SANDBOX REGULATÓRIO – ESTUDO TÉCNICO ANPD
Brasília, 29 de setembro de 2023.
Autoridade Nacional de Proteção de Dados
Diretor-Presidente
Waldemar Gonçalves Ortunho Junior
Diretores
Arthur Pereira Sabbat
Joacil Basilio Rael
Miriam Wimmer
Nairane Farias Rabelo Leitão
Equipe de elaboração
Alexandra Krastins Lopes – Gerente de Projeto do Conselho Diretor
Carlos Fernando do Nascimento – Especialista
Diego Carvalho Machado – Especialista
Lucas Costa dos Anjos – Especialista
Marcelo Santiago Guedes – Coordenador-Geral de Tecnologia e Pesquisa
Maria Carolina Ferreira da Silva – Especialista
Maria Luiza Duarte de Sá – Estagiária
Thiago Guimarães Moraes – Coordenador de Inovação e Pesquisa
Sumário
SANDBOX REGULATÓRIO – ESTUDO TÉCNICO ANPD ………………………………………………….1

  1. INTRODUÇÃO………………………………………………………………………………………………………………3
    1.1. CONTEXTO ……………………………………………………………………………………………………………………3
    1.2. DEFINIÇÃO DE SANDBOXES REGULATÓRIOS ……………………………………………………………………….4
    1.3. BREVE HISTÓRICO SOBRE SANDBOXES……………………………………………………………………………….7
    1.4. MOTIVAÇÃO DO ESTUDO……………………………………………………………………………………………….10
    1.5. OBJETIVO E METODOLOGIA…………………………………………………………………………………………..11
  2. ESTUDOS DE CASO – PROGRAMAS DE SANDBOXES………………………………………………12
    2.1. SANDBOXES DE AUTORIDADES DE PROTEÇÃO DE DADOS…………………………………………………..12
    2.2. SANDBOXES DE INTELIGÊNCIA ARTIFICIAL………………………………………………………………………30
    2.3. SANDBOXES DO SISTEMA FINANCEIRO NACIONAL…………………………………………………………….32
    2.4. SANDBOXES DE AGÊNCIAS REGULADORAS NACIONAIS (ANEEL, ANTT, ANATEL)……………..37
  3. CARACTERÍSTICAS RELEVANTES DOS PROGRAMAS DE SANDBOX…………………..42
    3.1. BENEFÍCIOS ESPERADOS………………………………………………………………………………………………..42
    3.2. PARTICIPAÇÃO COLABORATIVA E PARCERIAS ………………………………………………………………….45
    3.3. CRITÉRIOS PARA PARTICIPAÇÃO …………………………………………………………………………………….47
    3.4. LIMITAÇÕES DO PROGRAMA (CONSTRAINTS)…………………………………………………………………….48
    3.5. RISCOS E MECANISMOS DE MITIGAÇÃO …………………………………………………………………………..48
    3.6. PRODUTOS…………………………………………………………………………………………………………………..51
  4. COMO IMPLEMENTAR UM PROGRAMA DE SANDBOX………………………………………….52
    4.1. PLANEJAMENTO DE UM SANDBOX……………………………………………………………………………………52
    4.2. EXECUÇÃO DO SANDBOX ……………………………………………………………………………………………….55
  5. CONCLUSÃO………………………………………………………………………………………………………………63
    ANEXO I – ALTERNATIVAS AO SANDBOX – OUTRAS ABORDAGENS REGULATÓRIAS
    EXPERIMENTAIS……………………………………………………………………………………………………………..64
  6. INTRODUÇÃO
    1.1. Contexto
    A ausência de marcos regulatórios pode gerar falta de investimentos e restrições à
    inovação e ao empreendedorismo. Além disso, com o rápido desenvolvimento tecnológico há
    certa tendência de que frameworks regulatórios fiquem obsoletos e riscos de que consistam em
    regulações ineficazes, custosas ou que barrem a concorrência.
    Deste modo, a inovação tecnológica no meio digital traz novos desafios regulatórios no
    que diz respeito à governança de dados, privacidade e segurança da informação, inclusive pelos
    obstáculos relacionados aos diversos setores e jurisdições envolvidos. Dito isto, abordagens
    regulatórias adequadas podem permitir desenvolvimentos tecnológicos ao mesmo tempo que
    garantem a proteção a direitos, além de fornecer segurança jurídica, necessária para
    investimentos e planejamento no mercado de inovação.
    As abordagens regulatórias para o âmbito da inovação em tecnologia podem ser
    organizadas quanto aos objetivos das políticas públicas sendo propostas pelo regulador. Nesse
    sentido, o Banco Interamericano de Desenvolvimento (BID) classifica os objetivos em
    consultivos, adaptativos e antecipatórios.
    1
    No objetivo consultivo, novos produtos e serviços podem ser testados e adaptados às
    regulações existentes e o regulador provê orientações e suporte para que as empresas adquiram
    compreensão do contexto regulatório e entrem em conformidade. Com o objetivo adaptativo,
    por sua vez, o regime regulatório é flexibilizado para a testagem das inovações, porém também
    visa a adequação do regulado ao regime já existente, enquanto o regulador avalia o valor dessas
    inovações ao público. Diferentemente, no objetivo antecipatório, o regulador busca
    compreender os impactos de tecnologias emergentes e qual o potencial das necessidades
    regulatórias. Comumente são utilizados sandboxes regulatórios para objetivos adaptativos ou
    antecipatórios de regimes regulatórios. Essas caracterizações não são excludentes, ou seja, é
    possível cumular objetivos.
    De acordo com a Organização para a Cooperação e o Desenvolvimento Econômico
    (OCDE),
    2
    três caminhos têm sido traçados pelos países para lidar com os desafios regulatórios
    face à transformação digital: (i) “Esperar e Observar” (no original, Wait and See), ou seja,
    aguardar o desenvolvimento da tecnologia e o surgimento de novos casos de uso para então
    definir o melhor modelo de governança; (ii) “Testar e Aprender” (no original, Test and Learn),
    que envolve explorar alguns modelos regulatórios de forma experimental em alguns casos de
    1
    INTER-AMERICAN DEVELOPMENT BANK. Regulatory Sandboxes and Innovation Test Beds: A Look
    at International Experience and Lessons for Latin America and the Caribbean, 2020. Disponível em:
    https://publications.iadb.org/publications/english/document/Regulatory-Sandboxes-and-Innovation-Testbeds-ALook-at-International-Experience-in-Latin-America-and-the-Caribbean.pdf. Acesso em: 05 nov. 2022.
    2 ORGANIZAÇÃO PARA A COOPERAÇÃO E O DESENVOLVIMENTO ECONÔMICO. State of
    implementation of the OECD AI Principles: Insights from national AI policies. Paris: OECD Publishing, 2021.
    p. 28. Disponível em: https://www.oecd.org/innovation/state-of-implementation-of-the-oecd-ai-principles1cd40c44-en.htm. Acesso em: 30 ago. 2022.
    uso específicos; (iii) proibir ou impedir, por meio de moratórias e banimentos, o uso de
    tecnologias de alto risco, tais como o reconhecimento facial em locais de acesso público.
    O desafio em encontrar o ponto de equilíbrio que permita uma supervisão do
    desenvolvimento e uso dessa tecnologia sem, contudo, gerar uma sobre-regulação que acabe
    por inviabilizar a inovação tem impulsionado governos a adotarem a estratégia “Testar e
    Aprender”, por meio de abordagens regulatórias de cunho experimental, como os hubs de
    inovação, protótipos de políticas públicas e cláusulas de caducidade, entre outros.3
    Dessas abordagens, destaca-se o sandbox regulatório, utilizado para promover um
    ambiente regulatório baseado em evidências para o teste de novas tecnologias.
    4 Trata-se de
    mecanismo que foi impulsionado pelo setor financeiro, liderado por autoridades financeiras do
    Reino Unido e de Singapura, mas que há muito extrapolou o âmbito desse setor e tem sido
    utilizado nos mais distintos contextos. Com o tempo, sandboxes passaram a ser explorados em
    outros ambientes regulados, incluindo o de proteção de dados, a exemplo da iniciativa da
    Autoridade de Proteção de Dados do Reino Unido, a Information Commissioner’s Office –
    ICO;
    5
    e o de inteligência artificial, a exemplo da iniciativa do Ministério da Economia do Chile6
    e do Governo da Espanha.
    7
    1.2. Definição de sandboxes regulatórios
    Termo proveniente da indústria de tecnologia da informação, que se refere a ambientes
    isolados e segregados para a testagem de produtos ou softwares,
    8
    o sandbox foi adaptado ao
    contexto regulatório.
    9
    De acordo com definição apresentada pelo Conselho da Europa, sandboxes regulatórios
    são frameworks concretos que, ao proporcionarem um contexto estruturado para a
    experimentação, permitem testar, sempre que adequado, num ambiente real, tecnologias,
    produtos, serviços ou abordagens inovadores – atualmente em especial no contexto da
    3 Ver
    ANEXO I – ALTERNATIVAS AO SANDBOX – OUTRAS ABORDAGENS REGULATÓRIAS
    EXPERIMENTAIS
    4 GUÍO, Armando. Sandbox Regulatorio de Inteligencia Artificial en Chile: Documento para discusión, 2021.
    Disponível em: https://www.economia.gob.cl/wp-content/uploads/2021/09/PaperSandboxIA.pdf. Acesso em: 30
    ago. 2022.
    5
    INFORMATION COMMISSIONER’S OFFICE (ICO). Regulatory Sandbox. Disponível em:
    https://ico.org.uk/sandbox. Acesso em: 30 ago. 2022.
    6 GUÍO, Armando. Op. cit.
    7 EL Gobierno de España presenta, en colaboración con la Comisión Europea, el primer piloto del sandbox de
    regulación de Inteligencia Artificial en la UE, 2022. Ministerio de Asuntos Económicos y Transformación
    Digital, 26 jun. 2022. Disponível em: https://portal.mineco.gob.es/es-es/comunicacion/Paginas/20220627-
    PR_AI_Sandbox.aspx. Acesso em: 30 ago. 2022.
    8 WORLD BANK. Global Experiences from Regulatory Sandboxes. Washington, DC: World Bank, 2020.
    Disponível em: https://openknowledge.worldbank.org/handle/10986/34789. Acesso em: 05 nov. 2022.
    9 DATASPHERE INITIATIVE. Sandboxes for data: creating spaces for agile solutions across borders.
    Disponível em: https://www.thedatasphere.org/wp-content/uploads/2022/05/Sandboxes-for-data-2022-
    Datasphere-Initiative.pdf. Acesso em: 10 nov. 2022.
    digitalização – durante um período de tempo limitado e numa parte limitada de um setor ou
    domínio sob supervisão regulamentar, garantindo a existência de salvaguardas adequadas.
    10
    O sandbox pode ser considerado uma abordagem regulatória para o balanceamento de
    riscos. Essa abordagem a partir de requisitos regulatórios mínimos promove possibilidades de
    experimentação enquanto orienta a regulamentação para caminhos adequados. Trata-se de
    processo colaborativo através do qual inovações tecnológicas e de novos modelos de negócio
    podem ser explorados com reguladores.
    11
    A experimentação promovida pelos sandboxes permite às autoridades analisar como
    inovações tecnológicas interagem com os regulamentos já existentes e verificar a possibilidade
    e necessidade de abordá-losde uma forma diferente para permitir, por um lado, a promoção de
    modelos de inovação, e por outro, a proteção dos direitos fundamentais.
    Isso porque os sandboxes facilitam testes em pequena escala, ambientes de mercado
    controlado e contexto colaborativo e de confiança entre agente regulado e regulador.
    Tipicamente aplicáveis em situações nas quais tecnologias emergentes tenham potencial
    disruptivo, permitem a experimentação de tecnologias inovadoras e modelos de negócio em
    que haja incertezas sobre sua consonância com leis e regulamentos aplicáveis.
    Além disso, caso necessário, programas de sandboxes podem implementar a suspensão
    temporária de certas disposições ou requisitos obrigatórios para os regulados. Nessa hipótese,
    os participantes não são obrigados a cumprir requisitos regulatórios que seriam aplicáveis aos
    agentes do mercado tradicional (não participantes do sandbox), mas em compensação devem
    incorporar mecanismos de salvaguardas para a prevenção de riscos. Isso permite ao participante
    um espaço seguro para experimentar sem o risco de ser sancionado.
    12
    Contudo, é importante frisar que a suspensão de disposições legais não é um requisito
    necessário para operacionalizar um sandbox regulatório. Por exemplo, os programas de
    sandbox organizados por Autoridades de Proteção de Dados, como os descritos nesse estudo,
    não realizaram a suspensão temporária de sanções, uma vez que a abordagem baseada em risco
    inerente às legislações de proteção de dados foi suficiente para trazer a flexibilidade necessária
    para execução do instrumento.
