Os impactos do novo cenário geopolítico na governança da privacidade e da proteção de dados
Ao longo do Século XX, poucos recursos deram origem a tantos conflitos — internos e externos, econômicos e militares, políticos e sociais — quanto o petróleo. Pela seu valor estratégico, grandes potências e grandes produtores se colocaram ao longo de décadas em um grande tabuleiro global, cada um buscando mover as peças de modo a garantir o seu interesse, quase sempre tendo questões de segurança nacional (não só militar, mas de segurança energética e econômica também) para justificar ações que geralmente se davam no limite das regras do direito internacional, ou não raro, muito fora deles. Controlar ou influir nos rumos do petróleo no mundo, por todo esse período, foi sinônimo de poder. E ainda hoje, em meio às discussões sobre a diminuição do uso de combustíveis fósseis e a necessidade de uma transição energética, o petróleo ainda exerce um papel muito relevante na geopolítica mundial.
Agora, voltemos à década passada. Com a emergência de novas tecnologias, como big data e machine learning (que é um ramo da IA), aliado ao avanço do e-commerce e das gigantes de redes sociais com os seus algoritmos disseminando conteúdos e publicidade assertiva para cada usuário, o uso de dados mudou de patamar. De repente, toda aquela informação sobre clientes disponíveis passou a ganhar uma importância estratégica. Não que os tradicionais CRM´s não fossem utilizados pelas empresas, mas é que com o avanço da digitalização e das novas ferramentas, o que se passou a poder fazer com esses dados foi coisa de outro mundo. Daí que emerge um novo conceito entre os estudiosos de áreas como tecnologia, varejo e consumo: “data is the new oil”, ou dados são o novo petróleo. A interpretação original dessa analogia é a de que os dados, assim como o óleo negro, só geram valor quando são extraídos e trazidos a superfície. E quanto mais se trabalha e se refina, mais valor ele vai agregando ao longo dessa cadeia. É lógico que a analogia faz sentido. Mas existe outro aspecto em comum que reforça o valor da analogia, justamente o valor geopolítico que os dados passaram a ter hoje num contexto de disputas de poder global muito baseadas em uma corrida por dominância de novas tecnologias, caso da própria IA e de tudo o que ela traz consigo, como os enormes bancos de dados de linguagem (LLM, na sigla em inglês). Todo esse processo depende muito, mas muito mesmo, do acesso a dados, inclusive para treinar os modelos de IA, o que tem feito dirigentes de grandes companhias do setor dizer que impedir o treinamento das IAs com esses dados representaria um grande atraso no seu desenvolvimento.
É uma mudança de paradigma. Na última década o desenvolvimento da proteção de dados foi pautado majoritariamente pela conformidade regulatória e pelo respeito aos direitos individuais – exemplificada pelo marco da GDPR, a legislação europeia de proteção de dados pessoais, uma espécie de padrão de referência para as leis nacionais sobre o tema em todo o mundo. E essa demanda pela privacidade do uso dos dados pessoais segue de pé e forte.
Agora, o momento de instabilidade geopolítica — marcado pelo avanço nas disputas entre potências como Estados Unidos e China, e no papel que outros agentes estrangeiros, notadamente a Rússia, têm a partir do uso de dados para tentar desestabilizar sistemas, por meio de uma guerra de desinformação — vem levando governos a repensarem como tratar da privacidade e da proteção de dados pessoais.
E mais. Em meio ao avanço do nacionalismo e de políticas antiimgração em vários países, existe um temor do abuso do uso de dados pessoais para perseguir esses cidadãos, não raro também sob o pretexto da segurança nacional.
A instabilidade do ambiente internacional e o acirramento das disputas tecnológicas entre as grandes potências vem resvalando cada vez mais no ambiente das grandes corporações globais e colocado os dados sob sua posse sujeitos a ataques não só de hackers em busca de recompensas, ou de concorrentes, mas também a agentes estrangeiros em meio a esse novo tabuleiro geopolítico. “As empresas passam a ver o momento geopolítico como fator de risco (ou mitigatório de riscos) para a tomada de decisão”, diz Adriana Medeiros Gonçalves, gerente de Compliance e DPO da ePharma, uma empresa que presta serviços de administração de benefícios e relacionamento com os pacientes à empresas do setor da saúde. Ela acredita que, influenciadas pelo posicionamento político mundial, as companhias podem vir a alterar o planejamento e escopo dos respectivos programas de governança e proteção de dados, assim como já fizeram em outras frentes. “Vimos grandes empresas mudarem seus programas de diversidade e paralisarem o monitoramento da veracidade das informações circulando pelas redes sociais, logo após uma movimentação política relevante mundialmente”, emenda a executiva.
