Em segunda entrevista da série, Tom Barraclough fala sobre auditorias de plataformas

Em entrevista concedida ao InternetLab, o diretor da Brainbox falou sobre auditorias independentes e sua relevância na aplicação de novas leis que buscam regulamentar a atuação de plataformas digitais.

Especial Liberdade de Expressão 18.09.2023 por Francisco Brito Cruz, Iná Jost e Catharina Vilela

Em agosto de 2023, o InternetLab lançou o projeto Devorando o DSA: Regulação de plataformas entre o Norte e o Sul, que se debruça sobre como o Digital Services Act, nova regulação de plataformas na Europa, dialoga com outros contextos e realidades. O projeto se dá a partir de entrevistas com especialistas não-europeus e não-estadunidenses sobre o impacto da legislação europeia e de seus preceitos ao redor do globo, especialmente em países como o Brasil. 

Ao longo do projeto, o InternetLab buscará fomentar o debate em três eixos, abordando elementos do DSA que já inspiraram dispositivos de projetos de lei no Brasil: (i) acesso a dados por pesquisadores, (ii) a realização de auditorias independentes, e (iii) a análise de riscos sistêmicos. 

A segunda entrevista publicada no âmbito do “Devorando o DSA” trata das auditorias independentes e foi realizada com Tom Barraclough, diretor da Brainbox, uma consultoria e think tank focada nas intersecções entre direito, política e tecnologias digitais, com sede na Nova Zelândia. 

Após publicar a primeira entrevista, sobre acesso a dados para pesquisa, na segunda parte desta série, buscaremos refletir sobre auditorias externas e independentes, um dos instrumentos escolhidos pelo DSA para avaliar questões como os impactos da moderação de conteúdo e o cumprimento de novas regras impostas às plataformas digitais. 

As auditorias podem ser compreendidas, em geral, como ferramentas utilizadas para investigar processos complexos, visando determinar se eles estão em conformidade com as políticas da empresa, padrões da indústria ou legislação vigente. No DSA, os processos de auditoria estão atrelados à averiguação e avaliação do cumprimento de dispositivos dessa legislação e são divididos em diferentes tipos. Entre eles, está a modalidade independente, que, nos termos do artigo 37 da lei, impõe às plataformas a obrigação de contratar organizações independentes para a realização de diligências anuais sobre mensuração e mitigação de riscos.

A relevância desse tema não se resume à complexidade da realização de processos de auditoria. Abrange também a percepção de que esse sistema tende a ser reproduzido por outros países e regiões, como no caso do Projeto de Lei 2630/2020, tentativa brasileira de regular plataformas digitais, que traz um dispositivo que reproduz o mesmo processo. Nesse contexto, as auditorias, embora amplamente utilizadas em muitos campos como um método para avaliar os possíveis impactos das inovações e determinar sua conformidade com a lei, carecem de parâmetros e diretrizes específicas, o que pode prejudicar sua eficácia e confiabilidade. 

Outro ponto importante é a consideração dos agentes que serão julgados aptos – e inclusive, quem julgará essa aptidão? – para a realização de auditorias. Há uma escassez de empresas e organizações com expertise no assunto, além da inexistência de critérios claros, tanto no DSA quanto na proposta brasileira, para a definição desses atores. Esses fatores geram dúvidas e abrem espaço para a realização de questionamentos sobre a integridade das auditorias que serão realizadas no futuro.

Há alguns meses, o Brasil presenciou o que foi considerada a maior fraude corporativa de sua história, quando a Americanas, grande loja de varejo, declarou fraude contábil com um rombo estimado em R$43 bilhões. Esse caso, de grande repercussão nacional, gerou desconfiança sobre a credibilidade de auditorias internas e externas, além de sinalizar a importância desse tipo de instrumento quando se pretende a construção de mecanismos que gerem segurança e transparência na atuação de quaisquer empresas. 

Dessa forma, para que a implementação de processos de auditoria no contexto de plataformas digitais gere os resultados pretendidos, ou seja, uma maior transparência, legalidade e a produção de análises eficientes, é indispensável que questionamentos sejam feitos e que o tema seja tratado com a atenção que a sua utilização em diferentes países e contextos exige. 

Nessa entrevista, exploramos, a partir das contribuições de Tom Barraclough, alguns dos pontos que consideramos essenciais para essa discussão.

Em segunda entrevista da série, Tom Barraclough fala sobre auditorias de plataformas. Vídeo: InternetLab.

Leia a íntegra abaixo: 

InternetLab: Bom, primeiro, um pontapé inicial para enquadrar nossa conversa. Tom, deixando o DSA um pouco de lado, como você explicaria, de maneira resumida, a ideia de realizar auditorias obrigatórias para resolver problemas no mundo das políticas digitais? Na sua opinião, é algo que se aproxima da função que elas possuem de supervisionar e avaliar processos em outros campos que existem fora do DSA? Essa ideia de trazer as auditorias para esse campo foi inspirada por algum campo ou regulamento, regulamentação ou prática específica? E, apenas para complementar na discussão, como você explicaria o papel ou a inspiração que os Princípios Orientadores sobre Empresas e Direitos Humanos da Organização das Nações Unidas (ONU) possuem nessa ideia de supervisão para plataformas?  

Tom Barraclough: Essa é uma pergunta complexa. E eu também devo dizer que parte da minha formação é em direito e políticas públicas, mas não necessariamente em outras áreas de auditoria. Portanto, minha interação com essa área de auditoriais e com a compreensão das estruturas de auditoria se deu principalmente no contexto do nosso trabalho como líder de projeto da “Action Coalition on Meaningful Transparency”, como você sabe, que se concentrou na transparência das empresas de tecnologia e no papel das estruturas de auditoria no contexto do Digital Services Act, que será implementado. 

