Migalhas de IA e Proteção de Dados

Proteção de dados pessoais nas contratações públicas de Inteligência Artificial – Parte I

A regulação da IA está na ordem do dia tendo em vista à impossibilidade de se ignorar o fato de que é cada vez mais comum a disponibilização de bens e serviços com base em IA.

1/7/2022

A operacionalização de sistemas de Inteligência Artificial envolve, no mais das vezes, o tratamento de conjunto expressivo de dados pessoais. Nessa toada, a Inteligência Artificial e a Proteção de Dados Pessoais constituem campos de estudo que se atravessam mutuamente.

De outra parte, também se sustenta, de há muito, a superação definitiva da dicotomia entre direito público e direito privado, proporcionando a interpenetração das searas e a redefinição permanente da noção de ordem pública. Sobressai, nesse sentido, a necessidade de tutela e de promoção, em todas as relações intersubjetivas, dos valores que emanam da escala constitucional.

O direito à proteção dos dados pessoais, previsto expressamente como direito fundamental no novo inciso LXXIX do artigo 5º da Constituição da República de 1988, é aplicado tanto na relação entre indivíduo e Poder Público quanto entre particulares. Assim, a atuação dos agentes sociais públicos e privados, como na hipótese de aplicação de tecnologias de Inteligência Artificial, só terá lugar na medida em que for merecedora de tutela à luz da legalidade constitucional.

O objeto deste ensaio se situa na zona de interseção entre esses campos de estudo: cuida-se do exame das contratações públicas de Inteligência Artificial, com enfoque no tratamento de dados pessoais pelo Poder Público. O trabalho se dividirá em duas partes. Nesta primeira, a análise recai sobre a relação imbricada entre Inteligência Artificial e Proteção de Dados Pessoais, bem como sobre os conceitos e bases legais previstos na disciplina da lei 13.709/2018 (LGPD). Na Parte II, será abordada a conformação imposta pela ordem jurídica ao tratamento de dados pessoais pelo Poder Público no bojo da operacionalização de sistemas de Inteligência Artificial.

Como visto, a Constituição da República de 1988 contempla, como direito fundamental, o direito à proteção dos dados pessoais. O inciso LXXIX do artigo 5º da Carta Magna, incluído pela Emenda Constitucional nº 115, de 10 de fevereiro de 2022, prevê que “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.

Todavia, mesmo antes do advento da EC nº 115/2022, o Supremo Tribunal Federal já havia reconhecido, em 2020, a autonomia desse, por assim dizer, novo direito fundamental, ao referendar a medida cautelar deferida para suspender a eficácia da MP 954/2020 (ADIs 6.387, 6.388, 6.389, 6.390 e 6.393). Em essência, o direito à proteção dos dados pessoais é diretamente informado pelo princípio da dignidade da pessoa humana, fundamento do sistema jurídico (art. 1º, III, CRFB).

Se a proteção dos dados pessoais constitui direito fundamental e se a utilização de tecnologias de Inteligência Artificial no setor público envolve, em geral, o tratamento de conjunto expressivo de dados pessoais, revela-se inequívoca a relação umbilical entre os dois campos de estudo. A operacionalização de sistemas de Inteligência Artificial deverá respeitar o direito fundamental à proteção dos dados pessoais, como tem sido colocado em evidência nas regulamentações e nos estudos sobre o tema. Vejam-se alguns exemplos.

Na Estratégia Brasileira de Inteligência Artificial (EBIA), afirma-se que se afigura “fundamental que os princípios da IA estejam alinhados com os da LGPD e que os valores da proteção de dados sejam considerados tanto na aquisição quanto no desenvolvimento e uso dessas tecnologias”, considerando o tratamento massivo de dados (big data) (anexo da Portaria MCTI 4.617, de 6 de abril de 2021, alterado pela Portaria MCTI 4.979, de 13 de julho de 2021).

No texto do PL 21/2020, submetido pela Câmara dos Deputados à apreciação do Senado Federal, ainda em trâmite, são previstos como fundamentos do desenvolvimento e da aplicação da Inteligência Artificial no Brasil a proteção de dados pessoais e a harmonização com a LGPD (art. 4º, VIII e XV). Também é contemplado como princípio a “centralidade do ser humano”, consubstanciada no “respeito à dignidade humana, à privacidade, à proteção de dados pessoais e aos direitos fundamentais” (art. 5º, II).

Na relação entre direito e tecnologia, a resolução 332, de 21 de agosto de 2020, do Conselho Nacional de Justiça (CNJ), que “dispõe sobre a ética, a transparência e a governança na produção e no uso de Inteligência Artificial no Poder Judiciário”, toma por premissa que a operacionalização de tais sistemas “deve respeitar a privacidade dos usuários, cabendo-lhes ciência e controle sobre o uso de dados pessoais”. Além disso, estipula-se que “quando o desenvolvimento e treinamento de modelos de Inteligência exigir a utilização de dados”, as amostras deverão “ser representativas e observar as cautelas necessárias quanto aos dados pessoais sensíveis e ao segredo de justiça” (art. 6º, caput).

