SANDBOX REGULATÓRIO – ESTUDO TÉCNICO ANPD
Brasília, 29 de setembro de 2023.
Autoridade Nacional de Proteção de Dados
Diretor-Presidente
Waldemar Gonçalves Ortunho Junior
Diretores
Arthur Pereira Sabbat
Joacil Basilio Rael
Miriam Wimmer
Nairane Farias Rabelo Leitão
Equipe de elaboração
Alexandra Krastins Lopes – Gerente de Projeto do Conselho Diretor
Carlos Fernando do Nascimento – Especialista
Diego Carvalho Machado – Especialista
Lucas Costa dos Anjos – Especialista
Marcelo Santiago Guedes – Coordenador-Geral de Tecnologia e Pesquisa
Maria Carolina Ferreira da Silva – Especialista
Maria Luiza Duarte de Sá – Estagiária
Thiago Guimarães Moraes – Coordenador de Inovação e Pesquisa
Sumário
SANDBOX REGULATÓRIO – ESTUDO TÉCNICO ANPD ………………………………………………….1
- INTRODUÇÃO………………………………………………………………………………………………………………3
1.1. CONTEXTO ……………………………………………………………………………………………………………………3
1.2. DEFINIÇÃO DE SANDBOXES REGULATÓRIOS ……………………………………………………………………….4
1.3. BREVE HISTÓRICO SOBRE SANDBOXES……………………………………………………………………………….7
1.4. MOTIVAÇÃO DO ESTUDO……………………………………………………………………………………………….10
1.5. OBJETIVO E METODOLOGIA…………………………………………………………………………………………..11 - ESTUDOS DE CASO – PROGRAMAS DE SANDBOXES………………………………………………12
2.1. SANDBOXES DE AUTORIDADES DE PROTEÇÃO DE DADOS…………………………………………………..12
2.2. SANDBOXES DE INTELIGÊNCIA ARTIFICIAL………………………………………………………………………30
2.3. SANDBOXES DO SISTEMA FINANCEIRO NACIONAL…………………………………………………………….32
2.4. SANDBOXES DE AGÊNCIAS REGULADORAS NACIONAIS (ANEEL, ANTT, ANATEL)……………..37 - CARACTERÍSTICAS RELEVANTES DOS PROGRAMAS DE SANDBOX…………………..42
3.1. BENEFÍCIOS ESPERADOS………………………………………………………………………………………………..42
3.2. PARTICIPAÇÃO COLABORATIVA E PARCERIAS ………………………………………………………………….45
3.3. CRITÉRIOS PARA PARTICIPAÇÃO …………………………………………………………………………………….47
3.4. LIMITAÇÕES DO PROGRAMA (CONSTRAINTS)…………………………………………………………………….48
3.5. RISCOS E MECANISMOS DE MITIGAÇÃO …………………………………………………………………………..48
3.6. PRODUTOS…………………………………………………………………………………………………………………..51 - COMO IMPLEMENTAR UM PROGRAMA DE SANDBOX………………………………………….52
4.1. PLANEJAMENTO DE UM SANDBOX……………………………………………………………………………………52
4.2. EXECUÇÃO DO SANDBOX ……………………………………………………………………………………………….55 - CONCLUSÃO………………………………………………………………………………………………………………63
ANEXO I – ALTERNATIVAS AO SANDBOX – OUTRAS ABORDAGENS REGULATÓRIAS
EXPERIMENTAIS……………………………………………………………………………………………………………..64 - INTRODUÇÃO
1.1. Contexto
A ausência de marcos regulatórios pode gerar falta de investimentos e restrições à
inovação e ao empreendedorismo. Além disso, com o rápido desenvolvimento tecnológico há
certa tendência de que frameworks regulatórios fiquem obsoletos e riscos de que consistam em
regulações ineficazes, custosas ou que barrem a concorrência.
Deste modo, a inovação tecnológica no meio digital traz novos desafios regulatórios no
que diz respeito à governança de dados, privacidade e segurança da informação, inclusive pelos
obstáculos relacionados aos diversos setores e jurisdições envolvidos. Dito isto, abordagens
regulatórias adequadas podem permitir desenvolvimentos tecnológicos ao mesmo tempo que
garantem a proteção a direitos, além de fornecer segurança jurídica, necessária para
investimentos e planejamento no mercado de inovação.
As abordagens regulatórias para o âmbito da inovação em tecnologia podem ser
organizadas quanto aos objetivos das políticas públicas sendo propostas pelo regulador. Nesse
sentido, o Banco Interamericano de Desenvolvimento (BID) classifica os objetivos em
consultivos, adaptativos e antecipatórios.
1
No objetivo consultivo, novos produtos e serviços podem ser testados e adaptados às
regulações existentes e o regulador provê orientações e suporte para que as empresas adquiram
compreensão do contexto regulatório e entrem em conformidade. Com o objetivo adaptativo,
por sua vez, o regime regulatório é flexibilizado para a testagem das inovações, porém também
visa a adequação do regulado ao regime já existente, enquanto o regulador avalia o valor dessas
inovações ao público. Diferentemente, no objetivo antecipatório, o regulador busca
compreender os impactos de tecnologias emergentes e qual o potencial das necessidades
regulatórias. Comumente são utilizados sandboxes regulatórios para objetivos adaptativos ou
antecipatórios de regimes regulatórios. Essas caracterizações não são excludentes, ou seja, é
possível cumular objetivos.
De acordo com a Organização para a Cooperação e o Desenvolvimento Econômico
(OCDE),
2
três caminhos têm sido traçados pelos países para lidar com os desafios regulatórios
face à transformação digital: (i) “Esperar e Observar” (no original, Wait and See), ou seja,
aguardar o desenvolvimento da tecnologia e o surgimento de novos casos de uso para então
definir o melhor modelo de governança; (ii) “Testar e Aprender” (no original, Test and Learn),
que envolve explorar alguns modelos regulatórios de forma experimental em alguns casos de
1
INTER-AMERICAN DEVELOPMENT BANK. Regulatory Sandboxes and Innovation Test Beds: A Look
at International Experience and Lessons for Latin America and the Caribbean, 2020. Disponível em:
https://publications.iadb.org/publications/english/document/Regulatory-Sandboxes-and-Innovation-Testbeds-ALook-at-International-Experience-in-Latin-America-and-the-Caribbean.pdf. Acesso em: 05 nov. 2022.
2 ORGANIZAÇÃO PARA A COOPERAÇÃO E O DESENVOLVIMENTO ECONÔMICO. State of
implementation of the OECD AI Principles: Insights from national AI policies. Paris: OECD Publishing, 2021.
p. 28. Disponível em: https://www.oecd.org/innovation/state-of-implementation-of-the-oecd-ai-principles1cd40c44-en.htm. Acesso em: 30 ago. 2022.
uso específicos; (iii) proibir ou impedir, por meio de moratórias e banimentos, o uso de
tecnologias de alto risco, tais como o reconhecimento facial em locais de acesso público.
O desafio em encontrar o ponto de equilíbrio que permita uma supervisão do
desenvolvimento e uso dessa tecnologia sem, contudo, gerar uma sobre-regulação que acabe
por inviabilizar a inovação tem impulsionado governos a adotarem a estratégia “Testar e
Aprender”, por meio de abordagens regulatórias de cunho experimental, como os hubs de
inovação, protótipos de políticas públicas e cláusulas de caducidade, entre outros.3
Dessas abordagens, destaca-se o sandbox regulatório, utilizado para promover um
ambiente regulatório baseado em evidências para o teste de novas tecnologias.
4 Trata-se de
mecanismo que foi impulsionado pelo setor financeiro, liderado por autoridades financeiras do
Reino Unido e de Singapura, mas que há muito extrapolou o âmbito desse setor e tem sido
utilizado nos mais distintos contextos. Com o tempo, sandboxes passaram a ser explorados em
outros ambientes regulados, incluindo o de proteção de dados, a exemplo da iniciativa da
Autoridade de Proteção de Dados do Reino Unido, a Information Commissioner’s Office –
ICO;
5
e o de inteligência artificial, a exemplo da iniciativa do Ministério da Economia do Chile6
e do Governo da Espanha.
7
1.2. Definição de sandboxes regulatórios
Termo proveniente da indústria de tecnologia da informação, que se refere a ambientes
isolados e segregados para a testagem de produtos ou softwares,
8
o sandbox foi adaptado ao
contexto regulatório.
9
De acordo com definição apresentada pelo Conselho da Europa, sandboxes regulatórios
são frameworks concretos que, ao proporcionarem um contexto estruturado para a
experimentação, permitem testar, sempre que adequado, num ambiente real, tecnologias,
produtos, serviços ou abordagens inovadores – atualmente em especial no contexto da
3 Ver
ANEXO I – ALTERNATIVAS AO SANDBOX – OUTRAS ABORDAGENS REGULATÓRIAS
EXPERIMENTAIS
4 GUÍO, Armando. Sandbox Regulatorio de Inteligencia Artificial en Chile: Documento para discusión, 2021.
Disponível em: https://www.economia.gob.cl/wp-content/uploads/2021/09/PaperSandboxIA.pdf. Acesso em: 30
ago. 2022.
5
INFORMATION COMMISSIONER’S OFFICE (ICO). Regulatory Sandbox. Disponível em:
https://ico.org.uk/sandbox. Acesso em: 30 ago. 2022.
6 GUÍO, Armando. Op. cit.
7 EL Gobierno de España presenta, en colaboración con la Comisión Europea, el primer piloto del sandbox de
regulación de Inteligencia Artificial en la UE, 2022. Ministerio de Asuntos Económicos y Transformación
Digital, 26 jun. 2022. Disponível em: https://portal.mineco.gob.es/es-es/comunicacion/Paginas/20220627-
PR_AI_Sandbox.aspx. Acesso em: 30 ago. 2022.
8 WORLD BANK. Global Experiences from Regulatory Sandboxes. Washington, DC: World Bank, 2020.
Disponível em: https://openknowledge.worldbank.org/handle/10986/34789. Acesso em: 05 nov. 2022.
9 DATASPHERE INITIATIVE. Sandboxes for data: creating spaces for agile solutions across borders.
Disponível em: https://www.thedatasphere.org/wp-content/uploads/2022/05/Sandboxes-for-data-2022-
Datasphere-Initiative.pdf. Acesso em: 10 nov. 2022.
digitalização – durante um período de tempo limitado e numa parte limitada de um setor ou
domínio sob supervisão regulamentar, garantindo a existência de salvaguardas adequadas.
10
O sandbox pode ser considerado uma abordagem regulatória para o balanceamento de
riscos. Essa abordagem a partir de requisitos regulatórios mínimos promove possibilidades de
experimentação enquanto orienta a regulamentação para caminhos adequados. Trata-se de
processo colaborativo através do qual inovações tecnológicas e de novos modelos de negócio
podem ser explorados com reguladores.
11
A experimentação promovida pelos sandboxes permite às autoridades analisar como
inovações tecnológicas interagem com os regulamentos já existentes e verificar a possibilidade
e necessidade de abordá-losde uma forma diferente para permitir, por um lado, a promoção de
modelos de inovação, e por outro, a proteção dos direitos fundamentais.
Isso porque os sandboxes facilitam testes em pequena escala, ambientes de mercado
controlado e contexto colaborativo e de confiança entre agente regulado e regulador.
Tipicamente aplicáveis em situações nas quais tecnologias emergentes tenham potencial
disruptivo, permitem a experimentação de tecnologias inovadoras e modelos de negócio em
que haja incertezas sobre sua consonância com leis e regulamentos aplicáveis.
Além disso, caso necessário, programas de sandboxes podem implementar a suspensão
temporária de certas disposições ou requisitos obrigatórios para os regulados. Nessa hipótese,
os participantes não são obrigados a cumprir requisitos regulatórios que seriam aplicáveis aos
agentes do mercado tradicional (não participantes do sandbox), mas em compensação devem
incorporar mecanismos de salvaguardas para a prevenção de riscos. Isso permite ao participante
um espaço seguro para experimentar sem o risco de ser sancionado.
12
Contudo, é importante frisar que a suspensão de disposições legais não é um requisito
necessário para operacionalizar um sandbox regulatório. Por exemplo, os programas de
sandbox organizados por Autoridades de Proteção de Dados, como os descritos nesse estudo,
não realizaram a suspensão temporária de sanções, uma vez que a abordagem baseada em risco
inerente às legislações de proteção de dados foi suficiente para trazer a flexibilidade necessária
para execução do instrumento.
Cabe, portanto, ressaltar que sandboxes regulatórios não consistem em uma forma de
colocar fim à regulação. O que diferencia os sandboxes das tradicionais dispensas ou isenções
regulatórias é o engajamento regulatório progressivo, por meio do menor risco de ações de
enforcement, menos restrições, clientes reais e orientações contínuas por parte das
autoridades.
13 Além disso, o sandbox regulatório pode ser considerado regulação baseada em
10
.
11 DATASPHERE INITIATIVE. Sandboxes for data: creating spaces for agile solutions across borders.
Disponível em: https://www.thedatasphere.org/wp-content/uploads/2022/05/Sandboxes-for-data-2022-
Datasphere-Initiative.pdf. Acesso em: 10 nov. 2022.
12 ZETZSCHE, A. Dirk et al. Regulating a Revolution: From Regulatory Sandboxes to Smart Regulation.
Fordham Journal of Corporate & Financial Law, v. 23, n. 1, p. 31-103, 2017.
13 ALLEN, Hilary J. Regulatory Sandboxes. George Washington Law Review, v. 87, n.3, p. 579-645, maio
princípios, já que remove alguns pesos da regulamentação dos participantes ao arcar com a
flexibilidade de satisfazer alguns dos objetivos do programa.14
Em 2019, o governo da Alemanha realizou um estudo específico sobre
sandboxes regulatórios15 e identificou três características principais desse modelo:
- Sandboxes regulatórios são zonas de teste estabelecidos por tempo limitado,
que cobrem um setor específico e em que tecnologias e modelos de negócios
inovadores podem ser testados, colocando-os disponível ao público; - Sandboxes regulatórios exploram flexibilidades regulatórias de um
regulamento em vigor em que não há sanção imediata pelo não estrito
cumprimento de uma norma; e - Sandboxes regulatórios implicam um interesse na descoberta regulatória. Ou
seja, não se concentra apenas na inovação, mas também no que pode ser
aprendido para legislações futuras.
Sua implementação pode se dar de forma unissetorial, com um regulador atuando
proativamente, ou multissetorial, com um regulador central atuando em papel de coordenação
e outras entidades atuando com o papel de facilitação. Em ambos os modelos, há vantagens
claras para negócios e inovação, já que permitem a testagem de tecnologias e métodos em uma
situação de vida real que envolve consumidores e reguladores.
16 Os sandboxes regulatórios
podem variar ainda, quanto ao escopo (estrito ou amplo), à escala (iniciativas, stakeholders
envolvidos ou alcance geográfico) e ao tempo de duração, entre outros elementos.
17
Quanto ao objetivo, podem ser focados em:
18
(i) Políticas, para avaliação de regulações ou políticas específicas;
(ii) Produtos ou inovação, com redução de custos de entrada em mercados, ao
permitir que empresas façam a testagem de viabilidade de mercado de novos
modelos de negócios;
(iii) Temáticos, com objetivo de acelerar a adoção de políticas ou inovações
específicas ou suportar o desenvolvimento de um subsetor particular, ou ainda
14 Idem.
15 FEDERAL MINISTRY FOR ECONOMIC AFFAIRS AND ENERGY. Making space for innovation: The
handbook for regulatory sandboxes. Berlim: Federal Ministry for Economic Affairs and Energy, 2021.
Disponível em: https://www.bmwk.de/Redaktion/EN/Publikationen/Digitale-Welt/handbook-regulatorysandboxes.pdf%3F__blob%3DpublicationFile%26v%3D2. Acesso em: 06 nov.2022.
16 INTER-AMERICAN DEVELOPMENT BANK, Regulatory Sandboxes and Innovation Test Beds: A Look
at International Experience and Lessons for Latin America and the Caribbean. Washington, D.C,: IDB, 2020.
Disponível em: https://publications.iadb.org/publications/english/document/Regulatory-Sandboxes-andInnovation-Testbeds-A-Look-at-International-Experience-in-Latin-America-and-the-Caribbean.pdf. Acesso em:
05 nov. 2022.
17 DATASPHERE INITIATIVE. Sandboxes for data: creating spaces for agile solutions across borders.
Disponível em: https://www.thedatasphere.org/wp-content/uploads/2022/05/Sandboxes-for-data-2022-
Datasphere-Initiative.pdf. Acesso em: 10 nov. 2022.
18 WORLD BANK. Global Experiences from Regulatory Sandboxes. Washington, DC: World Bank, 2020.
Disponível em: https://openknowledge.worldbank.org/handle/10986/34789. Acesso em: 05 nov. 2022.
de produtos específicos direcionados a determinados segmentos populacionais;
e
(iv) Internacional ou multi-jurisdicional, para suportar o movimento e as operações
internacionais de empresas, enquanto encoraja cooperações e arbitragens
regulatórias, com objetivo de incrementar a harmonização da regulação
internacional e o rápido escalonamento regional ou global das empresas.
Os stakeholders envolvidos incluem empresas inovadoras e fornecedores de
conhecimento, os reguladores e outras entidades, consumidores e organizações não
governamentais e da sociedade civil.
Sandboxes podem ser vantajosos para driblar desafios de barreiras regulatórias de
entrada em mercados específicos, como o financeiro, em que se iniciou sua aplicação. Tais
barreiras podem se constituir em sanções significativas e o nível de confiabilidade do mercado
decorrente do compliance regulatório19
.
Além disso, há registros de impactos como o compartilhamento de conhecimento, a
conscientização e a adesão às políticas públicas.
20 Outros benefícios observados são a
facilitação do financiamento empresarial, promoção do desenvolvimento mercadológico pela
redução de custos administrativos e transacionais e aumento da expertise de autoridades
regulatórias.
Entretanto, apesar de apontados como as abordagens regulatórias mais eficazes para
medição das necessidades regulatórias de determinado setor ou indústria, outras abordagens
podem ser aplicáveis e suficientes sem flexibilizações dos regimes regulatórios vigentes.
Desafios se impõem na aplicabilidade de sandboxes, como a necessidade de coordenação das
flexibilizações entre as diferentes autoridades envolvidas no regime regulatório, os riscos
concorrenciais, a propriedade intelectual e os riscos envolvendo a experiência dos titulares de
dados e consumidores, que serão explorados ao longo do estudo.
1.3. Breve histórico sobre sandboxes
A aplicação do sandbox regulatório iniciou no setor financeiro, a partir do surgimento
de novas tecnologias no mercado. O conceito de fintech21
– a combinação entre “tecnologia” e
“setor financeiro” – trouxe novos questionamentos regulatórios, visto que a realidade dos
19 ALLEN, Hilary J. Regulatory Sandboxes. George Washington Law Review, v. 87, n.3, p. 579-645, maio
2019, p. 592.
20 INTER-AMERICAN DEVELOPMENT BANK, Regulatory Sandboxes and Innovation Test Beds: A Look
at International Experience and Lessons for Latin America and the Caribbean. Washington, D.C,: IDB, 2020.
Disponível em: https://publications.iadb.org/publications/english/document/Regulatory-Sandboxes-andInnovation-Testbeds-A-Look-at-International-Experience-in-Latin-America-and-the-Caribbean.pdf. Acesso em:
05 nov. 2022.
21 ORGANIZATION FOR ECONOMIC COOPERATION AND DEVELOPMENT. Financial Markets,
Insurance and Private Pensions: Digitalisation and Finance. Paris: OCDE, 2018. Disponível em:
https://www.oecd.org/finance/private-pensions/Financial-markets-insurance-pensions-digitalisation-andfinance.pdf. Acesso em: 22 mar. 2023.
serviços financeiros estava tomando formas distintas, que não cabiam nas molduras de
regulação já existentes.
O uso do sandbox regulatório no setor financeiro tornou-se uma tendência ao redor do
mundo: em 2020, foi levantado que 57 países operavam 73 sandboxes envolvendo fintechs.
22
O motivo seria a possibilidade de flexibilização normativa que a ferramenta apresentava para
esse novo modelo econômico. A pioneira na aplicação do sandbox foi a agência britânica
Financial Conduct Authority, em 2015.
23 Seus critérios para a implementacão envolviam os
seguintes aspectos: (i) escopo da empresa; (ii) inovação; (iii) benefícios gerados pela tecnologia
em desenvolvimento; (iv) necessidade do campo de teste; e (v) pesquisa de antecedentes
adequados.
24
No âmbito internacional, alguns países que desenvolveram projetos nesse sentido são:
Austrália, com o “Enhanced Regulatory Sandbox (ERS)”; Canadá, com o “Canadian Securities
Administrators (CSA) Regulatory Sandbox”; Índia, com o “International Financial Services
Centres Authority (IFSCA) Regulatory Sandbox”; Singapura, com o “Monetary Authority of
Singapore (MAS) Fintech Regulatory Sandbox”, entre outros.
25
O Brasil seguiu por esse caminho e a Comissão de Valores Mobiliários (CVM), a
Superintendência de Seguros Privados (Susep) e o Banco Central do Brasil (BCB) publicaram
em 2019, de maneira conjunta, um comunicado sobre a implantação do sandbox regulatório
nos seus respectivos mercados de atuação.
26 Os princípios do sandbox regulatório das
instituições mencionadas possuem características em comum, contudo, cada autoridade possui
competência legal distinta: o BCB tem como objeto o sistema financeiro e de pagamento, a
CVM envolve o mercado de capitais e a Susep trata do mercado de seguros privados. De acordo
com tais instituições, os seus objetivos visam a inovação e assegurar a diversidade de modelos
de negócio, estimular a concorrência entre os fornecedores de produtos e serviços financeiros
e, por fim, atender às necessidades dos usuários, no âmbito do Sistema Financeiro Nacional
(SFN) e do Sistema de Pagamentos Brasileiro (SPB), assegurando a coerência desses sistemas.
A Superintendência de Seguros Privados foi a primeira a orquestrar seu projeto de
sandbox, em 2020, e hoje já organiza sua segunda edição do projeto. Em fevereiro de 2021, o
Banco Central do Brasil abriu uma convocação para instituições do sistema financeiro
22 WORLD BANK. Global Experiences from Regulatory Sandboxes. Washington, DC: World Bank, 2020.
Disponível em: https://openknowledge.worldbank.org/handle/10986/34789. Acesso em: 05 nov. 2022.
23 FINANCIAL CONDUCT AUTHORITY. Regulatory Sandbox. Londres: Financial Conduct Authority, 2015.
Disponível em: https://www.fca.org.uk/publications/documents/regulatory-sandbox. Acesso em: 18 nov. 2022.
24 FINANCIAL CONDUCT AUTHORITY. Regulatory Sandbox. Londres: Financial Conduct Authority, 2015.
Disponível em: https://www.fca.org.uk/publications/documents/regulatory-sandbox. Acesso em: 18 nov. 2022.
25 ORGANIZATION FOR ECONOMIC COOPERATION AND DEVELOPMENT. Financial Markets,
Insurance and Private Pensions: Digitalisation and Finance. Paris: OCDE, 2018. Disponível em:
https://www.oecd.org/finance/private-pensions/Financial-markets-insurance-pensions-digitalisation-andfinance.pdf. Acesso em: 22 mar. 2023.
26 BRASIL. Ministério da Economia. Comunicado Conjunto, de 13 de junho de 2019. Disponível em:
https://www.gov.br/cvm/pt-br/assuntos/noticias/comunicado-conjunto-de-13-de-junho-de-2019-
8dd7407271404b5ebe04f5150d3aa36c. Acesso em: 17 nov. 2022.
interessadas em participar de seu programa de sandbox regulatório.