Portanto, com base na minha experiência em discussões com vários especialistas sobre o papel da auditoria e de onde veio a ideia no espaço das empresas de tecnologia, eu acho que há muito tempo existe uma expectativa da sociedade civil e dos órgãos reguladores de que, quando as empresas publicam informações sobre como estão lidando com questões de moderação de conteúdo ou outros tipos de coisas, elas sejam incluídas nos relatórios de transparência. Às vezes, as pessoas têm dúvidas sobre como esses números (dos relatórios) são criados. E há, também, problemas de comparação de dados, mesmo entre relatórios de transparência da mesma empresa. E a metáfora aqui é, você sabe, comparar maçãs com maçãs em vez de maçãs com laranjas. Portanto, pode haver uma estatística e você deseja comparar duas porcentagens, mas é difícil entender como esse número foi criado. É difícil confiar, assim, na comparação. 

Nesse sentido, a função da auditoria é, essencialmente, apenas pegar uma declaração de uma empresa sobre como ela está lidando com determinados tipos de conteúdo ou outros assuntos e estabelecer que há uma base de boa fé para essa declaração. A maneira como entendo o funcionamento das auditorias é que, basicamente, há uma declaração pública de uma empresa de que ela cumpriu o seu dever e, em seguida, um terceiro independente diz: “Eu vi o processo que foi empregado para verificar que você está em conformidade com isso e eu o apoio”. Eu tenho, assim, um grau razoável de garantia, por exemplo, de que se trata de uma declaração confiável. 

E, obviamente, o contexto mais amplo para isso está nos relatórios financeiros. E acho interessante o fato de a Comissão Europeia ter comparado o DSA em várias ocasiões à regulamentação bancária. A metáfora é que essas empresas são tão grandes e tão importantes, e a infraestrutura comercial e de comunicações é tão importante, que elas são quase grandes demais para fracassar. E elas realmente precisam ser cuidadosamente verificadas sobre como estão operando e o impacto delas sobre os direitos humanos fundamentais precisa ser avaliado. O papel das auditorias é essencialmente dizer, como já ouvi descreverem, que as empresas não podem dar nota ao seu próprio dever de casa. Se elas estão divulgando informações, é necessário que alguém confirme que a divulgação foi feita de maneira eficiente e em conformidade com as obrigações legais. 

O papel da auditoria é algo interessante para mim porque eu não sou especialista em auditorias há muito tempo. Mas é interessante ouvir os auditores descreverem o que é uma auditoria. Essencialmente, trata-se de uma avaliação independente de terceiros.Se pensarmos nas auditorias dessa forma, podemos dizer que há avaliações independentes de terceiros sendo incluídas em várias estruturas de regulamentação de plataformas digitais diferentes, inclusive na Nova Zelândia. E isso parece ser uma parte essencial para o funcionamento da regulamentação de plataformas. 

Outro aspecto das auditorias que considero muito interessante é o nível de transparência que elas criam. Por isso, acho que quando vemos artigos de discussão da sociedade civil, por exemplo, e eles listam todas as coisas que gostariam que as empresas divulgassem, por exemplo, como os sistemas algorítmicos funcionam, quantos funcionários elas têm; quando você vê essas listas sobre o que as pessoas gostariam que as empresas divulgassem, elas são longas e detalhadas e vão desde sobre como os sistemas algorítmicos funcionam até quantos funcionários elas têm, e todos os outros tipos de coisas. Há muitas barreiras para a divulgação dessas informações em um grande volume de detalhes. Mas, por meio dessas estruturas de auditoria independentes, você tem um terceiro de confiança que pode ir nessas empresas e fazer perguntas. Eles podem exigir documentos, eles podem examinar em um nível enorme de detalhes algumas coisas que as empresas fizeram. Portanto, acho que as auditorias são uma das medidas de transparência mais fortes que estão sendo criadas, mesmo que não resultem necessariamente na divulgação de muitas informações ao público. Há muita informação que chega até os auditores, mesmo que essas informações não sejam divulgadas ao público.

ILab: Perfeito. Então, vamos nos aprofundar no DSA. De acordo com a sua perspectiva e, é claro, reconhecendo que o termo auditoria aparece com significados aparentemente diferentes no Digital Services Act, como você explicaria as disposições do DSA que determinam a realização de auditorias obrigatórias para enfrentar problemas de plataformas digitais e de mecanismos de busca? 

Para ser mais direto, qual é a sua leitura sobre o que exatamente as pessoas nos grupos de políticas públicas de Bruxelas pensam quando estão falando sobre auditoria de plataformas como parte dessa regulamentação? E, é claro, que escolhas nessas disposições específicas, como o artigo 37, você acha que estão ligadas às perspectivas europeias ou às preocupações específicas da Europa?  

TB: Parece haver um consenso entre os auditores, a Comissão Europeia e a sociedade civil, incluindo profissionais de avaliação de risco de direitos humanos, de que o que o DSA está criando é um novo tipo de auditoria. Não se trata, portanto, de uma auditoria que vemos em outros campos. É um tipo totalmente novo de auditoria. Há muitas oportunidades para aprender com as estruturas existentes, mas também há muito desenho sendo feito para descobrir como essas coisas funcionarão pela primeira vez. 

