desafio, talvez o maior. Precisamos de um mercado que não seja tão fragmentado e seja mais uníssono na estrutura e na permissão de utilização", defende. Ainda assim, Sofia Couto da Rocha considera que para que os novos diplomas "sejam trampolins e não prisões" terão ainda de se clarificar e definir muitos detalhes e essa deverá ser a componente mais complexa.
Num setor altamente regulado com é a saúde, habituado a garantir a segurança dos dados e dos clientes, as novas regras vêm abrir um novo mundo de avanços e de possibilidades de acesso a soluções fora do país. O que permitirá adquirir mais ferramentas para fazer frente aos grandes grupos mundiais de tecnologia que estão a entrar em forna no negócio. Para a gestora e médica, "já sabemos que ir rápido não significa sempre ir bem, pelo que haverá sempre um trade off entre se queremos ser os primeiros ou os mais consistentes. Este desafio cabe-nos a todos, em papeis diferentes nos próximos anos. Será talvez o grande desafio dos próximos cinco anos".
Relativamente ao desafio do primeiro Data Space ser o da Saúde, considera que não será tão disruptivo como se previa. "A verdade é que estamos a começar pequeno e ainda bem, pelo menos para países pequenos como Portugal e já muito digitalizado, não será uma disrupção assim tão grande numa fase inicial", diz.
E acrescenta que o que identifica "como maior desafio para as próprias entidades publicas e privadas é ao nível estratégico. Como é que, individualmente ou como grupo setorial, nos queremos posicionar em relação a estas novas aproximações da governança de dados?". É que se em termos de organização de dados, interoperabilidade, estrutura, data sets e formas de organização, cinco anos é um horizonte muito pequeno para as empresas, em termos tecnológicos é demasiado tempo. "Este equilíbrio entre o que é um horizonte longo em termos estratégicos e um horizonte longo em termos tecnológicos acaba por ter uma ambivalência francamente dificil de decisão à data de hoje. E esse será provavelmente o diferencial entre as organizações que vão realmente ser vanguardistas e drivers de mudança e de afirmação de boas práticas e as que ficarão mais para trás, à espera de que alguém indique o caminho", remata.
Para já, e porque o Data Act só será aplicado em setembro do próximo ano, na Nokia foi criada uma equipa para o grupo se preparar para a adoção da legislação, quer em rermos de organização quer de produtos. Sara Louro diz que já foram identificados alguns dos impactos, nomeadamente no design de produtos, e nas condições dos contratos. Uma das grandes preocupações reside no tema da partilha dos dados a terceiros, quando solicitado, tendo em conta a questão da propriedade intelectual e dos segredos comerciais. Num grupo de grande dimensão, há ainda muito a fazer, mas a experiência que ganharam com a implementação do RGPD será certamente uma mais-valia.
Também o negócio bancário é dos mais regulados do mercado, pelo que os temas de compliance dos dados, assim como a segurança e a cibersegurança já são há muito prioridades na SIBS, como assegura João Ferreira Pinto. Por isso, a aplicação das novas regras não será dificil. "A SIBS é um megasubcontratante: trabalhamos e fornecemos serviços ao setor bancário, na rede multibanco e no MBWay. É uma responsabilidade enorme e temos um desafio diário de manter o compliance com todos os diplomas nacionais e europeus", explica, adiantando que o desafio é o de "manter a inovação a funcionar", com ofertas que mantenham o grupo na "linha da frente e com capacidade competitiva". É que a concorrência vem de gigantes do mercado, num "campo aberto no mercado único digital".
Mas, perante o que muitos consideram ser uma ‘avalanche de regulação europeia', como se perspetiva que os players do mercado irão reagir? Olhando para o ‘copo meio-cheio', a responsável da Lusíadas Saúde diz que a aposta pela por uma inovação sistemática, quando o risco associado não é demasiado grande, trabalhando não só a saúde, mas também a prevenção, à medida que o acesso aos dados for sendo cada vez maior e de forma partilhada. Há ainda que saber resolver o desafio da necessária transformação das organizações, o que implicará muitos investimentos. E enfrentar os viés, principalmente em termos de resistência cultural. "Temos de ser mais ágeis e mais conscientes, trabalhando mais rápido com os dados", alerta.
Já a representante da Nokia defende que a legislação visa a proteção dos titulares dos dados, que é fundamental. E será aí que a Europa se vai diferenciar de outros países, onse persistem lacunas e disparidades. É que "é preferível ter um ordenamento jurídico regulado e que protege os direitos de todos do que ter um com lacunas visíveis".
João Ferreira Pinto destaca a questão fundamental da competitividade: "Quem está presente no mercado europeu tem de cumprir as mesmas regras dos que cá estão. Senão, há concorrência desleal. Dizer que estamos sobreregulados é um discurso perigoso. Prefiro estar num espaço único regulado e o mercado único digital é neste momento astronómico".
A fechar este encontro, Maria de Lurdes Gonçalves deixa algumas recomendações às organizações, públicas e privadas, para fazerem face às novas regras. Primeiro, começar por fazer uma análise de escopo, compreendendo que medida estes diplomas se aplicam à sua realidade. Depois, avançar para uma análise do impacto, para perceber que novas regras se aplicam e que vão determinar as adaptações a introduzir. Uma delas, ao nível mais macro, será a criação ou a revisão das políticas internas, em particular a criação de um modelo de governação de dados. ao nível mais operacional, será necessário fazer a revisão dos termos de utilização dos produtos e serviços.
Deverá ainda ser feita uma identificação dos segredos comerciais mantidos pela organização, com a máxima proteção, e também identificar as alterações a introduzir no design e fabrico. Na relação com terceiros, será importante estabelecer ou adotar modelos de procurement e de contratos para prevenir os riscos jurídicos. Por último, numa lógica de aproveitar este novo quadro legal e regulatório e as oportunidades que pode trazer, é fundamental que na estratégia adotada determinar ainda quais os dados de terceiros que podem ser utilizados. Afinal, com remata, o novo quadro legal não cria apenas obrigações de partilha. Traz também um maior acesso a dados, com todo o potencial que isso implicará.
PROGRAMA
09h30 | Boas-vindas | |
Fernando Resina da Silva - Sócio da Área Comunicações, Proteção de Dados & Tecnologia, Sócio Responsável da Área PI Transacional, VdA Sandra Fazenda Almeida - Diretora Executiva, APDC | ||
09h35 | A Regulação dos Dados na Era Digital | |
Maria de Lurdes Gonçalves - Associada Coordenadora Comunicações, Proteção de Dados & Tecnologia, VdA - Apresentação | ||
10h00 | Debate | |
Sara Louro - Senior Legal Counsel, Nokia Portugal João Ferreira Pinto - DPO, SIBS Sofia Couto da Rocha - Head of Innovation & Head Virtual Client, Lusíadas Saúde Moderação: Sandra Fazenda Almeida - Diretora Executiva, APDC Tiago Bessa - Sócio da Área de Comunicações, Proteção de Dados & Tecnologia e da Área de PI Transacional, VdA | ||
11h00 | Encerramento |
REVEJA SESSÕES ANTERIORES DESTE CICLO DE WEBINARS