27 O primeiro ciclo do
sandbox do BCB ainda está transcorrendo, com 52 inscrições de projetos e somente 7
escolhidos, sendo que estes receberam autorização específica do Banco Central do Brasil e
agora planejam o seu desenvolvimento acompanhado pelo Comitê Estratégico de Gestão do
sandbox do BCB (Cesb).
28 Para mais detalhes sobre os sandboxes das instituições financeiras
brasileiras verificar a Seção 2.3
Para garantir segurança jurídica na implementação de sandboxes regulatórios no Brasil,
o Marco Legal das Startups (Lei Complementar nº 182/2021) trouxe, em seu art. 11, que
“órgãos e as entidades da administração pública com competência de regulamentação setorial
poderão, individualmente ou em colaboração, no âmbito de programas de ambiente regulatório
experimental (sandbox regulatório), afastar a incidência de normas sob sua competência em
relação à entidade regulada ou aos grupos de entidades reguladas”.
Mundo afora, Autoridades de Proteção de Dados – APDs, também têm desenvolvido
seus programas de sandbox regulatório. Como exemplos desses “sandboxes de privacidade”, é
possível apontar as experiências trazidas pelo Information Commissioner’s Office (ICO) do
Reino Unido, lançado em 2019, com foco em proteção de dados “by design” e pela Comissão
de Proteção de Dados Pessoais de Singapura (PDPC) junto à Autoridade de Regulação
Midiática –Infocomm Media Development Authority (IMDA), iniciado em 2017, com objetivo
de atualizar o arcabouço regulatório sobre proteção de dados do país. Mais recentemente, em
julho de 2022, as duas autoridades de Singapura iniciaram um novo programa, com foco em
Privacy Enhancing Technologies (PETs).
A experiência observada nos programas implementados por essas APDs parece sugerir
que o afastamento de normas para fins de sanção nem sempre é necessário, uma vez que o foco
do programa se concentra na implementação do princípio da responsabilidade e prestação de
contas (art. 6º, X, da Lei Geral de Proteção de Dados Pessoais – LGPD, Lei nº 13.709/2018) e
no fomento do privacy by design. Além disso, em muitos casos, os participantes testam
soluções que ainda estão em fase inicial de desenvolvimento. A exceção vai para a ICO que
também testa algumas inovações já disponibilizadas em mercado e emite “declarações de
conforto regulatório” para mitigar a incidência de normas sancionatórias no contexto da
sandbox. Para mais informações sobre essa declaração, checar a Seção 4.2.1.
Em outra perspectiva, esquemas de sandboxes regulatórios foram desenvolvidos por
Autoridades de Proteção de Dados para serem aplicadas no contexto de sistemas de inteligência
27 SANDBOX Regulatório. Banco Central do Brasil. Disponível em:
https://www.bcb.gov.br/estabilidadefinanceira/sandbox. Acesso em: 30 ago. 2022.
28 SANDBOX Regulatório. Banco Central do Brasil. Disponível em:
https://www.bcb.gov.br/estabilidadefinanceira/sandbox. Acesso em: 30 ago. 2022.
artificial (IA): é o caso da Superintendencia de Industria y Comércio – SIC, na Colômbia,29 e
da Datatilsynet, na Noruega.
30
A Seção 2.1Erro! Fonte de referência não encontrada., apresenta, em maiores
detalhes, os programas de sandboxes das quatro APDs citadas nesta seção.
1.4. Motivação do estudo
No Brasil, a inteligência artificial tem sido objeto direto de debate regulatório desde a
proposta dos Projetos de Lei (PL) nº 5.051/2019; nº 21/2020 e nº 872/2021. Em 2022, o debate
se intensificou devido à composição de Comissão de Juristas do Senado Federal (CJSUBIA),
responsável por subsidiar a elaboração de substitutivo sobre inteligência artificial aos PLs
mencionados. Esta Comissão, composta por dezoito especialistas de conhecimento notório em
direito e regulação de tecnologias, realizou entre 28 de abril a 13 de maio de 2022, uma série
de audiências públicas, reunindo mais de cinquenta especialistas para contribuir na discussão
de tópicos relevantes para os Projetos de Lei sob análise. As audiências públicas tiveram
formato multissetorial, com representatividade de diversos grupos, como o poder público, setor
empresarial, sociedade civil e comunidade científico-acadêmica.
Em dezembro de 2022 foi publicado o texto substitutivo do PL junto a um extenso
relatório sobre as audiências públicas realizadas e um estudo de benchmark com os modelos
regulatórios de países-membro da OCDE.31 Entre as sugestões, o substitutivo trouxe
disposições sobre o desenvolvimento de sandboxes regulatórios por qualquer autoridade
reguladora, desde que autorizada por uma autoridade central supervisora de IA, a ser definida
pelo Poder Executivo. Pontuou-se, ainda, que o sandbox deve fornecer informações sobre quais
são os benefícios que seus participantes proporcionarão aos consumidores e à sociedade, bem
como planos de saída. Ademais, previu-se que a autoridade supervisora central de IA poderá
interromper um programa conduzido por outro regulador caso detecte riscos ou danos a direitos
fundamentais, incluindo a proteção de dados pessoais. Em maio de 2023, a CJSUBIA elaborou
relatório final de conclusão dos trabalhos da comissão, o qual incluiu um anteprojeto de lei que
foi convertido no PL nº 2338/2023, apresentado pelo Senador Rodrigo Pacheco, Presidente do
Senado Federal. O
Conforme se aumente a maturidade sobre o instrumento, sandboxes poderão ser
utilizados em outros contextos normativos de modo a complementar a coleta de insumos para
29 SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Sandbox on privacy by design and by default in
Artificial Intelligence projects. [S.l.]: SIC, 2021. Disponível em:
https://www.sic.gov.co/sites/default/files/files/2021/150421%20Sandbox%20on%20privacy%20by%20design%
20and%20by%20default%20in%20AI%20projects.pdf. Acesso em: 30 ago. 2022.
30 DATATILSYNET. Sandbox for responsible artificial intelligence. Disponível em:
https://www.datatilsynet.no/en/regulations-and-tools/sandbox-for-artificial-intelligence/project-manager-for-thesandbox/. Acesso em: 30 ago. 2022.
31 BRASIL. Senado Federal. Relatório final da Comissão de Juristas responsável por subsidiar elaboração
de Substitutivo sobre Inteligência Artificial no Brasil. Brasília: Coordenação de Comissões Especiais,
Temporárias e Parlamentares de Inquérito do Senado Federal, 2022. Disponível em:
https://legis.senado.leg.br/sdleg-getter/documento/download/bdaad0dc-5c0a-4217-a6d0-aefb0d8ec8d4. Acesso
em: 21 mar. 2023.
a elaboração de regulamentações sobre tecnologias emergentes. Mais adiante, na Seção 3.1os
potenciais benefícios de programas de sandbox são apresentados.
1.5. Objetivo e Metodologia
Este estudo tem como propósito apresentar como sandboxes regulatórios podem ser
utilizados por uma Autoridade de Proteção de Dados para contribuir em suas atividades
relacionadas à regulação de tecnologias emergentes. Considerando o contexto políticoinstitucional, elegeu-se a inteligência artificial como a tecnologia em questão.
A pesquisa foi realizada em três etapas. Na primeira, foi conduzido um levantamento
bibliográfico a fim de melhor compreender o tema e identificar casos de uso relevantes no
contexto de outros entes reguladores, com foco especial para APDs. Nessa fase focou-se na
análise de relatórios públicos das entidades relevantes e diálogos preliminares com alguns
especialistas (como o Sr. Armando Guío do Banco de Desenvolvimento da América Latina –
CAF).
Na segunda etapa foram realizados diálogos bilaterais com diversas das entidades
mapeadas. Essas entidades podem ser divididas em três grupos: (i) fomentadores de programas
de sandbox – CAF e Datasphere Initiative;
32 (ii) Autoridades de Proteção de Dados –
Datatilsynet (Noruega), ICO (Reino Unido), PDPC (Singapura) e SIC (Colômbia); e (iii) outros
entes reguladores – BCB e ANATEL.
O benchmark realizado por meio do levantamento bibliográfico e dos diálogos
bilaterais levantou diversos estudos de caso, apresentados a seguir, o que permitiu identificar
benefícios, bem como desafios, comuns a programas de sandbox. Além disso, foi possível
elaborar uma proposta de planejamento e execução de um sandbox regulatório.
Nas próximas seções, os resultados desse estudo são apresentados. O Capítulo 2 relata
os estudos de caso verificados por meio do benchmark. O Capítulo 3 apresenta características
relevantes identificadas em programas de sandbox, com foco na experiência obtida pelas
Autoridades de Proteção de Dados. Por fim, o Capítulo 4 estabelece um roteiro de como
implementar um sandbox, considerando as macrofases de planejamento e de execução.
32 A Datasphere Initiative é uma organização sem fins lucrativos que realiza pesquisas sobre boas práticas em
governança de dados, atuando como uma rede global de partes interessadas que criam estruturas ágeis para
desbloquear de forma responsável o valor dos dados para todos. A Iniciativa Datasphere (tradução nossa) foi
incubada pela Internet & Jurisdiction Policy Network – uma organização multissetorial que aborda a tensão entre
a natureza transfronteiriça da Internet e as jurisdições nacionais. Dentre suas iniciativas se destaca a construção
de modelos para realização de sandboxes para fluxos transfronteiriços de dados. Para saber mais, ver
https://www.thedatasphere.org/about-us/. Acesso em: 21 mar. 2023.
- ESTUDOS DE CASO – PROGRAMAS DE SANDBOXES
De modo a permitir uma maior compreensão sobre o tema, foram realizados estudos de
caso de programas de sandbox desenvolvidos por outros entes reguladores. Os casos ora
apresentados foram levantados a partir de análise de documentos públicos, informações em
sítios eletrônicos, até o mês de agosto de 2023, de modo que eventual surgimento posterior de
programas de regulação experimental, implicará na sua não contemplação nesta pesquisa.
Ainda, cumpre ressaltar que, em alguns casos, informações mais detalhadas foram obtidas por
meio de diálogos bilaterais com os atores envolvidos.
Considerando o contexto do estudo, foco maior será dado para as experiências de
Autoridades de Proteção de Dados. Para dar uma visão mais abrangente das iniciativas de
sandboxes, também foi realizado estudo de caso sobre o sandbox de IA sendo desenvolvido
pelo governo espanhol, bem como as experiências nacionais de sandbox dos entes reguladores
do Sistema Financeiro Nacional e de outras agências reguladoras brasileiras.
2.1. Sandboxes de Autoridades de Proteção de Dados
Os sandboxes de APDs são comumente referidos como sandboxes de privacidade
(privacy sandbox), embora a proteção de dados seja o objeto regulatório central dessas
entidades. A seguir são apresentados quatro casos de uso identificados que ajudam a ilustrar as
experiências de diferentes autoridades de proteção de dados no uso desse instrumento
regulatório.
2.1.1. Information Commissioner’s Office – ICO (Reino Unido)
A Autoridade de Proteção de Dados do Reino Unido (Information Commisioner`s
Office – ICO) tem suas responsabilidades estabelecidas em atos normativos como o Data
Protection Act de 201833 (DPA2018), o Freedom of Information Act de 200034 (FOIA), as
Environmental Information Regulations de 200435 (EIR) e as Privacy and Electronic
Communications Regulations de 200336 (PECR). Por sua vez, o estabelecimento de um
sandbox regulatório foi definido como objetivo na Technology Strategy 2018 – 202137 e é
oferecido como um serviço gratuito pela autoridade com o objetivo de fornecer suporte para o
uso seguro de dados pessoais no desenvolvimento de produtos e serviços.
33 REINO UNIDO. Data Protection Act 2018. Disponível em:
https://www.legislation.gov.uk/ukpga/2018/12/contents/enacted. Acesso em: 23 mar. 2023.
34 REINO UNIDO. Freedom of Information Act 2000. Disponível em:
https://www.legislation.gov.uk/ukpga/2000/36/contents. Acesso em: 23 mar. 2023.
35 REINO UNIDO. The Environmental Information Regulations 2004. Disponível em:
https://www.legislation.gov.uk/uksi/2004/3391/contents/made. Acesso em: 23 mar. 2023.
36 REINO UNIDO. The Privacy and Electronic Communications (EC Directive) Regulations 2003.
Disponível em: https://www.legislation.gov.uk/uksi/2003/2426/contents/made. Acesso em: 23 mar. 2023.
37 INFORMATION COMMISSIONER’S OFFICE. Technology Strategy 2018-2021. Disponível em:
https://ico.org.uk/media/2258299/ico-technology-strategy-2018-2021.pdf. Acesso em: 30 ago.
2022.
A participação no projeto de sandbox da ICO fornece às entidades participantes os
benefícios listados a seguir: acesso à experiência e ao suporte da ICO; maior confiança na
conformidade de seu produto ou serviço; uma melhor compreensão das estruturas de proteção
de dados e como elas afetam seus negócios; tornar-se ente ativo na proteção de dados;
contribuir com futuras orientações da ICO; apoiar o Reino Unido na sua ambição de tornar-se
uma economia inovadora e contribuir para o desenvolvimento de produtos e serviços que
mostrem valor para o público.
O sandbox regulatório da ICO é baseado no processo de regulação desenvolvido pela
Financial Conduct Authority. O projeto do sandbox é executado em fases desde 2018, quando
a fase beta foi iniciada com o lançamento de uma consulta pública sobre proteção de dados. A
consulta pública foi finalizada com a realização de um workshop que reuniu as organizações
interessadas no tema e as contribuições recebidas serviram de base para execução da fase beta
do projeto.
38
No período de março a setembro de 2019, 65 (sessenta e cinco) submissões foram
recebidas e 10 (dez) foram selecionadas de acordo com os critérios estabelecidos:
- inovação no uso de dados pessoais;
- demonstração do benefício público; e
- atuação em ‘área cinzenta’ da lei de proteção de dados.
Além disso, a autoridade exigia que o ente participante possuísse já algum nível de
maturidade em proteção de dados, o que era verificado a partir da submissão do projeto e de
provas de conceitos. Inicialmente, a fase beta possuía uma duração de 12 (doze) meses, mas
foi suspensa após o sexto mês devido à pandemia de COVID-19, sendo finalizada com sucesso
por nove dos dez participantes.
A Tabela 1 fornece uma descrição sintética dos projetos executados na fase beta do
referido projeto. Embora o programa de sandbox não tenha restringido a soluções que utilizem
IA, em vários casos, foi possível observar o uso de tecnologias que sugerem o uso de soluções
de IA, tais como data analytics, processamento de linguagem natural ou tecnologias de
reconhecimento facial.
Tabela 1 – Entidades participantes da fase beta do sandbox regulatório da ICO.
Entidade
Selecionada
Descrição
38 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox beta review. [S.l.]: ICO, 2021.
Disponível em: https://ico.org.uk/media/for-organisations/documents/4019035/sandbox-beta-review.pdf. Acesso
em: 30 ago. 2022.
FutureFlow39 Start-up atuante na área de tecnologia regulatória (RegTech) produtora
de uma plataforma de análise forense para monitorar o fluxo de fundos
do sistema financeiro.
Greater London
Authority40
Plataforma para análise integrada e colaborativa dos dados de saúde,
sociais e criminais com o objetivo de prevenir e reduzir o crime.
Heathrow
Airport Ltd41
Programa de automação de viagens com o uso de reconhecimento
facial no check-in, entrega de malas e embarque.
Jisc42 Empresa sem fins lucrativos que utiliza os dados de desempenhos dos
alunos para melhorar a prestação de serviços de apoio aos estudantes.
The Ministry of
Housing
Communities
and Local
Government43
Mecanismo para combinar dados pessoais controlados por várias
entidades sobre o setor de aluguéis e moradores da região de
Blackpool com o objetivo de melhorar a qualidade das propriedades.
NHS Digital44 Desenvolvimento de um mecanismo central para coletar e gerenciar
o consentimento do paciente para o compartilhamento de dados de
saúde para fins de uso secundário, incluindo pesquisas médicas e
ensaios clínicos.
Novartis
Pharmaceuticals
UK Limited45
Exploração do uso de tecnologia de voz na área de saúde. Projetando
soluções para tornar o atendimento ao paciente mais fácil e abordando os
desafios de proteção de dados.
Onfido46 Pesquisa na área de identificação e mitigação do vieses algorítmicos
em modelos de aprendizado de máquina usados para verificação de
identidade baseada em biometria remota.
39 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: FutureFlow. [S.l.]: ICO,
- Disponível em: https://ico.org.uk/media/for-organisations/documents/2618552/futureflow-sandboxreport.pdf. Acesso em: 22 mar. 2023.
40 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: Greater London
Authority [S.l.]: ICO, 2021. Disponível em: https://ico.org.uk/media/fororganisations/documents/2619466/gla_regulatory_sandbox.pdf. Acesso em: 22 mar. 2023.
41 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: Heathrow Airport Ltd.
[S.l.]: ICO, 2020. Disponível em: https://ico.org.uk/media/for-organisations/documents/2618024/heathrowairport-ltd-regulatory-sandbox-final-report.pdf. Acesso em: 22 mar. 2023.
42 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: Jisc. [S.l.]: ICO, 2020.
Disponível em: https://ico.org.uk/media/for-organisations/documents/2618023/jisc-regulatory-sandbox-finalreport.pdf. Acesso em: 22 mar. 2023.
43 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: The Ministry of
Housing, Communities and Local Government (MHCLG). [S.l.]: ICO, 2021. Disponível em:
https://ico.org.uk/media/for-organisations/documents/2619467/mhclg_final-report.pdf. Acesso em: 22 mar. 2023.
44 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: NHS Digital. [S.l.]:
ICO, 2020. Disponível em: https://ico.org.uk/media/for-organisations/documents/2618905/nhs-digitalregulatory-sandbox-final-report.pdf. Acesso em: 22 mar. 2023.
45 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: Novartis
Pharmaceuticals UK Ltd. [S.l.]: ICO, 2021. Disponível em: https://ico.org.uk/media/fororganisations/documents/2619244/novartis-sandbox-report.pdf. Acesso em: 22 mar. 2023.
46 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: Onfido. [S.l.]: ICO, - Disponível em: https://ico.org.uk/media/for-organisations/documents/2618551/onfido-sandbox-report.pdf.
Acesso em: 22 mar. 2023.
Tonic
Analytics47
Responsável pelo projeto Galileo cujo principal foco é no uso ético de
tecnologia inovadora de análise de dados para melhorar a segurança
rodoviária.
Seers48 Fornece mecanismo de consentimento parental verificado e
verificação de idade de crianças, permitindo que as empresas cumpras os
requisitos regulamentares do ICO’s Age Appropriate Design Code.
Fonte: INFORMATION COMMISSIONER’S OFFICE. Advice and services: ICO, 2021. Disponível em:
https://ico.org.uk/for-organisations/advice-and-services/regulatory-sandbox/previous-participants/2020/. Acesso
em: 22 mar. 2023.
Os resultados da fase beta apontaram um aspecto comum de desconhecimento sobre
proteção de dados nos participantes. Indo desde uma distinção errônea entre os conceitos de
controlador e operador, passando pelo não reconhecimento dos riscos organizacionais e os
riscos para os titulares de dados. Ademais, alguns participantes não expressaram clareza sobre
o que se constitui dados pessoais e a distinção entre anonimização e pseudonimização.
Dentre os resultados desta fase, destaca-se os encontrados pelas entidades Heathrow
Airport Ltd e Onfido. A primeira forneceu à ICO uma visão sobre o uso de Tecnologia de
Reconhecimento Facial (FRT, no original) e, em conjunto com a segunda, proveram ideias
sobre questões práticas envolvidas na prestação de serviços de inteligência artificial,
especificamente quando a aplicação da legislação de proteção de dados não está
suficientemente clara.
Esses trabalhos fomentaram a elaboração do documento Guidance on AI and data
protection.
49 Os relatórios produzidos pelas entidades participantes quando o seus
desligamentos do projeto ocorreram estão disponíveis no sítio eletrônico da ICO.
50
Em agosto de 2020, a ICO abriu as inscrições para a segunda fase do sandbox
regulatório focado em proteção à criança ou compartilhamento de dados. Nesta fase somente
duas entidades foram inseridas no processo, sendo essas a Yoti, que explorou o uso de
tecnologias de reconhecimento facial para estimar a idade de pessoas jovens, e a Global Cyber
Alliance, que explorou como o compartilhamento de dados internacionais pode ajudar as
organizações a reduzir os crimes cibernéticos.
O relatório final dessa segunda fase ainda não foi divulgado, não sendo possível
relacionar as lições aprendidas, os feedbacks dos participantes e o impacto do sandbox.
Em julho de 2021, a ICO abriu o processo de submissão de propostas de participação
em um novo ciclo do projeto de regulação. No ciclo atual, o foco foi em inovações relacionadas
47 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: Tonic Analytics. [S.l.]:
ICO, 2022. Disponível em: https://ico.org.uk/media/for-organisations/documents/2619465/tonicanalytics_regulatory-sandbox-final-report.pdf. Acesso em: 22 mar. 2023.
48 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: Seers. [S.l.]: ICO, 2021.
Disponível em: https://ico.org.uk/media/for-organisations/documents/4018590/seers-regulatory-sandbox-finalreport-final.pdf. Acesso em: 22 mar. 2023.
49 INFORMATION COMMISSIONER’S OFFICE. Guidance on AI and data protection. Disponível em:
https://ico.org.uk/for-organisations/guide-to-data-protection/key-dp-themes/guidance-on-aiand-data-protection/. Acesso em: 30 ago. 2022.
50 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox – Previous Participants. Disponível
em: https://ico.org.uk/for-organisations/regulatory-sandbox/previous-participants/. Acesso em: 21 mar. 2023.
ao compartilhamento de dados, particularmente nas áreas de saúde, governo central, finanças,
educação superior e aplicação da lei, além de tecnologias de aprimoramento da privacidade
(privacy enhancing technologies) e distributed ledger technologies, tais como a blockchain. A
ICO atualmente adota o mecanismo de fluxo contínuo de submissão, onde todas as submissões
serão consideradas na ordem de submissão. Todas as submissões aprovadas acima do número
de vagas serão colocadas em uma lista de espera. Além de aceitar somente submissões de
entidades que estão sob a alçada da lei de proteção de dados do Reino Unido.
Desta forma, atualmente há 5 (cinco) projetos ativos,
51 porém outros já estão
finalizados nesta nova fase. Em termos de equipe, há uma unidade dedicada de três
funcionários da ICO que acompanham todo o ciclo de sandbox de cada um desses 10 projetos,
mas outros especialistas da autoridade são chamados para contribuir de acordo com o
conhecimento e o apoio necessário. A Tabela 2 fornece uma descrição sintética dos projetos
ativos atualmente.
Tabela 2 Entidades participantes do sandbox regulatório da ICO para o biênio 2021-2022.
Entidade Selecionada Início Descrição
Thames Valley
Together
Agosto de
2022
Ambiente baseado em nuvem onde os parceiros
estratégicos podem compartilhar dados e
conduzir análises.
Betting and Gaming
Council
Março de
2022
Mecanismo para compartilhamento de contas
entre diferentes operadoras de jogos de azar
(gambling), que ajudam a gerenciar
comportamentos problemáticos.
Zamma Março de
2022
Uso de criptografia, princípios de descentralização e
tecnologia blockchain para fornecer uma solução
inclusiva e de preservação da privacidade para
verificação do estado de saúde de passageiros
pré-aeroporto, para fins de viagens seguras.
Financial Institutions Fevereiro
de 2022
Ferramenta para compartilhamento de dados
entre instituições financeiras com o objetivo de
lidar com o risco de crimes financeiros.
Crisis Fevereiro
de 2022
Ferramenta de compartilhamento de dados entre
instituto de caridade para pessoas sem-teto e
prefeituras para políticas públicas mais eficientes.
