Proteção de dados pessoais nas contratações públicas de Inteligência Artificial - Parte II
sexta-feira, 26 de agosto de 2022
Atualizado às 08:00
Na disciplina da LGPD, o tratamento de dados pessoais só pode ocorrer se estiver fundamentado em uma base legal. Desse modo, para a operacionalização de sistemas de Inteligência Artificial que envolva o tratamento de dados pessoais, a atuação do Poder Público precisará estar respaldada em uma das hipóteses autorizativas previstas nos artigos 7º e 11 da lei 13.709/2018. Deve-se buscar, em cada caso concreto, a base legal mais adequada e segura para a finalidade pretendida, com a apresentação das justificativas pertinentes pela Administração Pública, sendo certo, inclusive, que o consentimento do titular poderá ser dispensado, nos termos analisados na Parte I deste ensaio.
Se é exato que a disciplina da Lei Geral de Proteção de Dados Pessoais não pode ser interpretada de forma tão estrita que paralise ou impeça a atuação estatal, também é verdade que não há um "salvo-conduto" para o desrespeito ao direito à proteção dos dados pessoais. A via hermenêutica a ser seguida deve ser, sempre, a de viabilizar a atividade pública, mas com balizamentos jurídicos fundamentais que vão moldar a atuação do agente de tratamento.
Na conformação do agir administrativo pela disciplina da LGPD, portanto, destacam-se os princípios contemplados em seu artigo 6º. De acordo com tal dispositivo, o tratamento de dados pessoais deve ser realizado para finalidade legítima, específica, explícita e devidamente informada, sem possibilidade de tratamento posterior de modo conflitante com esse objetivo (princípio da finalidade). Faz-se mister que a operação prevista seja compatível com o propósito aventado e que o procedimento ocorra sem excessos, na exata medida para se alcançar tal fim. Com efeito, o tratamento de dados pessoais deve ocorrer conforme sua razão justificadora e no limite desse escopo, encerrando-se a operação tão logo haja seu cumprimento (princípios da adequação e da necessidade).1
Assegura-se ao titular acesso facilitado e gratuito à forma, à duração do tratamento e à integralidade dos dados pessoais (princípio do livre acesso). Os dados devem estar corretos, claros, atualizados e se afigurarem relevantes para o atendimento do objetivo da operação (princípio da qualidade dos dados). São garantidas ao titular informações claras, precisas e facilmente acessíveis a respeito dos tratamentos realizados e dos agentes que os promovem, respeitados os segredos comercial e industrial (princípio da transparência). A operação deve ser efetuada de acordo com medidas técnicas e administrativas seguras (princípio da segurança). Demanda-se a adoção de providências que evitem a ocorrência de danos, determinando-se aos agentes de tratamento a demonstração do implemento das normas de proteção e da eficácia das medidas cumpridas (princípios da prevenção e da responsabilização e prestação de contas). O tratamento não pode se dar para fins discriminatórios ilícitos ou abusivos (princípio da não discriminação).
Além disso, com relação aos dados de crianças e adolescentes, deverá ser observado, pelo Poder Público, o princípio do melhor interesse (art. 14, caput, LGPD), que é consectário da doutrina da proteção integral (art. 227, CRFB). Cuida-se de salvaguardar os direitos fundamentais desses sujeitos vulneráveis, independentemente de qual seja a base legal de tratamento.
Outra disposição a ser considerada diz respeito ao artigo 23 da lei 13.709/2018. Isso porque as bases legais elencadas nos artigos 7º e 11 devem ser lidas em conjunto com a previsão do artigo 23 da LGPD. A norma exige que o tratamento de dados pessoais atenda a uma finalidade pública e que sejam observadas as competências legais dos órgãos administrativos. Demanda, ademais, a observância do dever de publicidade por parte do Poder Público, informando, de modo claro e atualizado, em veículo de fácil acesso, preferencialmente por meio de seus sítios eletrônicos, a respeito dos tratamentos realizados. Prevê, ainda, a indicação de encarregado, que atuará como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (art. 5º, VIII, LGPD).