Dentre os estudos sobre o tema, no “Guia de Contratações Públicas de Inteligência Artificial", elaborado pelo Centro para a 4ª Revolução Industrial do Brasil (C4IR Brasil), fruto de uma parceria entre o Fórum Econômico Mundial, a União, o Estado de São Paulo e a iniciativa privada, a incorporação de “todas as exigências da legislação referente à proteção de dados e boas práticas aplicáveis à solução de IA” consta como uma das diretivas incidentes no âmbito público. Isso porque a “adoção de tecnologias como IA e aprendizado de máquina no setor público pressupõe acesso e tratamento de um conjunto expressivo de dados, internos e/ou externos à organização”.

Já no relatório "Recomendações de governança: uso de Inteligência Artificial pelo Poder Público", elaborado pela Transparência Brasil, a “efetiva proteção dos dados pessoais do cidadão” é prevista como uma das quatro recomendações aplicáveis. Destaca o estudo que “o emprego de tecnologias de IA” demanda, no mais das vezes, “o processamento de grande quantidade de dados para o treinamento do modelo, impulsionando a criação e/ou a disponibilização de bancos de dados pessoais massivos”.

O tema da proteção de dados pessoais, até 2018, era objeto apenas de tutela legislativa esparsa no direito brasileiro. Todavia, como se sabe, em 14 de agosto de 2018 foi editada a lei 13.709/2018, que contempla disciplina específica para o tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou privado (art. 1º). A Lei Geral de Proteção de Dados Pessoais aplica-se, portanto, direta e imediatamente, à atuação estatal. Desse modo, a operacionalização de sistemas de Inteligência Artificial que envolva o tratamento de dados pessoais pelo Poder Público deverá guardar observância à disciplina da LGPD.

A lei 13.709/2018 conceitua dado pessoal como aquele titularizado por pessoa natural identificada ou identificável, excluindo de sua proteção a informação relativa à pessoa jurídica (art. 5º, I e V). Tutela-se, assim, a noção de personalidade como valor, isto é, conjunto de predicados da pessoa humana, sempre concebida como fim em si mesma, a qual se diferencia do conceito de subjetividade, que diz com a aptidão para ser sujeito de direito, e incide para a pessoa natural e para a pessoa jurídica. A premissa de inaplicabilidade às pessoas jurídicas da proteção conferida pela LGPD foi, aliás, consignada no Enunciado 693, aprovado na IX Jornada de Direito Civil do Conselho da Justiça Federal (CJF), realizada em 19 e 20 de maio de 2022.

Por outro lado, com relação ao dado pessoal sensível, a LGPD traz lista exemplificativa em seu artigo 5º, II: informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. A qualificação de determinado dado pessoal como sensível deve ocorrer concretamente, conforme a identificação da maior probabilidade de uso discriminatório por terceiros.

São denominadas de bases legais as hipóteses autorizativas de tratamento de dados pessoais elencadas na LGPD. O consentimento é apenas uma das bases legais, inexistindo hierarquia entre elas, como reconhecido pelo Enunciado nº 689 da recente IX Jornada de Direito Civil. Assim, quando o tratamento a ser realizado pelo Poder Público se enquadrar em uma das hipóteses previstas na LGPD que autorizam operações com dados pessoais independentemente de consentimento, este estará dispensado. Caberá, portanto, à Administração Pública fundamentar o tratamento pretendido em uma das bases legais previstas nos artigos 7º e 11.

O artigo 7º da Lei Geral de Proteção de Dados Pessoais contempla como bases legais, em linhas gerais: (i) consentimento; (ii) cumprimento de obrigação legal ou regulatória; (iii) execução de políticas públicas; (iv) realização de estudos por órgão de pesquisa; (v) execução de contrato ou de procedimentos preliminares relacionados a contrato; (vi) exercício regular de direitos em processo judicial, administrativo ou arbitral; (vii) proteção da vida ou da incolumidade física do titular ou de terceiro; (viii) tutela da saúde; (ix) legítimo interesse; (x) proteção do crédito.