Smart Data Foundry Dezembro
de 2021
Colaboração entre a Universidade de Edimburgo, a
Financial Data and Technology Association
(FDATA) e a FinTech Scotland, para desenvolver
uma estrutura segura de compartilhamento de
dados, chamado National Data Utility (NDU),
para apoiar a pesquisa orientada por dados no
setor financeiro.
51 INFORMATION COMMISSIONER’S OFFICE. Current Projects. Disponível em: https://ico.org.uk/fororganisations/regulatory-sandbox/current-projects#TVT. Acesso em: 11 ago 2023.
Our Future Health Outubro
de 2021
Plataforma para compartilhamento de dados de
saúde de voluntários para pesquisas em saúde.
Good With Julho de
2021
Sistema que usa combinação exclusiva de dados,
tecnologia em nuvem, modelagem de risco e IA
sofisticada para oferecer serviços de análise de
crédito.
FlyingBinary Fevereiro
de 2021
Serviço de alerta antecipado sobre a visualização de
conteúdo nocivo à saúde mental do usuário com o
uso de inteligência artificial. Atualmente focado nas
condições de anorexia e bulimia.
CDD Service Dezembro
de 2020
Plataforma para compartilhamento de dados para
apoiar ex-militares e suas famílias a receber
subsídios e outros benefícios.
Fonte: INFORMATION COMMISSIONER’S OFFICE. Current Projects. Disponível em: https://ico.org.uk/fororganisations/regulatory-sandbox/current-projects#TVT. Acesso em: 11 ago 2023.
Considerando que, até a conclusão deste estudo, a fase do sandbox regulatório da ICO
para o biênio 2021-2022 estava em execução e não fora divulgado o relatório final, não foi
possível relacionar as lições aprendidas, os feedbacks dos participantes e o impacto do sandbox
desta etapa.
2.1.2. Datatilsynet (Noruega)
A Lei de Dados Pessoais da Noruega52 e o Regulamento Geral de Proteção de Dados
da União Europeia (UE) – RGPD53 constituem a base legal para as atividades do Sandbox
Regulatório de Inteligência Artificial Responsável.
54 Outros regulamentos de proteção de
dados sobre os quais a Autoridade de Proteção de Dados da Noruega (Datatilsynet) pode
aconselhar incluem a Lei de Bancos de Dados da Polícia, a Lei do Sistema de Arquivo de
Dados de Saúde Pessoal, a Lei de Pesquisa em Saúde, a Lei de Registros de Saúde e
regulamentos de acordo com à Lei do Ambiente de Trabalho sobre monitoramento de vídeo e
acesso a correio eletrônico. Não há menção específica a uma regulação sobre como sandboxes
regulatórios devem ser conduzidos.
O tema central do sandbox proposto pela autoridade norueguesa é inteligência
artificial responsável. Aplicações de IA são definidas pela referida autoridade como sistemas
que “realizam ações, físicas ou digitais, com base na interpretação e processamento de dados
estruturados ou não estruturados, para atingir um determinado objetivo.” Alguns sistemas de
IA podem adaptar seu comportamento analisando como o ambiente é afetado por suas ações
52 O Personal Data Act incorporou internamente no ordenamento jurídico norueguês o Regulamento Geral de
Proteção de Dados da União Europeia; o fez mediante a Lei n. 38, de 15 de junho de 2018: NORUEGA. Lov 15.
juni 2018 om behandling av personopplysninger. Disponível em: https://lovdata.no/dokument/NL/lov/2018-
06-15-38. Acesso em: 15 mar. 2023.
53 A Noruega não é Estado-Membro da União Europeia, mas adere a algumas normativas por estar associada à
Área Econômica Europeia, a exemplo do Regulamento (UE) /2016/679 do Parlamento Europeu e do Conselho.
54 DATATILSYNET. Sandbox for responsible artificial intelligence. Disponível em:
https://www.datatilsynet.no/en/regulations-and-tools/sandbox-for-artificial-intelligence/project-manager-for-thesandbox/. Acesso em: 30 ago. 2022.
anteriores, segundo a Estratégia Nacional para Inteligência Artificial da Noruega.
55
Anteriormente, o Datatilsynet já havia trabalhado com problemas práticos relacionados a IA
publicando dois relatórios sobre o assunto, um intitulado “Big Data – privacy principles under
pressure”56 e o outro sendo “Artificial Intelligence and Privacy”.
57
Os projetos de IA para a primeira rodada no sandbox foram anunciados no início de
março de 2021. Ao tempo em que este estudo foi escrito, o sítio eletrônico oficial da
autoridadenorueguesa apresentou a quarta chamada de projetos,
58 com prazo de envio de
submissões até 01 de fevereiro de 2023. Não há menção a qualquer consulta pública prévia à
realização do programa.
O sandbox regulatório proposto teve como objetivo central promover benefícios para
as organizações participantes, para a Autoridade de Proteção de Dados e para indivíduos e a
sociedade em geral. Para organizações, objetivou-se aumentar a compreensão sobre parâmetros
regulatórios para IA face à legislação de proteção de dados. Para a APD, esperou-se
compreender melhor as aplicações práticas de IA, a fim de fortalecer a atuação da autoridade,
seus processos administrativos, recomendações e métodos de supervisão em relação a temas
envolvendo proteção de dados pessoais e IA. Para os indivíduos e para a sociedade, por sua
vez, almejaram-se benefícios decorrentes do desenvolvimento e da implementação de
aplicações baseadas em IA dentro de uma estrutura que enfatize a responsabilidade e a
transparência, bem como que leve em consideração os direitos fundamentais. Isso cria uma
base para o desenvolvimento de serviços em que clientes e cidadãos podem confiar.
Há alguns critérios para participação no programa de sandbox regulatório da autoridade
norueguesa. Primeiramente, é necessário fazer uso de inteligência artificial ou, de alguma outra
forma, envolvê-la. Ambos os projetos que desenvolvem novas aplicações de IA e projetos que
usam sistemas já existentes baseados em inteligência artificial são elegíveis para participação
no sandbox. O desenvolvimento de frameworks ou políticas para uso de IA também são temas
relevantes do sandbox da Datatilsynet. Além disso, é preciso que o projeto beneficie indivíduos
ou a sociedade em geral, isso inclui produtos ou serviços que oferecem auxílios à saúde ou
simplifiquem o uso de recursos públicos, ou o produto pode ser inovador, com potencial
benefício público. Neste contexto, a inovação pode ser tecnológica ou premissa para novos
tipos de serviços ou produtos, além de também incluir soluções para a proteção da privacidade.
Também é necessário que os projetos claramente se beneficiem da participação no
sandbox. Isso significa que o projeto deve envolver uma questão claramente relacionada à
privacidade, onde o tipo de orientação fornecida pela Autoridade de Proteção de Dados pode
55 NORWEGIAN MINISTRY OF LOCAL GOVERNMENT AND MODERNISATION. The National Strategy
for Artificial Intelligence. [S.l.]: Ministry of Local Government and Modernisation, 2020. Disponível em:
https://www.regjeringen.no/en/dokumenter/nasjonal-strategi-for-kunstig-intelligens/id2685594/?ch=2. Acesso
em: 30 ago. 2022.
56 DATATILSYNET. Big Data – privacy principles under pressure. Oslo: Datatilsynet, 2013. Disponível em:
https://www.datatilsynet.no/globalassets/global/english/big-data-engelsk-web.pdf. Acesso em: 15 mar. 2023.
57 DATATILSYNET. Artificial Intelligence and Privacy. Oslo: Datatilsynet, 2018. Disponível em:
https://www.datatilsynet.no/globalassets/global/english/ai-and-privacy.pdf. Acesso em:15 mar. 2023.
58 DATATILSYNET. How to apply to join the sandbox? Disponível em:
https://www.datatilsynet.no/en/regulations-and-tools/sandbox-for-artificial-intelligence/hvordan-soke-om-adelta-i-sandkassen/. Acesso em: 14 ago. 2023.
ser útil. As organizações participantes devem ter um projeto pronto para participação no
sandbox da APD norueguesa e devem alocar recursos suficientes para empregar nas atividades
do sandbox. Finalmente, o projeto deve estar sujeito à Autoridade norueguesa de Proteção de
Dados como sua supervisora competente. Isso significa que a organização deve estar registrada
na Noruega e sujeita às leis norueguesas de proteção de dados.
Na versão traduzida da página dedicada,59 a autoridade informa que recebeu 25 (vinte
e cinco) inscrições e 4 (quatro) projetos foram selecionados para participar do sandbox.
Contudo, em diálogo com a autoridade, foi revelado que ao todo houve 57 (cinquenta e sete)
inscritos e 11 (onze) projetos selecionados. Evidenciou-se muitas inscrições de projetos em
saúde, bem-estar e finanças.
As principais preocupações dos agentes estavam relacionadas a transparência,
minimização de dados, equidade e anonimização. O perfil dos participantes variou bastante em
termos de tamanho e nível de maturidade organizacional. A autoridade logo constatou que
havia pouca maturidade dos participantes em questões de proteção de dados, e por isso eles
precisaram de muita orientação básica sobre o tema, compartilhando problemas, iluminando
zonas cinzentas (para ambos os lados – autoridades e entes regulados) e aumentando a
capacitação da autoridade na temática de IA.
As etapas iniciais tiveram um tempo de duração maior do que o inicialmente previsto,
devido a uma necessária curva de aprendizado nas primeiras rodadas, e os relatórios de cada
etapa ajudaram a aprofundar as demais, o que também aumentou o interesse público na
participação em edições futuras. Representantes da autoridade também perceberam que o
sandbox aumentou a percepção positiva do público sobre o governo e sobre a forma como ele
lida com a inteligência artificial.
Não há menção a custos operacionais, mas ficou clara uma estratégia do tipo “test and
learn”, de aprendizado contínuo, mútuo e que se retroalimenta. A Autoridade de Proteção de
Dados ofereceu apoio ao planejamento das soluções, mas deixou claro que não forneceria um
selo de aprovação. Também não foram dadas exceções formais como isenções fiscalizatórias
ou de supervisão de outras entidades governamentais. O que houve foi um acompanhamento
mais próximo, com o objetivo também de aprender e capacitar a autoridade. A APD evitou
selecionar projetos que tivessem uma sobreposição regulatória muito grande com outros setores
regulados, mas quando constatou-se ser inevitável, algumas consultas pontuais foram feitas a
outros reguladores para opinar sobre temas pertinentes a questões específicas do setor regulado
(ex. consultas à autoridade financeira de projetos relacionados a fintechs).
Convém ressaltar que a equipe responsável pelo projeto de sandbox na Datatilsynet
trabalha por meio de uma modalidade de contratos de consultoria à APD, com duração,
financiamento e escopo específicos para cada projeto. Ou seja, houve também um esforço de
captação inicial e renovação de recursos ao longo da execução do projeto para sua manutenção.
Essa equipe funciona na forma de unidade dedicada, mas teve o apoio de representantes
técnicos da autoridade em momentos específicos do programa.
59 DATATILSYNET. 25 sandbox applications. Disponível em: https://www.datatilsynet.no/en/news/2021/25-
applications-for-the-sandbox/ Acesso em: 28 fev. 2023.
Como resultados, houve várias publicações sobre o tema: relatórios elaborados pelos
participantes de projetos já encerrados60
, relatório da Autoridade61
, podcasts62, artigos, guias63
,
webinários, workshops, previsão de 4 (quatro) publicações e um guia de transparência em 2022.
Também se reuniram com muitas outras Autoridades de Proteção de Dados de outros países e
autoridades regulatórias de outros setores da Noruega. Em entrevista realizada com a APD
Norueguesa, observou-se que a multiplicação de conhecimentos foi uma prioridade do projeto,
de forma que até mesmo a equipe de comunicação teve um papel central em sua execução, de
forma a externalizar, da melhor maneira possível, todos os conhecimentos obtidos por meio do
sandbox.
Na Tabela 4 apresenta-se a lista das entidades participantes identificadas no programa
de sandbox da Datatilsynet, bem como breve descrição dos projetos selecionados.
Tabela 3: Entidades participantes do sandbox regulatório da Datatilsynet em março de 2023.
Projeto Descrição
Helse Bergen HF64 O projeto de IA da Helse Bergen HF é
baseado em números que mostram que 10%
dos pacientes somáticos internados
representam aproximadamente 50% das
internações hospitalares e têm reinternações
frequentes. Isso não é exclusivo dos números
da Helse Bergen HF. É um padrão
documentado em outros lugares na Noruega
e no resto do mundo. O projeto piloto
mostrou que o aprendizado de máquina é
capaz de prever com uma probabilidade
relativamente alta quem corre o risco de
ser readmitido em hospitais. No sandbox, o
projeto quer esclarecimentos sobre uma série
de questões relacionadas com a base legal, o
direito de acesso e consentimento do
paciente, bem como o direito à
confidencialidade através do uso de fontes de
60 DATATILSYNET. Reports. Disponível em: https://www.datatilsynet.no/en/news/2021/25-applications-forthe-sandbox/. Acesso em: 23 mar. 2023.
61 DATATILSYNET. Artificial Intelligence and Privacy. Oslo: Datatilsynet, 2018. Disponível em:
https://www.datatilsynet.no/globalassets/global/english/ai-and-privacy.pdf. Acesso em:15 mar. 2023.
62 DATATILSYNET. Personvernpodden. Disponível em: https://www.datatilsynet.no/regelverk-ogverktoy/personvernpodden/. Acesso em: 23 mar. 2023.
63 DATATILSYNET. Framework for the Regulatory Sandbox. Disponível em:
https://www.datatilsynet.no/en/regulations-and-tools/sandbox-for-artificial-intelligence/framework-for-theregulatory-sandbox/. Acesso em: 23 mar. 2023.
64 DATATILSYNET. Helse Bergen, sluttrapport: Kunstig intelligens i oppfølging av sårbare pasienter.
Disponível em: https://www.datatilsynet.no/regelverk-og-verktoy/sandkasse-for-kunstig-intelligens/ferdigeprosjekter-og-rapporter/helse-bergen-sluttrapport-kunstig-intelligens-i-oppfolging-av-sarbare-pasienter/ Acesso
em 28 mar. 2023.
dados estruturados onde a IA se destina a ser
incluída no tratamento de pacientes. Esses
principais desafios também são assuntos
relevantes em futuros projetos de IA que a
Helse Bergen HF pode introduzir.
Finterai65 A Finterai busca resolver um problema
relacionado à lavagem de dinheiro e ao
financiamento do terrorismo. Os bancos são
obrigados a fazer sua parte para evitar a
questão, mas encontram percalços para fazêlo de maneira eficiente. Eles usarão o
aprendizado federado, um método de IA
descentralizado que é considerado mais
amigável para a privacidade. Com o
aprendizado federado, as instituições
podem aprender com os dados umas das
outras sem realmente compartilhá-los.
Simplifai66 O setor público alega que, com os atuais
processos manuais, não consegue cumprir os
requisitos, por exemplo, da Lei de
Administração Pública e da Lei de Arquivos.
Além disso, há grandes lacunas na
manutenção e arquivamento de registros,
porque muitas informações arquivadas
“permanecem” nas caixas de entrada dos
funcionários. O projeto visa a esclarecer
como uma solução de IA pode ser usada
para arquivamento automático de correios
eletrônicos. Escolher o que arquivar não é
uma atividade trivial, sendo extremamente
intensiva em consumo de recursos. Assim, o
Simplifai quer explorar a possibilidade de
usar o aprendizado de máquina para
identificar e sugerir quais correios
eletrônicos e documentos associados são
considerados materiais de arquivo.
65 DATATILSYNET. Finterai, exit report: Machine learning without data sharing. Disponível em:
https://www.datatilsynet.no/en/regulations-and-tools/sandbox-for-artificial-intelligence/reports/finterai-exitreport-machine-learning-without-data-sharing/about-the-project/ Acesso em 28 mar. 2023.
66 DATATILSYNET. Simplifai and NVE, exit report: Digital employee. Disponível em:
https://www.datatilsynet.no/en/regulations-and-tools/sandbox-for-artificial-intelligence/reports/simplifai-andnve-exit-report-digital-employee/ Acesso em 28 mar. 2023.
Age Labs67 Age Labs é uma empresa jovem
empreendedora em diagnósticos preditivos.
Eles combinam aprendizado de máquina e
biobancos e analisam a epigenética, ou seja,
como os genes são ativados e desativados.
Com o aprendizado de máquina, eles
encontram sinais de doenças e o objetivo é
detectar diagnósticos mais cedo. Também
ajudará a fornecer um tratamento preventivo
e correto, uma vez recebido um diagnóstico.
Doorkeeper68 A empresa começou quando a pandemia de
COVID-19 mostrou que aplicações que não
envolvem contato por toque, desde o acesso
ao serviço ao seu funcionamento, são uma
necessidade na sociedade atual. A
organização quer explorar as
regulamentações que envolvem o uso de
análise inteligente de vídeo. A tecnologia
proposta torna possível processar vídeo em
tempo real na própria câmera, sem ter que
enviar informações para fora do dispositivo
para processamento e armazenamento
central. Ela também oferece a possibilidade
de embaçar rostos de pessoas em tempo real,
além de uma melhor detecção dos eventos
perigosos ou indesejados, proporcionando
um acionamento mais preciso de gravações e
seu armazenamento.
Fonte: DATATILSYNET. Reports. Disponível em: https://www.datatilsynet.no/regelverk-ogverktoy/sandkasse-for-kunstig-intelligens/ferdige-prosjekter-og-rapporter/. Acesso em: 23 mar. 2023.
Atualmente, o programa de sandbox da Datatilsynet está migrando de um formato
periódico (mediante submissão de editais) para um formato contínuo, com submissões sendo
realizadas a qualquer tempo e, em caso de aprovação entrando em uma pipeline para ingresso,
de maneira similar ao que ocorre hoje com a ICO.
2.1.3. Superintendencia de Industria y Comércio – SIC (Colômbia)
De acordo com a Ley 1581/2012 da Colômbia, art. 21, a Super Intendencia de Comércio
– SIC, Autoridade de Proteção de Dados colombiana, tem competência legal para sugerir ou
recomendar ajustes, correções ou adaptações aos regulamentos que sejam compatíveis com a
67 DATATILSYNET. Age labs. Disponível em: https://www.datatilsynet.no/en/regulations-and-tools/sandboxfor-artificial-intelligence/ongoing-projects/age-labs/. Acesso em: 23 mar. 2023.
68 DATATILSYNET. Doorkeeper. Disponível em https://www.datatilsynet.no/en/regulations-andtools/sandbox-for-artificial-intelligence/ongoing-projects/doorkeeper/. Acesso em: 23 mar. 2023.
evolução tecnológica, informática ou comunicacional. É por meio desta previsão legal que a
SIC decidiu promover seu programa de sandbox que possui como tema central “Privacy by
design e by default para projetos de Inteligência Artificial”.
Previamente ao início do programa, em novembro de 2020, foi lançada uma consulta
pública para contribuir com o desenho do programa e para coletar feedback sobre quais
poderiam ser as prioridades nas recomendações dirigidas a criadores de sistema de inteligência
artificial. De acordo com os resultados publicados em fevereiro de 202169
, houve 17 (dezessete)
intervenções e 77 (setenta e sete) comentários feitos por cidadãos, autoridades, associações,
organizações, e empresas de diversos setores. Dessas contribuições, 32% destacaram a
importância de se implementar procedimentos relativos ao princípio de responsabilidade e
prestação de contas (accountability) e 29% recomendaram que avaliações de impacto à
privacidade fossem efetuados na etapa de desenho do projeto de IA, para definir a estratégia
de mitigação de riscos aos titulares.
Em abril de 2021, a SIC lançou um edital apresentando o programa de sandbox (em
inglês70 e em espanhol71) convidando empresas nacionais e estrangeiras, bem como entidades
públicas e privadas, a participarem da primeira edição do programa, com previsão de duração
de um ano.
A SIC apresenta os seguintes objetivos para seu programa de sandbox:
- Sugerir ou recomendar, se necessário, ajustes, correções ou adaptações da
regulamentação colombiana aos avanços tecnológicos; - Estabelecer critérios que facilitem o cumprimento do regulamento sobre
tratamento de dados e indicar os procedimentos para a sua plena aplicação; - Assegurar que um tratamento adequado de dados pessoais é um componente
essencial da concepção e implementação de projetos de inteligência artificial; - Promover a criação de produtos de inteligência artificial que, desde a sua
concepção e durante a sua execução, respeitem, entre outros, os direitos das
pessoas relativamente à sua informação pessoal e de acordo com a
regulamentação sobre o tratamento de dados pessoais; - Acompanhar e aconselhar na proteção de dados pessoais, as empresas
selecionadas, de forma a mitigar os riscos associados à implementação de
inteligência artificial;e - Consolidar uma abordagem preventiva/proativa à proteção dos direitos
humanos em projetos de IA.
69 SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Respuesta conjunta a los 23omentários sobre el
primer borrador de propuesta de “Sandbox sobre Privacidad desde el Diseño y por Defecto em Proyectos de
Inteligencia Artificial” publicado el 4 de noviembre de 2020. [S.l]: SIC, 2021. Disponível em:
https://www.sic.gov.co/sites/default/files/files/2021/Respuestas%20comentarios%20SANDBOX%20IA%202II
2021.pdf. Acesso em: 23 mar. 2023.
70 SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Sandbox on privacy by design and by default in
Artificial Intelligence projects. [S.l.]: SIC, 2021. Disponível em:
https://www.sic.gov.co/sites/default/files/files/2021/150421%20Sandbox%20on%20privacy%20by%20design%
20and%20by%20default%20in%20AI%20projects.pdf. Acesso em: 30 ago. 2022.
71 SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Sandbox sobre privacidad desde el diseño y por
defecto en proyectos de Inteligencia Artificial. [S.l.]: SIC, 2021. Disponível em:
https://www.sic.gov.co/sites/default/files/files/2021/150421%20Sandbox%20sobre%20privacidad%20desde%2
0el%20dise%C3%B1o%20y%20por%20defecto.pdf. Acesso em: 30 ago. 2022.
Para participação no sandbox da SIC, o projeto apresentado deve: - Envolver o uso de tecnologias consideradas relacionadas à IA (ex.
aprendizagem de máquina, processamento de linguagem natural etc.); - Focar em e-commerce e/ou publicidade e marketing;
- Envolver o tratamento de dados pessoais;
- Estar em fase de concepção;
- Não ter iniciado o tratamento de dados pessoais; e
- Não ter sido concluído ou colocado em operação.
Além disso, o programa não prevê custos para participação, além daqueles que o ente
participante terá para o desenho e desenvolvimento de seu projeto.
Ao contrário de outros modelos de sandbox, a SIC não previu isenção à aplicação de
normas (por exemplo, isenção de sanções) durante o processo de execução do programa. Dito
isto, o objetivo da autoridade não é sancionar, mas sim orientar os entes participantes no
processo de desenho de seus projetos de IA. A orientação ocorreu desde a seleção dos
participantes, e incluiu oficinas de nivelamento que contou inclusive com a participação de
especialistas, como a Dra. Ana Brian Nougrères, relatora especial do direito à privacidade da
ONU, bem como encontros periódicos semanais de alinhamento durante toda a fase de
testagem.
Em contrapartida, os participantes se comprometeram a participar de um exercício de
colaboração criativa, que, além da SIC, pode envolver a participação de outras entidades (por
exemplo, outros órgãos públicos ou sociedade civil), como participantes ativos ou
observadores. Além disso, a SIC recomenda que o participante desenvolva uma avaliação de
impacto em privacidade (ex. um Relatório de Impacto à Proteção de Dados Pessoais – RIPD)
durante a participação no programa. Cabe observar que a SIC não possui uma regulamentação
específica sobre avaliações de impacto em privacidade.