    Cabe, portanto, ressaltar que sandboxes regulatórios não consistem em uma forma de
    colocar fim à regulação. O que diferencia os sandboxes das tradicionais dispensas ou isenções
    regulatórias é o engajamento regulatório progressivo, por meio do menor risco de ações de
    enforcement, menos restrições, clientes reais e orientações contínuas por parte das
    autoridades.
    13 Além disso, o sandbox regulatório pode ser considerado regulação baseada em
    10
    .
    11 DATASPHERE INITIATIVE. Sandboxes for data: creating spaces for agile solutions across borders.
    Disponível em: https://www.thedatasphere.org/wp-content/uploads/2022/05/Sandboxes-for-data-2022-
    Datasphere-Initiative.pdf. Acesso em: 10 nov. 2022.
    12 ZETZSCHE, A. Dirk et al. Regulating a Revolution: From Regulatory Sandboxes to Smart Regulation.
    Fordham Journal of Corporate & Financial Law, v. 23, n. 1, p. 31-103, 2017.
    13 ALLEN, Hilary J. Regulatory Sandboxes. George Washington Law Review, v. 87, n.3, p. 579-645, maio

  7. princípios, já que remove alguns pesos da regulamentação dos participantes ao arcar com a
    flexibilidade de satisfazer alguns dos objetivos do programa.14
    Em 2019, o governo da Alemanha realizou um estudo específico sobre
    sandboxes regulatórios15 e identificou três características principais desse modelo:
  1. ESTUDOS DE CASO – PROGRAMAS DE SANDBOXES
    De modo a permitir uma maior compreensão sobre o tema, foram realizados estudos de
    caso de programas de sandbox desenvolvidos por outros entes reguladores. Os casos ora
    apresentados foram levantados a partir de análise de documentos públicos, informações em
    sítios eletrônicos, até o mês de agosto de 2023, de modo que eventual surgimento posterior de
    programas de regulação experimental, implicará na sua não contemplação nesta pesquisa.
    Ainda, cumpre ressaltar que, em alguns casos, informações mais detalhadas foram obtidas por
    meio de diálogos bilaterais com os atores envolvidos.
    Considerando o contexto do estudo, foco maior será dado para as experiências de
    Autoridades de Proteção de Dados. Para dar uma visão mais abrangente das iniciativas de
    sandboxes, também foi realizado estudo de caso sobre o sandbox de IA sendo desenvolvido
    pelo governo espanhol, bem como as experiências nacionais de sandbox dos entes reguladores
    do Sistema Financeiro Nacional e de outras agências reguladoras brasileiras.
    2.1. Sandboxes de Autoridades de Proteção de Dados
    Os sandboxes de APDs são comumente referidos como sandboxes de privacidade
    (privacy sandbox), embora a proteção de dados seja o objeto regulatório central dessas
    entidades. A seguir são apresentados quatro casos de uso identificados que ajudam a ilustrar as
    experiências de diferentes autoridades de proteção de dados no uso desse instrumento
    regulatório.
    2.1.1. Information Commissioner’s Office – ICO (Reino Unido)
    A Autoridade de Proteção de Dados do Reino Unido (Information Commisioner`s
    Office – ICO) tem suas responsabilidades estabelecidas em atos normativos como o Data
    Protection Act de 201833 (DPA2018), o Freedom of Information Act de 200034 (FOIA), as
    Environmental Information Regulations de 200435 (EIR) e as Privacy and Electronic
    Communications Regulations de 200336 (PECR). Por sua vez, o estabelecimento de um
    sandbox regulatório foi definido como objetivo na Technology Strategy 2018 – 202137 e é
    oferecido como um serviço gratuito pela autoridade com o objetivo de fornecer suporte para o
    uso seguro de dados pessoais no desenvolvimento de produtos e serviços.
    33 REINO UNIDO. Data Protection Act 2018. Disponível em:
    https://www.legislation.gov.uk/ukpga/2018/12/contents/enacted. Acesso em: 23 mar. 2023.
    34 REINO UNIDO. Freedom of Information Act 2000. Disponível em:
    https://www.legislation.gov.uk/ukpga/2000/36/contents. Acesso em: 23 mar. 2023.
    35 REINO UNIDO. The Environmental Information Regulations 2004. Disponível em:
    https://www.legislation.gov.uk/uksi/2004/3391/contents/made. Acesso em: 23 mar. 2023.
    36 REINO UNIDO. The Privacy and Electronic Communications (EC Directive) Regulations 2003.
    Disponível em: https://www.legislation.gov.uk/uksi/2003/2426/contents/made. Acesso em: 23 mar. 2023.
    37 INFORMATION COMMISSIONER’S OFFICE. Technology Strategy 2018-2021. Disponível em:
    https://ico.org.uk/media/2258299/ico-technology-strategy-2018-2021.pdf. Acesso em: 30 ago.
    2022.
    A participação no projeto de sandbox da ICO fornece às entidades participantes os
    benefícios listados a seguir: acesso à experiência e ao suporte da ICO; maior confiança na
    conformidade de seu produto ou serviço; uma melhor compreensão das estruturas de proteção
    de dados e como elas afetam seus negócios; tornar-se ente ativo na proteção de dados;
    contribuir com futuras orientações da ICO; apoiar o Reino Unido na sua ambição de tornar-se
    uma economia inovadora e contribuir para o desenvolvimento de produtos e serviços que
    mostrem valor para o público.
    O sandbox regulatório da ICO é baseado no processo de regulação desenvolvido pela
    Financial Conduct Authority. O projeto do sandbox é executado em fases desde 2018, quando
    a fase beta foi iniciada com o lançamento de uma consulta pública sobre proteção de dados. A
    consulta pública foi finalizada com a realização de um workshop que reuniu as organizações
    interessadas no tema e as contribuições recebidas serviram de base para execução da fase beta
    do projeto.
    38
    No período de março a setembro de 2019, 65 (sessenta e cinco) submissões foram
    recebidas e 10 (dez) foram selecionadas de acordo com os critérios estabelecidos:
  1. Disponível em: https://ico.org.uk/media/for-organisations/documents/2618552/futureflow-sandboxreport.pdf. Acesso em: 22 mar. 2023.
    40 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: Greater London
    Authority [S.l.]: ICO, 2021. Disponível em: https://ico.org.uk/media/fororganisations/documents/2619466/gla_regulatory_sandbox.pdf. Acesso em: 22 mar. 2023.
    41 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: Heathrow Airport Ltd.
    [S.l.]: ICO, 2020. Disponível em: https://ico.org.uk/media/for-organisations/documents/2618024/heathrowairport-ltd-regulatory-sandbox-final-report.pdf. Acesso em: 22 mar. 2023.
    42 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: Jisc. [S.l.]: ICO, 2020.
    Disponível em: https://ico.org.uk/media/for-organisations/documents/2618023/jisc-regulatory-sandbox-finalreport.pdf. Acesso em: 22 mar. 2023.
    43 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: The Ministry of
    Housing, Communities and Local Government (MHCLG). [S.l.]: ICO, 2021. Disponível em:
    https://ico.org.uk/media/for-organisations/documents/2619467/mhclg_final-report.pdf. Acesso em: 22 mar. 2023.
    44 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: NHS Digital. [S.l.]:
    ICO, 2020. Disponível em: https://ico.org.uk/media/for-organisations/documents/2618905/nhs-digitalregulatory-sandbox-final-report.pdf. Acesso em: 22 mar. 2023.
    45 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: Novartis
    Pharmaceuticals UK Ltd. [S.l.]: ICO, 2021. Disponível em: https://ico.org.uk/media/fororganisations/documents/2619244/novartis-sandbox-report.pdf. Acesso em: 22 mar. 2023.
    46 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: Onfido. [S.l.]: ICO,
  2. Disponível em: https://ico.org.uk/media/for-organisations/documents/2618551/onfido-sandbox-report.pdf.
    Acesso em: 22 mar. 2023.
    Tonic
    Analytics47
    Responsável pelo projeto Galileo cujo principal foco é no uso ético de
    tecnologia inovadora de análise de dados para melhorar a segurança
    rodoviária.
    Seers48 Fornece mecanismo de consentimento parental verificado e
    verificação de idade de crianças, permitindo que as empresas cumpras os
    requisitos regulamentares do ICO’s Age Appropriate Design Code.
    Fonte: INFORMATION COMMISSIONER’S OFFICE. Advice and services: ICO, 2021. Disponível em:
    https://ico.org.uk/for-organisations/advice-and-services/regulatory-sandbox/previous-participants/2020/. Acesso
    em: 22 mar. 2023.
    Os resultados da fase beta apontaram um aspecto comum de desconhecimento sobre
    proteção de dados nos participantes. Indo desde uma distinção errônea entre os conceitos de
    controlador e operador, passando pelo não reconhecimento dos riscos organizacionais e os
    riscos para os titulares de dados. Ademais, alguns participantes não expressaram clareza sobre
    o que se constitui dados pessoais e a distinção entre anonimização e pseudonimização.
    Dentre os resultados desta fase, destaca-se os encontrados pelas entidades Heathrow
    Airport Ltd e Onfido. A primeira forneceu à ICO uma visão sobre o uso de Tecnologia de
    Reconhecimento Facial (FRT, no original) e, em conjunto com a segunda, proveram ideias
    sobre questões práticas envolvidas na prestação de serviços de inteligência artificial,
    especificamente quando a aplicação da legislação de proteção de dados não está
    suficientemente clara.
    Esses trabalhos fomentaram a elaboração do documento Guidance on AI and data
    protection.
    49 Os relatórios produzidos pelas entidades participantes quando o seus
    desligamentos do projeto ocorreram estão disponíveis no sítio eletrônico da ICO.
    50
    Em agosto de 2020, a ICO abriu as inscrições para a segunda fase do sandbox
    regulatório focado em proteção à criança ou compartilhamento de dados. Nesta fase somente
    duas entidades foram inseridas no processo, sendo essas a Yoti, que explorou o uso de
    tecnologias de reconhecimento facial para estimar a idade de pessoas jovens, e a Global Cyber
    Alliance, que explorou como o compartilhamento de dados internacionais pode ajudar as
    organizações a reduzir os crimes cibernéticos.
    O relatório final dessa segunda fase ainda não foi divulgado, não sendo possível
    relacionar as lições aprendidas, os feedbacks dos participantes e o impacto do sandbox.
    Em julho de 2021, a ICO abriu o processo de submissão de propostas de participação
    em um novo ciclo do projeto de regulação. No ciclo atual, o foco foi em inovações relacionadas
    47 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: Tonic Analytics. [S.l.]:
    ICO, 2022. Disponível em: https://ico.org.uk/media/for-organisations/documents/2619465/tonicanalytics_regulatory-sandbox-final-report.pdf. Acesso em: 22 mar. 2023.
    48 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox Final Report: Seers. [S.l.]: ICO, 2021.
    Disponível em: https://ico.org.uk/media/for-organisations/documents/4018590/seers-regulatory-sandbox-finalreport-final.pdf. Acesso em: 22 mar. 2023.
    49 INFORMATION COMMISSIONER’S OFFICE. Guidance on AI and data protection. Disponível em:
    https://ico.org.uk/for-organisations/guide-to-data-protection/key-dp-themes/guidance-on-aiand-data-protection/. Acesso em: 30 ago. 2022.
    50 INFORMATION COMMISSIONER’S OFFICE. Regulatory Sandbox – Previous Participants. Disponível
    em: https://ico.org.uk/for-organisations/regulatory-sandbox/previous-participants/. Acesso em: 21 mar. 2023.
    ao compartilhamento de dados, particularmente nas áreas de saúde, governo central, finanças,
    educação superior e aplicação da lei, além de tecnologias de aprimoramento da privacidade
    (privacy enhancing technologies) e distributed ledger technologies, tais como a blockchain. A
    ICO atualmente adota o mecanismo de fluxo contínuo de submissão, onde todas as submissões
    serão consideradas na ordem de submissão. Todas as submissões aprovadas acima do número
    de vagas serão colocadas em uma lista de espera. Além de aceitar somente submissões de
    entidades que estão sob a alçada da lei de proteção de dados do Reino Unido.
    Desta forma, atualmente há 5 (cinco) projetos ativos,
    51 porém outros já estão
    finalizados nesta nova fase. Em termos de equipe, há uma unidade dedicada de três
    funcionários da ICO que acompanham todo o ciclo de sandbox de cada um desses 10 projetos,
    mas outros especialistas da autoridade são chamados para contribuir de acordo com o
    conhecimento e o apoio necessário. A Tabela 2 fornece uma descrição sintética dos projetos
    ativos atualmente.