A forma como as auditorias funcionam, de acordo com o DSA, é que os auditores, ou seja, as empresas de auditoria profissional, trabalhem potencialmente em consórcios. No sentido de que trabalhar em grupo com outros tipos de profissionais auditará as empresas em relação às suas obrigações legais. Então temos, de um lado, várias disposições do DSA e, de outro, plataformas online e mecanismos de busca de grande dimensão que serão auditados para que seja possível verificar se estão cumprindo essas obrigações legais. Pelo que entendi, isso é bem diferente de como a auditoria funciona normalmente. Normalmente, você tem uma série de referências bem claras que lhe permitirão dizer com muita certeza se uma empresa está em conformidade ou não. 

Por outro lado, devido à forma como o DSA foi redigido, há certa incerteza quanto ao que significa de fato estar em conformidade com o DSA. Dessa forma, é muito difícil para um auditor dizer se a empresa cumpriu ou não, pois a conformidade pode ser algo que não está muito claro. Por exemplo, pode haver uma obrigação de equilibrar uma série de direitos humanos fundamentais dentro de um prazo razoável. Essa não é uma linha muito clara para uma auditoria. Isso exigirá que a empresa ou outra pessoa diga “isso é o que entendemos, o domínio de conformidade e aqui está como cumprimos de acordo com nosso entendimento sobre isso”. Trata-se, assim, de um novo tipo de ordenamento que está criando algumas dificuldades para as pessoas, creio eu. 

Meu entendimento é que haveria muito mérito se tivéssemos processos com várias partes interessadas que tentassem deixar mais claro como seriam as referências para estar em conformidade com o DSA. Eu gostaria de ver isso acontecer e gostaria de participar desse exercício. Acho que as exigências especificamente europeias que estão por trás do DSA são realmente interessantes. 

Alguns aspectos a serem considerados seriam: a Comissão Europeia afirmou em várias ocasiões que o DSA não pode ser analisado isoladamente. O DSA está inserido em uma estrutura constitucional mais ampla que também se baseia na Carta dos Direitos Fundamentais da União Europeia. Portanto, é praticamente impossível considerar o DSA sem entender a Carta dos Direitos Fundamentais da União Europeia, pois ela faz parte de um pacote. Acho que isso é importante porque, se você pegasse o DSA e colocasse em outra área sem essas proteções fundamentais aos direitos humanos, isso criaria muitos riscos para os direitos humanos.

Uma das outras áreas que considero relativamente focada na Europa é que, se eu pensar na Nova Zelândia, por exemplo, teremos alguma previsão para avaliação independente de produtos produzidos por empresas. No momento, estamos analisando isso no contexto de uma proposta de regulamentação de plataformas que será apresentada em um futuro distante, no próximo ano provavelmente, se é que será apresentada. Mas isso dependerá também de códigos de prática. E já existe uma referência de código de prática da indústria na Nova Zelândia. E a questão é que tanto a legislação proposta quanto a autorregulamentação incluem um escopo de avaliação independente. As avaliações independentes, assim, já são algo que está sendo replicado na Nova Zelândia. 

Para realizar avaliações independentes da maneira que o DSA exige é necessário que uma empresa de auditoria profissional trabalhe com um grupo de profissionais que são muito escassos. Um dos outros aspectos, portanto, é que as pessoas que têm algum tipo de habilidade para analisar os sistemas da empresa em um sentido operacional, analisar as políticas e procedimentos, analisar dados, analisar sistemas de aprendizado de máquina, são um grupo muito seleto de pessoas. Será muito difícil encontrar as pessoas necessárias para fazer isso. E isso é algo que ficou evidente nas discussões com Action Coalition.

Outra característica é que os recursos necessários para realizar uma auditoria e a forma exigida pelo DSA podem fazer sentido na Europa para empresas que têm 45 milhões de usuários na União Europeia. Mas na Nova Zelândia, por exemplo, o limite que está sendo considerado é de 100.000 usuários. Portanto, há uma diferença muito clara e seria muito difícil justificar uma auditoria do tipo exigido pelo DSA para um mercado que pode ter, no máximo, 4 milhões de usuários, se você considerasse que a maior parte da Nova Zelândia estaria inscrita na rede social. 

Em resumo, acredito que a interação com a Carta dos Direitos Fundamentais da União Europeia é um componente. O segundo é, acredito eu, as suposições sobre o nível de recursos que é justificado em termos de como as auditorias funcionarão, bem como o acesso a pessoas que possam fazer o trabalho necessário. Acho que esses são aspectos que talvez sejam considerados normais na União Europeia e que talvez não se apliquem a outros lugares. 

ILab: E quem serão os auditores no contexto do DSA? Não apenas quem será, mas quem deve ser auditor no cenário do DSA? Você pode especular um pouco e dar sua opinião sobre quem deve ser e será esse auditor, e que tipo de empresa ou organização cumprirá essa função? 

E, também, como deve ocorrer o registro/acreditação das organizações? E se você acredita que a sociedade civil deve ter um papel nisso? É uma pergunta com muitas facetas, mas, em geral, a pergunta é direcionada para a sua compreensão sobre as várias funções e personagens que irão interagir com essa disposição de auditorias. 

TB: Sim. No contexto europeu, há a exigência de encontrar uma organização que seja independente, que esteja sujeita a obrigações e sigilo profissional, e que tenha sistemas capazes de manter a confidencialidade exigida, visto que os auditores terão acesso amplo a informações comerciais muito sensíveis. Acho que a expectativa na Europa é que as grandes empresas de auditoria, como as Big Four ou as Big Six, sejam as organizações que realizarão essas auditorias. Como o tipo de auditoria é relativamente novo, elas não estão necessariamente entusiasmadas com a realização dessas auditorias, creio eu, porque há muito trabalho envolvido e muitos riscos também. 