De um total de 8 (oito) submissões, 3 (três) projetos foram selecionados em agosto de
2021 e mais um em janeiro de 2022. A Tabela 4 a seguir resume os projetos selecionados.
Tabela 4: Projetos de IA selecionados para o programa de sandbox da SIC, Colômbia
Entidade selecionada Nome do projeto Descrição
NaaS Colombia S.A.S72 Evolución Index
Core
O projeto é desenvolvido na área de
microcrédito digital e busca
implementar IA para criar modelos
de crédito.
Prefeitura de
Barranquilla73
Chatbot No âmbito do projeto “Barranquilla
Inteligente” o “Chatbot” tem como
objetivo não apenas servir cidadãos
72 SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Sandbox sobre privacidad desde el diseño y por
defecto en proyectos de Inteligencia Artificial: Proyectos seleccionados. [S.l]: SIC, 2021. Disponível em:
https://www.sic.gov.co/sites/default/files/files/2021/Proyectos%20seleccionados_%20Agosto%2017%20de%20
2021.pdf. Acesso em: 23 mar. 2023.
73 SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Sandbox sobre privacidad desde el diseño y por
defecto en proyectos de Inteligencia Artificial: Proyectos seleccionados. [S.l]: SIC, 2021. Disponível em:
https://www.sic.gov.co/sites/default/files/files/2021/Proyectos%20seleccionados_%20Agosto%2017%20de%20
2021.pdf. Acesso em: 23 mar. 2023.
de forma mais eficiente, mas também
ser um canal para promover via
publicidade e marketing, serviços da
Prefeitura de Barranquilla, como,
entre outros, seus eventos, programas,
chamadas, entre outros.
Wolman Group de
Colombia Limitada74
Diyosoy Projetar e desenvolver uma solução
tecnológica ou sistema de inteligência
artificial focada em mitigar riscos de
imitação de pessoas no ambiente
virtual (ex. deep fakes), usando
critérios de IA, como o desenho de uma
Rede Neural Genealógica baseada em
técnicas de inferência de dados
pessoais de natureza pública.
A SIC designou uma equipe dedicada para conduzir o sandbox, composta por sete
pessoas, entre engenheiros, especialistas em segurança da informação e juristas. Contudo,
conforme a necessidade, outros especialistas da autoridade foram consultados para colaborar
em questões específicas dos projetos selecionados.
A atuação de outros parceiros, como autoridades públicas, organizações multilaterais,
especialistas acadêmicos e bancos de fomento, ocorreu sem a necessidade de assinar
memorandos de entendimento. Esses atores auxiliaram tanto na fase de planejamento do
programa quanto na de implementação, como por exemplo durante as capacitações. Contudo,
durante as capacitações, a SIC apenas permitiu que participassem representantes de entidades
públicas e organismos multilaterais, para mitigar riscos de captura regulatória.
Como o primeiro ciclo do programa ainda não foi concluído, há até o momento poucos
detalhes sobre sua execução e ainda não há resultados preliminares. Assim, não foi possível
encontrar relatórios e resultados de empresas participantes, da sociedade civil e de outras
entidades relevantes. Dito isso, a SIC destaca como possíveis benefícios do programa de
sandbox, que: - O país poderá promover padrões de inovação respeitosos no tratamento de
dados pessoais dos seus cidadãos e liderar a geração de projetos de IA que são
referências para futuros empreendimentos; - As empresas participantes poderão diminuir os riscos legais no tratamento de
dados pessoais, mediante apoio especializado da autoridade no
desenvolvimento de ferramentas de proteção de dados desde a concepção e por
padrão, gerando confiança no mercado, em seus clientes e na sociedade; - Os cidadãos serão usuários de produtos de IA que respeitem seus direitos como
titular de dados ou, conforme o caso, saibam que seus dados estão sendo
coletados e usados por empresas que implementaram privacidade desde a
74 SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Sandbox sobre privacidad desde el diseño y por
defecto en proyectos de Inteligencia Artificial: Segundo corte de postulaciones de proyectos. [S.l]: SIC, 2022.
Disponível em:
https://www.sic.gov.co/sites/default/files/files/2022/Seleccionados%20Segunda%20fase%20Sandbox.pdf.
Acesso em: 23 mar. 2023.
concepção e por padrão, e terão mais confiança ao saberem que a Autoridade de
Proteção de Dados esteve envolvida no projeto; e - A SIC promoverá projetos de tratamento de dados pessoais que respeitem os
direitos humanos; entenderá e conhecerá em primeira mão as inovações das
empresas que estão sob sua regulação; poderá avaliar “em tempo real” a eficácia
das estratégias da entidade para a proteção de direitos; e será capaz de consolidar
seu conhecimento sobre dados pessoais criando instrumentos que possam ser
utilizados por outras empresas, mesmo que não tenham participado do sandbox.
2.1.4. Personal Data Protection Commission – PDPC (Singapura)
Em 2017, a Infocomm Media Development Authority – autoridade à qual a Personal
Data Protection Commission de Singapura está vinculada – publicou um Guia75 que detalhou
a proposta de um sandbox regulatório sobre compartilhamento de dados pessoais, chamado de
Data Regulatory Sandbox76
. Naquele mesmo ano, o Ministro das Comunicações e Informações
de Singapura afirmou77 que a PDPC estava preparada para trabalhar com empresas que adotem
práticas de responsabilidade para criar sandboxes regulatórios de modo a auxiliar a
compreender como alterações propostas à lei de proteção de dados do país, o Personal Data
Protection Act – PDPA, podem funcionar na prática, garantindo que as empresas continuem a
ser inovadoras e competitivas. Esse foi o objetivo principal do piloto de sandbox, que foi
composto de três fases: engajamento, orientação e prototipagem de políticas públicas. As
mudanças ao PDPA foram implementadas em 2018.
O sandbox foi realizado no período de um ano a um ano e meio, dedicando 2 (dois)
meses para a etapa de submissão de propostas, um mês para a avaliação das propostas, e 6
(seis) a 8 (oito) meses para testagem dos projetos selecionados. Os relatórios foram produzidos
nos meses subsequentes à saída dos participantes. Uma atenção importante do programa foi na
elaboração de relatórios públicos, se atentando para que segredos de negócio dos participantes
não fossem revelados. O foco das publicações foi nos aprendizados obtidos, de forma que as
boas práticas de governança de dados pudessem ser replicadas.
Os projetos selecionados foram em sua maioria protótipos, de forma a reduzir o risco
de impacto a titulares ao evitar soluções já disponibilizadas em mercado. Além disso, quando
necessário, consultas a outros entes regulatórios foram realizadas, em particular à autoridade
financeira, com o objetivo de sanar dúvidas referentes a impactos dos projetos em outros
setores regulados.
75 INFOCOMM MEDIA DEVELOPMENT AUTHORITY. Guide to Data Sharing. Disponível em:
https://www.imda.gov.sg/-/media/imda/files/industry-development/innovation/guide-to-data-sharingpowerpoint.pdf. Acesso em: 23 mar. 2023.
76 INFOCOMM MEDIA DEVELOPMENT AUTHORITY. Data Regulatory Sandbox. Disponível em:
https://www.imda.gov.sg/How-We-Can-Help/Data-Innovation/Data-Regulatory-Sandbox. Acesso em: 01 mar.
2023.
77 INFOCOMM MEDIA DEVELOPMENT AUTHORITY. From compliance to accountability: A robust and
progressive data protection framework https://www.imda.gov.sg/Content-and-News/Press-Releases-andSpeeches/Speeches/2017/personal-data-protection-seminar-2017
Recentemente, em 20 de julho de 2022, a IMDA e o PDPC publicaram um programa
de sandbox focado em PETs – Privacy Enhancing Technologies,
78 ou tecnologias de
aprimoramento da privacidade, para o compartilhamento de dados pessoais. Seu intuito é
apoiar empresas que desejam iniciar projetos envolvendo essas tecnologias para enfrentar
desafios no setor empresarial. Apesar de a temática da inteligência artificial não ser o tema
central do sandbox, ela está presente em um dos questionamentos a serem solucionados por
meio do projeto, constituindo um dos seus objetivos.
Previamente, houve uma consulta direcionada ao setor da indústria que sofre os
impactos que procuram mitigar, questionando seus maiores obstáculos. Dessa forma,
resultaram três questionamentos, apresentados mais adiante. O programa objetiva responder
tais questionamentos de modo a fornecer um ambiente seguro e um campo de testes para
projetos piloto de PETs. Esses projetos ajudarão as empresas a identificar as PETs apropriadas
para atender aos seus objetivos de compartilhamento de dados e entender melhor os limites
técnicos. A IMDA/PDPC também planeja construir guias e ferramentas para apoiar a adoção
de PETs na indústria midiática. No momento, duas pessoas da autoridade estão trabalhando no
projeto como unidade dedicada, embora outros representantes do corpo técnico possam dar
apoio à iniciativa, conforme necessário.
O sandbox está aberto a propositores de casos de uso que desejam experimentar PETs
por meio de projetos pilotos que demonstrarão como tais tecnologias podem ser utilizadas
(IMDA, 2022). A IMDA está convidando empresas registradas em Singapura a enviar
propostas para um projeto de 6 (seis) meses. A proposta completa deve incluir (i) detalhes do
caso de uso e (ii) proposta de solução PET para atender às necessidades do caso de uso. Os
participantes devem trazer casos de uso com base em um ou mais dos três arquétipos de casos
de uso comuns:
i. Primeiro arquétipo – Como identificar clientes comuns em vários conjuntos de
dados;
Exemplo: varejistas e seguradoras gostariam de saber o número de clientes que possuem
em comum antes de estabelecer uma parceria de compartilhamento de dados.
ii. Segundo arquétipo – Como derivar recursos ou atributos adicionais de clientes
comuns de vários conjuntos de dados; e
Exemplo: agente de viagens e telecomunicações gostariam de criar um modelo de
conjunto de dados com recursos que melhor descrevem suas preferências de viagem
sem divulgar dados comercialmente confidenciais.
78 PERSONAL DATA PROTECTION COMISSION. Launch of Privacy Enhancing Technologies Sandbox.
Disponível em: https://www.pdpc.gov.sg/news-and-events/announcements/2022/07/launch-of-privacyenhancing-technologiessandbox#:~:text=The%20Infocomm%20Media%20Development%20Authority%20%28IMDA%29%20and%2
0the,while%20protecting%20personal%20data%20and%20commercially%20sensitive%20information. Acesso
em: 30 ago. 2022.
iii. Terceiro arquétipo – Como disponibilizar dados para desenvolvimento e teste de
modelos de IA.
Exemplo: empresa de investimento gostaria de treinar um modelo de IA de risco de
investimento em dados da cadeia de suprimentos de suas empresas de portfólio no
exterior, mas enfrenta restrições de confidencialidade e de regulação.
Esses casos de uso podem ocorrer dentro do mesmo conglomerado (por exemplo,
compartilhamento de dados entre subsidiárias) ou entre empresas (por exemplo,
compartilhamento de dados business to business – B2B, para atendimento ao cliente e
compartilhamento de dados B2B ao longo da cadeia de suprimentos). Além disso, os
proprietários e fornecedores de soluções envolvendo PETs receberão suporte: podem optar por
utilizar fornecedores de soluções pré-qualificados pela IMDA – que implicam em: histórico
relevante na implementação de soluções PET, operações financeiramente sustentáveis e
possibilidade de melhor responder aos problemas apresentados –, o que tornará o processo mais
oneroso.
Entre outros benefícios, haverá apoio financeiro (até 50%) para itens de custo elegíveis
durante o projeto, como mão de obra, serviços profissionais e hardware/software necessários
para o período de 6 (seis) meses do projeto. Por fim, as empresas participantes do sandbox
terão acesso a orientação regulatória fornecida pela autoridade ao longo do projeto, para sanar
e esclarecer dúvidas. É importante mencionar que a IMDA e a PDPC não preveem a isenção
de sanções.
Em 2023, a IMDA organizou uma discussão para partilhar as lições aprendidas durante
o projeto. Nesse debate, participaram mais de 20 (vinte) representantes, nacionais e
estrangeiros, contando também com a colaboração de outros atores, como acadêmicos e
agências reguladoras. Um dos casos mencionados envolveu o fornecimento de insights de
dados a clientes e a pesquisadores de mercado. Esses insights foram derivados de dados
fornecidos por parceiros de diferentes partes do mundo, garantidas tanto a conformidade à lei
como a segurança da informação por meio da implementação de ferramentas conhecidas como
Trusted Execution Enviroments (TEE). Outro caso de uso de PET tratou da identificação de
instituições envolvidas em lavagem internacional de dinheiro, mas assegurando respeito à
privacidade e aos ditames da regulação financeira aplicável. O projeto-piloto utilizou
criptografia homomórfica para cifrar identificadores. Por fim, os participantes do debate
concordaram que é preciso continuar investigando as PETs e suas implicações regulatórias. Por
outro lado, também trataram sobre desafios, como na aplicação da lei e conformidade no uso
dessas tecnologias, na interpretação de termos vagos e ambíguos e na regulação e ausência de
conhecimento técnico suficiente para confiar nas soluções mencionadas. 79
79 INFOCOMM MEDIA DEVELOPMENT AUTHORITY. Asia Tech x Singapore 2023 Roundtable on
Privacy Enhancing Technologies Report on Key Insights, 2023. Disponível em: https://www.imda.gov.sg/-
/media/imda/files/programme/pet-sandbox/atxsg-2023-pet-roundtable—-key-insights-report.pdf. Acesso em: 11
ago. 2023.
2.1.5. Commission Nationale de l’Informatique et des Libertés – CNIL (França)
No mês de julho de 2023, a Commission Nationale de l’Informatique et des Libertés
(CNIL) anunciou sua proposta de sandbox direcionada a dar apoio a projetos que visam utilizar
aplicações de IA no setor público e enfrentam desafios relacionados à normativa de proteção
de dados pessoais.
80 A autoridade francesa afirma não se tratar de um sandbox regulatório em
seu sentido tradicional, por não permitir a suspensão de regras e limitações legais. Para a equipe
técnica que elabora este estudo, a iniciativa consiste efetivamente em um programa de sandbox.
Como reiterado por diversas vezes neste estudo, licenças regulatórias ou suspensão de regime
e regras sancionatórias não são condições necessárias a um programa de sandbox regulatório
em matéria de proteção de dados.
Em seu sítio eletrônico, o CNIL divulgou que a chamada pública para participação
estará aberta até 30 de setembro de 2023. A chamada destina-se a projetos que envolvam IA
no setor público, com foco na promoção de melhoria em serviços públicos, propostos por (i)
entidades públicas ou (ii) organizações do setor privado, desde que, nesse último caso, em
parceria com atores públicos ou cujo projeto seja voltado a suprir uma necessidade identificada
por vários atores públicos. É importante destacar que os projetos devem estar em fase de
desenvolvimento, ou seja, não pode se tratar de aplicação disponível no mercado.
A APD francesa justifica o lançamento do programa na criação de novas oportunidades
que a tecnologia oferece na prestação de serviços públicos, como melhoria em acessibilidade
e dinamismo. Junto às potencialidades de melhoria, porém, existem desafios, tendo em vista
que o treinamento de modelos de IA depende da coleta de dados pessoais, muitas vezes de
várias fontes. O CNILafirma, ainda, que o sandbox faz parte de sua determinação em construir
uma regulação apropriada, junto aos atores interessados que atuam nesse âmbito.
O acompanhamento dos participantes selecionados para o sandbox se estenderá por
diversos meses em um cronograma dividido em três partes. A primeira parte terá duração de 6
(seis) meses e se propõe a identificar os possíveis problemas para, assim, mapear quais ações
serão necessárias para o acompanhamento especializado. Com isso, a equipe disponível irá
entrar em acordo sobre as atividades a serem desenvolvidas para vencer as problemáticas do
projeto. Depois, baseado em um entregável, o vencedor irá implementar as soluções
desenvolvidas em seu projeto. Por fim, o CNIL irá publicar um sumário do trabalho e das
recomendações desenhadas pelos participantes. Dessa maneira, a autoridade francesa afirma
que o sandbox trabalhará em uma lógica de construção em equipe, entre o time do CNIL e o
responsável do projeto. Os responsáveis deverão demonstrar um compromisso verdadeiro ao
longo do projeto, disponibilizando gastos operacionais e estruturais suficientes tão quanto o
tempo para discutir e organizar workshops e reuniões.
80 COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS. “Sandbox”: CNIL launches call
for projects on artificial intelligence in public services. Disponível em: https://www.cnil.fr/en/sandbox-cnillaunches-call-projects-artificial-intelligence-public-services. Acesso em: 10 ago. 2023.
2.2. Sandboxes de inteligência artificial
Em junho de 2022 a Comissão Europeia e o Governo da Espanha lançaram o piloto de
um sandbox regulatório para IA.
81 O objetivo principal do sandbox é criar condições para
suavizar a implementação de futuras regras regulatórias aplicáveis na área, através da testagem
de soluções técnicas, procedimentos de conformidade e suporte às empresas, especialmente
pequenas e médias.
O sandbox em questão visa conectar autoridades competentes com as empresas
desenvolvedoras de IA para descobrirem as melhores formas de operacionalizar as futuras
obrigações estabelecidas na regulação de IA. Para isso, propõe:
82 - Prover clareza sobre os requisitos para sistemas de IA, estabelecidos na regulação
de IA; - Transferir conhecimento sobre a conformidade e adequação na implementação das
legislações de IA que entrarão em vigência, para empresas desenvolvedoras de
aplicações de IA; - Fomentar a inovação e permitir o desenvolvimento de sistemas de IA inovadores e
confiáveis; - Construir capacidades e iniciar as consultas na Espanha; e
- Testar futuras obrigações e requisitos em um ambiente controlado e promover
experiências de aprendizado práticas para suportar o desenvolvimento de padrões,
guias e ferramentas a nível nacional e europeu.
O sandbox será implementado por dois grupos focais, estabelecidos pelo Governo da
Espanha: - Grupo focal 1 – envolverá a implementação prática do sandbox regulatório, que
testará as diferentes soluções e supervisionará o compliance com os requerimentos
de IA. As empresas poderão apresentar suas propostas em chamada pública sobre
sistemas de IA de alto risco, para projetos que seriam desenvolvidos ao término do
primeiro ano do programa (2022); e - Grupo focal 2 – dedicado a preparar o framework geral do sandbox, estudar o seu
desenvolvimento, absorver o conhecimento advindo da experiência da
implementação dos requisitos e usar os resultados e análises para a criação de guias,
padrões e outras ferramentas destinadas aos operadores públicos e privados, que
estarão sujeitos ao futuro regulamento europeu de Inteligência Artificial, o Artificial
Intelligence Act (AI Act).
81 EUROPEAN COMMISSION. Launch event for the Spanish Regulatory Sandbox on Artificial Intelligence.
Disponível em: https://digital-strategy.ec.europa.eu/en/events/launch-event-spanish-regulatory-sandboxartificial-intelligence. Acesso em: 09 mar. 2023.
82 EUROPEAN COMMISSION. Bringing the AI regulation forward. Disponível em:
https://ec.europa.eu/newsroom/dae/redirection/document/87973. Acesso em: 09 mar. 2023.
Outros países-membro da União Europeia também foram incentivados a ingressar no
programa do sandbox ou criar iniciativas semelhantes, já que este programa-piloto deve criar
sinergia com outras iniciativas nacionais.
O sandbox promovido pela Comissão Europeia e o Governo da Espanha vai ao encontro
da proposta da Comissão Europeia para a criação de um framework regulatório de IA,
83 a fim
de estabelecer obrigações específicas e requisitos claros sobre os usos de IA, bem como reduzir
encargos, especialmente para pequenas e médias empresas.
Além disso, converge com a Estratégia Nacional espanhola, de 2020, cujo objetivo é
gerar um ambiente de confiança ao desenvolvimento de uma IA inclusiva e sustentável,
colocando os cidadãos em posição central. Com isso, a Espanha buscou uma posição de
liderança na pesquisa e uso de uma IA confiável, a serviço do desenvolvimento econômico e
social e de uma modernização econômica84
.
Ao término do piloto, os entregáveis serão colocados à disposição de todos os paísesmembros e da Comissão Europeia, que poderá usá-los para o desenvolvimento de guias e
padrões harmonizados para suportar a futura implementação do AI Act, uma das primeiras
propostas legislativas a estabelecer um framework comum para sandboxes regulatórios na
Europa.
À medida que as tecnologias de IA se tornaram cada vez mais proeminentes, a
Comissão Europeia desenvolveu sua Estratégia para Inteligência Artificial (2018),
85 e
posteriormente, em 2021, publicou a proposta legislativa do AI Act, com a finalidade de
estabelecer regras horizontais para o desenvolvimento, mercantilização e uso de produtos,
serviços e sistemas baseados em IA no território da União Europeia86
.
O AI Act prevê a criação de sandboxes regulatórios para promover a inovação em IA ao
estabelecer um ambiente de experimentação e testagem para tecnologias, produtos e serviços
em fase de desenvolvimento, antes de sua entrada no mercado.
87 No art. 54 são estabelecidas
condições para o tratamento de dados pessoais no contexto dos sandboxes regulatórios, como
através da limitação de finalidades específicas para o tratamento somente no contexto do
interesse público, necessidade de salvaguardas e mecanismos de monitoramento de riscos.
83 EUROPEAN COMISSION. Regulatory framework proposal on artificial intelligence. Disponível em:
https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai. Acesso em: 09 mar. 2023.
84 GOBIERNO DE ESPAÑA. Estrategia Nacional de Inteligencia Artificial. [S.l.]: Gobierno de España, 2020.
Disponível em: https://wp.oecd.ai/app/uploads/2022/01/Spain_National_AI_Strategy_2020.pdf. Acesso em: 09
mar. 2023.
85 EUROPEAN INSTITUTE OF PUBLIC ADMINISTRATION. Sandboxes for Responsible Artificial
Intelligence. Disponível em: https://www.eipa.eu/publications/briefing/sandboxes-for-responsible-artificialintelligence/. Acesso em: 22 mar. 2023.
86 KOP, Mauritz. EU Artificial Intelligence Act: The European Approach to AI. Disponível em:
https://law.stanford.edu/wp-content/uploads/2021/09/2021-09-28-EU-Artificial-Intelligence-Act-The-EuropeanApproach-to-AI.pdf. Acesso em: 21 mar. 2023.
87 EUROPEAN PARLIAMENT. Artificial Intelligence Act and regulatory sandboxes. Disponível em:
https://www.europarl.europa.eu/RegData/etudes/BRIE/2022/733544/EPRS_BRI(2022)733544_EN.pdf. Acesso
em 21 mar. 23.
O AI Act ainda menciona que os Estados-membros da União Europeia devem assegurar
que, ao envolver o tratamento de dados pessoais, as operações de sandboxes de IA devem estar
associadas às Autoridades de Proteção de Dados ou outras entidades competentes.
Sandboxes para inovação responsável em inteligência artificial já fazem parte de ações
estratégicas de vários governos. Em março de 2023, o Ministério das Ciências, Inovação e
Tecnologia do Reino Unido anunciou que reservaria um orçamento de 2 milhões de libras para
financiar um sandbox regulatório de IA no país88
. Na América Latina, além do caso já citado
sobre a Colômbia (Seção 2.1.3) o Chile, com apoio do CAF,
89 iniciou seus planejamentos para
desenvolver um sandbox de IA.
2.3. Sandboxes do Sistema Financeiro Nacional
O Sistema Financeiro Nacional foi criado pela Lei nº 4.595, de 31 de dezembro de
196490
e está subdividido em entidades normativas, supervisoras e operacionais. As entidades
normativas – o Conselho Monetário Nacional, o Conselho Nacional de Seguros Privados e o
Conselho Nacional de Previdência Complementar – são responsáveis pela definição das
políticas e diretrizes gerais, sem função executiva. Todas as instituições financeiras, monetárias
ou não, oficiais ou não, são entidades operadoras, bem como as instituições auxiliares,
responsáveis, em geral, pela prestação de serviços e pela intermediação de recursos entre
poupadores e tomadores.