De outro giro, o artigo 11 da lei 13.709/2018 fornece disciplina específica para os dados pessoais sensíveis e prevê, resumidamente, as seguintes bases legais: (i) consentimento; (ii) cumprimento de obrigação legal ou regulatória; (iii) execução de políticas públicas; (iv) realização de estudos por órgão de pesquisa; (v) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; (vi) proteção da vida ou da incolumidade física do titular ou de terceiro; (vii) tutela da saúde; (viii) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

No caso de tratamento de dados de crianças, coloca-se em questão a previsão do artigo 14, § 1º, da LGPD, que demanda a obtenção de consentimento específico e em destaque de um dos pais ou do responsável legal do menor. Todavia, insista-se, inexistindo hierarquia entre as bases legais e sendo o consentimento apenas uma das hipóteses autorizativas, a interpretação sistemática a ser dada à legislação é a de que também podem incidir, para dados de crianças, as bases legais previstas nos artigos 7º e 11, respeitado o princípio do melhor interesse (art. 14, caput, LGPD). Este entendimento foi, aliás, adotado no Enunciado nº 684 da já referida IX Jornada de Direito Civil.

De outra parte, a lei 13.709/2018 autoriza a transferência internacional de dados pessoais nos casos expressamente previstos em seu artigo 33. Destacam-se, em tema de tratamento de dados pessoais pelo Poder Público, as hipóteses em que a transferência internacional for necessária: (i) para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade, nos termos do artigo 23, caput, inciso I, da lei e (ii) para o cumprimento de obrigação legal ou regulatória pelo controlador (arts. 33, VII e IX, c/c art. 7º, II, LGPD). Dispensa-se a obtenção de consentimento do titular.

Por outro lado, também se admite o compartilhamento de dados pessoais com outros entes públicos ou com entidades privadas. Tanto no caso de compartilhamento público-público (art. 26, caput, LGPD) quanto na hipótese de compartilhamento público-privado (arts. 26, § 1º, e 27, LGPD), o consentimento do titular poderá ser dispensado.

O compartilhamento público-público está previsto no caput do artigo 26 da lei 13.709/2018. O dispositivo exige que o uso compartilhado de dados pessoais pelo Poder Público atenda a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, bem como respeite os princípios elencados no artigo 6º da lei, quais sejam, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas. Registre-se que, quando empresas públicas e sociedades de economia mista estiverem operacionalizando políticas públicas, e no âmbito da execução delas, receberão o mesmo tratamento dado aos órgãos e às entidades do Poder Público (artigo 24, parágrafo único, LGPD).

Já o compartilhamento público-privado demandará a observância das regras previstas nos artigos 26, § 1º, e 27 da Lei nº 13.709/2018, que devem ser interpretadas à luz das bases legais elencadas nos artigos 7º e 11.

Nos termos do artigo 26, § 1º, da LGPD, faz-se, em regra, vedada a transferência pelo Poder Público de dados pessoais constantes das bases a que tenha acesso a entidades privadas, com exceção das hipóteses a seguir sintetizadas: (i) execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado; (ii) dados acessíveis publicamente; (iii) previsão legal ou respaldo em contratos, convênios ou instrumentos congêneres; (iv) se objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

De acordo com o artigo 27 da Lei Geral de Proteção de Dados Pessoais, a comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado demanda consentimento do titular, a não ser que: (i) reste configurada hipótese de dispensa de consentimento prevista na lei; (ii) ocorra o uso compartilhado de dados, caso em que será dada publicidade nos termos do artigo 23, caput, inciso I, da LGPD; (iii) incidam as exceções elencadas no referido artigo 26, § 1º. Há uma certa dificuldade interpretativa neste artigo 27, que pode ser solucionada por meio do recurso às bases legais previstas nos artigos 7º e 11.1

A análise até aqui efetuada pode ser ilustrada a partir das duas bases legais que guardam significativa afinidade com o agir administrativo: cumprimento de obrigação legal e execução de políticas públicas. À luz da disciplina da LGPD, nestas duas hipóteses, poderá ocorrer, independentemente de consentimento do titular: (i) tratamento de dado pessoal; (ii) tratamento de dado pessoal sensível; (iii) tratamento de dado de criança e adolescente; (iv) transferência internacional de dado pessoal; (v) compartilhamento público-público; (vi) compartilhamento público-privado.

Isso posto, a Parte II do trabalho examinará como o tema do tratamento de dados pessoais pelo Poder Público se coloca no bojo da operacionalização de sistemas de Inteligência Artificial. Até lá!

__________

1 Miriam Wimmer. O regime jurídico do tratamento de dados pessoais pelo Poder Público. In: Laura Schertel Mendes; Danilo Doneda; Ingo Wolfgang Sarlet; Otavio Luiz Rodrigues Júnior; Bruno Bioni (coords.). Tratado de proteção de dados pessoais. Rio de Janeiro: Forense, 2021, p. 295, E-book.

Veja mais no portal
cadastre-se, comente, saiba mais

Coordenação

Cintia Rosa Pereira de Lima, professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira, professora doutora da Faculdade de Direito de Ribeirão Preto – Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP – CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Evandro Eduardo Seron Ruiz, professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca, professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.