Pelo que eu entendi – e, mais uma vez, muitos desses pensamentos vieram de outras pessoas por meio de ações da Action Coalition, portanto estou apenas repetindo o que eu ouvi. As firmas de auditoria terão que desenhar esses processos de auditoria e também serão responsáveis pelo que disseram. Portanto, as empresas de auditoria carregam um risco ao realizarem essas auditorias. Por isso, é muito importante que elas se sintam confiantes e capazes de expressar suas conclusões. Não é como se as empresas de auditoria, assim, estivessem necessariamente fazendo fila para realizar essas auditorias, embora provavelmente sejam as únicas que podem fazer isso. 

Uma das coisas realmente interessantes que surgiram da regulamentação delegada sobre auditoria no âmbito do DSA foi a expectativa de que talvez seja necessário haver consórcios para realizar essas auditorias. As empresas de auditoria talvez precisem trabalhar com outras organizações especializadas. Acho que há espaço para trabalhar com organizações da sociedade civil. Uma das dificuldades é que, se uma organização quiser se associar a uma empresa de auditoria, ou se uma empresa de auditoria quiser se associar a uma organização externa, há obrigações muito rigorosas de independência, conflito de interesses e sigilo. O nível de confiança e os acordos legais necessários para formar esses tipos de parcerias são muito altos. 

E acho que esses tipos de organizações não estão necessariamente acostumados a trabalharem juntos. Será muito interessante ver se isso é possível e que tipos de organizações estarão preparadas para participar desses tipos de consórcios. 

Não me lembro da outra parte da sua pergunta. Ah, o credenciamento e a contribuição da sociedade civil. O credenciamento será difícil. Pessoalmente, acho que as empresas têm sido muito  observadas/examinadas até agora. Acho que grande parte desse escrutínio vai começar a se voltar para os auditores. As empresas apresentarão suas avaliações de risco e os auditores serão obrigados a dizer se essas avaliações de risco são confiáveis. Acho que a atenção de muitas pessoas começará a se voltar para as empresas de auditoria. E acho que isso será bastante desconfortável para elas. Mas acho que elas podem ser as próximas vilãs do espaço, os próximos caras do mal, o que é compreensível. Elas devem passar por esse teste para garantir que sejam independentes e rigorosas. Mas, novamente, isso será interessante de se observar.

Há obrigações de independência realmente significativas. E uma das obrigações no escopo das auditorias, de acordo com o DSA, também está relacionada à impossibilidade de prestar serviços que não sejam de auditoria. Muitas das mesmas empresas podem estar envolvidas na prestação de serviços de consultoria ou similares, ou podem até mesmo terceirizar várias funções internas para as empresas. E uma das outras coisas que tenho certeza de que as empresas estão considerando é a receita e o risco associado às auditorias, por um lado, e a receita e o risco associados à capacidade de prestar serviços que não sejam de auditoria, por outro. Não tenho certeza do que isso significa, mas pode ser que não seja muito atraente prestar serviços de auditoria. Em vez disso, você prefere continuar prestando serviços de consultoria.

ILab: E a sociedade civil está nessa situação difícil de ter que colaborar com essas quatro ou seis grandes empresas e nunca interagiu continuamente com elas, certo? Ou seja, de acordo com o DSA, esse é o papel incômodo da sociedade civil. Então, por favor, comente sobre isso. Como a sociedade civil está reagindo a isso e como você entende essas reações? 

TB: Acho que esse é um tópico muito interessante e que se aplica à transparência de forma mais geral. Há muito tempo há demandas por transparência, e, agora, o DSA produzirá uma quantidade extraordinária de informações. E a Comissão Europeia já disse em várias ocasiões que não conseguirá tocar esse processo sozinha. Ela precisará do apoio da sociedade civil para ajudá-la a voltar sua atenção para as áreas que mais precisam de escrutínio. A meu ver, haverá uma grande onda de informações sobre todas essas empresas, principalmente as muito grandes, mas também as menores. E a expectativa é que as organizações da sociedade civil e os pesquisadores possam analisar essas informações e usá-las para responsabilizar as empresas. Isso leva muito tempo e é um trabalho muito complicado. 

E, como você apontou, acho que fazer uma avaliação independente dos relatórios de transparência, por exemplo – isso é algo que é considerado no Código de Práticas da Nova Zelândia que está sendo criado – realmente requer uma compreensão dos princípios globais de direitos humanos, dos princípios orientadores sobre empresas e direitos humanos da ONU, do que as empresas estão fazendo em outras jurisdições, do que fizeram em anos anteriores. Comparar e contrastar os diferentes materiais dessa forma. E acho que essa é uma tarefa muito difícil, acho que é uma tarefa muito especializada. 

Mas não parece haver nenhum tipo de planejamento para a obtenção de recursos para isso. Acho que esse é um risco real para uma transparência significativa. Acho que há um risco real de que seja algo como: “você pediu transparência, agora você tem transparência para você, o que você vai fazer com ela?”. E haverá uma suposição de que não há problema quando, na verdade, é simplesmente impossível acompanhar todas as informações necessárias. Eu realmente gostaria que as empresas, a Comissão ou os governos planejassem proativamente como darão suporte à sociedade civil para lidar com esse volume de informações. 