    Tabela 2 Entidades participantes do sandbox regulatório da ICO para o biênio 2021-2022.
    Entidade Selecionada Início Descrição
    Thames Valley
    Together
    Agosto de
    2022
    Ambiente baseado em nuvem onde os parceiros
    estratégicos podem compartilhar dados e
    conduzir análises.
    Betting and Gaming
    Council
    Março de
    2022
    Mecanismo para compartilhamento de contas
    entre diferentes operadoras de jogos de azar
    (gambling), que ajudam a gerenciar
    comportamentos problemáticos.
    Zamma Março de
    2022
    Uso de criptografia, princípios de descentralização e
    tecnologia blockchain para fornecer uma solução
    inclusiva e de preservação da privacidade para
    verificação do estado de saúde de passageiros
    pré-aeroporto, para fins de viagens seguras.
    Financial Institutions Fevereiro
    de 2022
    Ferramenta para compartilhamento de dados
    entre instituições financeiras com o objetivo de
    lidar com o risco de crimes financeiros.
    Crisis Fevereiro
    de 2022
    Ferramenta de compartilhamento de dados entre
    instituto de caridade para pessoas sem-teto e
    prefeituras para políticas públicas mais eficientes.
    Smart Data Foundry Dezembro
    de 2021
    Colaboração entre a Universidade de Edimburgo, a
    Financial Data and Technology Association
    (FDATA) e a FinTech Scotland, para desenvolver
    uma estrutura segura de compartilhamento de
    dados, chamado National Data Utility (NDU),
    para apoiar a pesquisa orientada por dados no
    setor financeiro.
    51 INFORMATION COMMISSIONER’S OFFICE. Current Projects. Disponível em: https://ico.org.uk/fororganisations/regulatory-sandbox/current-projects#TVT. Acesso em: 11 ago 2023.
    Our Future Health Outubro
    de 2021
    Plataforma para compartilhamento de dados de
    saúde de voluntários para pesquisas em saúde.
    Good With Julho de
    2021
    Sistema que usa combinação exclusiva de dados,
    tecnologia em nuvem, modelagem de risco e IA
    sofisticada para oferecer serviços de análise de
    crédito.
    FlyingBinary Fevereiro
    de 2021
    Serviço de alerta antecipado sobre a visualização de
    conteúdo nocivo à saúde mental do usuário com o
    uso de inteligência artificial. Atualmente focado nas
    condições de anorexia e bulimia.
    CDD Service Dezembro
    de 2020
    Plataforma para compartilhamento de dados para
    apoiar ex-militares e suas famílias a receber
    subsídios e outros benefícios.
    Fonte: INFORMATION COMMISSIONER’S OFFICE. Current Projects. Disponível em: https://ico.org.uk/fororganisations/regulatory-sandbox/current-projects#TVT. Acesso em: 11 ago 2023.
    Considerando que, até a conclusão deste estudo, a fase do sandbox regulatório da ICO
    para o biênio 2021-2022 estava em execução e não fora divulgado o relatório final, não foi
    possível relacionar as lições aprendidas, os feedbacks dos participantes e o impacto do sandbox
    desta etapa.
    2.1.2. Datatilsynet (Noruega)
    A Lei de Dados Pessoais da Noruega52 e o Regulamento Geral de Proteção de Dados
    da União Europeia (UE) – RGPD53 constituem a base legal para as atividades do Sandbox
    Regulatório de Inteligência Artificial Responsável.
    54 Outros regulamentos de proteção de
    dados sobre os quais a Autoridade de Proteção de Dados da Noruega (Datatilsynet) pode
    aconselhar incluem a Lei de Bancos de Dados da Polícia, a Lei do Sistema de Arquivo de
    Dados de Saúde Pessoal, a Lei de Pesquisa em Saúde, a Lei de Registros de Saúde e
    regulamentos de acordo com à Lei do Ambiente de Trabalho sobre monitoramento de vídeo e
    acesso a correio eletrônico. Não há menção específica a uma regulação sobre como sandboxes
    regulatórios devem ser conduzidos.
    O tema central do sandbox proposto pela autoridade norueguesa é inteligência
    artificial responsável. Aplicações de IA são definidas pela referida autoridade como sistemas
    que “realizam ações, físicas ou digitais, com base na interpretação e processamento de dados
    estruturados ou não estruturados, para atingir um determinado objetivo.” Alguns sistemas de
    IA podem adaptar seu comportamento analisando como o ambiente é afetado por suas ações
    52 O Personal Data Act incorporou internamente no ordenamento jurídico norueguês o Regulamento Geral de
    Proteção de Dados da União Europeia; o fez mediante a Lei n. 38, de 15 de junho de 2018: NORUEGA. Lov 15.
    juni 2018 om behandling av personopplysninger. Disponível em: https://lovdata.no/dokument/NL/lov/2018-
    06-15-38. Acesso em: 15 mar. 2023.
    53 A Noruega não é Estado-Membro da União Europeia, mas adere a algumas normativas por estar associada à
    Área Econômica Europeia, a exemplo do Regulamento (UE) /2016/679 do Parlamento Europeu e do Conselho.
    54 DATATILSYNET. Sandbox for responsible artificial intelligence. Disponível em:
    https://www.datatilsynet.no/en/regulations-and-tools/sandbox-for-artificial-intelligence/project-manager-for-thesandbox/. Acesso em: 30 ago. 2022.
    anteriores, segundo a Estratégia Nacional para Inteligência Artificial da Noruega.
    55
    Anteriormente, o Datatilsynet já havia trabalhado com problemas práticos relacionados a IA
    publicando dois relatórios sobre o assunto, um intitulado “Big Data – privacy principles under
    pressure”56 e o outro sendo “Artificial Intelligence and Privacy”.
    57
    Os projetos de IA para a primeira rodada no sandbox foram anunciados no início de
    março de 2021. Ao tempo em que este estudo foi escrito, o sítio eletrônico oficial da
    autoridadenorueguesa apresentou a quarta chamada de projetos,
    58 com prazo de envio de
    submissões até 01 de fevereiro de 2023. Não há menção a qualquer consulta pública prévia à
    realização do programa.
    O sandbox regulatório proposto teve como objetivo central promover benefícios para
    as organizações participantes, para a Autoridade de Proteção de Dados e para indivíduos e a
    sociedade em geral. Para organizações, objetivou-se aumentar a compreensão sobre parâmetros
    regulatórios para IA face à legislação de proteção de dados. Para a APD, esperou-se
    compreender melhor as aplicações práticas de IA, a fim de fortalecer a atuação da autoridade,
    seus processos administrativos, recomendações e métodos de supervisão em relação a temas
    envolvendo proteção de dados pessoais e IA. Para os indivíduos e para a sociedade, por sua
    vez, almejaram-se benefícios decorrentes do desenvolvimento e da implementação de
    aplicações baseadas em IA dentro de uma estrutura que enfatize a responsabilidade e a
    transparência, bem como que leve em consideração os direitos fundamentais. Isso cria uma
    base para o desenvolvimento de serviços em que clientes e cidadãos podem confiar.
    Há alguns critérios para participação no programa de sandbox regulatório da autoridade
    norueguesa. Primeiramente, é necessário fazer uso de inteligência artificial ou, de alguma outra
    forma, envolvê-la. Ambos os projetos que desenvolvem novas aplicações de IA e projetos que
    usam sistemas já existentes baseados em inteligência artificial são elegíveis para participação
    no sandbox. O desenvolvimento de frameworks ou políticas para uso de IA também são temas
    relevantes do sandbox da Datatilsynet. Além disso, é preciso que o projeto beneficie indivíduos
    ou a sociedade em geral, isso inclui produtos ou serviços que oferecem auxílios à saúde ou
    simplifiquem o uso de recursos públicos, ou o produto pode ser inovador, com potencial
    benefício público. Neste contexto, a inovação pode ser tecnológica ou premissa para novos
    tipos de serviços ou produtos, além de também incluir soluções para a proteção da privacidade.
    Também é necessário que os projetos claramente se beneficiem da participação no
    sandbox. Isso significa que o projeto deve envolver uma questão claramente relacionada à
    privacidade, onde o tipo de orientação fornecida pela Autoridade de Proteção de Dados pode
    55 NORWEGIAN MINISTRY OF LOCAL GOVERNMENT AND MODERNISATION. The National Strategy
    for Artificial Intelligence. [S.l.]: Ministry of Local Government and Modernisation, 2020. Disponível em:
    https://www.regjeringen.no/en/dokumenter/nasjonal-strategi-for-kunstig-intelligens/id2685594/?ch=2. Acesso
    em: 30 ago. 2022.
    56 DATATILSYNET. Big Data – privacy principles under pressure. Oslo: Datatilsynet, 2013. Disponível em:
    https://www.datatilsynet.no/globalassets/global/english/big-data-engelsk-web.pdf. Acesso em: 15 mar. 2023.
    57 DATATILSYNET. Artificial Intelligence and Privacy. Oslo: Datatilsynet, 2018. Disponível em:
    https://www.datatilsynet.no/globalassets/global/english/ai-and-privacy.pdf. Acesso em:15 mar. 2023.
    58 DATATILSYNET. How to apply to join the sandbox? Disponível em:
    https://www.datatilsynet.no/en/regulations-and-tools/sandbox-for-artificial-intelligence/hvordan-soke-om-adelta-i-sandkassen/. Acesso em: 14 ago. 2023.
    ser útil. As organizações participantes devem ter um projeto pronto para participação no
    sandbox da APD norueguesa e devem alocar recursos suficientes para empregar nas atividades
    do sandbox. Finalmente, o projeto deve estar sujeito à Autoridade norueguesa de Proteção de
    Dados como sua supervisora competente. Isso significa que a organização deve estar registrada
    na Noruega e sujeita às leis norueguesas de proteção de dados.
    Na versão traduzida da página dedicada,59 a autoridade informa que recebeu 25 (vinte
    e cinco) inscrições e 4 (quatro) projetos foram selecionados para participar do sandbox.
    Contudo, em diálogo com a autoridade, foi revelado que ao todo houve 57 (cinquenta e sete)
    inscritos e 11 (onze) projetos selecionados. Evidenciou-se muitas inscrições de projetos em
    saúde, bem-estar e finanças.
    As principais preocupações dos agentes estavam relacionadas a transparência,
    minimização de dados, equidade e anonimização. O perfil dos participantes variou bastante em
    termos de tamanho e nível de maturidade organizacional. A autoridade logo constatou que
    havia pouca maturidade dos participantes em questões de proteção de dados, e por isso eles
    precisaram de muita orientação básica sobre o tema, compartilhando problemas, iluminando
    zonas cinzentas (para ambos os lados – autoridades e entes regulados) e aumentando a
    capacitação da autoridade na temática de IA.
    As etapas iniciais tiveram um tempo de duração maior do que o inicialmente previsto,
    devido a uma necessária curva de aprendizado nas primeiras rodadas, e os relatórios de cada
    etapa ajudaram a aprofundar as demais, o que também aumentou o interesse público na
    participação em edições futuras. Representantes da autoridade também perceberam que o
    sandbox aumentou a percepção positiva do público sobre o governo e sobre a forma como ele
    lida com a inteligência artificial.
    Não há menção a custos operacionais, mas ficou clara uma estratégia do tipo “test and
    learn”, de aprendizado contínuo, mútuo e que se retroalimenta. A Autoridade de Proteção de
    Dados ofereceu apoio ao planejamento das soluções, mas deixou claro que não forneceria um
    selo de aprovação. Também não foram dadas exceções formais como isenções fiscalizatórias
    ou de supervisão de outras entidades governamentais. O que houve foi um acompanhamento
    mais próximo, com o objetivo também de aprender e capacitar a autoridade. A APD evitou
    selecionar projetos que tivessem uma sobreposição regulatória muito grande com outros setores
    regulados, mas quando constatou-se ser inevitável, algumas consultas pontuais foram feitas a
    outros reguladores para opinar sobre temas pertinentes a questões específicas do setor regulado
    (ex. consultas à autoridade financeira de projetos relacionados a fintechs).
    Convém ressaltar que a equipe responsável pelo projeto de sandbox na Datatilsynet
    trabalha por meio de uma modalidade de contratos de consultoria à APD, com duração,
    financiamento e escopo específicos para cada projeto. Ou seja, houve também um esforço de
    captação inicial e renovação de recursos ao longo da execução do projeto para sua manutenção.
    Essa equipe funciona na forma de unidade dedicada, mas teve o apoio de representantes
    técnicos da autoridade em momentos específicos do programa.