Nesse tabuleiro, as empresas deixam de ser meras observadoras e passam a ocupar uma posição delicada. Não se trata mais apenas de adaptar contratos ou políticas de cookies. As companhias estão sendo pressionadas a escolher lados ou a adaptar suas operações para navegar em um oceano de regulações conflitantes, onde a neutralidade é cada vez mais difícil de sustentar. O tema da privacidade tornou-se uma questão bem mais complexa e sensível para as companhias.
Espionagem, sabotagem e a militarização do ciberespaço
A instabilidade geopolítica não atua apenas como um pano de fundo diplomático distante; ela altera fisicamente e operacionalmente a natureza das ameaças digitais que as empresas enfrentam no dia a dia. Segundo a análise dos líderes da área nas empresas, estamos vivenciando uma clara “militarização da cibersegurança”, onde os ataques deixam de ser incidentes isolados de criminalidade para se tornarem ferramentas táticas de disputas entre nações. “A corrente que estabelece entre os países uma nacionalização de bases que visem a proteção de seus interesses estratégicos, incita a necessidade de que quaisquer políticas de proteção de dados sejam revistas sob o aspecto de prevenção customizada”, acredita Laís Penna, diretora de Integridade da Vibra Energia, distribuidora que é uma das maiores empresas do Brasil em volume de vendas. Ela também aponta a necessidade de entendimento profundo dos profissionais da área para esse tema, já que eles podem se deparar com desafios de implicações e restrições voltadas para segurança nacional. “A crescente tensão entre EUA e China, por exemplo, catalisa uma nova fase de soberania de dados ou “data sovereignty”, em que o controle sobre dados passa a ser tratado não apenas como uma questão de compliance ou direito fundamental, mas como um ativo estratégico e de segurança nacional”, corrobora Gustavo Godinho, Head Jurídico, Regulatório e DPO da Foggo Entertainment, que controla as bets Blaze e Jonbet.
Diferente do cibercrime comum, focado majoritariamente em lucro rápido e extorsão (o ransomware clássico), as novas ameaças carregam motivações políticas, ideológicas e econômicas de longo prazo. “Os conflitos geopolíticos funcionam como gatilhos para ataques cibernéticos”, afirma Aline Faria Santos, gerente de Governança, Riscos e Compliance do Grupo SADA, que opera em várias áreas de negócios, como logística automotiva, agronegócio e comunicação. Nesse cenário, empresas que armazenam vastos volumes de dados pessoais ou segredos industriais ascendem à condição de “alvos estratégicos”. Visa-se a espionagem persistente, a sabotagem industrial ou a apropriação de informações sensíveis que possam conferir vantagem competitiva ou estratégica a um país rival.
Partindo da teoria para a prática, já se aponta para riscos concretos que devem constar nas matrizes de risco corporativas. O “apagão cibernético” é citado como uma ferramenta prevista em cenários de disputa, capaz de paralisar operações críticas de infraestrutura, logística e comunicações. Além disso, há um aumento perceptível na insegurança governamental e financeira, o que impacta diretamente no crescimento de fraudes digitais e vazamentos de dados massivos.
A vigilância e a espionagem tornaram-se preocupações reais, forçando as organizações a considerarem a hipótese de que seus dados podem estar sendo monitorados não por hackers de porão, mas por agências de inteligência de potências estrangeiras.
A chamada “guerra tecnológica” envolve disputas pelo controle de infraestruturas críticas. Setores essenciais, como o de saúde, energia e telecomunicações, são apontados como alvos preferenciais nessas guerras híbridas. A criticidade e a sensibilidade dos dados de saúde, por exemplo, tornam hospitais e seguradoras pontos de pressão ideais para ataques que visam gerar caos social. A interligação entre segurança nacional e fluxos de dados expõe empresas globais a riscos elevados, onde a proteção de dados precisa ir muito além da defesa convencional, preparando-se para enfrentar ofensivas que buscam desestabilizar economias inteiras.