A função executiva no âmbito do SFN está sob a responsabilidade das entidades
supervisoras: o Banco Central do Brasil, a Comissão de Valores Mobiliários, a
Superintendência de Seguros Privados e a Superintendência Nacional de Previdência
Complementar (Previc). Estas quatro autarquias91 têm competência para a fiscalização, a
regulamentação do que for decidido pelas entidades normativas e o exercício de outras
atribuições outorgadas por lei.
Com exceção da Previc, as demais entidades supervisoras possuem iniciativas de
sandbox coordenadas – embora independentes – em andamento, em diferentes graus de
maturidade e execução, e respondendo por regulamentos próprios. Este cenário foi garantido
pela movimentação conjunta das entidades vinculadas ao Ministério da Economia: conforme
comunicado conjunto divulgado em 12 de junho de 2019, a Secretaria Especial de Fazenda do
88 DEPARTMENT FOR SCIENCE, INNOVATION AND TECHNOLOGY; OFFICE FOR ARTIFICIAL
INTELLIGENCE. A pro-innovation approach to AI regulation. [S.l].: Department for Science, Innovation and
Technology, 2023. Disponível em:
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1146542/a_pr
o-innovation_approach_to_AI_regulation.pdf Acesso em: 30 mar. 2023.
89 GUÍO, Armando. Op. cit.
90 BRASIL. Lei nº 4.595, de 31 de dezembro de 1964. Dispõe sobre a Política e as Instituições Monetárias,
Bancárias e Creditícias, Cria o Conselho Monetário Nacional e dá outras providências. Disponível em:
http://www.planalto.gov.br/ccivil_03/leis/L4595compilado.htm. Acesso em: 26 jun. 2021.
91 Todas as entidades são autarquias federais em regime especial suis generis, caracterizado pela autonomia
financeira e orçamentária, sendo, todavia, a depender da matéria, jurídicamente viável recorrer a um colegiado
externo contra suas decisões. Atualmente, o BCB, a CVM e a Susep são autarquias vinculadas ao Ministério da
Fazenda, e a Previc ao Ministério do Trabalho e Previdência.
Ministério da Economia, o BCB, a CVM e a Susep tornaram pública a intenção de implantar
um modelo de sandbox regulatório no Brasil.92
Aqueles reguladores se comprometeram a coordenar suas atividades institucionais para
disciplinar os elementos essenciais a um sandbox em suas esferas de competência,
contemplando elementos comuns aos modelos observados em outras jurisdições, tais como a
concessão de autorizações temporárias e a dispensa, excepcional e justificada, do cumprimento
de regras para atividades reguladas específicas, observando critérios, limites e períodos
previamente estabelecidos. Houve o compromisso de cooperação e atuação conjunta sempre
que as atividades desenvolvidas atingissem mais de um mercado regulado.
Pioneira, a Susep fixou, em 4 de março de 2020, “as condições para autorização e
funcionamento, por tempo determinado, de sociedades seguradoras participantes
exclusivamente de ambiente regulatório experimental (Sandbox Regulatório) que desenvolvam
projeto inovador mediante o cumprimento de critérios e limites previamente estabelecidos e dá
outras providências”.
93
O normativo foi complementado pela Circular nº 5 de 19 de março de
2020.94 A regulamentação da Susep é, de forma geral, a mais detalhada e complexa, algo
esperado considerando as atividades desenvolvidas em seu mercado regulado, cujos riscos
intrínsecos à oferta de seguros são multiplicados pelo cenário de incerteza relacionado a um
sandbox.
Vale destacar que na primeira95 de duas rodadas, a Susep aprovou iniciativas de novos
modelos de negócio de seguros para tablets, smartphones e outros dispositivos portáteis, além
de seguros para animais domésticos, residências e estabelecimentos comerciais. Assim, faz
sentido uma maior preocupação com a proteção dos eventuais segurados e com a higidez
92 SUPERINTENDÊNCIA DE SEGUROS PRIVADOS. Comunicado conjunto: ação coordenada para
implantação de regime de sandbox regulatório nos mercados financeiro, securitário e de capitais
brasileiros. Brasília, 15 ago. 2022. Disponível em: https://www.gov.br/susep/pt-br/assuntos/sandboxregulatorio/noticia. Acesso em: 20 set. 2022.
93 BRASIL. Conselho Nacional de Seguros Privados. Resolução nº 381, de 4 de março de 2020. Estabelece as
condições para autorização e funcionamento, por tempo determinado, de sociedades seguradoras participantes
exclusivamente de ambiente regulatório experimental (Sandbox Regulatório) que desenvolvam projeto inovador
mediante o cumprimento de critérios e limites previamente estabelecidos e dá outras providências. Disponível em:
https://www.in.gov.br/en/web/dou/-/resolucao-n-381-de-4-de-marco-de-2020-246507718. Acesso em: 20 set.
2022.
94 BRASIL. Superintendência de Seguros Privados. Circular nº 598, de 19 de março de 2020. Dispõe sobre
autorização, funcionamento por tempo determinado, regras e critérios para operação de produtos, transferência de
carteira e envio de informações das sociedades seguradoras participantes exclusivamente de ambiente regulatório
experimental (Sandbox Regulatório) que desenvolvam projeto inovador mediante o cumprimento de critérios e
limites previamente estabelecidos.. Disponível em: https://www.in.gov.br/en/web/dou/-/circular-n-598-de-19-demarco-de-2020-249021945. Acesso em: 20 set. 2022.
95 SUPERINTENDÊNCIA DE SEGUROS PRIVADOS. Edital Eletrônico nº 2/2020/SUSEP. Edital de seleção
de interessados em participar exclusivamente de ambiente regulatório experimental (Sandbox Regulatório).
Braília: Superintendência de Seguros Privados, 19 jun. 2020. Disponível em: https://www.gov.br/susep/ptbr/arquivos/arquivos-sandbox/edicao01/Edital_2.pdf. Acesso em: 20 set. 2022
atuarial do modelo de negócio, cujo monitoramento é feito de forma apartada, conforme um
manual de envio de dados aplicável às empresas participantes do sandbox regulatório.96
O edital da segunda rodada – Edital Eletrônico Susep nº 1/202197
– seguiu a mesma
linha do primeiro e permitiu às participantes da primeira rodada a comercialização de produtos
de ramos e a adequação aos limites máximos de indenização e ao número máximo de riscos,
quando diferentes.
No seu tempo, em 15 de maio de 2020, a CVM editou a Instrução nº 626, que
regulamentou a constituição e o funcionamento de ambiente regulatório experimental (sandbox
regulatório) para o mercado de capitais brasileiro. A regulamentação foi precedida de audiência
pública entre os dias 28 de agosto e 12 de outubro de 2019, cujo relatório das contribuições
pode ser acessado no sítio eletrônico da instituição.98
Já em 11 de maio de 2021, a Resolução CVM nº 2999 revogou a Instrução então vigente,
passando a regular “a constituição e o funcionamento de ambiente regulatório experimental
(‘sandbox regulatório’), em que as pessoas jurídicas participantes podem receber autorizações
temporárias para testar modelos de negócio inovadores em atividades no mercado de valores
mobiliários regulamentadas pela Comissão de Valores Mobiliários.”
100
A instrução CVM nº 626, de 2020, havia estabelecido critérios mínimos para
participação no sandbox e que não foram substancialmente alterados: (i) atividade baseada em
negócio inovador concretizado, ao menos, em provas de conceito ou protótipos; (ii) capacidade
técnica e financeira suficientes para desenvolver a atividade pretendida; e (iii) atendimento aos
critérios de idoneidade, aplicáveis aos sócios e administradores, estabelecidos pelas normas.
É essencial que o negócio inovador, que pode ser proposto por pessoa jurídica
estrangeira, tenha potencial para promover ganhos de eficiência, redução de custos ou
96 SUPERINTENDÊNCIA DE SEGUROS PRIVADOS. Manual de envio de dados aplicável as empresas
participantes do sandbox regulatório. Brasília: Superintendência de Seguros Privados, dez. 2021. Disponível
em: https://www.gov.br/susep/pt-br/arquivos/arquivos-sandbox/edicao01/manual_de_dados_versao4.0.pdf.
Acesso em: 20 set. 2022.
97 SUPERINTENDÊNCIA DE SEGUROS PRIVADOS. Edital Eletrônico Susep nº 1/2021. Participação em
ambiente regulatório experimental (sandbox regulatório). Disponível em: https://www.in.gov.br/en/web/dou/-
/edital-eletronico-susep-n-1/2021-334115727. Acesso em: 20 set. 2022.
98 COMISSÃO DE VALORES MOBILIÁRIOS. Relatório de análise. Audiência Pública SDM nº 05/19 –
Processo CVM SEI nº 19957.008843/2018-11. Rio de Janeiro: Comissão de Valores Mobiliários, 15 maio 2021.
Disponível em:
https://conteudo.cvm.gov.br/export/sites/cvm/audiencias_publicas/ap_sdm/anexos/2019/sdm0519_relatorio.pdf.
Acesso em: 20 set. 2022.
99 Aparentemente, a revogação buscou apenas atender ao Decreto nº 10.139, de 28 de novembro de 2019, que
promoveu a revisão e a consolidação dos atos normativos inferiores a decreto editados por órgãos e entidades da
administração pública federal direta, autárquica e fundacional.
100 BRASIL. Comissão de Valores Mobiliários. Resolução CVM nº 29, de 11 de maio de 2021. Dispõe sobre as
regras para constituição e funcionamento de ambiente regulatório experimental (sandbox regulatório) e revoga a
Instrução CVM nº 626, de 15 de maio de 2020. Disponível em:
https://conteudo.cvm.gov.br/export/sites/cvm/legislacao/resolucoes/anexos/001/resol029.pdf. Acesso em: 20 set.
2022.
ampliação do acesso do público em geral a produtos e serviços do mercado de valores
mobiliários.
Vale fixar que a CVM considera um modelo de negócio inovador aquele que utiliza
tecnologia inovadora ou faça uso inovador de tecnologia existente; ou que desenvolva produto
ou serviço que ainda não seja oferecido ou cuja oferta se dê em arranjo diverso do existente no
mercado de valores mobiliários.
O procedimento para apresentação de propostas segue o observado na Figura 1. Nas
três entidades mencionadas há um comitê de sandbox para avaliar o enquadramento da proposta
às regras, definidas previamente em edital.
Figura 1: Etapas do processo de admissão de participantes
Fonte: COMISSÃO DE VALORES MOBILIÁRIOS. Disponível em:
https://conteudo.cvm.gov.br/legislacao/sandbox_regulatorio.html. Acesso em: 20 set. 2022.
Em 30 de setembro de 2021, a CVM anunciou as três primeiras propostas aprovadas e,
em 21 de dezembro seguinte, foi anunciada a admissão de mais uma proposta. Uma das
habilitadas atuará como “escriturária” de valores mobiliários e prestará serviços para empresas
relacionados às próprias oferta de valores mobiliários, com foco nas sociedades empresárias de
pequeno porte. As demais buscam atuar, em mercado de balcão organizado, na emissão,
distribuição pública e negociação de valores mobiliários emitidos ou representados na forma
de tokens em redes de blockchain. O Comitê de Sandbox da CVM elaborou um documento
com considerações sobre a análise das propostas de participação recebidas no primeiro
processo de admissão. O relatório está disponível na página da instituição.
101
Por fim, o Banco Central do Brasil editou a Resolução BCB nº 50, de 16 de dezembro
de 2020, pela qual regulamentou “os requisitos para instauração e execução pelo Banco Central
do Brasil do Ambiente Controlado de Testes para Inovações Financeiras e de Pagamento
(Sandbox Regulatório) – Ciclo 1, bem como sobre os procedimentos e requisitos aplicáveis à
classificação e à autorização para participação nesse ambiente.”102
Na sua primeira seleção de participantes, o BCB priorizou os modelos de negócio com
soluções para o aumento da competição no SFN e no Sistema de Pagamento Brasileiro, a
exemplo do PIX e do Open Banking. Entre 22 de fevereiro e 19 de março de 2021, 52
(cinquenta e dois) projetos foram inscritos e, após aproximadamente um semestre em análise,
foram aprovados 7 (sete) projetos.
O processo é, em resumo, similar aos demais, havendo no caso dos projetos do BCB,
uma preocupação com a checagem da origem dos valores envolvidos no projeto. Uma
peculiaridade, contudo, é que na experiência do BCB foi instituído um Comitê Estratégico de
Gestão do Sandbox, composto por representantes de sete departamentos com interesse direto
na iniciativa. Esse Comitê é responsável por selecionar, aprovar, eliminar e classificar os
candidatos. Na estrutura atual, os diretores de departamento decidem os projetos que serão
aprovados, os chefes conduzem o processo e os coordenadores executam as atividades
operacionais do Sandbox. Isto resultou em uma carga de trabalho considerável: uma equipe
operacional de 6 (seis) pessoas ficou responsável por analisar 52 (cinquenta e dois) projetos
com média de 60 (sessenta) páginas, e apresentar o parecer para que os diretores decidissem
quais projetos aprovar. Assim, o processo que levaria 3 (três) meses para avaliar acabou se
extendendo por mais 3 (três), para um total de 6 (seis) meses.
A equipe responsável por conduzir a operacionalização da atividade informou que a
complexidade da composição desse comitê acaba gerando reuniões demasiadas e aumentando
a burocracia do processo de seleção. Inclusive o principal feedback dessa equipe para
experiências futuras é a necessidade de simplificar o processo seletivo, com editais mais
flexíveis. Foi sugerido também que as candidaturas fossem feitas por vídeos de curta duração
(até dez minutos) de modo similar ao que ocorre no projeto Lift, citado a seguir. Outro alerta
importante é que o programa de sandbox deve considerar a motivação para fundamentar os
101 COMISSÃO DE VALORES MOBILIÁRIOS. Sandbox Regulatório – Considerações do Comitê de Sandbox
acerca do 1º processo de admissão. Brasília: Comissão de Valores Mobiliários, jun. 2021. Disponível em:
https://conteudo.cvm.gov.br/export/sites/cvm/menu/investidor/30062021__Documento_de_Consideracoes_do_
CDS.pdf. Acesso em: 05 dez. 2021.
102 BRASIL. Banco Central do Brasil. Resolução nº 50, de 16 de dezembro de 2020. Dispõe sobre os requisitos
para instauração e execução pelo Banco Central do Brasil do Ambiente Controlado de Testes para Inovações
Financeiras e de Pagamento (Sandbox Regulatório) – Ciclo 1, bem como sobre os procedimentos e requisitos
aplicáveis à classificação e à autorização para participação nesse ambiente. Brasília: Banco Central do Brasil, 17
dez. 2020. Disponível em:
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&nu
mero=50. Acesso em: 05 jan. 2021.
projetos aprovados e prever a existência de um órgão recursal, preferencialmente dentro da
própria entidade reguladora.
De todo modo, é importante afirmar que, especialmente por serem iniciativas de
sandbox coordenadas entre três instituições que estão vinculadas ao Ministério da Economia,
há muita similaridade nos procedimentos, razão pela qual é possível tomar, como exemplo, um
pelos outros.
O objetivo está sempre vinculado ao desenvolvimento de novos produtos ou novas
soluções – inovações – para demandas preexistentes, buscando o alinhamento com a estratégia
da entidade ou com uma missão institucional, como aumentar a competitividade, fixando de
forma ampla o tema que deve ser desenvolvido ou o objetivo que deve ser perseguido.
Como mencionado, o Banco Central do Brasil possui outro projeto de fomento à
inovação – o Laboratório de Inovações Financeiras e Tecnológicas (Lift) – cuja diferença
essencial é a impossibilidade de oferecimento do produto ou serviço à clientes reais no
ambiente de teste. Nenhum ganho financeiro ou cobrança pode ser efetivada pelos serviços e
produtos ofertados com o uso da plataforma.
Ademais, não só por contemplar propostas sem circulação no mercado regulado de
produtos e serviços, o Lift difere do sandbox por consistir em um laboratório de pesquisa
aplicada, configurado como um ambiente virtual de colaboração entre entidades, regrado por
um acordo entre o participante e o BCB. Enquanto no sandbox o objetivo é verificar o modelo
de negócio funcionando na prática, no Lift o que é apresentado é apenas uma “maquete” do
projeto. Assim, o Lift acaba funcionando como um “fórum” para que inovadores possam
apresentar suas ideias e buscar apoio de outros stakeholders. Enquanto o sandbox trabalha com
poucas iniciativas por vez, o hub de inovação consegue trabalhar com várias soluções, pois não
há o compromisso de acompanhamento contínuo pelo regulador.
Importante mencionar que o Lift é uma iniciativa conjunta do Banco Central do Brasil
e da Federação Nacional de Associações dos Servidores do Banco Central (Fenasbac), criado
pelo 1º aditivo ao acordo de cooperação mútua existente entre as duas entidades. Para um
projeto ser aceito no hub, ele deve ter relação com os temas de interesse definidos por um
comitê gestor – do próprio BCB e da Fenasbac – e ter sua proposta submetida para avaliação e
seleção. Sendo selecionado, o projeto passa a ser desenvolvido no Lift, com o suporte para o
desenvolvimento de protótipos funcionais que serão apresentados e avaliados ao final do
processo, com ganhos para inovação, com o desenvolvimento de novidades tecnológicas e a
troca de conhecimentos. É no contexto do Lift, atualmente em sua 4ª edição, que estão sendo
desenvolvidos os casos de uso e avaliada a viabilidade tecnológica da moeda digital que será
emitida pelo BC (o Real Digital).
2.4. Sandboxes de agências reguladoras nacionais (ANEEL, ANTT, ANATEL)
Também no âmbito das agências reguladoras federais a ideia de um ambiente
regulatório experimental vem ganhando força. A Agência Nacional de Saúde Suplementar
(ANS), a Agência Nacional de Transportes Terrestres (ANTT), a Agência Nacional de
Telecomunicações (Anatel), a Agência Nacional do Petróleo, Gás Natural e Biocombustíveis
(ANP) e a Agência Nacional de Energia Elétrica (Aneel) já avançam com o propósito de
fomentar e testar projetos inovadores em seus mercados regulados.
Como no caso da CVM, do BCB e da Susep, até o momento somente processos
inovadores são considerados aptos para a seleção por essas agências reguladoras,
caracterizados, em linhas gerais, como aqueles que ofertam um produto ou serviço com o uso
de metodologias, processos, procedimentos ou tecnologias, ainda que preexistentes, utilizados
de forma distinta.
Em todos os casos há necessidade de apresentação de um projeto inovador
razoavelmente maduro. Para a CVM, Aneel e BCB, o candidato deve indicar quais regras
devem ser dispensadas, enquanto para a Susep, cabe à entidade pública apresentar quais
requisitos serão flexibilizados. Por sua vez, a ANTT, a Anatel e a Aneel restringem a
participação às empresas que já prestam um serviço análogo no ambiente regulado, ao contrário
da ANS, da ANP, da CVM, do BCB e da Susep.
É possível citar como exemplo os sandboxes tarifários da Aneel,103 cujos projetos têm
o objetivo de testar novas modalidades tarifárias ou formas de faturamento para os
consumidores de baixa tensão já atendidos por incumbentes. Tal característica é,
declaradamente, fruto das barreiras legais que impedem a livre entrada e saída de alguns
mercados regulados, tais como os relacionados àquelas três primeiras Agências.
A seguir são apresentadas com mais detalhes as propostas de sandbox da ANATEL, da
ANS e da ANTT.
2.4.1. ANATEL
A Agência Nacional de Telecomunicações – ANATEL conduziu uma consulta pública
(nº 41, de 09 de junho de 2022)
104 para a simplificação da regulação de serviços de
telecomunicações, tendo como uma de suas premissas a constituição de um programa de
sandbox regulatório, intitulado “ambiente regulatório experimental”. A definição é enquadrada
nos seguintes termos:
“Item 427 – XII – Ambiente Regulatório Experimental: ambiente que permite a pessoas jurídicas a
realização de experimentos de modelos de negócios inovadores no setor de telecomunicações, que
porventura não sejam aderentes à atual regulamentação da Anatel, com escopo delimitado, por período
determinado, em ambiente controlado, mediante condições específicas determinadas pela Agência”.
Dentre as características do programa de sandbox regulatório proposto pela ANATEL
evidencia-se a acessibilidade exclusiva às pessoas jurídicas; a intenção precípua de fomento à
inovação no âmbito do setor de telecomunicações; a delimitação de um escopo e de um período
103 AGÊNCIA NACIONAL DE ENERGIA ELÉTRICA. Sandboxes tarifários. Disponível em:
https://www.gov.br/aneel/pt-br/empreendedores/sandboxes-tarifarios. Acesso em: 23 mar. 2023.
104 AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES. Consulta pública nº 41. Disponível em:
https://apps.anatel.gov.br/ParticipaAnatel/VisualizarTextoConsulta.aspx?TelaDeOrigem=3&ConsultaId=10021.
Acesso em: 02 mar. 2023.
de duração do programa, com realização em edições periódicas; e o estabelecimento de
condições específicas para os participantes durante a participação no experimento.
A ANATEL ressalta o benefício da celeridade na atualização de sua regulamentação e
do seu poder de resposta às inovações emergentes do setor de telecomunicações derivadas do
aprendizado obtido a partir das informações provenientes do programa. Embora a ANATEL
preveja a utilização de sandbox como um experimento para a simplificação da regulação de
serviços de telecomunicações, é possível depreender a partir dos documentos que embasaram
a consulta pública, um aparente direcionamento para o campo do uso do espectro de
radiodifusão, o que pode significar um interesse em explorar inovações relacionadas à
infraestrutura de 5G e da Internet das Coisas.
Conforme mencionada em seções anteriores, a realização de uma fase preliminar de
consulta pública no processo de implementação de um programa de sandbox regulatório é uma
estratégia adotada por Autoridades de Proteção de Dados ao redor do mundo, a exemplo do
que fora feito pela ICO e pela SIC. No tocante à ANATEL, ela prevê a realização da consulta
pública previamente a cada edição do programa, sendo que farão parte do debate os seguintes
temas: período da edição; prazo para envio de projetos; requisitos para participação no
programa de sandbox regulatório; temas prioritários concernentes aos projetos de modelos de
negócio inovadores; critérios empregados para a condução da avaliação dos projetos; e, por
fim, a duração máxima do programa.
A agência denota, ainda, que, após a fase de seleção dos projetos, procederá à
publicação de normativo contendo o escopo do programa; seu período de realização; os
dispositivos regulamentares que os participantes estarão desobrigados de cumprir; as condições
do programa; as possibilidades aplicáveis para que as atividades do sandbox sejam suspensas,
de forma a proteger, principalmente, os interesses dos consumidores atingidos; além de outras
condições específicas de um dado projeto. Uma vez encerrada a edição do programa de
sandbox regulatório, caso seja de interesse da ANATEL e da sociedade, ela poderá permitir às
empresas interessadas a prestação do modelo de negócio inovador enquanto procede à
atualização de sua regulamentação.
Recentemente a agência publicou seu novo Plano Estratégico105 para o interstício
compreendido entre 2023 e 2027, trazendo em seu bojo 23 (vinte e três) iniciativas estratégicas,
como um conjunto de medidas a serem empregadas, permitindo a orientação de projetos ou
plano de ações institucionais. Entre tais iniciativas, destaca-se a que visa “atingir o estado da
arte da regulação para as novas tecnologias e modelos de negócio inovadores, inclusive através
do sandbox regulatório”. É patente a importância dada pela ANATEL ao emprego de um
sandbox regulatório no auxílio à promoção de seu processo regulatório, trazendo benefícios
diretos tanto para a agência reguladora, quanto para os participantes e para a sociedade.