    59 DATATILSYNET. 25 sandbox applications. Disponível em: https://www.datatilsynet.no/en/news/2021/25-
    applications-for-the-sandbox/ Acesso em: 28 fev. 2023.
    Como resultados, houve várias publicações sobre o tema: relatórios elaborados pelos
    participantes de projetos já encerrados60
    , relatório da Autoridade61
    , podcasts62, artigos, guias63
    ,
    webinários, workshops, previsão de 4 (quatro) publicações e um guia de transparência em 2022.
    Também se reuniram com muitas outras Autoridades de Proteção de Dados de outros países e
    autoridades regulatórias de outros setores da Noruega. Em entrevista realizada com a APD
    Norueguesa, observou-se que a multiplicação de conhecimentos foi uma prioridade do projeto,
    de forma que até mesmo a equipe de comunicação teve um papel central em sua execução, de
    forma a externalizar, da melhor maneira possível, todos os conhecimentos obtidos por meio do
    sandbox.
    Na Tabela 4 apresenta-se a lista das entidades participantes identificadas no programa
    de sandbox da Datatilsynet, bem como breve descrição dos projetos selecionados.
    Tabela 3: Entidades participantes do sandbox regulatório da Datatilsynet em março de 2023.
    Projeto Descrição
    Helse Bergen HF64 O projeto de IA da Helse Bergen HF é
    baseado em números que mostram que 10%
    dos pacientes somáticos internados
    representam aproximadamente 50% das
    internações hospitalares e têm reinternações
    frequentes. Isso não é exclusivo dos números
    da Helse Bergen HF. É um padrão
    documentado em outros lugares na Noruega
    e no resto do mundo. O projeto piloto
    mostrou que o aprendizado de máquina é
    capaz de prever com uma probabilidade
    relativamente alta quem corre o risco de
    ser readmitido em hospitais. No sandbox, o
    projeto quer esclarecimentos sobre uma série
    de questões relacionadas com a base legal, o
    direito de acesso e consentimento do
    paciente, bem como o direito à
    confidencialidade através do uso de fontes de
    60 DATATILSYNET. Reports. Disponível em: https://www.datatilsynet.no/en/news/2021/25-applications-forthe-sandbox/. Acesso em: 23 mar. 2023.
    61 DATATILSYNET. Artificial Intelligence and Privacy. Oslo: Datatilsynet, 2018. Disponível em:
    https://www.datatilsynet.no/globalassets/global/english/ai-and-privacy.pdf. Acesso em:15 mar. 2023.
    62 DATATILSYNET. Personvernpodden. Disponível em: https://www.datatilsynet.no/regelverk-ogverktoy/personvernpodden/. Acesso em: 23 mar. 2023.
    63 DATATILSYNET. Framework for the Regulatory Sandbox. Disponível em:
    https://www.datatilsynet.no/en/regulations-and-tools/sandbox-for-artificial-intelligence/framework-for-theregulatory-sandbox/. Acesso em: 23 mar. 2023.
    64 DATATILSYNET. Helse Bergen, sluttrapport: Kunstig intelligens i oppfølging av sårbare pasienter.
    Disponível em: https://www.datatilsynet.no/regelverk-og-verktoy/sandkasse-for-kunstig-intelligens/ferdigeprosjekter-og-rapporter/helse-bergen-sluttrapport-kunstig-intelligens-i-oppfolging-av-sarbare-pasienter/ Acesso
    em 28 mar. 2023.
    dados estruturados onde a IA se destina a ser
    incluída no tratamento de pacientes. Esses
    principais desafios também são assuntos
    relevantes em futuros projetos de IA que a
    Helse Bergen HF pode introduzir.
    Finterai65 A Finterai busca resolver um problema
    relacionado à lavagem de dinheiro e ao
    financiamento do terrorismo. Os bancos são
    obrigados a fazer sua parte para evitar a
    questão, mas encontram percalços para fazêlo de maneira eficiente. Eles usarão o
    aprendizado federado, um método de IA
    descentralizado que é considerado mais
    amigável para a privacidade. Com o
    aprendizado federado, as instituições
    podem aprender com os dados umas das
    outras sem realmente compartilhá-los.
    Simplifai66 O setor público alega que, com os atuais
    processos manuais, não consegue cumprir os
    requisitos, por exemplo, da Lei de
    Administração Pública e da Lei de Arquivos.
    Além disso, há grandes lacunas na
    manutenção e arquivamento de registros,
    porque muitas informações arquivadas
    “permanecem” nas caixas de entrada dos
    funcionários. O projeto visa a esclarecer
    como uma solução de IA pode ser usada
    para arquivamento automático de correios
    eletrônicos. Escolher o que arquivar não é
    uma atividade trivial, sendo extremamente
    intensiva em consumo de recursos. Assim, o
    Simplifai quer explorar a possibilidade de
    usar o aprendizado de máquina para
    identificar e sugerir quais correios
    eletrônicos e documentos associados são
    considerados materiais de arquivo.
    65 DATATILSYNET. Finterai, exit report: Machine learning without data sharing. Disponível em:
    https://www.datatilsynet.no/en/regulations-and-tools/sandbox-for-artificial-intelligence/reports/finterai-exitreport-machine-learning-without-data-sharing/about-the-project/ Acesso em 28 mar. 2023.
    66 DATATILSYNET. Simplifai and NVE, exit report: Digital employee. Disponível em:
    https://www.datatilsynet.no/en/regulations-and-tools/sandbox-for-artificial-intelligence/reports/simplifai-andnve-exit-report-digital-employee/ Acesso em 28 mar. 2023.
    Age Labs67 Age Labs é uma empresa jovem
    empreendedora em diagnósticos preditivos.
    Eles combinam aprendizado de máquina e
    biobancos e analisam a epigenética, ou seja,
    como os genes são ativados e desativados.
    Com o aprendizado de máquina, eles
    encontram sinais de doenças e o objetivo é
    detectar diagnósticos mais cedo. Também
    ajudará a fornecer um tratamento preventivo
    e correto, uma vez recebido um diagnóstico.
    Doorkeeper68 A empresa começou quando a pandemia de
    COVID-19 mostrou que aplicações que não
    envolvem contato por toque, desde o acesso
    ao serviço ao seu funcionamento, são uma
    necessidade na sociedade atual. A
    organização quer explorar as
    regulamentações que envolvem o uso de
    análise inteligente de vídeo. A tecnologia
    proposta torna possível processar vídeo em
    tempo real na própria câmera, sem ter que
    enviar informações para fora do dispositivo
    para processamento e armazenamento
    central. Ela também oferece a possibilidade
    de embaçar rostos de pessoas em tempo real,
    além de uma melhor detecção dos eventos
    perigosos ou indesejados, proporcionando
    um acionamento mais preciso de gravações e
    seu armazenamento.
    Fonte: DATATILSYNET. Reports. Disponível em: https://www.datatilsynet.no/regelverk-ogverktoy/sandkasse-for-kunstig-intelligens/ferdige-prosjekter-og-rapporter/. Acesso em: 23 mar. 2023.
    Atualmente, o programa de sandbox da Datatilsynet está migrando de um formato
    periódico (mediante submissão de editais) para um formato contínuo, com submissões sendo
    realizadas a qualquer tempo e, em caso de aprovação entrando em uma pipeline para ingresso,
    de maneira similar ao que ocorre hoje com a ICO.
    2.1.3. Superintendencia de Industria y Comércio – SIC (Colômbia)
    De acordo com a Ley 1581/2012 da Colômbia, art. 21, a Super Intendencia de Comércio
    – SIC, Autoridade de Proteção de Dados colombiana, tem competência legal para sugerir ou
    recomendar ajustes, correções ou adaptações aos regulamentos que sejam compatíveis com a
    67 DATATILSYNET. Age labs. Disponível em: https://www.datatilsynet.no/en/regulations-and-tools/sandboxfor-artificial-intelligence/ongoing-projects/age-labs/. Acesso em: 23 mar. 2023.
    68 DATATILSYNET. Doorkeeper. Disponível em https://www.datatilsynet.no/en/regulations-andtools/sandbox-for-artificial-intelligence/ongoing-projects/doorkeeper/. Acesso em: 23 mar. 2023.
    evolução tecnológica, informática ou comunicacional. É por meio desta previsão legal que a
    SIC decidiu promover seu programa de sandbox que possui como tema central “Privacy by
    design e by default para projetos de Inteligência Artificial”.
    Previamente ao início do programa, em novembro de 2020, foi lançada uma consulta
    pública para contribuir com o desenho do programa e para coletar feedback sobre quais
    poderiam ser as prioridades nas recomendações dirigidas a criadores de sistema de inteligência
    artificial. De acordo com os resultados publicados em fevereiro de 202169
    , houve 17 (dezessete)
    intervenções e 77 (setenta e sete) comentários feitos por cidadãos, autoridades, associações,
    organizações, e empresas de diversos setores. Dessas contribuições, 32% destacaram a
    importância de se implementar procedimentos relativos ao princípio de responsabilidade e
    prestação de contas (accountability) e 29% recomendaram que avaliações de impacto à
    privacidade fossem efetuados na etapa de desenho do projeto de IA, para definir a estratégia
    de mitigação de riscos aos titulares.
    Em abril de 2021, a SIC lançou um edital apresentando o programa de sandbox (em
    inglês70 e em espanhol71) convidando empresas nacionais e estrangeiras, bem como entidades
    públicas e privadas, a participarem da primeira edição do programa, com previsão de duração
    de um ano.
    A SIC apresenta os seguintes objetivos para seu programa de sandbox:

Por fim, o Banco Central do Brasil editou a Resolução BCB nº 50, de 16 de dezembro
de 2020, pela qual regulamentou “os requisitos para instauração e execução pelo Banco Central
do Brasil do Ambiente Controlado de Testes para Inovações Financeiras e de Pagamento
(Sandbox Regulatório) – Ciclo 1, bem como sobre os procedimentos e requisitos aplicáveis à
classificação e à autorização para participação nesse ambiente.”102
Na sua primeira seleção de participantes, o BCB priorizou os modelos de negócio com
soluções para o aumento da competição no SFN e no Sistema de Pagamento Brasileiro, a
exemplo do PIX e do Open Banking. Entre 22 de fevereiro e 19 de março de 2021, 52
(cinquenta e dois) projetos foram inscritos e, após aproximadamente um semestre em análise,
foram aprovados 7 (sete) projetos.
O processo é, em resumo, similar aos demais, havendo no caso dos projetos do BCB,
uma preocupação com a checagem da origem dos valores envolvidos no projeto. Uma
peculiaridade, contudo, é que na experiência do BCB foi instituído um Comitê Estratégico de
Gestão do Sandbox, composto por representantes de sete departamentos com interesse direto
na iniciativa. Esse Comitê é responsável por selecionar, aprovar, eliminar e classificar os
candidatos. Na estrutura atual, os diretores de departamento decidem os projetos que serão
aprovados, os chefes conduzem o processo e os coordenadores executam as atividades
operacionais do Sandbox. Isto resultou em uma carga de trabalho considerável: uma equipe
operacional de 6 (seis) pessoas ficou responsável por analisar 52 (cinquenta e dois) projetos
com média de 60 (sessenta) páginas, e apresentar o parecer para que os diretores decidissem
quais projetos aprovar. Assim, o processo que levaria 3 (três) meses para avaliar acabou se
extendendo por mais 3 (três), para um total de 6 (seis) meses.
A equipe responsável por conduzir a operacionalização da atividade informou que a
complexidade da composição desse comitê acaba gerando reuniões demasiadas e aumentando
a burocracia do processo de seleção. Inclusive o principal feedback dessa equipe para
experiências futuras é a necessidade de simplificar o processo seletivo, com editais mais
flexíveis. Foi sugerido também que as candidaturas fossem feitas por vídeos de curta duração
(até dez minutos) de modo similar ao que ocorre no projeto Lift, citado a seguir. Outro alerta
importante é que o programa de sandbox deve considerar a motivação para fundamentar os
101 COMISSÃO DE VALORES MOBILIÁRIOS. Sandbox Regulatório – Considerações do Comitê de Sandbox
acerca do 1º processo de admissão. Brasília: Comissão de Valores Mobiliários, jun. 2021. Disponível em:
https://conteudo.cvm.gov.br/export/sites/cvm/menu/investidor/30062021__Documento_de_Consideracoes_do_
CDS.pdf. Acesso em: 05 dez. 2021.