Guerra das regulações
Um dos impactos mais estruturais desse novo conflito é o fenômeno conhecido como fragmentação regulatória ou “balkanização” da internet. A visão idealista de uma rede global, aberta, sem fronteiras e interoperável está dando lugar a blocos digitais fechados e desconfiados. Na prática, isso se traduz em legislações nacionais que impõem barreiras severas à transferência internacional de dados sob a justificativa da “soberania digital”. “A desconfiança mútua entre as potências têm levado à imposição de restrições legais para o tráfego de informações entre países, especialmente quando envolvem dados sensíveis de cidadãos ou informações estratégicas”, aponta Vivian Meyer Marshall de Albuquerque, DPO da Federação das Indústrias do Ceará (FIEC).
Políticas nacionais de privacidade estão sendo reescritas com um viés protecionista. Exigências de armazenamento local de dados tornam-se cada vez mais comuns, obrigando empresas multinacionais a duplicar infraestruturas físicas, segregando operações por continente ou país. Isso faz com que o custo de conformidade dispare, dificultando não só o fluxo internacional de informações, mas como lembra Raissa Moura, Global Data Protection Officer do NuBank, que opera em vários mercados da América Latina, “exigindo adaptações constantes nos programas de privacidade das empresas que operam em diferentes jurisdições”. O que é exigido na Europa ou nos Estados Unidos pode ser proibido ou restrito na Ásia, e vice-versa. Não há mais um padrão único; são múltiplos padrões conflitantes.
Essa “guerra de regulações” cria um verdadeiro labirinto para os profissionais de privacidade e proteção de dados, e para todos os que apoiam este tema, como os departamentos jurídico e de compliance (isso quando o tema não está “acoplado” a uma dessas áreas). Recentes movimentos legislativos nos Estados Unidos, como ordens executivas visando restringir o acesso de certos países a dados sensíveis de cidadãos americanos, ilustram bem a gravidade desse cenário. Do outro lado do globo, legislações de segurança de dados na China e na Rússia impõem controles rígidos sobre o que pode sair das fronteiras, sob pena de sanções severas. “Muitos países estão acelerando a criação de infraestruturas próprias (como clouds soberanas), restringindo o uso de tecnologias estrangeiras e adotando frameworks que dificultam a interoperabilidade internacional de dados — o que, inevitavelmente, recai sobre a operação das empresas e impõe desafios à inovação”, reconhece Godinho, da Foggo.
As empresas brasileiras com atuação global — ou aquelas que simplesmente dependem de fornecedores nessas regiões — se veem no meio desse fogo cruzado. Elas precisam garantir que seus contratos e fluxos de dados não violem sanções comerciais ou restrições de segurança nacional de terceiros, transformando a gestão de privacidade em uma atividade de diplomacia corporativa. Por isso, o executivo da Foggo entende que as empresas que adotarem uma abordagem de privacidade por design robusta, com ferramentas de monitoramento contínuo de riscos e soluções modulares de conformidade, estarão em vantagem competitiva em meio a uma nova era de privacidade e proteção de dados, em que tecnologia, soberania e negócios se entrelaçam de forma inédita. “É nesse tipo de cenário dinâmico que o entusiasmo por novas tecnologias, aliado a uma visão jurídica estratégica e a uma gestão ágil, faz toda a diferença para navegar com segurança e inovação”, reforça Godinho.
O campo de batalha da IA
Se os dados foram tratados como o “novo petróleo”, a inteligência artificial é o novo motor de combustão que dita quem lidera a corrida econômica global. A disputa geopolítica deslocou o eixo das preocupações tecnológicas: não se discute mais apenas a conformidade ética do algoritmo (algo bastante questionável), mas a própria soberania sobre a capacidade de processamento e inovação.
A percepção de que a dinâmica mudou é cristalina. Uma competição global baseada em infraestrutura robusta com chips avançados, modelos de linguagem proprietários (LLMs) e capacidade computacional bruta tornaram-se ativos estratégicos tão valiosos quanto territórios ou recursos naturais. Organizações que dependem exclusivamente de soluções externas de IA e analytics enfrentam agora riscos concretos de perda de “soberania tecnológica”, podendo ver sua continuidade operacional ameaçada por embargos, aumento súbito de preços ou restrições de acesso a essas tecnologias de ponta.
Essa “guerra tecnológica” impõe um dilema para as empresas: como inovar dependendo de fornecedores situados em polos de conflito? A instabilidade geopolítica acrescenta uma camada de complexidade e incerteza ao uso de novas tecnologias. O risco latente é que as decisões políticas nacionais, visando proteção e fomento da indústria local, resultem em regras excessivamente restritivas ou no bloqueio sumário de tecnologias estrangeiras. Isso tornaria o desenvolvimento econômico baseado em IA extremamente custoso e burocrático para empresas locais, dificultando a gestão de riscos e reduzindo a competitividade em escala global.