105 AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES. Plano Estratégico 2023-27. Brasília: Agência
Nacional de Telecomunicações, nov. 2022. Disponível em: https://sistemas.anatel.gov.br/anexarapi/publico/anexos/download/e3241ae37bc6426b6042e1baef5b6259. Acesso em: 02 mar. 2023.
2.4.2. ANS
A ANS tem recentes tratativas para a construção de um normativo para instituir um
sandbox regulatório no setor de saúde suplementar e segue receita semelhante aos demais, com
critérios para seleção de participantes e definição da duração dos projetos e da abrangência da
dispensa regulatória, em linha com o Marco Legal das Startups.
O objetivo inicial central da agência reguladora é garantir um ambiente regulatório
adaptado, propício para o surgimento de novos modelos de negócio, no qual atores regulados
poderão desenvolver projetos submetidos, temporariamente, às regras diferenciadas que
permitam a experimentação mantendo o risco do usuário em um patamar aceitável e
juridicamente seguro. Aparentemente, os riscos envolvidos na implantação de projetos
inovadores são a principal preocupação do regulador. Tomando em conta que o objeto da
experimentação é a oferta de serviços e produtos no mercado de saúde suplementar, tal
preocupação é esperada.
Assim, existe uma legitima preocupação com os efeitos negativos não previstos que se
reflete na previsão obrigatória de contramedidas competentes para reverter as consequências
adversas sem afetar as regras vigentes, ou seja, no caso de insucesso do projeto e
descontinuidade, deve haver garantia de respeito aos direitos dos usuários dos serviços, dentro
das regras comuns vigentes no mercado regulado.
Para a ANS trata-se de um sandbox regulatório prudencial, com foco no
estabelecimento de regras econômico-financeiras diferenciadas e flexíveis, sem afastar a
segurança dos usuários. A oferta de novos serviços no ambiente experimental deve prever
garantias de atendimento aos beneficiários em caso de fracasso – o plano de contingência para
a descontinuação ordenada de atividades – tal qual as garantias previstas pela Susep em seu
sandbox.
106
Pela proposta em estudo pela ANS, os projetos seguirão um caminho semelhante aos
adotados pela CVM, BCB, Susep e ANTT para a seleção: são definidos temas prioritários em
um edital público que convoca interessados para participar da seleção; os processos
selecionados passam então para uma fase de monitoramento; e, uma vez esgotado o prazo, são
liberados para operar no ambiente ordinário ou encerrados.
Foi realizado um webinário107 pela ANS em outubro de 2022 para apresentar e debater
aspectos iniciais do modelo com o setor regulado, como primeira parte de uma tomada de
subsídio cuja segunda parte será o envio de um questionário para absorver sugestões, sem ter
ainda uma proposta formal de normativo.
2.4.3. ANTT
106 As garantias do Sandbox da Susep estão relacionadas aos limites de risco, ao montante das provisões técnicas
e à insuficiência de ativos garantidores.
107 AGÊNCIA NACIONAL DE SAÚDE SUPLEMENTAR. ANS promove webinar sobre SandBox
Regulatório Prudencial. Brasília: Agência Nacional de Saúde Suplementar, 28 set. 2022. Disponível em:
https://www.gov.br/ans/pt-br/assuntos/noticias/periodo-eleitoral/ans-promove-webinar-sobre-sandboxregulatorio-na-saude-suplementar. Acesso em: 23 mar. 2023.
Na ANTT, a Resolução nº 5.999108 de 2022 estabeleceu as regras para constituição e
funcionamento do sandbox regulatório da agência, considerado um ambiente regulatório
experimental. A ANTT adotou um modelo de sandbox regulatório que permite o teste de
produtos ou serviços inovadores e, também, de soluções regulatórias inovadoras.
Na primeira hipótese, é esperado que a agência garanta ao setor regulado segurança
regulatória para o oferecimento de produtos ou serviços inovadores. Em troca, seria possível
verificar os efeitos que tais inovações teriam no mundo real, fomentando-as de maneira
controlada, com monitoramento constante dos resultados dos projetos, inclusive no caso de
produtos e serviços inicialmente vedados pelo regulador.
Na segunda hipótese, a relevância da apropriação de uma base de evidências mais
robusta sobre o comportamento dos atores no mercado ajudaria a perceber o impacto da decisão
regulatória antes de sua implementação, a adoção dessa alternativa possibilita uma maior
flexibilidade para o regulador, que pode conduzir testes sobre regulação responsiva, assim
como, simular os efeitos da atuação regulatória antes de torná-la efetiva.
Conforme o que for decidido pela agência, os temas objeto de análise serão publicados
em edital para que as empresas reguladas interessadas se manifestem, apresentando
documentos para análise para uma equipe designada, em um procedimento semelhante aos
demais reguladores governamentais. Uma vez selecionado, há uma avaliação documental para
efeito de elegibilidade. A lista dos aprovados é então submetida à diretoria para que delibere
sobre a inclusão dos participantes no ambiente experimental. A diretoria da ANTT pode
escolher, dentre os selecionados, com base na conveniência e oportunidade.
A alta gestão pode também dispensar o processo de seleção e “convocar empresa
específica já atuante no setor de transportes terrestres”. Esta prerrogativa traz um risco de
comprometer a idoneidade do processo de escolha e acabar contaminando e afastando o
objetivo principal de promover a inovação, além de servir de ferramenta para evitar a
competição entre prestadores de serviços no mercado de transportes terrestres. Igual efeito pode
ser atingido ao restringir a participação no sandbox aos empreendedores que já tem outorga da
agência para atuar no mercado regulado.
Nada obstante, a ANTT, reconhecendo que restringir a participação no sandbox às
empresas detentoras de outorga prejudica o caráter participativo e de promoção à inovação, e
não contribui com o aumento da competitividade, a redução dos custos, a eficiência dos
processos e a liberdade econômica para o setor, decidindo, portanto, considerar a restrição
como algo temporário, específico para o primeiro sandbox na condição de piloto. Tal restrição
poderia ser revista com o amadurecimento do processo e a disponibilidade de recursos.
108 BRASIL. Agência Nacional de Transportes Terrestres. Resolução nº 5.999, de 3 de novembro de 2022.
Brasília, 2022. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-n-5.999-de-3-de-novembro-de2022-441284496. Acesso em: 18 dez. 2022.
- CARACTERÍSTICAS RELEVANTES DOS PROGRAMAS DE SANDBOX
A partir das considerações dos primeiros capítulos desse estudo, é possível depreender
uma série de elementos e características presentes em experiências de sandboxes regulatórios.
Há entendimentos no sentido de estabelecer características comuns a este tipo de regulação
experimental. Por exemplo, como já apontado no item 1.1, no relatório publicado pelo governo
alemão, intitulado “Making space for innovation”,
109 destacam-se três elementos
característicos do sandbox regulatório, quais sejam: (i) mecanismo de testagem de inovações
tecnológicas e modelos de negócio na realidade prática, com período e objeto bem delimitados;
(ii) instrumento de flexibilização e desconto regulatório; e (iii) meio de obtenção de novos
conhecimentos e aprendizado para futura regulação.
Na literatura especializada se encontra também a referência a aspectos que são comuns
ao gênero “regulações experimentais”, do qual o sandbox regulatório é considerado uma
espécie.
110 Nessa direção, três são os pontos comuns ou essenciais: (i) caráter temporário; (ii)
abordagem por tentativa e erro a respeito da regulação; e (iii) caráter colaborativo que exige a
participação de diversos atores interessados.
111
Assim, o que se passa a fazer é precisar quais são as características mais importantes,
dada sua pertinência, para a formulação e execução de programas de sandbox regulatório em
matéria de proteção de dados pessoais. Foram identificados seis aspectos merecedores de
destaque: (i) possíveis benefícios gerados pelo programa; (ii) critérios coerentes com
atribuições e prioridades regulatórias; (iii) participação colaborativa de atores interessados; (iv)
consciência das limitações do programa; (v) delimitação dos riscos ensejados pelo projeto de
tecnologia e mecanismos para sua mitigação; (vi) e produtos resultantes.
3.1. Benefícios esperados
O sandbox regulatório, ao promover um ecossistema que fomenta a inovação ao mesmo
tempo em que respeita os direitos fundamentais, possibilita a produção de resultados benéficos
aos diversos atores envolvidos. São três os principais grupos de atores: (i) organizações e
empresas; (ii) indivíduos e sociedade em geral; (iii) Autoridade de Proteção de Dados. Uma
lista exemplificativa dos benefícios levantados é apresentada na Tabela 5.
Em relação às organizações e empresas, há que se ressaltar que além dos agentes de
tratamento eventualmente selecionados para ingressar em programa de sandbox, não
participantes também podem se beneficiar de frutos advindos da experimentação regulatória, a
exemplo das boas práticas e conhecimento compartilhados pela publicação de relatórios pelos
109 FEDERAL MINISTRY FOR ECONOMIC AFFAIRS AND ENERGY. Making space for innovation: The
handbook for regulatory sandboxes. Berlim: Federal Ministry for Economic Affairs and Energy, 2021.
Disponível em: https://www.bmwk.de/Redaktion/EN/Publikationen/Digitale-Welt/handbook-regulatorysandboxes.pdf%3F__blob%3DpublicationFile%26v%3D2. Acesso em: 06 nov. 2022.
110 RANCHORDAS, Sofia. Experimental Regulations for AI: Sandboxes for Morals and Mores. Morals &
Machines, v. 1, n. 1, p. 88–102, 2021, p. 91.
111 RANCHORDAS, Sofia. Op. cit., p. 91; ORGANIZATION FOR ECONOMIC COOPERATION AND
DEVELOPMENT. Regulatory sandboxes in artificial intelligence. Paris: OECD Publishing, 2023. p. 14..
Disponível em: https://doi.org/10.1787/8f80a0e6-en. Acesso em: 10 ago. 2023.
atores diretamente envolvidos. Os benefícios que podem ser razoavelmente esperados são
diretos e indiretos.
Entre os benefícios diretos, verificam-se (i) o acesso à experiência e ao suporte
orientativo da APD no desenvolvimento e implementação da inovação técnica de tratamento
de dados; (ii) mais aprofundada compreensão das estruturas técnicas e normativas de proteção
de dados pessoais e como elas afetam suas atividades e interesses; e (iii) identificação de boas
práticas de governança de dados pessoais, tais como a privacidade desde a concepção e por
padrão, bem como tecnologias que possam ajudar a promover a privacidade e proteção de
dados em seus negócios (ex. PETs). Isso incentiva, por consequência, a proatividade na adoção
de padrões alinhados aos preceitos de proteção de dados pessoais em todas as etapas do projeto
de inovação tecnológica, e maior grau de confiança na conformidade dos novos produtos ou
serviços. Já entre os benefícios indiretos, pode-se aventar (i) a contribuição para a formulação
de futuras orientações e diretrizes a APD, à luz dos conhecimentos teórico-práticos e de matiz
regulatório obtidos com a execução do programa de sandbox; e (ii) contribuir para o país a
tornar-se uma economia inovadora com o desenvolvimento de produtos e serviços que mostrem
valor para o público.
Os indivíduos e a sociedade em geral, por sua vez, poderão gozar de mais produtos e
serviços que respeitem os direitos dos titulares e, de modo mais amplo, os direitos fundamentais
e liberdades civis, alicerce do Estado Democrático de Direito. Ademais, o sucesso de
programas de sandbox promove, em última análise, a ampliação do uso de mecanismos de
transparência e a confiança em novas tecnologias e, inclusive, sistemas de IA.
No que tange aos aspectos positivos ensejados pela institucionalização de iniciativa de
sandbox regulatório à Autoridade de Proteção de Dados, podem ser elencados, entre outros:
(i) a supervisão imediata de projetos de tecnologia de tratamento de dados pessoais que
incorporem em todas suas fases a observância dos direitos fundamentais e liberdades civis; (ii)
entender e conhecer em primeira mão inovadoras tecnologias digitais de agentes de tratamento
que estão sob regulação da autoridade; (iii) avaliar a eficácia das estratégias da entidade
participante para a proteção de direitos em casos concretos; (iv) compreender melhor as
aplicações práticas de tecnologias emergentes (como IA e blockchain), a fim de fortalecer a
atuação da autoridade em processos administrativos, recomendações e métodos de supervisão
em relação a temas envolvendo proteção de dados e as inovações tecnológicas envolvidas; (v)
consolidar seu conhecimento sobre atividades de tratamento de dados pessoais, criando
instrumentos que possam ser utilizados por outros agentes de tratamento, mesmo que não
tenham participado do sandbox (ex. guias orientativos e ações educativas); (vi) auxiliar na
elaboração de normas legais e infralegais que garantam maior equilíbrio entre o fomento à
inovação e o respeito à privacidade e à proteção de dados pessoais; e (vii) oportunizar a
construção e aperfeiçoamento da interpretação da regulação aplicável a inovações e tecnologias
emergentes.
112
112
“For regulators, testing in sandboxes informs policy-making and regulatory processes. Regulatory sandboxes
Por fim, é importante destacar que o presente estudo não tem qualquer pretensão de
exaurir um rol de benefícios possíveis advindos de programas de sandbox em matéria de
proteção de dados pessoais. É perfeitamente viável a identificação de outros benefícios, uma
vez que foi observada a existência de clara correlação entre os programas de sandbox com
estratégias nacionais que busquem promover padrões de inovação alinhados à proteção e
promoção de direitos fundamentais e liberdades civis no tratamento de dados, e a conduzir a
implementação de projetos que sirvam de referência para futuros empreendimentos. Este é,
decerto, o caso da Estratégia Brasileira de Inteligência Artificial – EBIA. Aliás, a EBIA prevê
como uma das ações estratégicas do Eixo 1 – Legislação, Regulação e Uso Ético, a de
“promover abordagens inovadoras para a supervisão regulatória (por exemplo, sandboxes e
hubs regulatórios)”.
113
Tabela 5: Benefícios esperados de um programa de sandbox para os diversos atores envolvidos.
BENEFÍCIOS DE UM SANDBOX REGULATÓRIO
Organizações e Empresas
- Acesso à experiência e ao suporte da APD, diminuindo riscos no tratamento de dados
pessoais; - Maior confiança na conformidade de seu produto ou serviço;
- Melhor compreensão das estruturas técnicas e normativas de proteção de dados
pessoais e como elas afetam suas atividades e interesses; - Identificar boas práticas de governança de dados pessoais, tais como a privacidade
desde a concepção e por padrão, bem como tecnologias que possam ajudar a promover
a privacidade e proteção de dados em seus negócios (ex. PETs). - Tornar-se ente proativo em proteção de dados pessoais;
- Contribuir com futuras orientações da APD;
- Apoiar o país a tornar-se uma economia inovadora e contribuir para o
desenvolvimento de produtos e serviços que mostrem valor para o público; - Em caso de projetos de IA, aumentar a compreensão sobre parâmetros regulatórios
para IA face à legislação de proteção de dados; e - Ainda que não participantes do programa, aprender sobre boas práticas e governança
de dados pessoais a partir dos relatórios produzidos pelas entidades participantes e
pela APD.
Indivíduos e Sociedade - Disponibilizar produtos e serviços que respeitem direitos de titulares de dados; e
- Maior transparência e confiança nos sistemas que os impactem (inclusive, sistemas
de IA).
Autoridade de Proteção de Dados
provide a dynamic, evidence-based approach to regulation and regulatory interpretation”. ORGANIZATION
FOR ECONOMIC COOPERATION AND DEVELOPMENT. Regulatory sandboxes in artificial intelligence.
Paris: OECD Publishing, 2023. p. 8. Disponível em: https://doi.org/10.1787/8f80a0e6-en. Acesso em: 10 ago.
2023.
113 BRASIL. [s.l.]: Ministério da Ciência, Tecnologia e Inovação, 2021. Estratégia Brasileira de Inteligência
Artificial – EBIA. Disponível em: https://www.gov.br/mcti/pt-br/acompanhe-omcti/transformacaodigital/arquivosinteligenciaartificial/ebia-diagramacao_4-979_2021.pdf Acesso em: 28 mar.
- p. 23
- Promover projetos de tratamento de dados pessoais que respeitem os direitos
fundamentais e liberdades civis; - Entender e conhecer em primeira mão as inovações das empresas que estão sob
regulação da autoridade; - Avaliar a eficácia das estratégias da entidade para a proteção de direitos em casos
concretos; - Compreender melhor as aplicações práticas de tecnologias emergentes (como a IA ou
a blockchain), a fim de fortalecer a atuação da autoridade seus processos
administrativos, recomendações e métodos de supervisão em relação a temas
relacionados a proteção de dados e a tecnologia envolvida); - Consolidar seu conhecimento sobre dados pessoais criando instrumentos que possam
ser utilizados por outras empresas, mesmo que não tenham participado do sandbox
(ex. guias orientativos e ações educativas); - Auxiliar na elaboração de normas que garantam maior equilíbrio entre o fomento à
inovação e o respeito à privacidade e à proteção de dados pessoais; e - oportunizar a construção e aperfeiçoamento da interpretação da regulação aplicável a
inovações e tecnologias emergentes.
3.2. Participação colaborativa e parcerias
A adoção de abordagens regulatórias experimentais como o sandbox requer,
necessariamente, a colaboração coordenada de diferentes atores numa configuração que, não
raro, adquire caráter interdisciplinar e multissetorial.
114 Para o adequado desenvolvimento de
programas de sandbox, então, espera-se o engajamento de vários interessados: desde as
entidades selecionadas como participantes imediatos e ativos, a outros órgãos governamentais
e reguladores com interesse temático em certo projeto, e até especialistas da academia e
entidades da sociedade civil. Entre participantes, parceiros e apoiadores se realiza
colaborativamente o sandbox regulatório.
a. Participantes
Enquanto alguns programas de sandbox regulatório contam com a seleção e entrada
contínua de participantes, em que as empresas podem enviar uma solicitação para participar do
programa a qualquer momento, outros organizam chamadas e editais específicos, com
processos de seleção com janelas de inscrição (normalmente aberta por um período de até dois
meses) e períodos de análise de candidatos. Na medida em que a autoridade competente ganha
maior maturidade na organização do programa de sandbox, o recebimento de inscrições em
fluxo contínuo parece ganhar maior proeminência, tendo em vista o fato de que pode ser
ineficiente exigir que as empresas tenham que esperar pelo próximo edital. Em vez disso, as
114 Vide DATASPHERE INITIATIVE (2022). Sandboxes for data: creating spaces for agile solutions across
borders. Disponível em: https://www.thedatasphere.org/ Acesso em: 10 nov. 2022; ORGANIZATION FOR
ECONOMIC COOPERATION AND DEVELOPMENT. Regulatory sandboxes in artificial intelligence. Paris:
OECD Publishing, 2023. p. 19-20. Disponível em: https://doi.org/10.1787/8f80a0e6-en. Acesso em: 10 ago.
2023.
empresas devem ser capazes de abordar a autoridade quando estão prontas para testar uma
proposição (neste sentido, ver os casos das Seções 2.1.1 e 2.1.2).
Os pedidos devem ser julgados pelas autoridades competentes com base em critérios
definidos, transparentes e disponíveis ao público. Todas as inscrições são julgadas de acordo
com esses parâmetros, e apenas as proposições que os atendem serão aceitas para participação.
É importante para o sucesso do sandbox que o processo de inscrição seja claramente definido
e estabelecido, bem como acessível ao público. Um processo de inscrição transparente
incentiva a ampla participação e a confiança do público no sandbox regulatório e garante que
ele esteja disponível para empresas de vários tamanhos, setores da indústria e níveis de
maturidade.
b. Parceiros para implementação (interessados-chave) e apoiadores
Em geral, quatro modalidades de entidades podem ser identificadas como parceiros para
implementação de sandboxes regulatórios: - Provedores de conhecimento em iniciativas de consórcios de testes ou projetos, que
envolvam grandes empresas estabelecidas, bem como startups e empresas entrantes no
mercado, já que sandboxes também encorajam colaboração entre a indústria, a
academia e organizações de pesquisa públicas e privadas para apoiar atividades de
pesquisa e desenvolvimento (P&D); - Reguladores e outros órgãos governamentais, incluindo agências regulatórias e
diferentes departamentos ministeriais (principalmente para abordagens multissetoriais),
que tendem a fornecer monitoramento e supervisão, bem como aconselhamento; - Titulares de dados, tendo em vista que sandboxes regulatórios operam em ambientes
da vida real, criando soluções para a participação de titulares de dados, que podem optar
ou serem alertados de que o produto ou serviço que estão usando está sendo testado em
um sandbox. Nesses casos, é possível que os titulares exerçam o direito de recusa à
participação. Além disso, salvaguardas de proteção ao titular de dados estão incluídas
como parte dos requisitos de participação no sandbox; e - Finalmente, ONGs e outras organizações da sociedade civil também podem ser
incluídas e podem ser partes interessadas importantes para representar os usuários finais
e fornecer supervisão em termos de considerações éticas e salvaguardas para os
consumidores envolvidos. Por exemplo, no Reino Unido, o ICO recebeu contribuições
de instituições de caridade e acadêmicas quando fez a consulta pública inicial sobre o
programa de sandbox.
Existem diversas formas de apoio a programas de sandboxesregulatórios, desde aqueles
com autoridades reguladoras de matérias concorrentes, até entidades de apoio técnico e
tecnológico. Por exemplo, autoridades envolvidas na supervisão do setor financeiro
estabeleceram memorandos de entendimento específicos entre si a fim de facilitar a
coordenação em sandboxes de inovação financeira (ver Seção 2.3
Também existe a possibilidade de coordenação com autoridades competentes de outros
países e jurisdições, por meio da celebração de acordos de cooperação. Esses acordos podem
envolver, entre outros temas, o compartilhamento de informações e o compromisso de trabalhar
de forma mais próxima e colaborativa. Também pode estar previsto o compartilhamento de
abordagens para os respectivos sandboxes, bem como as lições aprendidas. Importa ressaltar
que em sandboxes de IA o uso desse tipo de instrumento e de abordagem cooperativa possui
grande relevância devido ao caráter multinacional do modelo de negócio de muitos provedores
de serviços de IA, e dos benefícios à inovação e economia advindos da redução da
fragmentação regulatória entre blocos econômicos e diferentes jurisdições.
115
Outro cuidado a ser observado entre apoiadores diz respeito a arranjos técnicos para
compartilhamento de dados. Como o sandbox envolve o compartilhamento de dados de
sensibilidade comercial, arranjos técnicos são necessários para garantir que eles sejam
transferidos conforme necessário, entre as entidades envolvidas e com as proteções apropriadas
em vigor. Os arranjos técnicos devem abordar como os dados são recebidos, armazenados,
acessados, protegidos e descartados.
3.3. Critérios para participação
Para a seleção das entidades participantes, ou grupo amostral a participar de programa
de sandbox, os requisitos estipulados pelas Autoridades de Proteção de Dados devem ter
pertinência e consistência com o foco do programa instituído, das características regulatórias
de cada jurisdição, bem como as competências e prioridades das autoridades envolvidas.
Por exemplo, no sandbox da ICO (Reino Unido), é necessário que a entidade esteja
sujeita à lei de proteção de dados do Reino Unido (UK GDPR), bem como o preenchimento de
uma declaração de interesse em participar e aderência às áreas temáticas selecionadas para o
programa. Com esse documento, se inicia, na verdade, uma etapa preliminar em que a
autoridade analisa, principalmente, o caráter efetivamente inovador da proposta aplicação
tecnológica e o benefício coletivo oferecido. Para a análise do segundo critério, a ICO leva em
consideração a quantidade de pessoas alcançadas e a medida ou extensão em que se dá tal
potencial benefício. A expectativa é de que a entidade interessada tenha evidências que
demonstrem, com certa clareza, as dimensões quantitativas e qualitativas do alegado benefício
público.