102 BRASIL. Banco Central do Brasil. Resolução nº 50, de 16 de dezembro de 2020. Dispõe sobre os requisitos
para instauração e execução pelo Banco Central do Brasil do Ambiente Controlado de Testes para Inovações
Financeiras e de Pagamento (Sandbox Regulatório) – Ciclo 1, bem como sobre os procedimentos e requisitos
aplicáveis à classificação e à autorização para participação nesse ambiente. Brasília: Banco Central do Brasil, 17
dez. 2020. Disponível em:
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20BCB&nu
mero=50. Acesso em: 05 jan. 2021.
projetos aprovados e prever a existência de um órgão recursal, preferencialmente dentro da
própria entidade reguladora.
De todo modo, é importante afirmar que, especialmente por serem iniciativas de
sandbox coordenadas entre três instituições que estão vinculadas ao Ministério da Economia,
há muita similaridade nos procedimentos, razão pela qual é possível tomar, como exemplo, um
pelos outros.
O objetivo está sempre vinculado ao desenvolvimento de novos produtos ou novas
soluções – inovações – para demandas preexistentes, buscando o alinhamento com a estratégia
da entidade ou com uma missão institucional, como aumentar a competitividade, fixando de
forma ampla o tema que deve ser desenvolvido ou o objetivo que deve ser perseguido.
Como mencionado, o Banco Central do Brasil possui outro projeto de fomento à
inovação – o Laboratório de Inovações Financeiras e Tecnológicas (Lift) – cuja diferença
essencial é a impossibilidade de oferecimento do produto ou serviço à clientes reais no
ambiente de teste. Nenhum ganho financeiro ou cobrança pode ser efetivada pelos serviços e
produtos ofertados com o uso da plataforma.
Ademais, não só por contemplar propostas sem circulação no mercado regulado de
produtos e serviços, o Lift difere do sandbox por consistir em um laboratório de pesquisa
aplicada, configurado como um ambiente virtual de colaboração entre entidades, regrado por
um acordo entre o participante e o BCB. Enquanto no sandbox o objetivo é verificar o modelo
de negócio funcionando na prática, no Lift o que é apresentado é apenas uma “maquete” do
projeto. Assim, o Lift acaba funcionando como um “fórum” para que inovadores possam
apresentar suas ideias e buscar apoio de outros stakeholders. Enquanto o sandbox trabalha com
poucas iniciativas por vez, o hub de inovação consegue trabalhar com várias soluções, pois não
há o compromisso de acompanhamento contínuo pelo regulador.
Importante mencionar que o Lift é uma iniciativa conjunta do Banco Central do Brasil
e da Federação Nacional de Associações dos Servidores do Banco Central (Fenasbac), criado
pelo 1º aditivo ao acordo de cooperação mútua existente entre as duas entidades. Para um
projeto ser aceito no hub, ele deve ter relação com os temas de interesse definidos por um
comitê gestor – do próprio BCB e da Fenasbac – e ter sua proposta submetida para avaliação e
seleção. Sendo selecionado, o projeto passa a ser desenvolvido no Lift, com o suporte para o
desenvolvimento de protótipos funcionais que serão apresentados e avaliados ao final do
processo, com ganhos para inovação, com o desenvolvimento de novidades tecnológicas e a
troca de conhecimentos. É no contexto do Lift, atualmente em sua 4ª edição, que estão sendo
desenvolvidos os casos de uso e avaliada a viabilidade tecnológica da moeda digital que será
emitida pelo BC (o Real Digital).
2.4. Sandboxes de agências reguladoras nacionais (ANEEL, ANTT, ANATEL)
Também no âmbito das agências reguladoras federais a ideia de um ambiente
regulatório experimental vem ganhando força. A Agência Nacional de Saúde Suplementar
(ANS), a Agência Nacional de Transportes Terrestres (ANTT), a Agência Nacional de
Telecomunicações (Anatel), a Agência Nacional do Petróleo, Gás Natural e Biocombustíveis
(ANP) e a Agência Nacional de Energia Elétrica (Aneel) já avançam com o propósito de
fomentar e testar projetos inovadores em seus mercados regulados.
Como no caso da CVM, do BCB e da Susep, até o momento somente processos
inovadores são considerados aptos para a seleção por essas agências reguladoras,
caracterizados, em linhas gerais, como aqueles que ofertam um produto ou serviço com o uso
de metodologias, processos, procedimentos ou tecnologias, ainda que preexistentes, utilizados
de forma distinta.
Em todos os casos há necessidade de apresentação de um projeto inovador
razoavelmente maduro. Para a CVM, Aneel e BCB, o candidato deve indicar quais regras
devem ser dispensadas, enquanto para a Susep, cabe à entidade pública apresentar quais
requisitos serão flexibilizados. Por sua vez, a ANTT, a Anatel e a Aneel restringem a
participação às empresas que já prestam um serviço análogo no ambiente regulado, ao contrário
da ANS, da ANP, da CVM, do BCB e da Susep.
É possível citar como exemplo os sandboxes tarifários da Aneel,103 cujos projetos têm
o objetivo de testar novas modalidades tarifárias ou formas de faturamento para os
consumidores de baixa tensão já atendidos por incumbentes. Tal característica é,
declaradamente, fruto das barreiras legais que impedem a livre entrada e saída de alguns
mercados regulados, tais como os relacionados àquelas três primeiras Agências.
A seguir são apresentadas com mais detalhes as propostas de sandbox da ANATEL, da
ANS e da ANTT.
2.4.1. ANATEL
A Agência Nacional de Telecomunicações – ANATEL conduziu uma consulta pública
(nº 41, de 09 de junho de 2022)
104 para a simplificação da regulação de serviços de
telecomunicações, tendo como uma de suas premissas a constituição de um programa de
sandbox regulatório, intitulado “ambiente regulatório experimental”. A definição é enquadrada
nos seguintes termos:
“Item 427 – XII – Ambiente Regulatório Experimental: ambiente que permite a pessoas jurídicas a
realização de experimentos de modelos de negócios inovadores no setor de telecomunicações, que
porventura não sejam aderentes à atual regulamentação da Anatel, com escopo delimitado, por período
determinado, em ambiente controlado, mediante condições específicas determinadas pela Agência”.
Dentre as características do programa de sandbox regulatório proposto pela ANATEL
evidencia-se a acessibilidade exclusiva às pessoas jurídicas; a intenção precípua de fomento à
inovação no âmbito do setor de telecomunicações; a delimitação de um escopo e de um período
103 AGÊNCIA NACIONAL DE ENERGIA ELÉTRICA. Sandboxes tarifários. Disponível em:
https://www.gov.br/aneel/pt-br/empreendedores/sandboxes-tarifarios. Acesso em: 23 mar. 2023.
104 AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES. Consulta pública nº 41. Disponível em:
https://apps.anatel.gov.br/ParticipaAnatel/VisualizarTextoConsulta.aspx?TelaDeOrigem=3&ConsultaId=10021.
Acesso em: 02 mar. 2023.
de duração do programa, com realização em edições periódicas; e o estabelecimento de
condições específicas para os participantes durante a participação no experimento.
A ANATEL ressalta o benefício da celeridade na atualização de sua regulamentação e
do seu poder de resposta às inovações emergentes do setor de telecomunicações derivadas do
aprendizado obtido a partir das informações provenientes do programa. Embora a ANATEL
preveja a utilização de sandbox como um experimento para a simplificação da regulação de
serviços de telecomunicações, é possível depreender a partir dos documentos que embasaram
a consulta pública, um aparente direcionamento para o campo do uso do espectro de
radiodifusão, o que pode significar um interesse em explorar inovações relacionadas à
infraestrutura de 5G e da Internet das Coisas.
Conforme mencionada em seções anteriores, a realização de uma fase preliminar de
consulta pública no processo de implementação de um programa de sandbox regulatório é uma
estratégia adotada por Autoridades de Proteção de Dados ao redor do mundo, a exemplo do
que fora feito pela ICO e pela SIC. No tocante à ANATEL, ela prevê a realização da consulta
pública previamente a cada edição do programa, sendo que farão parte do debate os seguintes
temas: período da edição; prazo para envio de projetos; requisitos para participação no
programa de sandbox regulatório; temas prioritários concernentes aos projetos de modelos de
negócio inovadores; critérios empregados para a condução da avaliação dos projetos; e, por
fim, a duração máxima do programa.
A agência denota, ainda, que, após a fase de seleção dos projetos, procederá à
publicação de normativo contendo o escopo do programa; seu período de realização; os
dispositivos regulamentares que os participantes estarão desobrigados de cumprir; as condições
do programa; as possibilidades aplicáveis para que as atividades do sandbox sejam suspensas,
de forma a proteger, principalmente, os interesses dos consumidores atingidos; além de outras
condições específicas de um dado projeto. Uma vez encerrada a edição do programa de
sandbox regulatório, caso seja de interesse da ANATEL e da sociedade, ela poderá permitir às
empresas interessadas a prestação do modelo de negócio inovador enquanto procede à
atualização de sua regulamentação.
Recentemente a agência publicou seu novo Plano Estratégico105 para o interstício
compreendido entre 2023 e 2027, trazendo em seu bojo 23 (vinte e três) iniciativas estratégicas,
como um conjunto de medidas a serem empregadas, permitindo a orientação de projetos ou
plano de ações institucionais. Entre tais iniciativas, destaca-se a que visa “atingir o estado da
arte da regulação para as novas tecnologias e modelos de negócio inovadores, inclusive através
do sandbox regulatório”. É patente a importância dada pela ANATEL ao emprego de um
sandbox regulatório no auxílio à promoção de seu processo regulatório, trazendo benefícios
diretos tanto para a agência reguladora, quanto para os participantes e para a sociedade.
105 AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES. Plano Estratégico 2023-27. Brasília: Agência
Nacional de Telecomunicações, nov. 2022. Disponível em: https://sistemas.anatel.gov.br/anexarapi/publico/anexos/download/e3241ae37bc6426b6042e1baef5b6259. Acesso em: 02 mar. 2023.
2.4.2. ANS
A ANS tem recentes tratativas para a construção de um normativo para instituir um
sandbox regulatório no setor de saúde suplementar e segue receita semelhante aos demais, com
critérios para seleção de participantes e definição da duração dos projetos e da abrangência da
dispensa regulatória, em linha com o Marco Legal das Startups.
O objetivo inicial central da agência reguladora é garantir um ambiente regulatório
adaptado, propício para o surgimento de novos modelos de negócio, no qual atores regulados
poderão desenvolver projetos submetidos, temporariamente, às regras diferenciadas que
permitam a experimentação mantendo o risco do usuário em um patamar aceitável e
juridicamente seguro. Aparentemente, os riscos envolvidos na implantação de projetos
inovadores são a principal preocupação do regulador. Tomando em conta que o objeto da
experimentação é a oferta de serviços e produtos no mercado de saúde suplementar, tal
preocupação é esperada.
Assim, existe uma legitima preocupação com os efeitos negativos não previstos que se
reflete na previsão obrigatória de contramedidas competentes para reverter as consequências
adversas sem afetar as regras vigentes, ou seja, no caso de insucesso do projeto e
descontinuidade, deve haver garantia de respeito aos direitos dos usuários dos serviços, dentro
das regras comuns vigentes no mercado regulado.
Para a ANS trata-se de um sandbox regulatório prudencial, com foco no
estabelecimento de regras econômico-financeiras diferenciadas e flexíveis, sem afastar a
segurança dos usuários. A oferta de novos serviços no ambiente experimental deve prever
garantias de atendimento aos beneficiários em caso de fracasso – o plano de contingência para
a descontinuação ordenada de atividades – tal qual as garantias previstas pela Susep em seu
sandbox.
106
Pela proposta em estudo pela ANS, os projetos seguirão um caminho semelhante aos
adotados pela CVM, BCB, Susep e ANTT para a seleção: são definidos temas prioritários em
um edital público que convoca interessados para participar da seleção; os processos
selecionados passam então para uma fase de monitoramento; e, uma vez esgotado o prazo, são
liberados para operar no ambiente ordinário ou encerrados.
Foi realizado um webinário107 pela ANS em outubro de 2022 para apresentar e debater
aspectos iniciais do modelo com o setor regulado, como primeira parte de uma tomada de
subsídio cuja segunda parte será o envio de um questionário para absorver sugestões, sem ter
ainda uma proposta formal de normativo.
2.4.3. ANTT
106 As garantias do Sandbox da Susep estão relacionadas aos limites de risco, ao montante das provisões técnicas
e à insuficiência de ativos garantidores.
107 AGÊNCIA NACIONAL DE SAÚDE SUPLEMENTAR. ANS promove webinar sobre SandBox
Regulatório Prudencial. Brasília: Agência Nacional de Saúde Suplementar, 28 set. 2022. Disponível em:
https://www.gov.br/ans/pt-br/assuntos/noticias/periodo-eleitoral/ans-promove-webinar-sobre-sandboxregulatorio-na-saude-suplementar. Acesso em: 23 mar. 2023.
