Riscos sistêmicos no Digital Services Act e suas lições para o Brasil

No final de 2022, foi aprovado o texto final do Digital Services Act, documento proposto pela Comissão Europeia com o objetivo de regular os serviços digitais, visando à proteção dos direitos fundamentais dos usuários e a promoção da inovação e da competitividade. Para tanto, estruturou-se um sistema de supervisão pública, no qual autoridades dos Estados-Membros devem observar o cumprimento das diversas obrigações impostas pela nova lei[1] aos intermediários, que foram divididos em quatro categorias: provedores de serviços de transporte, provedores de serviços de armazenamento em servidor, plataformas online e as plataformas online e ferramentas de pesquisa de muito grande dimensão. A diferenciação desses grupos foi realizada a fim de que pudessem ser distribuídas obrigações de forma escalonada, com base no risco colocado pelos diferentes modelos de negócios. Ou seja, quanto maior o impacto econômico e social da plataforma, maiores os riscos que ela apresenta e, portanto, mais responsabilidades e obrigações são atribuídas pelo DSA[2]. Assim, o texto opta por dar centralidade à noção de risco, priorizando medidas ex ante voltadas para sua mitigação, de forma manifestamente assimétrica[3].

Um dos principais destaques do DSA são as chamadas VLOPs (very large online platforms) e VLSEs (very large search engines) — provedores de plataformas ou ferramentas de pesquisa online de muito grande dimensão — que, de acordo com o seu artigo 33, são aquelas que possuem, dentro da União Europeia, um número médio mensal de usuários ativos igual ou superior a 45 milhões, e que tenham recebido essa designação pela Comissão Europeia. A esse grupo — que inclui gigantes como Google, Meta e Apple[4] — são impostas obrigações específicas, para fins de gestão dos chamados "riscos sistêmicos". Em uma breve pesquisa pelo texto do Digital Services Act, chama a atenção o fato de o termo aparecer 34 vezes, acompanhando sempre as VLOPs e os VLSEs que, de acordo a exposição de motivos, "podem ser utilizados de uma forma que influencia fortemente a segurança em linha, a formação da opinião pública e o discurso, bem como o comércio em linha" e "podem implicar riscos sociais com um âmbito e impacto diferentes dos causados pelas plataformas de menor dimensão". O conceito, proveniente do setor financeiro[5], é utilizado nesse caso para tratar da prevenção de danos econômicos e sociais quanto à própria natureza das VLOPs e VLSEs[6]. Assim, foi dedicada toda uma seção do DSA para lidar com os riscos sistêmicos provocados pelas plataformas online e mecanismos de busca de muito grande dimensão, em busca de uma verdadeira redefinição das estruturas de poder na economia digital[7].

Antes de pormenorizar o quadro construído pelo documento nesse sentido, é importante buscar entender do que se tratam tais riscos e quais as preocupações que motivaram o texto da lei. Ainda nos seus "considerandos"[8], são listadas quatro categorias de riscos sistêmicos que decorrem do modelo de negócios desses atores. A primeira relaciona-se com os riscos associados à difusão de conteúdos ilegais (como o discurso de ódio) e à realização de atividades ilegais (e.g., o comércio ilegal de animais) — ilegalidade essa que, nos termos do artigo 3(h) do DSA, deverá ser avaliada com base nos parâmetros oferecidos pelo direito da União ou dos estados-membros. A segunda categoria diz respeito aos impactos reais ou previsíveis do serviço no exercício de direitos fundamentais protegidos pela Carta dos Direitos Fundamentais da União Europeia, que incluem, por exemplo, o direito à dignidade humana, o direito à vida privada, os direitos da criança e a liberdade de expressão. A terceira, por sua vez, diz respeito aos efeitos negativos em processos democráticos, no discurso cívico, em processos eleitorais e na segurança pública. Por fim, a quarta categoria volta-se a preocupações com impactos negativos na proteção da saúde pública, dos menores de idade, e do bem-estar físico e mental em matéria de violência de gênero.