Já no sandbox da SIC (Colômbia), podem participar empresas nacionais e
internacionais, públicas e privadas – entende-se que não estão limitadas às empresas sob a lei
de proteção de dados colombiana. O projeto de inteligência artificial deve ter foco em comércio
eletrônico, publicidade ou marketing e, além disso, envolver o tratamento de dados pessoais.
Também é preciso que o projeto esteja em fase de concepção, sem ter iniciado o tratamento de
dados pessoais, nem ter sido colocado em operação.
Para o sandbox da Datatilsynet (Noruega), os projetos devem ter aderência às áreas de
interesse (inteligência artificial e proteção de dados), beneficiar indivíduos e a sociedade em
115 ORGANIZATION FOR ECONOMIC COOPERATION AND DEVELOPMENT. Regulatory sandboxes in
artificial intelligence. Paris: OECD Publishing, 2023. p. 20-22, 26. Disponível
em: https://doi.org/10.1787/8f80a0e6-en. Acesso em: 10 ago. 2023.
geral, bem como que os projetos sejam de alguma forma beneficiados por meio da participação
no sandbox.
Por fim, no programa instituído pela PDPC (Singapura), é necessário que as empresas
interessadas residam no país e apresentem casos de uso em projetos-pilotos sobre Privacy
Enhancing Technologies. Os projetos devem ter duração de 6 (seis) meses e deve ser
apresentado à autoridade com os detalhes do caso de uso e como a solução PET deve corroborar
para solucioná-lo.
3.4. Limitações do programa (constraints)
Um aspecto importante observado nos vários programas de sandbox estudados diz
respeito aos limitadores que cada programa identificou possuir na prática. São limitações que
se revelam de variadas formas, podem ser relacionadas à disponibilidade de recursos
financeiros e humanos, ou quanto ao escopo do programa e questões organizacionais. Entender
tais limitações de ordem circunstancial, orçamentária e institucional, é imprescindível para a
preparação e condução do programa de maneira otimizada.
A respeito dos limitadores possíveis em termos de tempo e de escopo do programa, foi
possível notar que as fases iniciais dos sandboxes das APDs, destinadas à publicação de
chamadas públicas e seleção de candidatos, a duração é, em média, de 2 (dois) a 6 (seis) meses,
enquanto o prazo total para a conclusão de uma edição do programa pode ser estimado entre 1
(um) e 2 (dois) anos, a exemplo do Banco Central do Brasil. Vale mencionar, no entanto, que,
se for adotado um modelo de submissão contínua e de listas de espera, como faz a ICO, o
período até o início das atividades pode variar conforme o nível de preparação da equipe.
Ademais, nos programas conduzidos por APDs, não foram levantadas preocupações especiais
com o porte econômico das empresas e organizações participantes, sendo este um assunto mais
propriamente de política regulatória.
Quanto a aspectos limitadores de cunho orçamentário, organizacional e de recursos
humanos, a ICO, por exemplo, fez importantes apontamentos sobre sua realidade. A APD
possui uma equipe pequena (quatro pessoas ao tempo da redação deste estudo) dedicada ao
sandbox regulatório, sendo que atuam como coordenadores em cada projeto participante
selecionado no programa. Em havendo necessidade, relatam, eles podem buscar auxílio entre
os expertos técnicos e jurídicos de outras equipes da própria autoridade.
Há, ainda, situações em que especialistas externos podem ser contratados, de acordo
com a necessidade avaliada caso a caso. Este, por exemplo, foi o caminho optado pela
Datatilsynet, que reserva um orçamento específico para o apoio técnico de especialistas. A
demanda por pessoal com adequada expertise técnico-jurídica pode ser um fator que importa
em significativos custos financeiros. Isto é, se a autoridade condutora do programa de sandbox
não tiver pessoal capacitado para executar o programa, terá de contratar consultorias externas.
3.5. Riscos e mecanismos de mitigação
Ao longo deste estudo foi abordada, inclusive a partir dos estudos de caso apresentados,
a relevância da incorporação no programa de sandbox regulatório da análise de riscos e a
previsão de mecanismos para sua mitigação e controle. Em grande parte, isso se dá por força
de o sandbox ser um tipo de regulação experimental apropriada para lidar com tecnologias
emergentes em que os riscos de sua implementação e disponibilização no mercado não são
ainda inteiramente compreendidos.
116
Com eventual instituição e execução de programa de sandbox é importante, porém, que
a própria APD antecipe e avalie riscos relacionados à condução desse tipo de programa. Alguns
dos riscos mencionados são abaixo identificados bem como os respectivos mecanismos de
mitigação apropriados. Convém ressaltar, que os riscos descritos possuem caráter geral e certo
grau de abstração, tais como os riscos de ocorrência de danos aos titulares de dados e de
incidentes de segurança. O cuidadoso trabalho de especificação não é possível ainda; somente
o será diante dos casosreais ensejados com o planejamento do programa de sandbox. Na Tabela
6 é possível verificar uma lista não exaustiva de riscos associados a um programa de sandbox
e possíveis mecanismos de mitigação.
Tabela 6: Riscos e mecanismos de mitigações possíveis em um programa de sandbox.
Risco Mecanismos de mitigação
Acessos ou divulgação não autorizados
de dados sensíveis e/ou informações
protegidas por direitos de propriedade
intelectual, em contexto de terceirização
de atividades na condução do programa. - Estipulação de acordos ou contratos de
responsabilidade; - Limitar a terceirização a atividades
previamente especificadas e de menor
relevância; e - Não terceirizar quaisquer atividades.
Desequilíbrio concorrencial. • Definir critérios objetivos, claros e com
transparência para a seleção de entidades
participantes; - Compartilhar conhecimento com nãoparticipantes por meio de relatórios;
- Não conceder nenhum tipo de privilégio
regulatório (ex. atenuantes em processos
fiscalizatórios por ter participado do sandbox); - Ampla divulgação do programa de sandbox
pela autoridade reguladora; e - Envolvimento de representantes da
autoridade antitruste no programa de sandbox.
Danos aos titulares de dados /
consumidores. - Estabelecer regras no edital para impedir a
seleção de projetos com produtos ou serviços já
disponibilizados no mercado; - Em havendo a permissão de projetos com
produtos ou serviços já comercializados, exigir
116 DATASPHERE INITIATIVE (2022). Sandboxes for data: creating spaces for agile solutions across
borders. Disponível em: https://www.thedatasphere.org/ Acesso em 10 de novembro de 2022.
que o participante divulgue de forma ampla sua
participação no programa de sandbox; - Envolver titulares de dados apenas para testes
alfa e testes beta; - Informar aos titulares de dados sobre seus
direitos e priorizar eventuais reclamações
protocolizadas junto à APD, e criar específicos
canais de ouvidoria para receber tais
reclamações; - Realizar testes de viabilidade de perfil de
consumidores;
117 e - Formalizar instrumento contratual com a
previsão de cláusula penal compensatória, como
quantia mínima a ser indenizada às vítimas.
Desrespeito a direitos de propriedade
intelectual e/ou segredos de negócio das
empresas. - Delimitar o conteúdo dos relatórios públicos
de forma prévia e com a colaboração e revisão
das entidades participantes.
Fragmentação regulatória frente a
complexidade de diferentes regimes
legais setoriais e diferentes autoridades
competentes. - Considerar formatos de participação, ainda
que incidental, de outras autoridades
reguladoras que regulem temas relativos às
soluções consideradas; e - Redução do escopo do programa, abordando
regulamentações estritamente focadas e
limitadas, além da condução de perguntas
baseadas em um trabalho preparatório claro para
identificar os problemas, como um requisito
antes de iniciar o sandbox.
Incidentes de segurança. • Termos de responsabilidade dos entes
participantes a adotarem medidas de segurança
técnicas e administrativas aptas a resguardar os
dados pessoais contra incidentes de segurança
da informação.
Incidentes relacionados à centralização
de informações comerciais. - Uso de tecnologias descentralizadas ou
abordagens como computação federada,
privacidade diferencial, criptografia
homomórfica, ou suportadas por blockchain a
117 Os testes de viabilidade de perfil de consumidores (consumer suitability tests) envolvem um planejamento
prévio do perfil que participará da fase de testagem, por exemplo, clientes não-varejistas ou investidores com alto
apetite a riscos. Ver mais em: EUROPEAN SECURITY AND MARKETS AUTHORITY; EUROPEAN BANK
AUTHORITY; EUROPEAN INSURANCE AND OCCUPATIONAL PENSIONS AUTHORITY. FinTech:
Regulatory Sandboxes and Innovation hubs. Disponível em:
https://www.esma.europa.eu/sites/default/files/library/jc_2018_74_joint_report_on_regulatory_sandboxes_and_
innovation_hubs.pdf Acesso em: 22 mar. 2023.
fim de possibilitar a utilização de conjuntos de
dados maiores.
Alto custo de recursos financeiros e
humanos envolvidos. - Compartilhamento de custos com parceiros
interessados a partir de contratos
administrativos e pertinentes instrumentos
congêneres.
Fonte: Os riscos e mecanismos de mitigação referidos na Tabela têm inspiração em todas as fontes consultadas e
utilizadas neste estudo, em especial os seguintes materiais bibliográficos: INTER-AMERICAN
DEVELOPMENT BANK. Regulatory Sandboxes and Innovation Testbeds: A Look at International
Experience and Lessons for Latin America and the Caribbean. Washington: IDB, 2020; WORLD BANK
GROUP. Global Experiences from Regulatory Sandboxes. Washington International Bank for Reconstruction
and Development, 2020.
3.6. Produtos
Há uma variedade de produtos que podem resultar das atividades e participação
colaborativa dos diversos atores envolvidos na implementação de um sandbox regulatório.
Alguns produtos resultantes podem ser considerados documentos necessários, como os
relatórios, visto que sua confecção e publicação pode estar intimamente relacionada a objetivos
do programa criado pela APD.
Relatórios são os entregáveis mais comuns entre os projetos apresentados, visto que
apresentam uma perspectiva alicerçada na aplicação prática da questão em análise. No Reino
Unido, foram publicados relatórios das empresas participantes quanto à experiência, o que
permite uma visão ampla em relação à variedade de soluções participantes e as variáveis
possíveis. Por sua vez, na Noruega tanto as empresas participantes produziram relatórios
específicos, como a Autoridade de Proteção de Dados produziu relatórios gerais sobre a
experiência.
Guias são outro entregável comum, muitos deles inspirados pelos aprendizados obtidos
nos relatórios. A ICO apresentou seu Guidance on AI and data protection fomentado pela
análise empírica das entidades participantes de seu programa de sandbox, que atuam em áreas
inovadoras e ainda não exploradas totalmente pela Lei de Proteção de Dados. De maneira
semelhante, o projeto desenvolvido em Singapura planeja publicar guias com o foco em
assegurar e fortalecer a implementação de Privacy Enhancing Technologies no mercado. A
autoridade do país também pretende realizar uma compilação dos estudos de caso realizados
durante o projeto, junto com a construção de políticas de uso das tecnologias exploradas.
Outros entregáveis possíveis são podcasts, artigos, webinários e workshops, como se
pôde observar no caso norueguês. Cabe ainda destacar o uso dos programas de sandbox como
estímulo à elaboração de avaliações de impacto em privacidade, como ocorreu no caso
colombiano.
- COMO IMPLEMENTAR UM PROGRAMA DE SANDBOX
Para se executar um programa de sandbox é necessário estudo e preparo, de modo a
mitigar riscos e garantir que a experiência alcance os objetivos esperados. Deste modo, esse
capítulo apresenta informações sobre o planejamento e a execução de programas de sandbox,
com base no benchmark realizado.
4.1. Planejamento de um sandbox
Nesta seção é apresentado um roteiro (roadmap) inspirado pelas sugestões da
DataSphere Initiative.
118 Conquanto o roteiro original fosse focado em sandboxes
transfronteiriços, as orientações puderam ser facilmente adaptadas para programas domésticos.
A. Definir Objetivos
O primeiro passo para elaborar um programa de sandbox é definir quais os objetivos
que se espera alcançar com o programa. Esses objetivos vão ajudar a delimitar os atores
interessados, tanto os participantes, quanto eventuais parceiros, e ainda eventuais atores
regulatórios.
Os objetivos também irão permitir identificar as restrições do programa, tais como
escopo, tempo, questões orçamentárias e organizacionais (ver Seção3.4). A depender do foco
do programa, mais ou menos recursos serão necessários para sua execução.
No caso de Autoridades de Proteção de Dados, é comum que o objetivo do programa
esteja relacionado com o fornecimento de suporte para o uso adequado de dados pessoais no
desenvolvimento de produtos e serviços e o fomento ao uso de técnicas de privacidade desde a
sua concepção (privacy by design).
Além disso, os benefícios listados na Seção 3.1 também costumam compor objetivos
complementares de programas de sandboxes. O fomento à inovação é um elemento presente
nestes programas, muito embora a abordagem pela qual se dará esse fomento pode variar de
acordo com o programa e o regulador que a promove. Em sandboxes de autoridades
financeiras, por exemplo, é comum que sejam testadas soluções que garantam maior
flexibilidade regulatória. Já no caso dos sandboxes de privacidade, as APDs parecem focar em
obter maior conhecimento sobre os impactos de novas tecnologias à privacidade e à proteção
de dados, bem como difundir boas práticas de governança de dados tanto para os entes
participantes (a partir dos treinamentos e testagens), quanto para terceiros (a partir da
publicação de relatórios).
Para identificar objetivos específicos das experiências já implementadas por agentes
reguladores, sugere-se verificar os estudos de caso do Capítulo 2 deste relatório.
B. Identificar Interessados
A fase de concepção de um programa de sandbox deve, necessariamente, passar por um
processo de reflexão acerca de quais seriam os principais interessados, não apenas para
118 Ver nota de rodapé nº 32.
participação, como também no apoio e coordenação. Para sandboxes regulatórios, as principais
partes interessadas são os representantes mais seniores dos reguladores envolvidos, já que um
sandbox também pode incluir outras autoridades reguladoras, ministérios e autoridades
judiciais conforme o caso, dependendo das áreas temáticas.
As partes interessadas ativas são os inovadores, ou seja, as empresas e organizações
responsáveis por uma tecnologia inovadora, processo ou modelo. As indústrias ou setores de
onde essas tecnologias emergem podem fazer parte de uma eventual consulta anterior ao
estabelecimento do sandbox, especialmente para a identificação e definição de problemas,
metas e cronogramas.
As partes interessadas de apoio serão todas as outras partes interessadas relevantes
para consultas sobre aspectos positivos e externalidades negativas de um programa de sandbox.
Se os problemas do sandbox envolverem, por exemplo, o tratamento de dados pessoais, ou
particularmente dados sensíveis, como dados de saúde, as partes interessadas precisam incluir
pessoas que possam representar os interesses dos titulares dos dados. Isso pode incluir
organizações da sociedade civil e acadêmicos, ou outros especialistas, ou mesmo ativistas de
informação para garantir que o público entenda o que está sendo feito. Embora essas partes
interessadas não tomem decisões regulatórias ou operacionais, eles devem fazer parte de como
o sandbox é configurado na medida em que este se desenvolve. Mecanismos de diálogo aberto
e regular são essenciais para ganhar e construir confiança pública.
Definir as funções de cada parte interessada também é importante para manter as
pessoas necessárias envolvidas e, ao mesmo tempo, garantindo que elas assumam um papel
ativo no programa de sandbox, conforme necessário. A adesão política das principais partes
interessadas é fundamental, especialmente das agências, departamentos e autoridades
reguladores relevantes. Esse envolvimento pode ocorrer como “observador”, mas há vantagens
em maior participação de outros reguladores, agências e ministérios, como a garantia de adesão
e a disseminação de conhecimentos, além de corroborar a existência de um núcleo de tomada
de decisão dedicado para garantir a eficiência.
Nesses casos, as principais partes interessadas precisam coordenar e atribuir
responsabilidade e tomada de decisão para o design, implementação, supervisão e direção do
programa de sandbox, como: a supervisão e a forma de tomada de decisões; medidas para
promover a responsabilidade e a confiança no programa; responsabilidade e processos de
coordenação, comunicação e escalonamento; formas de trabalho (virtual, híbrido, ou
presencial); e meios de avaliação contínua ou periódica, incluindo escolha de critérios e
elaboração de relatórios.
Na Seção 3.2 são apresentados alguns detalhes sobre as principais partes interessadas.
C. Definir limitações do programa – escopo, duração, financiamento e
recursos humanos
Um dos aspectos de definição do escopo de atuação do sandbox regulatório pode dizer
respeito ao perfil dos participantes: atores já estabelecidos no mercado; novos entrantes; e
outras empresas. Essa definição de escopo dos candidatos à participação denota maior ou
menor maturidade organizacional.
Além disso, os sandboxes regulatórios também podem contar com uma determinação
setorial, ou serem intersetoriais, a depender da natureza dos modelos de negócio e tecnologias
envolvidos. Esse tipo de ampliação de escopo setorial representa um desafio adicional para as
autoridades envolvidas, já que diferentes níveis de regulação e coordenação podem ser
necessários para o sucesso do programa. Por exemplo, um candidato considerado elegível para
participar de um sandbox regulatório deseja testar uma proposta que envolve a realização de
uma atividade regulamentada e a empresa ainda não possui a licença relevante. Nesse caso, a
licença deve ser adquirida como uma parte da fase de preparação para entrar no sandbox. Se
não for adquirida a respetiva licença para o exercício das atividades reguladas, a empresa não
pode avançar para a fase de testes. No caso de sandboxes de privacidade, não costuma ser
necessário essa isenção de licenciamento, porque legislações de proteção de dados
normalmente não requerem licenças para uso de tecnologias.
Estabelecer e gerenciar um sandbox regulatório implica em custos aos reguladores e às
empresas. Os reguladores precisarão de financiamento adequado para apoiar a operação e o
monitoramento do sandbox. Essa é uma das principais preocupações, já que sandboxes
consomem muitos recursos e só podem lidar com um problema focado por vez. Eles impõem
um uso significativo de tempo e de recursos aos reguladores, mas há redução marginal desses
custos na medida em que iterações ocorrem, que as equipes envolvidas adquirem conhecimento
sobre o tema e que os fluxos organizacionais se consolidam. Então é necessário ponderar os
custos e benefícios dessa iniciativa frente a outros projetos da instituição.
Nesse sentido, a alocação de recursos precisa ser medida em relação aos objetivos
estatutários mais amplos da autoridade regulatória e para refletir tanto a iniciativa privada (ou
seja, a empresa participante) quanto o benefício público. Isso pode limitar o escopo e a escala
dos sandboxes. Reguladores nem sempre podem dedicar recursos significativos a um espectro
variado de tecnologias, modelos de negócios emergentes, iniciativas de amplo escopo que
lidam com desafios promissores, mas desafiadores, e questões complexas. Particularmente para
autoridades reguladoras recém-criadas, demandas diárias e restrições de recursos podem ser
um contratempo na concepção, desenvolvimento e avaliação de sandboxes.
O que foi observado nos diálogos com os agentes reguladores, como autoridades
financeiras nacionais e Autoridades de Proteção de Dados estrangeiras, é que os custos, em sua
maioria estão relacionados aos recursos humanos do ente regulador que passa a se dedicar na
elaboração e execução do programa de sandbox. Para otimizar esses recursos, normalmente é
definida uma unidade dedicada para conduzir o programa, e especialistas de outras unidades
são chamados de forma pontual para auxiliar em questões específicas que possam demandar
um conhecimento não possuído pela unidade dedicada.
Por exemplo, pensando em medidas de comunicação e publicação, é possível que a
autoridade regulatória deseje publicar as descobertas e resultados do processo de sandbox.
Quando a publicação for apropriada, os reguladores precisarão do suporte necessário para
publicar os resultados do sandbox.
D. Identificar riscos e mecanismos de mitigação
Uma vez definidos os objetivos e as limitações do programa, é necessário identificar
quais os riscos inerentes. Esses riscos poderão variar de acordo com as características do
sandbox. Por exemplo, programas que foquem em soluções em estágio prototipal costumam
ter um menor impacto a consumidores ou titulares de dados do que soluções já disponibilizadas
em mercado.
Para cada risco identificado é importante propor mecanismos que evitem que ele ocorra,
ou mitiguem seu impacto. A implementação de um sandbox é um processo longo e extenuante
e não é recomendável se seu custo-benefício for baixo. Na Seção 3.5 é apresentada uma lista
de riscos e possíveis mecanismos de mitigação.
E. Definir critérios para a participação
Após a análise de riscos, o regulador pode definir os critérios para a participação no
programa de sandbox. A escolha desses critérios deve ser feita levando em consideração os
objetivos do programa, as limitações definidas e os riscos identificados. Os critérios podem
incluir tipos de tecnologias que serão foco de uma determinada edição (ex. inteligência
artificial, blockchain, PETs), nível de maturidade das soluções (projetos, protótipos,
disponibilizadas no mercado), modelos de negócio (comércio eletrônico, marketing,
compartilhamento de dados) e até mesmo público-alvo específico (ex. setor público, setor
privado, startups etc.). Para exemplos de critérios adotados em programas de outras APDs,
verificar a Seção 3.3.
Eventualmente, consultas públicas podem ser realizadas para ajudar a identificar os
critérios de maior relevância. Foi o caso das experiências da ICO, da SIC e da PDPC, como
mencionado na Seção 2.1.
F. Elaborar documentos técnicos para iniciar o sandbox
Um programa de sandbox inicia-se com a submissão de propostas dos entes
participantes. Para isso, é necessário que o regulador tenha elaborado alguns documentos tais
como o edital de chamamento público, formulários de inscrição para padronizar a
submissão de propostas e termos de responsabilidade para serem assinados pelos
participantes selecionados. Esses documentos são mais bem descritos na seção seguinte, assim
como as explicações sobre as etapas de execução do sandbox.
4.2. Execução do sandbox
A execução de um programa de sandbox regulatório é organizado em uma série de
etapas. Embora as metodologias adotadas possam variar de acordo com a autoridade reguladora
e o objetivo do sandbox, de acordo com as autoridades do setor financeiro europeias, de modo
geral, um sandbox é composto pelas seguintes etapas:119 (i) submissão e avaliação de propostas;
(ii) preparação e alinhamento com as instituições selecionadas; (iii) testagem e
acompanhamento das iniciativas acordadas; (iv) avaliação da experiência e encerramento ou
saída. A seguir apresenta-se um detalhamento de cada uma dessas etapas e algumas questões
que devem ser observadas.120
4.2.1. Etapa 1 – Submissão de Propostas
Na etapa de submissão, o ente regulador apresenta um edital em que informa sobre o
programa de sandbox. Este edital deve conter informações sobre as regras gerais do programa,
incluindo os objetivos, escopo, formato e duração. Outra informação importante diz respeito
aos critérios de seleção das entidades participantes. Quanto mais transparente o edital, maior a
isonomia do processo. É essencial que a chamada para participação seja suficientemente
publicizada.
Por vezes, anterior ao edital é realizada uma consulta pública para receber
contribuições para a fase de submissão. Essas contribuições podem ser de ordem processual
(etapas e metodologia do sandbox) e material (escopo do sandbox). Foi o caso da SIC que
recebeu sugestões de entidades do setor público, do setor privado econômico, da sociedade
civil organizada e da academia.
É importante também que o edital informe sobre os diferentes tipos de stakeholders que
irão atuar na execução do programa – entidades parceiras, entidades participantes e demais
entidades de apoio, de modo a permitir que os atores conheçam os papéis de todos os
envolvidos.
O edital deve, ainda, apresentar um prazo para submissão das propostas, bem como
o conteúdo da submissão. É comum que esse prazo esteja em torno de 6 (seis) a 8 (oito)
semanas. A disponibilização de um formulário auxilia na padronização das propostas
submetidas. Como exemplos de formulários podem ser citados o disponibilizado pela ICO121
e pela SIC.