Na ANTT, a Resolução nº 5.999108 de 2022 estabeleceu as regras para constituição e
funcionamento do sandbox regulatório da agência, considerado um ambiente regulatório
experimental. A ANTT adotou um modelo de sandbox regulatório que permite o teste de
produtos ou serviços inovadores e, também, de soluções regulatórias inovadoras.
Na primeira hipótese, é esperado que a agência garanta ao setor regulado segurança
regulatória para o oferecimento de produtos ou serviços inovadores. Em troca, seria possível
verificar os efeitos que tais inovações teriam no mundo real, fomentando-as de maneira
controlada, com monitoramento constante dos resultados dos projetos, inclusive no caso de
produtos e serviços inicialmente vedados pelo regulador.
Na segunda hipótese, a relevância da apropriação de uma base de evidências mais
robusta sobre o comportamento dos atores no mercado ajudaria a perceber o impacto da decisão
regulatória antes de sua implementação, a adoção dessa alternativa possibilita uma maior
flexibilidade para o regulador, que pode conduzir testes sobre regulação responsiva, assim
como, simular os efeitos da atuação regulatória antes de torná-la efetiva.
Conforme o que for decidido pela agência, os temas objeto de análise serão publicados
em edital para que as empresas reguladas interessadas se manifestem, apresentando
documentos para análise para uma equipe designada, em um procedimento semelhante aos
demais reguladores governamentais. Uma vez selecionado, há uma avaliação documental para
efeito de elegibilidade. A lista dos aprovados é então submetida à diretoria para que delibere
sobre a inclusão dos participantes no ambiente experimental. A diretoria da ANTT pode
escolher, dentre os selecionados, com base na conveniência e oportunidade.
A alta gestão pode também dispensar o processo de seleção e “convocar empresa
específica já atuante no setor de transportes terrestres”. Esta prerrogativa traz um risco de
comprometer a idoneidade do processo de escolha e acabar contaminando e afastando o
objetivo principal de promover a inovação, além de servir de ferramenta para evitar a
competição entre prestadores de serviços no mercado de transportes terrestres. Igual efeito pode
ser atingido ao restringir a participação no sandbox aos empreendedores que já tem outorga da
agência para atuar no mercado regulado.
Nada obstante, a ANTT, reconhecendo que restringir a participação no sandbox às
empresas detentoras de outorga prejudica o caráter participativo e de promoção à inovação, e
não contribui com o aumento da competitividade, a redução dos custos, a eficiência dos
processos e a liberdade econômica para o setor, decidindo, portanto, considerar a restrição
como algo temporário, específico para o primeiro sandbox na condição de piloto. Tal restrição
poderia ser revista com o amadurecimento do processo e a disponibilidade de recursos.
108 BRASIL. Agência Nacional de Transportes Terrestres. Resolução nº 5.999, de 3 de novembro de 2022.
Brasília, 2022. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-n-5.999-de-3-de-novembro-de2022-441284496. Acesso em: 18 dez. 2022.

  1. CARACTERÍSTICAS RELEVANTES DOS PROGRAMAS DE SANDBOX
    A partir das considerações dos primeiros capítulos desse estudo, é possível depreender
    uma série de elementos e características presentes em experiências de sandboxes regulatórios.
    Há entendimentos no sentido de estabelecer características comuns a este tipo de regulação
    experimental. Por exemplo, como já apontado no item 1.1, no relatório publicado pelo governo
    alemão, intitulado “Making space for innovation”,
    109 destacam-se três elementos
    característicos do sandbox regulatório, quais sejam: (i) mecanismo de testagem de inovações
    tecnológicas e modelos de negócio na realidade prática, com período e objeto bem delimitados;
    (ii) instrumento de flexibilização e desconto regulatório; e (iii) meio de obtenção de novos
    conhecimentos e aprendizado para futura regulação.
    Na literatura especializada se encontra também a referência a aspectos que são comuns
    ao gênero “regulações experimentais”, do qual o sandbox regulatório é considerado uma
    espécie.
    110 Nessa direção, três são os pontos comuns ou essenciais: (i) caráter temporário; (ii)
    abordagem por tentativa e erro a respeito da regulação; e (iii) caráter colaborativo que exige a
    participação de diversos atores interessados.
    111
    Assim, o que se passa a fazer é precisar quais são as características mais importantes,
    dada sua pertinência, para a formulação e execução de programas de sandbox regulatório em
    matéria de proteção de dados pessoais. Foram identificados seis aspectos merecedores de
    destaque: (i) possíveis benefícios gerados pelo programa; (ii) critérios coerentes com
    atribuições e prioridades regulatórias; (iii) participação colaborativa de atores interessados; (iv)
    consciência das limitações do programa; (v) delimitação dos riscos ensejados pelo projeto de
    tecnologia e mecanismos para sua mitigação; (vi) e produtos resultantes.
    3.1. Benefícios esperados
    O sandbox regulatório, ao promover um ecossistema que fomenta a inovação ao mesmo
    tempo em que respeita os direitos fundamentais, possibilita a produção de resultados benéficos
    aos diversos atores envolvidos. São três os principais grupos de atores: (i) organizações e
    empresas; (ii) indivíduos e sociedade em geral; (iii) Autoridade de Proteção de Dados. Uma
    lista exemplificativa dos benefícios levantados é apresentada na Tabela 5.
    Em relação às organizações e empresas, há que se ressaltar que além dos agentes de
    tratamento eventualmente selecionados para ingressar em programa de sandbox, não
    participantes também podem se beneficiar de frutos advindos da experimentação regulatória, a
    exemplo das boas práticas e conhecimento compartilhados pela publicação de relatórios pelos
    109 FEDERAL MINISTRY FOR ECONOMIC AFFAIRS AND ENERGY. Making space for innovation: The
    handbook for regulatory sandboxes. Berlim: Federal Ministry for Economic Affairs and Energy, 2021.
    Disponível em: https://www.bmwk.de/Redaktion/EN/Publikationen/Digitale-Welt/handbook-regulatorysandboxes.pdf%3F__blob%3DpublicationFile%26v%3D2. Acesso em: 06 nov. 2022.
    110 RANCHORDAS, Sofia. Experimental Regulations for AI: Sandboxes for Morals and Mores. Morals &
    Machines, v. 1, n. 1, p. 88–102, 2021, p. 91.
    111 RANCHORDAS, Sofia. Op. cit., p. 91; ORGANIZATION FOR ECONOMIC COOPERATION AND
    DEVELOPMENT. Regulatory sandboxes in artificial intelligence. Paris: OECD Publishing, 2023. p. 14..
    Disponível em: https://doi.org/10.1787/8f80a0e6-en. Acesso em: 10 ago. 2023.
    atores diretamente envolvidos. Os benefícios que podem ser razoavelmente esperados são
    diretos e indiretos.
    Entre os benefícios diretos, verificam-se (i) o acesso à experiência e ao suporte
    orientativo da APD no desenvolvimento e implementação da inovação técnica de tratamento
    de dados; (ii) mais aprofundada compreensão das estruturas técnicas e normativas de proteção
    de dados pessoais e como elas afetam suas atividades e interesses; e (iii) identificação de boas
    práticas de governança de dados pessoais, tais como a privacidade desde a concepção e por
    padrão, bem como tecnologias que possam ajudar a promover a privacidade e proteção de
    dados em seus negócios (ex. PETs). Isso incentiva, por consequência, a proatividade na adoção
    de padrões alinhados aos preceitos de proteção de dados pessoais em todas as etapas do projeto
    de inovação tecnológica, e maior grau de confiança na conformidade dos novos produtos ou
    serviços. Já entre os benefícios indiretos, pode-se aventar (i) a contribuição para a formulação
    de futuras orientações e diretrizes a APD, à luz dos conhecimentos teórico-práticos e de matiz
    regulatório obtidos com a execução do programa de sandbox; e (ii) contribuir para o país a
    tornar-se uma economia inovadora com o desenvolvimento de produtos e serviços que mostrem
    valor para o público.
    Os indivíduos e a sociedade em geral, por sua vez, poderão gozar de mais produtos e
    serviços que respeitem os direitos dos titulares e, de modo mais amplo, os direitos fundamentais
    e liberdades civis, alicerce do Estado Democrático de Direito. Ademais, o sucesso de
    programas de sandbox promove, em última análise, a ampliação do uso de mecanismos de
    transparência e a confiança em novas tecnologias e, inclusive, sistemas de IA.
    No que tange aos aspectos positivos ensejados pela institucionalização de iniciativa de
    sandbox regulatório à Autoridade de Proteção de Dados, podem ser elencados, entre outros:
    (i) a supervisão imediata de projetos de tecnologia de tratamento de dados pessoais que
    incorporem em todas suas fases a observância dos direitos fundamentais e liberdades civis; (ii)
    entender e conhecer em primeira mão inovadoras tecnologias digitais de agentes de tratamento
    que estão sob regulação da autoridade; (iii) avaliar a eficácia das estratégias da entidade
    participante para a proteção de direitos em casos concretos; (iv) compreender melhor as
    aplicações práticas de tecnologias emergentes (como IA e blockchain), a fim de fortalecer a
    atuação da autoridade em processos administrativos, recomendações e métodos de supervisão
    em relação a temas envolvendo proteção de dados e as inovações tecnológicas envolvidas; (v)
    consolidar seu conhecimento sobre atividades de tratamento de dados pessoais, criando
    instrumentos que possam ser utilizados por outros agentes de tratamento, mesmo que não
    tenham participado do sandbox (ex. guias orientativos e ações educativas); (vi) auxiliar na
    elaboração de normas legais e infralegais que garantam maior equilíbrio entre o fomento à
    inovação e o respeito à privacidade e à proteção de dados pessoais; e (vii) oportunizar a
    construção e aperfeiçoamento da interpretação da regulação aplicável a inovações e tecnologias
    emergentes.
    112
    112
    “For regulators, testing in sandboxes informs policy-making and regulatory processes. Regulatory sandboxes
    Por fim, é importante destacar que o presente estudo não tem qualquer pretensão de
    exaurir um rol de benefícios possíveis advindos de programas de sandbox em matéria de
    proteção de dados pessoais. É perfeitamente viável a identificação de outros benefícios, uma
    vez que foi observada a existência de clara correlação entre os programas de sandbox com
    estratégias nacionais que busquem promover padrões de inovação alinhados à proteção e
    promoção de direitos fundamentais e liberdades civis no tratamento de dados, e a conduzir a
    implementação de projetos que sirvam de referência para futuros empreendimentos. Este é,
    decerto, o caso da Estratégia Brasileira de Inteligência Artificial – EBIA. Aliás, a EBIA prevê
    como uma das ações estratégicas do Eixo 1 – Legislação, Regulação e Uso Ético, a de
    “promover abordagens inovadoras para a supervisão regulatória (por exemplo, sandboxes e
    hubs regulatórios)”.
    113
    Tabela 5: Benefícios esperados de um programa de sandbox para os diversos atores envolvidos.
    BENEFÍCIOS DE UM SANDBOX REGULATÓRIO
    Organizações e Empresas
  1. p. 23
  1. COMO IMPLEMENTAR UM PROGRAMA DE SANDBOX
    Para se executar um programa de sandbox é necessário estudo e preparo, de modo a
    mitigar riscos e garantir que a experiência alcance os objetivos esperados. Deste modo, esse
    capítulo apresenta informações sobre o planejamento e a execução de programas de sandbox,
    com base no benchmark realizado.
    4.1. Planejamento de um sandbox
    Nesta seção é apresentado um roteiro (roadmap) inspirado pelas sugestões da
    DataSphere Initiative.
    118 Conquanto o roteiro original fosse focado em sandboxes
    transfronteiriços, as orientações puderam ser facilmente adaptadas para programas domésticos.
    A. Definir Objetivos
    O primeiro passo para elaborar um programa de sandbox é definir quais os objetivos
    que se espera alcançar com o programa. Esses objetivos vão ajudar a delimitar os atores
    interessados, tanto os participantes, quanto eventuais parceiros, e ainda eventuais atores
    regulatórios.
    Os objetivos também irão permitir identificar as restrições do programa, tais como
    escopo, tempo, questões orçamentárias e organizacionais (ver Seção3.4). A depender do foco
    do programa, mais ou menos recursos serão necessários para sua execução.
    No caso de Autoridades de Proteção de Dados, é comum que o objetivo do programa
    esteja relacionado com o fornecimento de suporte para o uso adequado de dados pessoais no
    desenvolvimento de produtos e serviços e o fomento ao uso de técnicas de privacidade desde a
    sua concepção (privacy by design).