E um dos outros pontos que as pessoas levantam nesse espaço é que, se pensarmos no volume de informações sob o DSA, isso é uma coisa; mas também há outras regulamentações da União Europeia, como o Digital Market Act, AI Act, outros tipos de diretivas de responsabilidade social corporativa. E isso é só a União Europeia. Depois, por exemplo, haverá outros países que seguirão o DSA, como o Brasil e a Nova Zelândia. Portanto, não é apenas no DSA que devemos pensar se quisermos pensar em direitos humanos e na conformidade legal das empresas de tecnologias, mas também em outras jurisdições. E, para não dizer nada, é preciso ficar de olho no governo também e em como o governo está lidando com essas coisas e como está usando essas informações. 

ILab: Você tocou no assunto dos direitos humanos e em nossas próximas perguntas sobre padrões e métricas. Então, o que você acha sobre os padrões e os procedimentos?

E a principal pergunta aqui é: eles podem ser semelhantes em estrutura aos que são adotados pelas grandes empresas de auditoria tradicionais, mesmo que você esteja falando de obrigações que têm fortes bases na linguagem dos direitos humanos e sem padrões e métricas estabelecidos? 

E, do ponto de vista dos direitos humanos, há uma janela de oportunidade, por exemplo, para o envolvimento das partes interessadas, especialmente em comunidades marginalizadas, como uma forma de mapear riscos e impactos? De uma perspectiva de forma, função e conteúdo, como esses padrões e métricas devem ser desenvolvidos? E quais são os desafios que podemos prever nesse processo?

TB: Acredito que essa seja provavelmente a área mais desafiadora, no momento, para uma implementação bem sucedida do DSA. Há essa questão de como o DSA será implementado, mas também como podemos ter padrões que, na medida do possível, funcionem também em várias jurisdições. O que quero dizer é que poderíamos ter padrões e procedimentos para implementar o DSA, mas haverá certas áreas em que faz sentido que os padrões sejam os mesmos em diferentes países. A sugestão deles é a adoção de uma abordagem modular. E esse é um trabalho que analisamos na Action Coalition, feito principalmente por Chris Riley e Susan Ness. Estou realmente interessado em explorar isso mais a fundo, pois acho que, particularmente no caso da Nova Zelândia, somos uma empresa tão pequena, um país tão pequeno e um mercado tão pequeno que realmente precisamos participar desses processos se quisermos ter um grande impacto, pois a nossa própria legislação não será tão persuasiva para as empresas, acredito eu, em razão do tamanho dos nossos mercados. Eu acho que há, assim, uma janela de oportunidade muito boa para os países considerarem a sua participação na criação de padrões e procedimentos como um meio de soft power, basicamente. Acho que isso será muito importante. 

Não estou muito familiarizado com o funcionamento dos padrões de auditoria existentes, mas meu entendimento é que os tipos de padrões que serão exigidos pelo DSA serão bem diferentes dos padrões de auditoria existentes. Será um verdadeiro desafio tentar reproduzi-los. E, como eu disse no início, como o processo de auditoria é tão diferente, acho que será necessário um tipo de padrão completamente diferente. Sei que existem vários órgãos de padronização que estão trabalhando em moderação de conteúdo e em padrões de confiança e segurança há algum tempo, pelo menos há um ano, imagino. Por isso, estou bastante interessado em ver até onde eles chegaram, pois estão trabalhando nisso há algum tempo e, se esses órgãos não tiverem elaborado algo que pareça confiável, isso provavelmente é um sinal forte da dificuldade desse exercício. 

Acho que, quando se trata de processos de definição de padrões, meu entendimento é que eles normalmente não são projetados para incorporar contribuições da sociedade civil. Isso será algo que terá de ser aprendido e desenvolvido. Outro componente disso será questionar se as organizações da sociedade civil podem se envolver efetivamente com esses processos, dada talvez a falta de compreensão sobre como eles funcionam e, também, os recursos necessários para participar deles, especialmente se estiverem operando em nível global e em várias estruturas. Novamente, trata-se de algo muito complicado. 

Recentemente, fizemos um trabalho em parceria com o GNI e o Digital Trust and Safety Partnership sobre a implementação de avaliações de risco e publicamos um sumário executivo da discussão. E uma das coisas interessantes que apareceram nesse sumário foi o quanto os processos de envolvimento das partes interessadas e os mecanismos de avaliação de direitos humanos são semelhantes aos do DSA. Acho que a conclusão de algumas pessoas foi de que há um alto grau de semelhança entre as expectativas que existiam de engajamento de partes interessadas e os princípios orientadores da ONU sobre empresas e direitos humanos, por exemplo, e as expectativas de engajamento das partes interessadas no âmbito do DSA. O envolvimento das partes interessadas é algo que realmente precisa ser implementado juntamente com qualquer tipo de auditoria ou processo de avaliação de riscos. E já existe um conjunto muito bom de práticas e orientações sobre como fazer isso de forma eficaz, embora fazê-lo de fato também seja um verdadeiro desafio. Isso não deve ser subestimado, portanto.

Acho que esses padrões e procedimentos serão muito, muito importantes. Acho que será um verdadeiro desafio executar bem esses processos. E acho que, no momento, também há uma dúvida sobre quem ou qual organização deve liderar isso. E não ouvi muitas sugestões sobre quem poderia exercer esse papel. Isso é algo que gostaríamos de apoiar, se possível, dentro da Action Coalition. E eu acho que as abordagens multissetoriais são importantes e há outros tipos de organizações, como o GNI, que gerenciam processos de abordagens multissetoriais há muito tempo. É importante garantir que estamos aprendendo com essa experiência também.  