No Brasil, essa tensão não é teórica; ela já influencia os bastidores do legislativo. A pressão por soberania digital impacta diretamente a interpretação da LGPD e, mais crucialmente, o desenvolvimento do Projeto de Lei de Inteligência Artificial (PL 2338). A necessidade de autonomia e desenvolvimento tecnológico soberano está moldando as regras e exigindo das empresas certo alinhamento com interesses nacionais.
Se o uso de IA sem controle representa um risco ampliado pela instabilidade global, a governança de IA não pode mais andar sozinha. As empresas precisam garantir medidas técnicas que sustentem o negócio frente a um mercado fragmentado, inibindo a utilização de ferramentas que, sob a ótica geopolítica, possam representar portas de entrada para vigilância estrangeira ou vulnerabilidades sistêmicas.
Due diligence geopolítica
A tensão internacional também força uma reavaliação profunda da cadeia de suprimentos relacionada com a proteção de dados. A escolha de um provedor de nuvem, de uma plataforma de videoconferência ou de um fornecedor de software de RH, deixou de ser uma decisão baseada apenas em critérios técnicos, de funcionalidade ou de custo. Ela também carrega um risco geopolítico que precisa ser considerado.
Organizações que dependem exclusivamente de tecnologias estrangeiras começam a enxergar riscos reais de continuidade de negócios. Isso reforça a busca por “soberania tecnológica” e redundância, onde empresas e governos tentam reduzir a dependência externa em áreas críticas, buscando fornecedores nacionais (“near-shoring”) ou de países aliados (“friend-shoring”).
Para os DPOs e gestores de privacidade e proteção de dados, isso significa que a due diligence de terceiros que de alguma forma armazenam ou tocam esses dados, deve evoluir. É preciso saber qual a sua origem, quem são seus acionistas, a quem ele responde legalmente e se há risco de o governo de seu país de origem exigir acesso aos dados ali armazenados (como permitem leis extraterritoriais como o CLOUD Act nos EUA ou a Lei de Inteligência Nacional na China).
O Brasil no meio da tensão
Embora o Brasil não seja o protagonista direto da disputa hegemônica entre EUA e China, o país e suas empresas sentem os efeitos colaterais de forma intensa. “Acredito ser bastante provável que os conflitos geopolíticos resvalem nas atividades de privacidade e proteção de dados, principalmente no Brasil, devido à baixa maturidade do tema em nosso país”, alerta Felipe Raddi, DPO do Hospital Alemão Oswaldo Cruz. A Lei Geral de Proteção de Dados (LGPD), inspirada no modelo europeu, está sendo testada e estressada nesse cenário. A pressão internacional por soberania digital influencia debates regulatórios da lei brasileira e pressiona a atuação da Autoridade Nacional de Proteção de Dados (ANPD). “Para tentar mitigar esses impactos precisamos fortalecer as regulamentações e leis de proteção de dados e privacidade, fazendo com que as exigências sejam mais rigorosas e a padronização uma tônica essencial para colocar todos na mesma página”, segue Raddi.
As regras de transferência internacional de dados tornam-se ainda mais críticas para impedir que informações de cidadãos brasileiros sejam instrumentalizadas em disputas externas. Além disso, setores estratégicos da economia nacional, como o agronegócio, o sistema financeiro e a infraestrutura pública, precisam estar alertas para não se tornarem vetores de ataques laterais. As empresas brasileiras que conseguirem demonstrar robustez em seus programas de privacidade terão vantagem competitiva na atração de investimentos e parcerias internacionais.
Diante desse quadro de instabilidade e insegurança, a governança de dados nas empresas precisa evoluir drasticamente. Os responsáveis pela área vão precisar atuar de forma mais estratégica e transversal, não só envolvendo as áreas com as quais já se relaciona historicamente, como jurídico e tecnologia e segurança de informação, mas também com novas frentes como Relações Internacionais e Relações Governamentais.
As políticas corporativas que ignorarem essa realidade estarão vulneráveis não apenas a multas da ANPD, mas a riscos existenciais de bloqueios comerciais e ataques estatais. Em um mundo fragmentado, quem conseguir garantir a segurança e a integridade dos dados, navegando com habilidade entre as diferentes jurisdições e tensões políticas, terá a confiança do mercado.
Conheça o Governança de Inteligência Artificial e Proteção de Dados + Dupla Certificação CPPD-IA e BCS AIF
