Recentemente, chatbots de Inteligência Artificial (IA)¹ surgiram e vêm sendo utilizados por públicos e setores diversos, sendo possível mencionar que a IA tornou-se peça fundamental para o desenvolvimento econômico e tecnológico da sociedade contemporânea.² A adoção massiva de chatbots vem revolucionando a comunicação digital, proporcionando respostas automatizadas em vários segmentos, incluindo atendimento ao cliente, educação e saúde.

Tais softwares são impulsionados por uma tecnologia chamada Modelos de Linguagem de Larga Escala, tradução livre do termo de língua inglesa Large Language Models (LLMs), que tem como foco o processamento de linguagem que se assemelhe à comunicação humana. São treinados e aprimorados usando uma grande quantidade de dados, como, por exemplo, livros, artigos científicos, páginas web, e este treinamento também inclui dados pessoais. Por este motivo, ainda que as ferramentas possam oferecer benefícios, o tratamento de dados por parte de empresas que disponibilizam os chatbots, como a DeepSeek e OpenAI, são constante alvo de dúvidas e questionamentos por parte de autoridades de proteção de dados, principalmente, na União Europeia (UE)³.

A legitimidade sobre o tratamento de dados é questionada devido a falta de conformidade com General Data Protection Regulation (GDPR), legislação da UE sobre proteção de dados pessoais, que tem grande semelhança com a Lei Geral de Proteção de Dados (LGPD)⁴. Este texto expõe algumas das preocupações relativas à proteção de dados por parte do ChatGPT-4 e o DeepThink-R1 frente ao compliance com a legislação do bloco econômico europeu.

Desafios regulatórios diante do General Data Protection Regulation: ChatGPT-4 e DeepThink-R1

O ChatGPT-4, desenvolvido pela empresa norte-americana OpenAI, foi lançado em março de 2023. Este modelo representa a versão de chatbot mais completa e desenvolvida da organização, apresentando grande capacidade de compreensão e geração de texto, coerência contextual e desempenho em tarefas complexas.

A DeepSeek é uma empresa chinesa, que, em novembro de 2023, lançou seu primeiro modelo de chatbot, denominado DeepSeek-V3. Em janeiro de 2025, divulgou o DeepThink-R1, uma versão de maior desempenho, que se destaca por concorrer, fortemente, com o ChatGPT-4.

Tanto o chatbot da OpenAI quanto da DeepSeek foram treinados em vastos conjuntos de dados, compostos por bilhões de palavras extraídas de livros, páginas da web e outras fontes diversas. Graças a esse treinamento, é possível a interpretação de perguntas e o fornecimento de respostas coerentes e bem estruturadas por parte do software.

Os desafios enfrentados pelas empresas que desenvolvem e oferecem tecnologias baseadas em modelos de IA demandam uma abordagem criteriosa e estratégica para garantir conformidade regulatória e mitigação de riscos. Entre os aspectos críticos que exigem atenção destacam-se a qualidade e precisão dos dados utilizados para o treinamento dos modelos, a proteção de dados pessoais e, em especial, a salvaguarda de dados sensíveis.

Nesse contexto, o European Data Protection Board (EDPB) formulou questionamentos específicos sobre a adequação do ChatGPT-4 ao GDPR, por analogia também aplicáveis ao DeepThink-R1, evidenciando lacunas de compliance frente ao GDPR. Os principais pontos levantados incluem:

• Não conformidade com os princípios fundamentais da proteção de dados: falta de garantia quanto à minimização, transparência e definição clara da finalidade do tratamento de dados pessoais;
• Armazenamento e processamento de dados pessoais: necessidade de esclarecimento sobre os métodos e bases legais que fundamentam a retenção dessas informações;

• Base jurídica para o tratamento de dados: exigência de fundamentação legal que legitime a coleta, uso e armazenamento de informações pessoais, garantindo aderência às normas do GDPR;
• Transferência internacional de dados: necessidade de assegurar que transferências transfronteiriças ocorram apenas para países que apresentem nível adequado de proteção ou adotem salvaguardas compatíveis com a legislação europeia;

• Uso de informações pessoais para criação de perfis e decisões automatizadas: esclarecimento sobre o emprego de dados para modelagem comportamental e impactos decorrentes de decisões automatizadas;
• Implementação de medidas de segurança: adoção de mecanismos eficazes para a prevenção de vazamentos e acessos indevidos a informações sensíveis.

Essas questões demonstram que a governança da IA não se limita à inovação tecnológica, mas implica responsabilidades regulatórias complexas, exigindo das empresas um compromisso contínuo com a transparência, segurança e respeito aos direitos fundamentais dos titulares de dados.⁵ 

Considerações Finais

Os chatbots de IA baseados em LLMs, como o ChatGPT-4 e o DeepThink-R1, representam avanços significativos na interação humano-máquina. No entanto, sua disseminação impõe desafios regulatórios e éticos substanciais, especialmente no que concerne à proteção de dados pessoais. A crescente adoção dessas tecnologias exige um compromisso rigoroso com a transparência, a segurança da informação e a conformidade com as normativas globais de proteção de dados.

Exemplificando essa tensão regulatória, tanto o ChatGPT-4 quanto o DeepThink-R1 enfrentaram restrições na Itália, que bloqueou temporariamente seu acesso e solicitou esclarecimentos sobre as medidas adotadas para salvaguardar informações pessoais. Essa postura reflete um movimento mais amplo dentro da UE, onde autoridades administrativas e o EDPB têm reforçado a defesa dos direitos dos titulares, consolidando a cultura de proteção de dados como princípio central da governança digital. 

Nesse contexto, a observância das melhores práticas de governança de dados torna-se imprescindível. Garantir o exercício pleno dos direitos dos titulares exige não apenas a disponibilização de informações claras sobre suas prerrogativas, mas também a criação de canais eficazes para a apresentação de solicitações e reclamações. A tutela dos direitos fundamentais dos titulares deve ser assegurada de forma contínua, permitindo que eles exerçam controle sobre seus dados junto aos controladores a qualquer momento.

A UE, consolidada como referência global em proteção de dados, desempenha um papel determinante na definição dos padrões regulatórios internacionais. Seus esforços de investigação e fiscalização, conduzidos por diferentes autoridades nacionais e pelo EDPB, não apenas moldam o debate global sobre IA e privacidade, mas também estabelecem precedentes que influenciam a formulação de políticas em outras jurisdições. Assim, a evolução da regulamentação sobre inteligência artificial não se restringe ao campo tecnológico, mas se insere em um debate mais amplo sobre direitos fundamentais e soberania digital.

__________

1 Inteligência artificial é um campo amplo que visa simular a inteligência e o comportamento humano. Dentro do seu escopo estão compreendidos o aprendizado de máquina, aprendizagem profunda, e inteligência artificial generativa. Todos os três conceitos compartilham uma base comum: aprender com os dados.