ILab: Mantendo a nossa conversa sobre padrões, em sua resposta você falou sobre soft power. E talvez possamos nos aprofundar um pouco nisso. Falando um pouco sobre como você vê o impacto global dessas disposições do DSA sobre auditoria, à luz do chamado efeito Bruxelas, – que obviamente se refere ao fato de que essa lei pode inspirar a criação de novas regulamentações no exterior. 

Você acha que a legislação e os padrões europeus que seguem a legislação influenciariam o campo e criariam espaço nos mercados para outros seguirem essa tendência? Você acha que essa consolidação impulsionada pela Europa criaria, por exemplo, barreiras às normas de auditoria que podem não incluir, por exemplo, e podem não escutar diferentes realidades, diferentes partes interessadas, formas mais descentralizadas de fazer isso?

 Por exemplo, se o Brasil demorar muito para construir seus padrões, suas disposições, será que, no final, teremos que depender das normas consolidadas da Europa e não teremos a oportunidade de criar coisas localmente? 

Como você vê essa discussão, levando em conta, é claro, que há algum valor na consolidação, que ter padrões é importante para seguir em frente?

TB: É uma pergunta muito interessante. Isso é algo que me interessa, Novamente, com referência a nossa experiência na Nova Zelândia. Então, na Nova Zelândia, há um grupo de empresas, juntamente com uma organização da sociedade civil chamada NetSafe, que desenvolveu o que chamamos de Aotearoa, um código de práticas de segurança e danos on-line da Nova Zelândia, que foi apresentado à sociedade civil em uma espécie de rascunho com um período de consulta relativamente curto. Algumas organizações da sociedade civil ficaram muito preocupadas com o fato de que isso realmente foi apresentado como algo que já estava pronto, sem nenhuma oportunidade significativa de contribuição das organizações da sociedade civil sobre como ele foi desenvolvido. Obviamente, o código de práticas não é exatamente o mesmo que um conjunto de normas de auditoria, mas é semelhante no sentido de que é algo que está (hierarquicamente) abaixo da legislação e cria um conjunto de regras que são aplicadas em várias jurisdições diferentes, que poderiam ser aplicadas em diferentes jurisdições. Minha opinião é que o código tem muitas coisas boas considerando a forma como foi desenvolvido – mas foi desenvolvido de uma forma que não inclui o mesmo tipo de contribuição democrática que se poderia esperar em outros tipos de lei. 

Já estamos, assim, nessa situação em que um código de prática foi desenvolvido com base no Código de Prática Europeu sobre desinformação e no Código de Prática Australiano sobre danos online, e nos foi apresentado como algo que está pronto para ser usado. Eu diria que processos semelhantes resultarão em situações em que as pessoas são apresentadas a padrões que elas não sentem que tiveram a oportunidade de contribuir de forma significativa para a construção. Acho que é importante dizer que isso não significa necessariamente que os padrões ou o código não sejam bons. É útil, de certa forma, ter um ponto de partida para a discussão. Por exemplo, o fato de o código ter sido apresentado aqui significa que podemos fazer comentários sobre ele, podemos fazer sugestões de melhoria e coisas do gênero. Mas acho que há uma sensação de que a capacidade para mudanças realmente grandes é bastante limitada. 

Estamos em uma situação em que nos apresentam esse código e temos que aceitá-lo ou não. É interessante notar que os signatários do código já disseram que também estão discutindo com outros países sobre a adoção de códigos semelhantes. De cabeça, acredito que eles estejam discutindo com o Japão, Sri Lanka e Indonésia, e acho que alguns outros países também. Há essa coisa acontecendo com os padrões que estão sendo criados até certo ponto e que, em seguida, são apresentados aos países que os aceitam amplamente. Mas, como eu disse, há um certo grau de uniformidade que precisa existir para que as plataformas operem globalmente. Portanto, até certo ponto, é preciso aceitar que haverá algumas semelhanças e que, se quisermos ser eficazes, algumas coisas também não poderão ser alteradas. É um equilíbrio complicado. 

Acho que muitos países vão querer aproveitar as vantagens de uma abordagem de reprodução. E acho que isso se deve ao fato de que desenvolver uma regulamentação de plataformas é bastante difícil. Acredito que, na Nova Zelândia, as autoridades acharam difícil não apenas captar uma grande quantidade de contribuições e expectativa da comunidade, mas também estabelecer o que a Nova Zelândia precisa na sua própria regulamentação de plataformas, levando em conta os desenvolvimentos globais e certas expectativas mínimas sobre como essas coisas funcionarão. Então nós nos sentamos e observamos o que as outras pessoas estão fazendo e depois tentamos pegar as melhores partes de outros países. Portanto, até certo ponto, essa abordagem de reprodução é benéfica. Não é necessariamente uma coisa ruim, mas resulta no risco de não haver uma contribuição democrática significativa na construção desses sistemas. E acho que essa é uma contrapartida da consolidação. 

Também acho que é importante que a regulamentação das plataformas não avance rápido demais. É importante agir e não ficar para trás, mas, ao mesmo tempo, acho que isso pode ser usado como uma justificativa pelos governos para fazer com que as coisas sejam aprovadas muito rapidamente. E acho que isso compromete a confiança e alimenta a suspeita de que há algum tipo de tentativa ilegítima de coibir a liberdade de expressão em vez de outra coisa. Também sou muito cauteloso, assim, em relação a qualquer coisa que diga que precisamos agir rapidamente, caso contrário, ficaremos para trás, porque acho que pode haver uma justificativa uma (aprovação de) legislação ruim.

ILab: Você deu a dica para as duas últimas perguntas que temos. Elas são sobre confiança e segurança e, também, sobre as assimetrias que temos que você já delineou na última resposta.