    Além disso, os benefícios listados na Seção 3.1 também costumam compor objetivos
    complementares de programas de sandboxes. O fomento à inovação é um elemento presente
    nestes programas, muito embora a abordagem pela qual se dará esse fomento pode variar de
    acordo com o programa e o regulador que a promove. Em sandboxes de autoridades
    financeiras, por exemplo, é comum que sejam testadas soluções que garantam maior
    flexibilidade regulatória. Já no caso dos sandboxes de privacidade, as APDs parecem focar em
    obter maior conhecimento sobre os impactos de novas tecnologias à privacidade e à proteção
    de dados, bem como difundir boas práticas de governança de dados tanto para os entes
    participantes (a partir dos treinamentos e testagens), quanto para terceiros (a partir da
    publicação de relatórios).
    Para identificar objetivos específicos das experiências já implementadas por agentes
    reguladores, sugere-se verificar os estudos de caso do Capítulo 2 deste relatório.
    B. Identificar Interessados
    A fase de concepção de um programa de sandbox deve, necessariamente, passar por um
    processo de reflexão acerca de quais seriam os principais interessados, não apenas para
    118 Ver nota de rodapé nº 32.
    participação, como também no apoio e coordenação. Para sandboxes regulatórios, as principais
    partes interessadas são os representantes mais seniores dos reguladores envolvidos, já que um
    sandbox também pode incluir outras autoridades reguladoras, ministérios e autoridades
    judiciais conforme o caso, dependendo das áreas temáticas.
    As partes interessadas ativas são os inovadores, ou seja, as empresas e organizações
    responsáveis por uma tecnologia inovadora, processo ou modelo. As indústrias ou setores de
    onde essas tecnologias emergem podem fazer parte de uma eventual consulta anterior ao
    estabelecimento do sandbox, especialmente para a identificação e definição de problemas,
    metas e cronogramas.
    As partes interessadas de apoio serão todas as outras partes interessadas relevantes
    para consultas sobre aspectos positivos e externalidades negativas de um programa de sandbox.
    Se os problemas do sandbox envolverem, por exemplo, o tratamento de dados pessoais, ou
    particularmente dados sensíveis, como dados de saúde, as partes interessadas precisam incluir
    pessoas que possam representar os interesses dos titulares dos dados. Isso pode incluir
    organizações da sociedade civil e acadêmicos, ou outros especialistas, ou mesmo ativistas de
    informação para garantir que o público entenda o que está sendo feito. Embora essas partes
    interessadas não tomem decisões regulatórias ou operacionais, eles devem fazer parte de como
    o sandbox é configurado na medida em que este se desenvolve. Mecanismos de diálogo aberto
    e regular são essenciais para ganhar e construir confiança pública.
    Definir as funções de cada parte interessada também é importante para manter as
    pessoas necessárias envolvidas e, ao mesmo tempo, garantindo que elas assumam um papel
    ativo no programa de sandbox, conforme necessário. A adesão política das principais partes
    interessadas é fundamental, especialmente das agências, departamentos e autoridades
    reguladores relevantes. Esse envolvimento pode ocorrer como “observador”, mas há vantagens
    em maior participação de outros reguladores, agências e ministérios, como a garantia de adesão
    e a disseminação de conhecimentos, além de corroborar a existência de um núcleo de tomada
    de decisão dedicado para garantir a eficiência.
    Nesses casos, as principais partes interessadas precisam coordenar e atribuir
    responsabilidade e tomada de decisão para o design, implementação, supervisão e direção do
    programa de sandbox, como: a supervisão e a forma de tomada de decisões; medidas para
    promover a responsabilidade e a confiança no programa; responsabilidade e processos de
    coordenação, comunicação e escalonamento; formas de trabalho (virtual, híbrido, ou
    presencial); e meios de avaliação contínua ou periódica, incluindo escolha de critérios e
    elaboração de relatórios.
    Na Seção 3.2 são apresentados alguns detalhes sobre as principais partes interessadas.
    C. Definir limitações do programa – escopo, duração, financiamento e
    recursos humanos
    Um dos aspectos de definição do escopo de atuação do sandbox regulatório pode dizer
    respeito ao perfil dos participantes: atores já estabelecidos no mercado; novos entrantes; e
    outras empresas. Essa definição de escopo dos candidatos à participação denota maior ou
    menor maturidade organizacional.
    Além disso, os sandboxes regulatórios também podem contar com uma determinação
    setorial, ou serem intersetoriais, a depender da natureza dos modelos de negócio e tecnologias
    envolvidos. Esse tipo de ampliação de escopo setorial representa um desafio adicional para as
    autoridades envolvidas, já que diferentes níveis de regulação e coordenação podem ser
    necessários para o sucesso do programa. Por exemplo, um candidato considerado elegível para
    participar de um sandbox regulatório deseja testar uma proposta que envolve a realização de
    uma atividade regulamentada e a empresa ainda não possui a licença relevante. Nesse caso, a
    licença deve ser adquirida como uma parte da fase de preparação para entrar no sandbox. Se
    não for adquirida a respetiva licença para o exercício das atividades reguladas, a empresa não
    pode avançar para a fase de testes. No caso de sandboxes de privacidade, não costuma ser
    necessário essa isenção de licenciamento, porque legislações de proteção de dados
    normalmente não requerem licenças para uso de tecnologias.
    Estabelecer e gerenciar um sandbox regulatório implica em custos aos reguladores e às
    empresas. Os reguladores precisarão de financiamento adequado para apoiar a operação e o
    monitoramento do sandbox. Essa é uma das principais preocupações, já que sandboxes
    consomem muitos recursos e só podem lidar com um problema focado por vez. Eles impõem
    um uso significativo de tempo e de recursos aos reguladores, mas há redução marginal desses
    custos na medida em que iterações ocorrem, que as equipes envolvidas adquirem conhecimento
    sobre o tema e que os fluxos organizacionais se consolidam. Então é necessário ponderar os
    custos e benefícios dessa iniciativa frente a outros projetos da instituição.
    Nesse sentido, a alocação de recursos precisa ser medida em relação aos objetivos
    estatutários mais amplos da autoridade regulatória e para refletir tanto a iniciativa privada (ou
    seja, a empresa participante) quanto o benefício público. Isso pode limitar o escopo e a escala
    dos sandboxes. Reguladores nem sempre podem dedicar recursos significativos a um espectro
    variado de tecnologias, modelos de negócios emergentes, iniciativas de amplo escopo que
    lidam com desafios promissores, mas desafiadores, e questões complexas. Particularmente para
    autoridades reguladoras recém-criadas, demandas diárias e restrições de recursos podem ser
    um contratempo na concepção, desenvolvimento e avaliação de sandboxes.
    O que foi observado nos diálogos com os agentes reguladores, como autoridades
    financeiras nacionais e Autoridades de Proteção de Dados estrangeiras, é que os custos, em sua
    maioria estão relacionados aos recursos humanos do ente regulador que passa a se dedicar na
    elaboração e execução do programa de sandbox. Para otimizar esses recursos, normalmente é
    definida uma unidade dedicada para conduzir o programa, e especialistas de outras unidades
    são chamados de forma pontual para auxiliar em questões específicas que possam demandar
    um conhecimento não possuído pela unidade dedicada.
    Por exemplo, pensando em medidas de comunicação e publicação, é possível que a
    autoridade regulatória deseje publicar as descobertas e resultados do processo de sandbox.
    Quando a publicação for apropriada, os reguladores precisarão do suporte necessário para
    publicar os resultados do sandbox.
    D. Identificar riscos e mecanismos de mitigação
    Uma vez definidos os objetivos e as limitações do programa, é necessário identificar
    quais os riscos inerentes. Esses riscos poderão variar de acordo com as características do
    sandbox. Por exemplo, programas que foquem em soluções em estágio prototipal costumam
    ter um menor impacto a consumidores ou titulares de dados do que soluções já disponibilizadas
    em mercado.
    Para cada risco identificado é importante propor mecanismos que evitem que ele ocorra,
    ou mitiguem seu impacto. A implementação de um sandbox é um processo longo e extenuante
    e não é recomendável se seu custo-benefício for baixo. Na Seção 3.5 é apresentada uma lista
    de riscos e possíveis mecanismos de mitigação.
    E. Definir critérios para a participação
    Após a análise de riscos, o regulador pode definir os critérios para a participação no
    programa de sandbox. A escolha desses critérios deve ser feita levando em consideração os
    objetivos do programa, as limitações definidas e os riscos identificados. Os critérios podem
    incluir tipos de tecnologias que serão foco de uma determinada edição (ex. inteligência
    artificial, blockchain, PETs), nível de maturidade das soluções (projetos, protótipos,
    disponibilizadas no mercado), modelos de negócio (comércio eletrônico, marketing,
    compartilhamento de dados) e até mesmo público-alvo específico (ex. setor público, setor
    privado, startups etc.). Para exemplos de critérios adotados em programas de outras APDs,
    verificar a Seção 3.3.
    Eventualmente, consultas públicas podem ser realizadas para ajudar a identificar os
    critérios de maior relevância. Foi o caso das experiências da ICO, da SIC e da PDPC, como
    mencionado na Seção 2.1.
    F. Elaborar documentos técnicos para iniciar o sandbox
    Um programa de sandbox inicia-se com a submissão de propostas dos entes
    participantes. Para isso, é necessário que o regulador tenha elaborado alguns documentos tais
    como o edital de chamamento público, formulários de inscrição para padronizar a
    submissão de propostas e termos de responsabilidade para serem assinados pelos
    participantes selecionados. Esses documentos são mais bem descritos na seção seguinte, assim
    como as explicações sobre as etapas de execução do sandbox.
    4.2. Execução do sandbox
    A execução de um programa de sandbox regulatório é organizado em uma série de
    etapas. Embora as metodologias adotadas possam variar de acordo com a autoridade reguladora
    e o objetivo do sandbox, de acordo com as autoridades do setor financeiro europeias, de modo
    geral, um sandbox é composto pelas seguintes etapas:119 (i) submissão e avaliação de propostas;
    (ii) preparação e alinhamento com as instituições selecionadas; (iii) testagem e
    acompanhamento das iniciativas acordadas; (iv) avaliação da experiência e encerramento ou
    saída. A seguir apresenta-se um detalhamento de cada uma dessas etapas e algumas questões
    que devem ser observadas.120
    4.2.1. Etapa 1 – Submissão de Propostas
    Na etapa de submissão, o ente regulador apresenta um edital em que informa sobre o
    programa de sandbox. Este edital deve conter informações sobre as regras gerais do programa,
    incluindo os objetivos, escopo, formato e duração. Outra informação importante diz respeito
    aos critérios de seleção das entidades participantes. Quanto mais transparente o edital, maior a
    isonomia do processo. É essencial que a chamada para participação seja suficientemente
    publicizada.
    Por vezes, anterior ao edital é realizada uma consulta pública para receber
    contribuições para a fase de submissão. Essas contribuições podem ser de ordem processual
    (etapas e metodologia do sandbox) e material (escopo do sandbox). Foi o caso da SIC que
    recebeu sugestões de entidades do setor público, do setor privado econômico, da sociedade
    civil organizada e da academia.
    É importante também que o edital informe sobre os diferentes tipos de stakeholders que
    irão atuar na execução do programa – entidades parceiras, entidades participantes e demais
    entidades de apoio, de modo a permitir que os atores conheçam os papéis de todos os
    envolvidos.
    O edital deve, ainda, apresentar um prazo para submissão das propostas, bem como
    o conteúdo da submissão. É comum que esse prazo esteja em torno de 6 (seis) a 8 (oito)
    semanas. A disponibilização de um formulário auxilia na padronização das propostas
    submetidas. Como exemplos de formulários podem ser citados o disponibilizado pela ICO121
    e pela SIC.
    122 Durante a triagem, a ICO costuma fazer visitas in locu ou videoconferências de
    engajamento (“engagement calls”) para levantar informações mais específicas sobre potenciais
    participantes.
    119 EUROPEAN SECURITY AND MARKETS AUTHORITY; EUROPEAN BANK AUTHORITY;
    EUROPEAN INSURANCE AND OCCUPATIONAL PENSIONS AUTHORITY. FinTech: Regulatory
    Sandboxes and Innovation hubs. Disponível em:
    https://www.esma.europa.eu/sites/default/files/library/jc_2018_74_joint_report_on_regulatory_sandboxes_and_
    innovation_hubs.pdf Acesso em: 22 mar. 2023.
    120 As orientações aqui apresentadas são embasadas no levantamento bibliográfico e nos questionários respondidos
    por alguns dos agentes consultados – CAF e ICO.