A partir dessas quatro categorias, pode-se observar como o DSA buscou oferecer respostas a toda uma gama de problemas e discussões envolvendo os serviços digitais nos últimos anos, como o impacto das redes sociais nos processos eleitorais (destaque-se as eleições estadunidenses de 2016 e as brasileiras de 2018), nos processos democráticos (com a incitação de movimentos antidemocráticos, como aqueles que resultaram na invasão do Capitólio em janeiro de 2021 e em Brasília, em 8 de janeiro deste ano), na proteção da saúde pública (com as diversas campanhas de desinformação relacionadas à pandemia do coronavírus), etc. Ao pontuar tais riscos e atribuí-los, ainda que potencialmente, às plataformas de grande dimensão, o DSA reconhece também como aspectos específicos da internet, de tais modelos de negócios e da forma como os serviços são oferecidos impactam diretamente nesses problemas, de modo a ensejar responsabilidades condizentes[9]. Em outras palavras, o legislador europeu traçou uma ligação direta entre os serviços oferecidos e os danos deles decorrentes, concretos ou em potencial.

Essa conexão é feita, inclusive, considerando os seguintes aspectos do modelo de negócios desses atores, conforme citado nos considerandos 80 a 84: (i) a capacidade de propagação e o poder de amplificação proporcionados pelas redes sociais, que permitem com que o conteúdo tenha vasto alcance em apenas alguns minutos; (ii) a concepção dos sistemas algorítimicos (como os sistemas de recomendação e de publicidade) e de interfaces que podem explorar vulnerabilidades e causar comportamentos aditivos; e (iii) os processos de moderação de conteúdo e as possibilidades de utilização não autêntica do serviço, como a criação de contas falsas e o uso de bots, que contribuem para as campanhas de desinformação. Dessa forma, tendo em vista as diversas formas como a arquitetura técnica das redes sociais podem gerar riscos generalizados à sociedade e ao exercício de direitos fundamentais[10], a Seção 5 do DSA institui diversos mecanismos de gestão desses riscos.

O artigo 34, por exemplo, impõe a obrigação de os provedores realizarem avaliações anuais dos riscos sistêmicos que sejam decorrentes da concepção ou do funcionamento de seu serviço e dos seus sistemas relacionados. Essas avaliações também deverão ser realizadas sempre que forem introduzidas novas funcionalidades com potencial de impactar tais riscos e deverão incluir todas as categorias de riscos sistêmicos introduzidas inicialmente nos considerandos, ou seja: a difusão de conteúdos ilegais nos serviços oferecidos; os efeitos negativos causados aos direitos fundamentais previstos na Carta dos Direitos Fundamentais da União Europeia; os impactos no discurso cívico, nos processos eleitorais e na segurança pública; e os efeitos negativos quanto à violência de gênero, à proteção da saúde pública e dos menores, ao bem-estar físico e mental das pessoas. A análise desses riscos deverá ser realizada levando-se em conta os mecanismos dos serviços das ferramentas de busca e das plataformas online de muito grande dimensão que influenciam os riscos sistêmicos: os sistemas algorítmicos, os sistemas de moderação de conteúdos, os termos e condições e sua aplicação, os sistemas de publicidade e as práticas quanto aos dados; e, ainda, deverá considerar aspectos regionais ou linguísticos específicos, observando-se a diversidade dos Estados-Membros.

O artigo 35, por sua vez, trata da obrigação de os fornecedores tomarem medidas para atenuar esses riscos sistêmicos, seja pela a adaptação da arquitetura e das interfaces dos serviços, dos termos e condições, dos sistemas algorítmicos e dos sistemas de moderação de conteúdo; seja por medidas voltadas à proteção das crianças, por meio de instrumentos de verificação de idade e controle parental; seja pelo oferecimento de funcionalidades que permitam a identificação de elementos (imagem, áudio ou vídeo) manipulados; ou pelo ajuste de funcionalidades de modo a garantir mais informações aos usuários. Ao Comitê e à Comissão cabe a publicação anual de relatórios que informam os principais riscos sistêmicos verificados em cada estado-membro, bem como boas práticas para sua atenuação, podendo emitir diretrizes e recomendações.