Entre outras, a principal questão que está sempre presente nos debates regulatórios sobre transposição para outras realidades é como entender as diferentes dinâmicas nessas realidades. E aqui, quando se fala em auditoria, sabe, quando se fala em empresas de auditoria, estamos falando do papel do poder econômico, especialmente das corporações e empresas multinacionais.

É possível afirmar, por exemplo, aqui no Brasil, que muitas dessas firmas de auditoria já estão muito mais interligadas com a Alphabet e a Meta no exterior do que próximas da discussão sobre a regulamentação em realidades fora da União Europeia ou dos EUA? Isso é particularmente importante quando relacionamos às discussões anteriores sobre as devidas diligências no campo dos direitos humanos. 

Então, o que você acha dessa discussão sobre o poder econômico e a participação de corporações nacionais em contextos econômicos assimétricos? Você não acha que, se é desconfortável para as organizações da sociedade civil na União Europeia, e estamos falando aqui de países ricos, não é muito, muito distante para as organizações de base em um contexto similar terem contato com essas empresas e desenvolver trabalhos com elas?

Podemos dizer que essas empresas seriam adequadas para conduzir o engajamento das (diferentes) partes interessadas, levando isso em conta, levando em conta todo esse cenário? É claro que essa é uma questão mais ampla, mas se estivermos transplantando ou importando esse tipo de provisão, devemos levar em conta o contexto, certo? 

TB: Sim, com certeza. Eu acho que há um problema real com as grandes empresas multinacionais ou qualquer organização sediada em um contexto que tenta liderar de forma significativa o envolvimento das partes interessadas em outro contexto. Penso muito sobre isso em meu trabalho e em meu cargo também. 

Acho que não há substituto para a autêntica liderança comunitária nesse aspecto. Acho que esse deve ser o ponto de partida. Acredito que será muito difícil para as organizações do Norte Global ou do mundo minoritário se envolverem de forma significativa com as organizações do Sul Global, o mundo majoritário. E acho que isso será um problema real. 

E acho que, como mencionei antes e como você mencionou, esse tipo de assimetria econômica é um problema muito, muito grande. Há a questão econômica e há outros fatores também, como o fato de que sempre fico impressionado ao lidar com organizações da sociedade civil sediadas nos Estados Unidos e na União Europeia, pois muitas delas estão constantemente em contato umas com as outras e se conhecem muito bem, e todas entendem exatamente o que está acontecendo de várias perspectivas. Mas é muito difícil, acredito, para elas compartilharem essas informações. E é muito difícil ter acesso a elas se não tivermos acesso a essas comunidades.

Isso é algo que estamos tentando resolver por meio do site Action Coalition Transparency Initiatives que estamos desenvolvendo. Acho que será um ótimo recurso para mostrar quais são essas diferentes redes e o que já está acontecendo nesses espaços, além de ser capaz de mapear o que está acontecendo. Por isso, estamos muito empolgados em lançar isso como um recurso efetivo para as pessoas. 

Também gostaria de voltar a esse assunto e à questão da transposição de estruturas regulatórias para contextos sem que haja cuidado com a forma como isso está sendo feito. Um exemplo que realmente me chama a atenção é o da União Europeia. Há muito tempo, o foco está no uso de unidades de referência da internet (internet referral units) e sinalizadores de confiança (trusted flaggers), ou seja, em situações em que organizações externas, incluindo o governo, podem sinalizar conteúdo violador para as plataformas.

Essa questão também está recebendo muita atenção nos Estados Unidos no momento, com alguns litígios em andamento. E uma coisa que notei sobre a Nova Zelândia é que, quando os governos estão propondo a regulamentação de plataformas, por qualquer motivo, é muito improvável que eles transponham coisas que os obriguem ou limitem seu próprio poder. Assim, uma ausência gritante na proposta da Nova Zelândia diz respeito justamente aos sinalizadores de confiança, à supervisão e à garantia de qualidade. Sabemos que há uma espécie de referência na Nova Zelândia, mas é uma omissão gritante o fato de termos retirado isso de uma legislação de outro lugar, mas não termos trazido a sinalização de confiança. Acho que coisas como essas enfraquecem a confiança e a segurança. E a maneira como os governos estão abordando essas coisas é um bom exemplo de que é preciso considerar toda a estrutura, e não apenas as disposições individuais. 

Acho que a questão que você sinalizou aqui sobre a assimetria e a necessidade de estabelecer vínculos globais mais fortes, que realmente resultem em um projeto de fintech que leve em conta as condições locais é realmente importante. E acho que isso é algo que veremos muito. Pessoalmente, vejo muitos benefícios em trabalhar com governos, trabalhar além das fronteiras internacionais, ter conversas como essa, compartilhar conhecimento de forma eficaz para dar a todos um sinal sobre o que você pode querer observar e tentar chegar a um grau de concordância. Estou muito entusiasmado com o crescimento desses vínculos no futuro, pois acho que isso será muito importante. 

ILab: Estamos indo para a última pergunta. E a última também é sobre confiança. Acho que se trata de um lado ainda mais sombrio, que é a credibilidade. Aqui no Brasil, por exemplo, há poucos meses, presenciamos o que foi considerado a maior fraude corporativa da nossa história, com um grande loja de varejo que divulgou uma fraude contábil com um prejuízo estimado de 10 bilhões de reais. Esse caso, de grande repercussão nacional, gerou enorme desconfiança, e não apenas nessa empresa, mas também nas auditorias externas com grandes firmas envolvidas. 