    121INFORMATION COMISSIONER`S OFFICE. How can we apply to the sandbox? Disponível em:
    https://ico.org.uk/for-organisations/regulatory-sandbox/the-guide-to-the-sandbox/how-can-we-apply-to-thesandbox/#:~:text=Please%20submit%20all%20completed%20Expressions,or%20signpost%20to%20further%20
    information. Acesso em: 27 fev. 2023.
    122 SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO. Sandbox sobre privacidad desde el diseño y por
    defecto en proyectos de inteligencia artificial Formato de aplicación. Disponível em:
    https://es.surveymonkey.com/r/FormularioSandbox2021. Acesso em: 27 fev. 2023.
    A autoridade reguladora deve ser responsável por avaliar as submissões realizadas, de
    acordo com os critérios estabelecidos. Como discutido na seção de planejamento, esses
    critérios podem variar de acordo com o escopo do programa, mas costumam incluir requisitos
    relacionados ao potencial inovador da solução e a maturidade do projeto/solução proposta
    (readiness test). Contudo, é importante que eles sejam respeitados de forma a garantir a
    transparência e isonomia do processo. Para verificar a maturidade do projeto, é comum que o
    regulador solicite evidências de que a tecnologia ou inovação sendo testada seja realizável, o
    que costuma ser feito com a apresentação de uma prova de conceito (proof of concept). Para
    isso, o regulador avalia toda a documentação apresentada, incluindo a proposta e as credenciais
    da entidade interessada, e pode realizar diálogos bilaterais com os candidatos.
    Nos casos de Autoridades de Proteção de Dados é possível exigir provas de
    maturidade em proteção de dados. Por exemplo, a ICO solicita um Relatório de Impacto em
    Proteção de Dados do projeto proposto para avaliar a maturidade do participante. Outras
    entidades, como a SIC, não exigem essa prova de maturidade e tem como um de seus objetivos
    centrais aumentar a maturidade do participante na conformidade à legislação de proteção de
    dados. Exemplos de critérios a serem considerados são sugeridos na Seção 3.3 deste relatório.
    Conquanto não seja comum estabelecer um prazo de avaliação das propostas, é
    importante que esse prazo seja considerado no planejamento geral do programa. Para um
    programa de um ano de duração, recomenda-se não levar mais de 2 (dois) meses para a análise
    de todas as propostas. Para programas contínuos, como no caso da ICO, é adotado um modelo
    “roll on roll off”, em que conforme instituições participantes saiam do sandbox, novas
    entidades podem entrar. As submissões podem ser enviadas a qualquer momento, e uma vez
    selecionada, o proponente aguarda em uma lista de espera até que uma vaga surja. Assim a
    autoridade britânica mantém sempre um número médio de 10 (dez) participantes a todo
    momento.
    A elaboração de termos de responsabilidade para participação (terms and
    conditions) podem ajudar a mitigar riscos relacionados à realização da iniciativa (ex. termos
    de confidencialidade, licenças de uso de propriedade intelectual, autorização de uso de imagem
    do participante, termos de responsabilidade em caso de dano aos titulares etc.).
    Em média, a etapa de submissão leva de 3 (três) a 6 (seis) meses, a partir do edital de
    convocação. As primeiras semanas são separadas para a apresentação de propostas e as
    subsequentes para avaliação e seleção das propostas, até a assinatura dos termos de
    participação.
    É possível providenciar aos participantes do programa do sandbox uma “declaração de
    conforto regulatório”, a qual atesta que qualquer contravenção à legislação de proteção de
    dados como um resultado do desenvolvimento do serviço ou produto, não irá resultar
    imediatamente em ação regulatória, enquanto testado no sandbox. É o caso do que é feito pela
    ICO. O CAF, contudo, alerta para que seja verificada in casu se o ente regulador possui
    competência legislativa para flexibilizar suas regras de sancionamento para participantes do
    sandbox. Como informado no capítulo introdutório deste estudo, no caso brasileiro, o
    afastamento de normas é permitido em virtude do art. 11 do Marco Legal das Startups, muito
    embora ele sequer seja necessário a depender do escopo a ser definido pelo programa.
    Como regra geral, a participação no programa de sandbox é gratuita, e este foi o
    observado em todos os programas do estudo de benchmark.
    4.2.2. Etapa 2 – Preparação dos participantes
    Independentemente do número de entidades participantes, é essencial que todas estejam
    alinhadas com os objetivos do programa. Para isso, rodadas de preparação são muito
    importantes. Essas rodadas podem incluir oficinas para nivelamento do conhecimento sobre
    o tema a ser trabalhado. No caso de um sandbox de privacidade, é necessário verificar se tanto
    a autoridade reguladora quanto os participantes compreendem os temas regulatórios relevantes
    relativos ao arcabouço normativo de proteção de dados vigente e a tecnologia (ou aspecto
    tecnológico) que é objeto do programa. É comum que entidades parceiras atuem nas rodadas
    de preparação para ajudar a transmitir o conhecimento necessário aos demais atores. Por
    exemplo, no sandbox da SIC, a etapa de preparação contou com workshops realizadas por
    juristas da Organização das Nações Unidas e por especialistas de tecnologia da informação e
    ciência de dados. É importante que esses parceiros não criem conflitos de interesse com as
    entidades participantes, isto é, os candidatos não podem ter entre seus representantes pessoas
    que sejam integrantes das organizações parceiras.
    A etapa de preparação pode variar de acordo com o ambiente a ser controlado. Por
    exemplo, programas que visem acompanhar iniciativas ainda em fase de projetos e protótipos
    terão controles distintos de um sandbox que faça testagem de soluções já disponibilizadas em
    mercado.
    Nesse último caso, é necessário que a autoridade reguladora alinhe com os entes
    participantes como eles irão informar aos consumidores e demais titulares sobre a condição de
    testagem do produto. Eventualmente, alinhamentos com outras autoridades reguladoras podem
    ser necessários, principalmente se licenciamentos específicos sejam necessários para a oferta
    do produto ou serviço no mercado, ainda que em fase de teste.
    Dentre os alinhamentos que podem ser considerados nessa etapa, se destacam:
  1. CONCLUSÃO
    Este relatório apresentou o conceito de sandboxes regulatórios, instrumentos da
    regulação experimental que vêm sendo adotados por diversas autoridades reguladoras em
    níveis global e nacional. Atenção particular foi dada à experiência de Autoridades de Proteção
    de Dados.
    Através de benchmark realizado por meio do levantamento bibliográfico e de diálogos
    bilaterais com reguladores e outros atores interessados, o estudo identificou características
    relevantes de sandboxes e propôs um roteiro para planejamento e execução de um programapiloto.
    Conquanto este relatório não substancie um programa específico de sandbox, acreditase que ele será essencial para servir como um manual de referência no planejamento e execução
    do projeto-piloto e de futuras edições de sandboxes da Autoridade Nacional de Proteção de
    Dados.
    ANEXO I – ALTERNATIVAS AO SANDBOX – OUTRAS ABORDAGENS
    REGULATÓRIAS EXPERIMENTAIS
    Sandboxes regulatórios são apenas um tipo de instrumento regulatório que faz parte do
    guarda-chuva conhecido como regulação experimental. A Tabela 7 apresenta alguns desses
    instrumentos e seus conceitos, para além de sandboxes.
    Tabela 7: Alguns tipos de instrumentos regulatórios experimentais e seus conceitos.
    ABORDAGENS REGULATÓRIAS
    EXPERIMENTAIS
    CONCEITO
    Camas de Testagem de Inovações (Innovation
    Test Beds)
    Podem ser definidos como ambientes
    experimentais espacialmente
    confinados, destinados a testar e
    demonstrar a viabilidade e
    escalabilidade de novas ordens
    sociotécnicas e formas associadas de
    governança, com base em visões
    particulares de futuros desejáveis. Essa
    definição vai além de uma visão
    puramente afirmativa ou instrumental
    da evidência, e capta o que
    consideramos os aspectos analíticos
    mais salientes dos bancos de
    evidências: sua intervenção ostensiva
    na ordem social com alguma forma de
    delimitação; a direcionalidade
    implícita da inovação (ou seja, seu
    caráter normativo); a ambiguidade
    entre testar como benchmark e testar
    como experimentação aberta para
    aprendizagem; o papel da exibição
    pública, a ampla gama de implicações
    regulatórias e de governança; e a
    ambição de ampliar ou transferir os
    resultados.126
    Centros de inovação (Innovation Hubs) Os centros de inovação seriam um
    espaço ou plataforma por meio do qual
    as empresas podem entrar em contato
    126 ENGELS, F., WENTLAND, A., PFOTENHAUER, S. [S.l.]: Science Direct, 2019. “Testing future societies?
    Developing a framework for test beds and living labs as instruments of innovation governance”. Disponível
    em: https://www.sciencedirect.com/science/article/pii/ S0048733319301465 Acesso em: 28 mar. 2023.
    com a autoridade para tirar dúvidas e
    solicitar esclarecimentos ou
    orientações não vinculantes sobre
    questões relacionadas a uma tecnologia
    específica, especialmente o marco
    regulatório aplicável, os requisitos de
    autorização ou registro para sua
    operação, e as expectativas de
    regulação e supervisão.127 Um exemplo
    de centro de inovação é o Lift,128 do
    Banco Central do Brasil.
    Cláusulas de caducidade (Sunset Provision) É caracterizado como um projeto de lei
    que contém uma data de expiração
    específica para uma norma ou
    disposição, uma vez que a lei tenha sido
    promulgada. As cláusulas de
    caducidade estão incluídas na
    legislação onde se considera que o
    Legislativo deve ter a oportunidade de
    revisar seus méritos após um
    determinado período.
    Datathons / Hackathons Os hackathons de dados, também
    conhecidos como data dives ou
    datathons são eventos em que equipes
    de cientistas de dados, programadores
    de computador, designers gráficos e de
    interface e gerentes de projeto tentam
    resolver problemas de dados de forma
    criativa e prototipar produtos de análise
    de dados. Datathons normalmente
    duram entre um dia e uma semana.
    Alguns destinam-se simplesmente a
    fins educacionais ou sociais, embora
    em muitos casos o objetivo seja criar
    produtos de análise de dados
    utilizáveis. Os datathons tendem a ter
    um foco específico, que pode incluir
    fontes de dados, metodologias,
    127 GUÍO, Armando. Sandbox Regulatorio de Inteligencia Artificial em Chile. [S.l.]: Gobierno de Chile, 2021.
    Disponível em: https://www.economia.gob.cl/wp-content/uploads/2021/09/PaperSandboxIA.pdf. Acesso em: 30
    ago. 2022.
    128 BANCO CENTRAL DO BRASIL. Laboratório de Inovações Financeiras e Tecnológicas (LIFT).
    Disponível em: https://www.bcb.gov.br/estabilidadefinanceira/lift. Acesso em 28 mar. 2023.
    tecnologias e aplicativos específicos,
    mas, em outros casos, não há restrição
    quanto ao tipo de produto de análise de
    dados que está sendo criado.129
    Prototipagem de políticas (Policy Prototyping) Um protótipo de políticas pode ser uma
    forma mais rápida de entender o valor e
    impacto de uma norma, antes de sua
    publicação. O protótipo seria uma
    versão simplificada de implementação
    normativa, com poucos recursos e mais
    rápida de estabelecer, que pode ser
    usada para definir se a norma atende
    aos objetivos pretendidos.130 A
    prototipagem pode ser realizada por
    uma autoridade reguladora
    (normalmente num contexto de um
    sandbox, para rascunhar políticas
    públicas), ou por iniciativa do setor
    privado, como é o caso do projeto Open
    Loop.131
    Fonte: autores do estudo.
    129 EUROPEAN COMMISSION. What is a hackathon? [S.l.]: European Commission, 2019. Disponível em:
    https://cros-legacy.ec.europa.eu/content/what-hackathon_en. Acesso em: 17 nov. 2022.
    130 KONTSCHIEDER, Verena. Prototyping in Policy: What For?! [S.l.]: Stanford Law School, 2018.
    Disponível em: https://conferences.law.stanford.edu/prototyping-for-policy/2018/10/22/prototyping-in-policywhat-for/. Acesso em: 28 mar. 2023.
    131 C MINDS. Open Loop Uruguay. Disponível em: https://es.cminds.co/open-loop-uruguay Acesso em: 28
    mar. 2023.

Membro
Cadastramento

Por favor, preencha todos os campos abaixo para prosseguir com o seu cadastro. Ao concluir, você será direcionado à página de pagamento. Seu cadastro é o primeiro passo para acessar nossos serviços exclusivos. Agradecemos a preferência!”

Preencha os dados do cartão de crédito abaixo.