Uma outra importante previsão é o artigo 37, que sujeita as plataformas online e as ferramentas de busca online de muito grande dimensão a auditorias independentes para avaliação do cumprimento das disposições da Seção 3 — que prevê obrigações às plataformas online quanto a sistemas internos de gestão de reclamações relacionadas à moderação de conteúdo; obrigações quanto à publicidade online e à transparência dos sistemas de recomendação; a obrigação de apresentação de relatórios, dentre outras — e dos compromissos assumidos nos termos de códigos de conduta e dos protocolos de crise. A auditoria deverá ser realizada com o auxílio e a cooperação necessária das VLOPs e VLSEs, que devem permitir o acesso a dados e instalações pertinentes e responder perguntas. O DSA destaca, ainda, o sigilo profissional que deverá guiar as auditorias, de modo que os relatórios deverão ser acompanhados de versões que não incluam informações confidenciais. Ao final, será elaborado um parecer pela organização responsável acerca do cumprimento das obrigações previstas, com conclusões "positivas", "negativas" ou "positivas com observações". No caso das duas últimas possibilidades, a plataforma online ou o motor de busca de muito grande dimensão terá que se adequar de acordo com recomendações da organização.

Destaca-se, ainda, o artigo 40 do DSA, que estabelece que VLOPs e VLSEs deverão, dentro de determinadas condições, possibilitar o acesso aos seus dados. De início, essa previsão volta-se ao Coordenador dos Serviços Digitais e à Comissão, para quem o acesso serve para permitir o controle e a avaliação do cumprimento das regras do regulamento. O acesso deverá ser baseado em pedido fundamentado e ser limitado pelo princípio da finalidade, não sendo, portanto, irrestrito. Uma novidade é a abertura dessa possibilidade a investigadores habilitados para fins de pesquisa que contribua para a compreensão dos riscos sistêmicos dentro da União Europeia e para avaliação das medidas de atenuação citadas no artigo 35. Para ser classificado enquanto tal, os investigadores deverão demonstrar a filiação em uma organização de investigação nos termos da Diretiva europeia 2019/790, que trata sobre direitos autorais; a independência quanto a interesses comerciais; o financiamento da pesquisa; a necessidade e a proporcionalidade dos dados requeridos para os fins da investigação; o comprometimento quanto à disponibilização gratuita dos resultados, sempre em observância ao Regulamento Geral de Proteção de Dados. Deverão demonstra, ainda, a capacidade de cumprimento de requisitos de segurança, confidencialidade e proteção dos dados pessoais, por meio de medidas técnicas e organizativas adequadas.  Essa decisão é tomada, em todo caso, pelo coordenador dos serviços digitais e, se todos os tópicos forem cumpridos, os fornecedores de VLOPs e VLSEs deverão disponibilizar o acesso aos dados sem demora injustificada, por meio de interfaces adequadas. O objetivo é justamente reduzir os obstáculos que têm sido enfrentados, há anos, por pesquisadores e cientistas interessados nos temas dos serviços digitais, e possibilitar a eles que alcancem resultados a partir de dados concretos.

O Digital Services Act, ao atribuir responsabilidades e obrigações a fornecedores de serviços digitais, adota uma abordagem assimétrica, estando as plataformas online e as ferramentas de busca de muito grande dimensão no "topo da pirâmide" em relação à quantidade e intensidade de atribuição de responsabilidades e obrigações. Isso porque, por conta de seu número de usuários[11] e de especificidades de sua arquitetura, são sujeitas a apresentar os chamados "riscos sistêmicos", razão pela qual o DSA apresenta toda uma Seção voltada à sua identificação, gestão e atenuação. A expectativa é que, nos próximos anos, após a nomeação dos fornecedores que serão compreendidos enquanto VLOPs ou VLSEs, os mecanismos da lei sirvam para minimizar as externalidades negativas fruto dos modelos de negócios desses atores[12], reequilibrando a balança em favor da sociedade como um todo.

No debate sobre a regulamentação das plataformas digitais no Brasil, seria importante assimilar institutos e conceitos já presentes no direito europeu, como foi feito com sucesso na discussão sobre o direito à proteção de dados, em que o GDPR orientou as discussões sobre a LGPD. Reinventar a roda não apenas é perigoso, mas também, com frequência, pouco eficiente.