Em contextos como esse, como podemos pensar em auditorias na regulamentação das plataformas? Se formos trazer isso para o nosso mundo, para o mundo da política digital, estaremos trazendo esse tipo de problema? Há alguma proteção que possamos trazer junto com a ideia de auditoria que possa nos proteger desse tipo de coisa que é, obviamente, quando duas grandes empresas começam a se misturar demais uma com a outra e a se misturar demais em relação aos seus interesses econômicos, e aqueles que seriam terceiros independentes passam a se transformar em “parceiros de fachada”? Como você pensa sobre isso? 

TB: Como estávamos falando antes, eu também estava pensando no exemplo recente na Austrália, em que, não me lembro o nome da empresa, mas, essencialmente, uma das empresas, pelo que eu entendi, estava fornecendo consultoria sobre política tributária para o governo federal australiano, enquanto um dos sócios também estava divulgando essas informações para as empresas que deveriam estar sujeitas a essas propostas tributárias, que acho que incluíam algumas das empresas de tecnologia. Essa é apenas a minha lembrança das notícias. Posso ter entendido errado. 

Acho que você está certo em pontuar esse problema de confiança. Acho que os advogados diriam apenas: “Bem, acabamos de fazer mais acordos legais, mais exigências de independência, mais exigências de divulgação”. Obviamente, essas coisas nem sempre funcionam. E quando não funcionam, a confiança é prejudicada. Até certo ponto, suponho que isso seja inevitável. Sempre haverá violações da lei, falhas e fraudes. Então, até certo ponto, talvez, tenhamos apenas que reconhecer isso e lidar com as consequências quando as identificarmos. Mas, sim, essa é uma consideração muito relevante. 

Não tenho uma boa experiência para dizer se as empresas que estariam realizando essas auditorias estão acostumadas a tentar construir relações de confiança com organizações comunitárias ou com a sociedade civil. Em algumas situações, eles prestam serviços de gerenciamento sobre o envolvimento das partes interessadas. Assim, não é impossível que eles sejam realmente muito bons nisso. Não tenho certeza. Acho que, às vezes, os governos também são muito, muito ruins no envolvimento das partes interessadas. 

Não quero descartar a perspectiva de que poderia ser ótimo, sabe, poderia ser ótimo ter essas empresas de auditoria fazendo esse trabalho, se elas fizerem um trabalho adequado. Mas, ao mesmo tempo, acho que isso demonstra a necessidade de novos tipos de organizações que possam prestar esses serviços e que façam apenas uma coisa, ou seja, não façam tudo. Elas se especializam apenas em prestar esses tipos de serviços de garantia e auditoria. Acho que é para essa direção que as coisas estão caminhando, principalmente porque as áreas de especialização são muito raras. Você sabe, você tem o conhecimento organizacional e como as grandes organizações funcionam. Você tem o conhecimento jurídico e o técnico. 

Eu acho que seria ótimo ver a criação de organizações especializadas construídas com o objetivo de gerar confiança e transparência na forma como fazem essas coisas. Suspeito que muitas pessoas estejam pensando em criar isso. Li recentemente sobre, por exemplo, o crescimento de empresas especializadas na prestação de serviços terceirizados de confiança e segurança, o número de empresas desse tipo, que oferecem confiança e segurança como um serviço. Acho que essa questão de confiança e segurança é sim importante, portanto. Tenho certeza de que, se eu previsse o que aconteceria, identificaríamos problemas com isso. A pergunta seria: o que faremos para aumentar a confiança depois que eles forem identificados? E a alternativa seria ter organizações especializadas que crescessem para atender a essa necessidade, o que eu acho que seria muito interessante.

ILab: Estamos chegando ao final da nossa conversa. Acho que cobrimos todos os assuntos que queríamos e com percepções muito interessantes. Acho que essa conversa nos fará pensar sobre isso por algumas semanas, mais do que dias, com certeza. 

E, para terminar, gostaríamos de perguntar se você tem algo a acrescentar? Por exemplo, qual é a sua recomendação para “digerir” as disposições do DSA em realidades que não são a Europa e que não são os EUA? Comentários finais. 

TB: É difícil, não é, acompanhar o volume de legislações, propostas e o DSA? Acho que é reconfortante ouvir que, se você ou qualquer outra pessoa tiver muitas perguntas, mas não muitas respostas, as empresas e os órgãos reguladores também parecem ter muitas perguntas, mas também não muitas respostas. Acho isso muito reconfortante quando temos discussões na Action Coalition com pessoas cuja experiência e conhecimento eu realmente admiro e que também não têm as respostas. 

Acho que isso é algo para se ter em mente. Pessoalmente, estou muito interessado em como podemos tornar a legislação mais acessível, tornando-a mais fácil de ser acessada digitalmente. Isso é algo que a BrainBox está explorando. Como é possível criar versões automatizadas e estruturadas da legislação, que facilitam muito o acesso a ela. Isso é algo em que estamos trabalhando em segundo plano. Mas, sim, há muita coisa por aí. Acho que, ao conversar com as pessoas, e não sei o que você acha, mas é sempre melhor ouvir as principais ideias de alguém durante uma conversa de uma hora do que tentar sentar com 100 páginas de legislação e tentar entender tudo. Acho que esse é um componente importante de tudo isso, assim como a forma de termos essas redes em que podemos compartilhar o aprendizado de maneira efetiva e igualitária e, você sabe, bidirecional também. É muito importante, portanto, que não seja apenas a União Europeia e o DSA compartilhando informações de maneira unidirecional. Também é preciso aprender na outra direção.

A entrevista foi gravada e está disponível em nosso canal no Youtube. Assista:

compartilhe