122 Durante a triagem, a ICO costuma fazer visitas in locu ou videoconferências de
engajamento (“engagement calls”) para levantar informações mais específicas sobre potenciais
participantes.
119 EUROPEAN SECURITY AND MARKETS AUTHORITY; EUROPEAN BANK AUTHORITY;
EUROPEAN INSURANCE AND OCCUPATIONAL PENSIONS AUTHORITY. FinTech: Regulatory
Sandboxes and Innovation hubs. Disponível em:
https://www.esma.europa.eu/sites/default/files/library/jc_2018_74_joint_report_on_regulatory_sandboxes_and_
innovation_hubs.pdf Acesso em: 22 mar. 2023.
120 As orientações aqui apresentadas são embasadas no levantamento bibliográfico e nos questionários respondidos
por alguns dos agentes consultados – CAF e ICO.
121INFORMATION COMISSIONER`S OFFICE. How can we apply to the sandbox? Disponível em:
https://ico.org.uk/for-organisations/regulatory-sandbox/the-guide-to-the-sandbox/how-can-we-apply-to-thesandbox/#:~:text=Please%20submit%20all%20completed%20Expressions,or%20signpost%20to%20further%20
information. Acesso em: 27 fev. 2023.
122 SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Sandbox sobre privacidad desde el diseño y por
defecto en proyectos de inteligencia artificial Formato de aplicación. Disponível em:
https://es.surveymonkey.com/r/FormularioSandbox2021. Acesso em: 27 fev. 2023.
A autoridade reguladora deve ser responsável por avaliar as submissões realizadas, de
acordo com os critérios estabelecidos. Como discutido na seção de planejamento, esses
critérios podem variar de acordo com o escopo do programa, mas costumam incluir requisitos
relacionados ao potencial inovador da solução e a maturidade do projeto/solução proposta
(readiness test). Contudo, é importante que eles sejam respeitados de forma a garantir a
transparência e isonomia do processo. Para verificar a maturidade do projeto, é comum que o
regulador solicite evidências de que a tecnologia ou inovação sendo testada seja realizável, o
que costuma ser feito com a apresentação de uma prova de conceito (proof of concept). Para
isso, o regulador avalia toda a documentação apresentada, incluindo a proposta e as credenciais
da entidade interessada, e pode realizar diálogos bilaterais com os candidatos.
Nos casos de Autoridades de Proteção de Dados é possível exigir provas de
maturidade em proteção de dados. Por exemplo, a ICO solicita um Relatório de Impacto em
Proteção de Dados do projeto proposto para avaliar a maturidade do participante. Outras
entidades, como a SIC, não exigem essa prova de maturidade e tem como um de seus objetivos
centrais aumentar a maturidade do participante na conformidade à legislação de proteção de
dados. Exemplos de critérios a serem considerados são sugeridos na Seção 3.3 deste relatório.
Conquanto não seja comum estabelecer um prazo de avaliação das propostas, é
importante que esse prazo seja considerado no planejamento geral do programa. Para um
programa de um ano de duração, recomenda-se não levar mais de 2 (dois) meses para a análise
de todas as propostas. Para programas contínuos, como no caso da ICO, é adotado um modelo
“roll on roll off”, em que conforme instituições participantes saiam do sandbox, novas
entidades podem entrar. As submissões podem ser enviadas a qualquer momento, e uma vez
selecionada, o proponente aguarda em uma lista de espera até que uma vaga surja. Assim a
autoridade britânica mantém sempre um número médio de 10 (dez) participantes a todo
momento.
A elaboração de termos de responsabilidade para participação (terms and
conditions) podem ajudar a mitigar riscos relacionados à realização da iniciativa (ex. termos
de confidencialidade, licenças de uso de propriedade intelectual, autorização de uso de imagem
do participante, termos de responsabilidade em caso de dano aos titulares etc.).
Em média, a etapa de submissão leva de 3 (três) a 6 (seis) meses, a partir do edital de
convocação. As primeiras semanas são separadas para a apresentação de propostas e as
subsequentes para avaliação e seleção das propostas, até a assinatura dos termos de
participação.
É possível providenciar aos participantes do programa do sandbox uma “declaração de
conforto regulatório”, a qual atesta que qualquer contravenção à legislação de proteção de
dados como um resultado do desenvolvimento do serviço ou produto, não irá resultar
imediatamente em ação regulatória, enquanto testado no sandbox. É o caso do que é feito pela
ICO. O CAF, contudo, alerta para que seja verificada in casu se o ente regulador possui
competência legislativa para flexibilizar suas regras de sancionamento para participantes do
sandbox. Como informado no capítulo introdutório deste estudo, no caso brasileiro, o
afastamento de normas é permitido em virtude do art. 11 do Marco Legal das Startups, muito
embora ele sequer seja necessário a depender do escopo a ser definido pelo programa.
Como regra geral, a participação no programa de sandbox é gratuita, e este foi o
observado em todos os programas do estudo de benchmark.
4.2.2. Etapa 2 – Preparação dos participantes
Independentemente do número de entidades participantes, é essencial que todas estejam
alinhadas com os objetivos do programa. Para isso, rodadas de preparação são muito
importantes. Essas rodadas podem incluir oficinas para nivelamento do conhecimento sobre
o tema a ser trabalhado. No caso de um sandbox de privacidade, é necessário verificar se tanto
a autoridade reguladora quanto os participantes compreendem os temas regulatórios relevantes
relativos ao arcabouço normativo de proteção de dados vigente e a tecnologia (ou aspecto
tecnológico) que é objeto do programa. É comum que entidades parceiras atuem nas rodadas
de preparação para ajudar a transmitir o conhecimento necessário aos demais atores. Por
exemplo, no sandbox da SIC, a etapa de preparação contou com workshops realizadas por
juristas da Organização das Nações Unidas e por especialistas de tecnologia da informação e
ciência de dados. É importante que esses parceiros não criem conflitos de interesse com as
entidades participantes, isto é, os candidatos não podem ter entre seus representantes pessoas
que sejam integrantes das organizações parceiras.
A etapa de preparação pode variar de acordo com o ambiente a ser controlado. Por
exemplo, programas que visem acompanhar iniciativas ainda em fase de projetos e protótipos
terão controles distintos de um sandbox que faça testagem de soluções já disponibilizadas em
mercado.
Nesse último caso, é necessário que a autoridade reguladora alinhe com os entes
participantes como eles irão informar aos consumidores e demais titulares sobre a condição de
testagem do produto. Eventualmente, alinhamentos com outras autoridades reguladoras podem
ser necessários, principalmente se licenciamentos específicos sejam necessários para a oferta
do produto ou serviço no mercado, ainda que em fase de teste.
Dentre os alinhamentos que podem ser considerados nessa etapa, se destacam:
- Apresentação do roadmap do programa, incluindo informações sobre os
entregáveis esperados (ex. relatórios de autoavaliação, relatório do regulador etc.); - Requisitos operacionais necessários para apoiar a fase de testagem (sistemas e
controles técnicos e operacionais); - Identificação de pontos focais e da estrutura de apoio à fase de testagem;
- Estabelecimento de parâmetros e indicadores que serão avaliados ao fim da fase de
testagem (a autoridade pode permitir um certo nível de negociação com os
participantes, mas a palavra final deve ser dela); - Cronograma de encontros planejados para alinhamento entre os participantes, o
regulador e demais entidades de apoio; - A forma, o prazo e o conteúdo da comunicação com consumidores e outros titulares
de dados afetados pelas iniciativas em ambiente de testagem; - Salvaguardas necessárias para mitigação de impactos aos consumidores e outros
titulares de dados, caso venham a ser afetados negativamente durante a fase de teste; - Um plano ou estratégia de saída, seja este dentro do período originalmente estimado
pelo programa, ou antes dele; - O modelo que será utilizado para a validação de resultados na etapa final;
- Participação em sprints do projeto;
- Workshops com equipes de design e desenvolvimento;
- Orientações informais sobre mitigação de riscos na fase de projeto; e
- No caso de sandboxes de privacidade, revisão informal da documentação de
proteção de dados, incluindo avaliações de impacto de proteção de dados, avisos de
privacidade e acordos de compartilhamento de dados.
Além disso, experiências de outras iniciativas similares aos sandboxes regulatórios
utilizam instrumentos que também poderiam ser aproveitados. É o caso do experimento de
protótipos de políticas públicas Open Loop, organizado em parceria pela Meta e C-Minds
123
.
Em 2020, foi realizada a primeira edição do programa, com foco em Transparência e
Explicabilidade de IA, com o apoio de duas autoridades reguladoras de Singapura, o PDPC e
o IMDA. Um relatório foi produzido e publicado em 2022 apresentando a metodologia e os
principais achados do experimento.
Durante a fase preparatória do Open Loop, além de workshops de alinhamento, as
empresas participantes receberam um protótipo de políticas públicas, com recomendações de
boas práticas a serem observadas em suas soluções124
. Também nessa fase, foi disponibilizado
um playbook, que listava os principais algoritmos para sistemas de tomada de decisão
automatizada, bem como as tecnologias mais conhecidas para implementação de IA explicável
(XAI)125
. A elaboração desses materiais podem ser recursos interessantes para a fase
preparatória de um sandbox.
4.2.3. Etapa 3 – Testagem
Uma vez que todos os participantes estejam alinhados, segue-se para a fase de testagem
dos projetos. Essa fase costuma durar de 6 (seis) a 12 (doze) meses, de acordo com o escopo
do programa. Caso a autoridade reguladora pretenda permitir extensão ao prazo, é
recomendável que essa possibilidade seja previamente informada.
O ambiente de testagem irá variar de acordo com o nível de maturidade das soluções
selecionadas. Caso o sandbox foque em soluções em fase de projeto ou protótipo, têm-se um
ambiente mais controlado em que os testes serão realizados em simulações e laboratórios. Para
os sandboxes com soluções já disponibilizadas em mercado, é importante que as entidades
participantes atuem no ambiente real em conformidade com os parâmetros acordados com a
123 ANDRADE, Norberto Nuno Gomes de. AI Transparency & Explainability: A Policy Prototyping
Experiment. [S.l.]: OpenLoop, 2022. Disponível em: https://openloop.org/wpcontent/uploads/2022/07/AI_Transparency_&_Explainability_A_Policy_Prototyping_Experiment.pdf. Acesso
em: 23 nov. 2022.
124 ANDRADE, Norberto Nuno Gomes de. Op. cit., Anexo 1.
125 ANDRADE, Norberto Nuno Gomes de. Op. cit., Anexo 2.
entidade reguladora, o que deve incluir a transparência com os consumidores e demais titulares
sobre o contexto de aplicação. Alguns parâmetros importantes a serem considerados: - Limitações no volume de dados pessoais tratados;
- Limitações quanto ao número de titulares afetados pelo tratamento;
- Restrições no compartilhamento de dados;
- Indicação de representantes do ente participante; e
- Apresentação de um plano de testagem pelo participante.
O plano de testagem costuma ser elaborado com o auxílio do ente regulador, que
orienta o participante a elaborar o roteiro das atividades a serem executadas. A implementação
desse plano será realizada ao longo da fase de testagem e costuma envolver encontros
periódicos com o regulador para monitoramento.
O plano costuma conter uma avaliação de riscos que deverá ser validada pelo regulador.
Durante a implementação do plano, o regulador deve observar se algum risco identificado se
concretiza e se certificar que as medidas necessárias para o mitigar foram tomadas. Por
exemplo, a ICO cria um “Registro de Risco” para monitorar de forma contínua cada
participante. É importante que riscos de incidentes de segurança relativos a dados pessoais
sejam mitigados previamente à fase de testagem.
As organizações participantes também devem desenvolver uma estratégia de saída
caso sua participação tenha que ser finalizada antes do período planejado (seja por iniciativa
do participante ou do regulador). A estratégia de saída deve ser aprovada pelo regulador em
fase prévia à de testagem. O objetivo dessa estratégia é garantir o menor detrimento aos titulares
de dados.
No caso da ICO, em casos de incidentes de segurança relativos a dados pessoais, os
titulares devem ser notificados e o participante informa que está participando do programa de
sandbox. A APD do Reino Unido pode tomar medidas sancionatórias contra o participante,
mas dificilmente o fará caso ele tenha seguido os termos e condições de participação. A
comunicação é feita diretamente à equipe de sandbox. Caso ocorra um incidente em um serviço
ou produto do participante que esteja fora do escopo do programa, a notificação deverá seguir
o fluxo geral de comunicação à autoridade.
A fase de testagem deve envolver a comunicação contínua das entidades participantes
com a entidade reguladora, que podem ocorrer em forma de encontros presenciais ou virtuais,
chamadas espontâneas do regulador, e relatórios parciais periódicos.
Além disso, é recomendável que a autoridade reguladora possua a prerrogativa de
encerrar a fase de testagem a qualquer momento caso: (i) a entidade participante falhe em
cumprir com os parâmetros de testagem acordados; (ii) observe-se dano ao consumidor ou
titular; ou (iii) a solução falhe em funcionar da forma esperada. Subsidiariamente, também
podem ser previstas hipóteses em que a entidade participante possa encerrar a fase de testagem
em um momento prévio ao acordado.
Caso os parâmetros de testagem sejam excedidos, a autoridade reguladora tem o poder
de atuar com todos seus poderes de fiscalização disponíveis, os quais devem ser aplicados de
forma proporcional à duração e à seriedade da violação.
Quanto à proteção de consumidores e demais titulares de dados, é importante que: (i)
tanto as entidades participantes quanto a autoridade se esforcem para realizar comunicação
ampla para que aqueles possam realizar decisões informadas sobre a utilização das soluções
sujeitas à fase de testagem; (ii) parâmetros que mitiguem riscos aos indivíduos e à sociedade
em geral sejam incluídos na fase de testagem; (iii) o processo de saída ou encerramento da fase
de testagem inclua previsões de como consumidores e demais titulares serão considerados; e
(iv) medidas de compensação e reclamações sejam previstas, caso algum dano seja sofrido no
contexto de testagem.
Enquanto sandboxes focados em protótipos interagem com consumidores e outros
titulares apenas em ambientes de teste extremamente controlados (testes alfa), os sandboxes
com soluções já disponibilizadas no mercado possuem mais desafios para manter esse controle
(testes beta).
4.2.4. Etapa 4 – Encerramento ou Saída
A fase de testagem pode finalizar de duas formas: (i) de acordo com o período
previamente estipulado (encerramento); ou (ii) de forma prévia ao planejado, devido a uma
violação ou descumprimento dos parâmetros estipulados (saída). Quaisquer limitações
existentes durante a fase de testagem devem ser removidas uma vez que o encerramento esteja
concluído.
Qual seja a hipótese, é importante que lições aprendidas sejam registradas. Isso pode
ocorrer pela produção de relatórios pelas instituições participantes bem como pela autoridade.
Enquanto os relatórios das primeiras devem focar no seu caso de uso, lições aprendidas com a
experiência e feedbacks, a autoridade deve produzir um relatório que observe o experimento
como um todo, a partir das diversas contribuições de cada entidade. As conclusões do relatório
da autoridade reguladora podem incluir considerações para edições futuras e sugestões de ação
regulatória, tanto em contexto normativo quanto fiscalizatório.
O relatório elaborado pela autoridade deve ser revisado pelos participantes para
confirmar os fatos apresentados, bem como para evitar violações a direitos de propriedade
intelectual. Os participantes devem se manifestar sobre quais informações consideram ser
confidenciais.
No caso de interrupção prévia da testagem, o relatório deve também informar o motivo
da saída. Essas informações deverão ser consideradas na atuação fiscalizatória da autoridade
que poderá exigir a descontinuação do produto ou serviço testado e/ou solicitar que ele seja
redesenhado e novamente testado em edições futuras.
Para avaliar o sucesso do programa de sandbox, indicadores qualitativos ou
quantitativos podem ser utilizados. Por exemplo, a ICO estabeleceu indicadores-chave de
performance (KPIs) baseados nos seus valores institucionais: - Curioso: a equipe do sandbox se esforça para aprender continuamente, capacitar
uns aos outros, anseia por novas perspectivas e está aberta a desafios
construtivos. 70% das propostas aceitas no sandbox pontuarão ‘3’ na escala de
avaliação de inovação, para demonstrar o compromisso da equipe em trabalhar
com tecnologias emergentes; - Colaborativo: A equipe do sandbox trabalhará em conjunto para priorizar
agilidade e alto desempenho coletivo e individual, respondendo aos riscos e
oportunidades emergentes, e visando experimentação e melhoria contínua. A
equipe contribuirá com 100% dos guias de orientação relevantes publicados pela
ICO (ou seja, os guias de orientação que fornecem informações sobre tópicos
investigados pelo sandbox); - Impactante: o trabalho da equipe do sandbox deve fazer uma diferença material.
Ela visa receber feedback positivo de 80% dos participantes. Isso será avaliado
a partir de formulários de feedback, da Pesquisa de Serviço de Inovação e da
entrevista de avaliação após a saída do sandbox; e - Respeito, igualdade, diversidade e inclusão – adoção de formas inclusivas de
trabalhar, respeitando uns aos outros, partes interessadas, clientes e colegas,
tratando todos com dignidade. 80% das inovações aceitas no sandbox terão um
benefício público demonstrável, marcando um ‘3’ na escala de avaliação de
benefício público, preferencialmente apoiando um grupo vulnerável na
sociedade de alguma forma.
O conhecimento adquirido durante o programa deve ser disseminado tanto para dentro
quanto para fora da autoridade reguladora. O principal material para isso são os relatórios
públicos, embora outras iniciativas possam ser realizadas. Por exemplo, a ICO realiza
workshops e participa de congressos para disseminar a experiência de seus sandboxes com
terceiros interessados. A Datatilsynet disponibiliza uma série de produtos, desde textos de blog
a podcasts e vídeos. Internamente, os documentos produzidos servem de insumos para outras
atividades da autoridade, como as normatizadoras e fiscalizatórias.
- CONCLUSÃO
Este relatório apresentou o conceito de sandboxes regulatórios, instrumentos da
regulação experimental que vêm sendo adotados por diversas autoridades reguladoras em
níveis global e nacional. Atenção particular foi dada à experiência de Autoridades de Proteção
de Dados.
Através de benchmark realizado por meio do levantamento bibliográfico e de diálogos
bilaterais com reguladores e outros atores interessados, o estudo identificou características
relevantes de sandboxes e propôs um roteiro para planejamento e execução de um programapiloto.
Conquanto este relatório não substancie um programa específico de sandbox, acreditase que ele será essencial para servir como um manual de referência no planejamento e execução
do projeto-piloto e de futuras edições de sandboxes da Autoridade Nacional de Proteção de
Dados.
ANEXO I – ALTERNATIVAS AO SANDBOX – OUTRAS ABORDAGENS
REGULATÓRIAS EXPERIMENTAIS
Sandboxes regulatórios são apenas um tipo de instrumento regulatório que faz parte do
guarda-chuva conhecido como regulação experimental. A Tabela 7 apresenta alguns desses
instrumentos e seus conceitos, para além de sandboxes.
Tabela 7: Alguns tipos de instrumentos regulatórios experimentais e seus conceitos.
ABORDAGENS REGULATÓRIAS
EXPERIMENTAIS
CONCEITO
Camas de Testagem de Inovações (Innovation
Test Beds)
Podem ser definidos como ambientes
experimentais espacialmente
confinados, destinados a testar e
demonstrar a viabilidade e
escalabilidade de novas ordens
sociotécnicas e formas associadas de
governança, com base em visões
particulares de futuros desejáveis. Essa
definição vai além de uma visão
puramente afirmativa ou instrumental
da evidência, e capta o que
consideramos os aspectos analíticos
mais salientes dos bancos de
evidências: sua intervenção ostensiva
na ordem social com alguma forma de
delimitação; a direcionalidade
implícita da inovação (ou seja, seu
caráter normativo); a ambiguidade
entre testar como benchmark e testar
como experimentação aberta para
aprendizagem; o papel da exibição
pública, a ampla gama de implicações
regulatórias e de governança; e a
ambição de ampliar ou transferir os
resultados.126
Centros de inovação (Innovation Hubs) Os centros de inovação seriam um
espaço ou plataforma por meio do qual
as empresas podem entrar em contato
126 ENGELS, F., WENTLAND, A., PFOTENHAUER, S. [S.l.]: Science Direct, 2019. “Testing future societies?
Developing a framework for test beds and living labs as instruments of innovation governance”. Disponível
em: https://www.sciencedirect.com/science/article/pii/ S0048733319301465 Acesso em: 28 mar. 2023.
com a autoridade para tirar dúvidas e
solicitar esclarecimentos ou
orientações não vinculantes sobre
questões relacionadas a uma tecnologia
específica, especialmente o marco
regulatório aplicável, os requisitos de
autorização ou registro para sua
operação, e as expectativas de
regulação e supervisão.127 Um exemplo
de centro de inovação é o Lift,128 do
Banco Central do Brasil.
Cláusulas de caducidade (Sunset Provision) É caracterizado como um projeto de lei
que contém uma data de expiração
específica para uma norma ou
disposição, uma vez que a lei tenha sido
promulgada. As cláusulas de
caducidade estão incluídas na
legislação onde se considera que o
Legislativo deve ter a oportunidade de
revisar seus méritos após um
determinado período.
Datathons / Hackathons Os hackathons de dados, também
conhecidos como data dives ou
datathons são eventos em que equipes
de cientistas de dados, programadores
de computador, designers gráficos e de
interface e gerentes de projeto tentam
resolver problemas de dados de forma
criativa e prototipar produtos de análise
de dados. Datathons normalmente
duram entre um dia e uma semana.
Alguns destinam-se simplesmente a
fins educacionais ou sociais, embora
em muitos casos o objetivo seja criar
produtos de análise de dados
utilizáveis. Os datathons tendem a ter
um foco específico, que pode incluir
fontes de dados, metodologias,
127 GUÍO, Armando. Sandbox Regulatorio de Inteligencia Artificial em Chile. [S.l.]: Gobierno de Chile, 2021.
Disponível em: https://www.economia.gob.cl/wp-content/uploads/2021/09/PaperSandboxIA.pdf. Acesso em: 30
ago. 2022.
128 BANCO CENTRAL DO BRASIL. Laboratório de Inovações Financeiras e Tecnológicas (LIFT).
Disponível em: https://www.bcb.gov.br/estabilidadefinanceira/lift. Acesso em 28 mar. 2023.
tecnologias e aplicativos específicos,
mas, em outros casos, não há restrição
quanto ao tipo de produto de análise de
dados que está sendo criado.129
Prototipagem de políticas (Policy Prototyping) Um protótipo de políticas pode ser uma
forma mais rápida de entender o valor e
impacto de uma norma, antes de sua
publicação. O protótipo seria uma
versão simplificada de implementação
normativa, com poucos recursos e mais
rápida de estabelecer, que pode ser
usada para definir se a norma atende
aos objetivos pretendidos.130 A
prototipagem pode ser realizada por
uma autoridade reguladora
(normalmente num contexto de um
sandbox, para rascunhar políticas
públicas), ou por iniciativa do setor
privado, como é o caso do projeto Open
Loop.131
Fonte: autores do estudo.
129 EUROPEAN COMMISSION. What is a hackathon? [S.l.]: European Commission, 2019. Disponível em:
https://cros-legacy.ec.europa.eu/content/what-hackathon_en. Acesso em: 17 nov. 2022.
130 KONTSCHIEDER, Verena. Prototyping in Policy: What For?! [S.l.]: Stanford Law School, 2018.
Disponível em: https://conferences.law.stanford.edu/prototyping-for-policy/2018/10/22/prototyping-in-policywhat-for/. Acesso em: 28 mar. 2023.
131 C MINDS. Open Loop Uruguay. Disponível em: https://es.cminds.co/open-loop-uruguay Acesso em: 28
mar. 2023.