Também se mostra importante a elaboração de relatórios de impacto à proteção de dados pessoais, descrevendo os processos que podem gerar riscos às liberdades civis e aos direitos fundamentais e as providências que visam a mitigar os riscos envolvidos (art. 5º, XVII, LGPD). Nessa toada, "eventuais riscos à proteção de dados pessoais" devem ser levados em consideração "tanto nos relatórios de impacto de proteção de dados (RIPDs)" previstos na lei 13.709/2018 "quanto nas Avaliações de Impacto Algorítmico (AIA)", de modo a integrar o mapeamento de riscos da contratação pública de Inteligência Artificial.2
A perspectiva deve ser, portanto, a de enfoque na adoção de medidas capazes de antecipar e mitigar riscos, indo além de uma ótica tradicional que trata exclusivamente da reparação pecuniária de eventuais danos já causados. Com efeito, deve ser perseguida a tutela efetiva do direito à proteção dos dados pessoais e, consequentemente, do princípio da dignidade da pessoa humana, alicerce do sistema jurídico.
Cabe observar que a LGPD prevê, na Seção "Da Responsabilidade" do Capítulo destinado ao "Tratamento de Dados Pessoais pelo Poder Público" (Seção II do Capítulo IV), contornos próprios para a atuação da Autoridade Nacional de Proteção de Dados nessa seara.3 É atribuída competência à ANPD para sugerir, ao Poder Público, a adoção de padrões e de boas práticas, para solicitar a publicação de relatórios de impacto à proteção de dados pessoais e para enviar informe com providências cabíveis para pôr fim a uma eventual violação (arts. 31 e 32).
De outra parte, é certo que devem ser assegurados os direitos do titular previstos na LGPD (Capítulo III). Tratando-se de decisões automatizadas, põe-se em relevo o debate sobre o direito à explicação e o direito à revisão de tais decisões.
O artigo 20, caput, da lei 13.709/2018, prevê que o "titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade". O § 1º do mesmo dispositivo estabelece que "o controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial". No caso de recusa do fornecimento da informação com fundamento nos segredos comercial e industrial, a autoridade nacional poderá, nos termos do § 2º do artigo 20, "realizar auditoria para verificação de aspectos discriminatórios" no "tratamento automatizado de dados pessoais".
A questão mais controvertida diz respeito a se haveria exigência de revisão humana ou se a revisão poderia ser feita por outra decisão automatizada. A redação original da LGPD continha a previsão do direito do titular de solicitar a revisão por pessoa natural, o que, todavia, foi excluído pela Medida Provisória 869/2018. Com a conversão da Medida Provisória nº 869/2018 na lei 13.853/2019, pretendeu-se estipular, no § 3º do artigo 20, que a revisão deveria ser realizada por pessoa natural, conforme previsto em regulamentação da autoridade nacional, que levaria em consideração a natureza e o porte da entidade ou o volume de operações de tratamento de dados. O dispositivo foi, todavia, objeto de veto presidencial.
A redação vigente da Lei Geral de Proteção de Dados Pessoais não contempla, portanto, previsão expressa a respeito da revisão humana de decisões automatizadas. A exclusão operada pela Medida Provisória 869/2018, convertida na Lei nº 13.853/2019, tem gerado interpretações distintas na doutrina, havendo quem sustente, por exemplo, que, "mesmo com a Lei 13.853/2019, poder-se-ia inferir, a partir da principiologia da Lei, que a intervenção humana continua a ser uma exigência em alguma fase do processo de contestação da decisão automatizada, ainda que não no primeiro pedido de revisão".4
A esse respeito, foi observado, na Estratégia Brasileira de Inteligência Artificial (EBIA), que, "nos casos em que a avaliação de risco de decisões automatizadas indica um alto risco para os indivíduos, a intervenção humana pode ser um importante fator de mitigação do risco a ser considerado pelas organizações privadas e pelo setor público". Constou, então, como uma das ações estratégicas a serem implementadas, a criação de "parâmetros sobre a intervenção humana em contextos de IA em que o resultado de uma decisão automatizada implica um alto risco de dano para o indivíduo".
