ANPD X META: Uma nova fase da regulação de I.A’s no Brasil

ANPD determina suspensão cautelar do tratamento de dados pessoais para treinamento da IA da Meta

Autoridade Nacional de Proteção de Dados (ANPD) emitiu ontem (02/07), Medida Preventiva determinando a imediata suspensão da vigência da nova política de privacidade da empresa Meta no Brasil, que autorizava o uso de dados pessoais publicados em suas plataformas para fins de treinamento de sistemas de inteligência artificial (IA). 

A medida se refere à atualização na política de privacidade da empresa que entrou em vigor no último dia 26 de junho. A nova política se aplica aos “Produtos da Meta”, que incluem o Facebook, o Messenger e o Instagram, e permite que a empresa utilize informações publicamente disponíveis e conteúdos compartilhados por usuários de suas plataformas para treinamento e aperfeiçoamento de sistemas de IA generativa. Tal tratamento pode impactar número substancial de pessoas, já que, no Brasil, somente o Facebook possui cerca de 102 milhões de usuários ativos.

A ANPD tomou conhecimento do caso e instaurou processo de fiscalização, em função de indícios de violações à LGPD. Diante dos riscos de dano grave e de difícil reparação aos usuários, a Autoridade determinou cautelarmente a suspensão da política de privacidade e da operação de tratamento.

Em voto do Conselho Diretor, o entendimento foi de que há constatações preliminares suficientes para expedição da Medida Preventiva. São elas: 

• Suspenção imediata da Política de Privacidade da Meta Brasil, em relação ao uso de dados utilizados para treinar a Inteligência Artificial Generativa.
• Multa diária de R$50.000 por dia de descumprimento da preventiva, devendo a Meta comprovar a suspensão do uso dos dados para essa finalidade em até 5 dias úteis a partir da notificação.

A fundamentação utilizada para a aplicação das medidas foram as seguintes:

• Base Legal Inadequada:

A Meta utilizava a Hipótese Legal do Legítimo Interesse para o tratamento descrito, porém, a ANPD argumentou que essa Hipótese não pode ser aplicada a tratamentos que envolvam dados sensíveis, como possíveis imagens ou vídeos de titulares que poderiam caracterizar esse teor, conforme entendimento da Autoridade. A ANPD ainda entendeu que não é expectativa do Titular o uso de TODAS suas informações, inclusive aquelas mais antigas como fotos ou vídeos, para o treinamento de IA’s, sendo que a coleta massiva de dados para essa finalidade não é estritamente necessária.

• Falta de Transparência:

Restou identificado que a comunicação de alteração da Política de Privacidade da Meta no Brasil foi menos divulgada que na Europa. A meta também não deixou claro em seu documento ou sítios eletrônicos como os dados são utilizados para treinar a IA, sendo que os usuários titulares dos dados não foram adequadamente informados sobre o tratamento que estava sendo realizado com suas informações.

• Limitação ao Exercício de Direitos dos Titulares:

Não foi identificado no tratamento a inclusão de opções de Opt-Out (Mecanismo de revogação de consentimento) de fácil acesso, o titular que tenta exercer seu direito por esse meio precisa passar por etapas muito longas e complexas, o que foi entendido como a ANPD como prática irregular que restringe o acesso dos titulares aos seus Direitos protegidos pela Constituição Federal.

• Uso de Dados de Crianças e Adolescentes

Conforme apontado pela Autoridade, foi verificado que a Meta não menciona a coleta de dados de menores de 18 anos para treinamento da IA, sendo que a utilização dessa categoria de informações exige medidas de segurança adicionais de proteção as informações para garantia dos direitos da criança e do adolescente para avaliação e mitigação de riscos.

O tratamento de dados para esse caso ainda deve atender o “melhor interesse” da criança e do adolescente, conforme exige a LGPD, o que não foi identificado no tratamento referido.

Consequências

As irregularidades apontadas pela ANPD podem representar os seguintes riscos aos titulares de dados:

• Violação do Direito Fundamental a Proteção de Dados Pessoais, conforme determina a Constituição Federal;
• A criação de conduta consuma de tratamento irregular, tendo em vista a quase impossível reversão do tratamento com a complexidade necessária para exclusão dos dados já utilizados pela IA.
• Riscos de exposição indevida de informações de crianças e adolescentes.

Regulação da Inteligência Artificial

O caso acima é importante para avaliarmos a importância da implementação de medidas que vão além da simples proteção de dados pessoais quando o tratamento pretendido envolve a utilização de tecnologias de inteligência artificial generativa, como a da Meta.

Recentemente o Parlamento Europeu aprovou o Regulamento Inteligência Artificial, que garante a segurança e o respeito dos direitos fundamentais, impulsionando simultaneamente à inovação.

O regramento adotado pelos países da União Europeia tem o objetivo de garantir o maior controle do uso ético das ferramentas de inteligência artificial empregadas em diversas funcionalidades do dia-a-dia, o que envolve em diversos momentos o uso de dados pessoais e decisões automatizadas com análises realizadas por IA’s.

O Brasil tem seguido a mesma linha que os países europeus. Diante do novo cenário das IA’s no País, a regulamentação desse campo se tornou necessária, uma vez que a IA incide em diversos setores da sociedade sem uma regulamentação especifica para estabelecer mecanismos de controle para utilização da tecnologia com intuito de salvaguardar que a tecnologia tenha como princípio e fim as pessoas naturais. A matéria prima utilizada para o desenvolvimento da IA são bases de dados, que podem ser pessoais, assim, como será a proteção desses dados pessoais e a responsabilidade civil em caso de violação de uma série de direitos, como o direito autoral, direito de privacidade e direito de proteção de dados pessoais?

PL 2.338/23

Tramita no senado Federal, o PL 2.338/23, de autoria do senador Rodrigo Pacheco, que estabelece normas gerais para a regulamentação da IA. O PL busca proteger os direitos fundamentais e garantir a implementação de sistemas seguros e confiáveis, em prol da pessoa humana e do desenvolvimento científico e tecnológico, como próprio dispõe o art. 1 do PL.

A regulamentação não tem o objetivo de barrar os avanços tecnológicos da IA, mas sim oferecer tanto um resguardo da preservação dos direitos e liberdades da sociedade, bem como para garantir segurança jurídica para que as próprias empresas do setor tenham uma base legal definida para nortear a sua atuação. É nesse contexto que o Compliance Digital entra em evidência

Compliance Digital

Compliance digital é o conjunto de práticas e procedimentos que objetivam a conformidade com regulamentações (como as de Proteção de Dados e IA’s), políticas internas e padrões de segurança relacionados à tecnologia da informação e à proteção de dados. Ele abrange áreas como privacidade, segurança cibernética, governança de TI e ética na utilização de sistemas digitais. O compliance digital visa mitigar riscos, promover a transparência e assegurar que a empresa opere dentro dos limites legais e éticos

O compliance digital assegura que as organizações estejam em conformidade com essas leis, garantindo o tratamento seguro dos dados dos usuários e buscando equilibrar a exponencial inovação tecnológica com a proteção dos indivíduos.

Isso envolve políticas de proteção de dados, consentimento adequado e medidas de segurança para mitigar riscos cibernéticos.

Priorizando a Privacidade: Na Zalaf Advogados, acreditamos que os sistemas de IA devem priorizar a privacidade das pessoas e os direitos dos titulares de dados. Regulamentações são necessárias para garantir que a IA beneficie a sociedade sem prejudicar os indivíduos