Trata-se de tema ainda em construção, que certamente suscitará maiores debates doutrinários e jurisprudenciais, e demandará conformação pela Autoridade Nacional de Proteção de Dados, cabendo ao agente de tratamento acompanhar sua evolução e zelar pela atuação (sempre) em conformidade com a ordem jurídica.
Por fim, cabe ressalvar os casos de tratamento de dados pessoais para fins exclusivos de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais. A ANPD afirma, em seu "Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público", que o inciso III do artigo 4º da lei 13.709/2018 "excepciona parcialmente a aplicação da LGPD" a tais operações. O Enunciado nº 678 da IX Jornada de Direito Civil consigna que se aplicam, aos tratamentos de dados pessoais realizados para tais fins exclusivos, "o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos na LGPD, sem prejuízo de edição de legislação específica futura". A Estratégia Brasileira de Inteligência Artificial (EBIA) aduz que, "enquanto uma lei específica sobre o tema não existe, aplica-se a LGPD ainda que de forma limitada". Desse modo, "a criação e o uso de bancos de dados de segurança pública integrados a sistemas de IA devem observar o devido processo legal, os princípios gerais de proteção de dados pessoais e os direitos dos titulares de dados, conforme o art. 4º, §1º, da LGPD".
Diante do exposto nas Partes I e II deste trabalho, vê-se que o tratamento de dados pessoais pelo Poder Público no bojo da operacionalização de sistemas de Inteligência Artificial envolve tanto a apreensão da finalidade pública da atividade quanto a consideração da natureza pessoal da informação. Não se pode descurar, assim, da dimensão (não já unilateral, mas) relacional do tema, demandando-se o balanceamento entre os diversos interesses incidentes em cada caso concreto.5
Por um lado, é certo que a interpretação da disciplina da Lei Geral de Proteção de Dados Pessoais não pode ser tão ferrenha a ponto de paralisar ou impedir a aplicação da Inteligência Artificial no setor público. Por outro lado, também é verdade que não se pode descurar do respeito ao direito fundamental à proteção dos dados pessoais.
Não há como se conceber um "cheque em branco" ao agente para adotar a qualquer custo e sem qualquer balizamento jurídico tecnologias de Inteligência Artificial. Todavia, também não podem ser construídas amarras excessivas que impeçam a inovação no setor público, sob pena de prejuízo, em última análise, à efetivação dos direitos que assistem aos próprios cidadãos. A inovação, aliás, constitui um dos fundamentos da disciplina de proteção dos dados pessoais, como prevê o artigo 2º, V, da LGPD.
Assim, o caminho hermenêutico a ser trilhado deve ser o de viabilização da atividade pública, ao mesmo tempo em que se impõe uma conformação da atuação administrativa às regras de proteção de dados pessoais. Nesta perspectiva, desponta a superação da fantasiosa dicotomia entre direito público e direito privado, bem como da divisão estanque forjada entre os temas da Inteligência Artificial e da Proteção de Dados Pessoais. Na interseção entre todos esses campos, está o mesmo ponto de chegada: a construção da solução que melhor realize a escala axiológica constitucional.
__________
1 PERLINGIERI, Pietro. La pubblica amministrazione e la tutela della privacy. In: PERLINGIERI, Pietro. La persona e i suoi diritti: problemi del diritto civile. Napoli: Edizioni Scientifiche Italiane, 2005, p. 259.
2 FÓRUM ECONÔMICO MUNDIAL, C4IR Brasil. Guia de Contratações Públicas de Inteligência Artificial, 2022, p. 41. Disponível aqui.
3 Ilustre-se com a recente manifestação da ANPD sobre a divulgação dos microdados do Enem e do Censo Escolar pelo INEP.
4 BIONI, Bruno R.; MENDES, Laura Schertel. Regulamento Europeu de Proteção de Dados Pessoais e a Lei Geral Brasileira de Proteção de Dados: mapeando convergências na direção de um nível de equivalência. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (coords.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. 2. ed. São Paulo: Thomson Reuters Brasil, 2020, p. 803, E-book.
5 PERLINGIERI, Pietro, op. cit., p. 259.