COLUNAS

  1. Home >
  2. Colunas

Migalhas de IA e Proteção de Dados

Oferecer uma visão 360º sobre a Lei Geral de Proteção de Dados.

Cintia Rosa Pereira de Lima, Cristina Godoy Bernardo de Oliveira, Evandro Eduardo Seron Ruiz, Nelson Rosenvald e Newton de Lucca
sexta-feira, 22 de março de 2024

O Uso do ChatGPT e do Gemini no fazer jurídico

Em 2018, o ex-advogado e ex-assessor de Donald Trump, Michael Cohen, foi condenado a 3 anos de prisão após confessar ser culpado por prestar falso testemunho ao Congresso dos EUA e de violar as leis de financiamento de campanha durante o processo eleitoral de 2016, no qual Trump fora eleito. Cohen também confessou ter participado na compra do silêncio de duas mulheres que, supostamente, tiveram relações com Trump, o escândalo envolvia a atriz pornô Stormy Daniels e a ex modelo da revista adulta "Playboy", Karen McDougal, após uma investigação do FBI que encontrou gravações entre Cohen e Trump comentando da compra do silêncio das moças. Cohen começou a cumprir sua condenação ainda em 2018 e, em julho de 2020, a justiça dos EUA decidiu soltá-lo em liberdade condicional, após um pedido de seu advogado, David Schwartz. Passaram-se os anos e a pandemia e, em novembro de 2022, o ChatGPT, da OpenAI foi lançado; em julho de 2023, a Google lançou o Bard (agora chamado Gemini), uma IA generativa concorrente ao ChatGPT, gerando uma grande revolução e debates sobre seus impactos, modos de usar, seus riscos, devido às possibilidades textuais e visuais de uma IA generativa e, também, seus benefícios - nesses debates também se incluiu o mundo jurídico, por óbvio; uma ferramenta que cria textos através de LLM, no caso do GPT, ou LaMDA, no caso do Gemini, em que se calcula a probabilidade da próxima palavra a ser escrita, simulando a linguagem natural humana, logo seria implementada no mundo jurídico. E assim foi. Mas qual a ligação entre IA generativa com o caso Cohen? Bem, em 2023, Michael Cohen enviou a seu advogado, David Schwartz, um documento detalhando 3 casos jurisprudenciais semelhantes ao seu para que ele criasse uma peça a ser apresentada ao juiz federal Jesse M. Furman, solicitando o fim antecipado da supervisão judicial para seu caso, pois Cohen já havia cumprido todos os pressupostos e condições de sua condenação. Assim Schwartz fez, entretanto, o juiz Furman, em 12 de dezembro de 2023, determinou que Schwartz esclarecesse e desse uma explicação detalhada sobre os 3 casos presentes em seu pedido, pois eles não existiam, e qual papel Cohen desempenhou naquela demanda. Michael Cohen admitiu que utilizou o Bard (hoje Gemini), alegando que acreditava que a IA era um super buscador do Google, e enviou os casos a seu advogado David Schwartz. Ambos, Cohen e Schwartz, alegaram na corte que não revisaram os casos citados anteriormente1. Isso não é apenas um caso isolado nos EUA, como demonstra o The New York Times2, dezenas de casos semelhantes de mau uso da tecnologia por atores do sistema judiciário estão se tornando corriqueiros. Outro caso interessante ocorreu em 2023, quando o juiz distrital de Manhattan P Kevin Castel, multou os advogados Steven Schwartz, Peter LoDuca e seu escritório de advocacia Levidow, Levidow & Oberman em U$ 5.0003, porque eles submeteram um pedido judicial com 6 citações de jurisprudência completamente falsas, criadas pelo ChatGPT. O advogado Steven Schawtz admitiu o uso da IA; o juiz Castel, em sua fundamentação à aplicação da multa, alegou que os advogados se abdicaram de suas responsabilidades como advogados quando submeteram os casos falsos a aquele tribunal. No Brasil, como o Migalhas4 já demonstrou, um juiz do TRF da 1ª Região utilizou o ChatGPT numa sentença, mas a IA também gerou casos fictícios de julgados do STJ como fundamentação - o juiz alegou que fora um servidor que criou a peça e ele apenas a assinou. Num outro caso de uso de IA, também divulgado por este Migalhas5, fora protagonizado por um advogado que utilizou o ChatGPT numa peça em que pretendia ingressar numa AIJE como amicus curiae, no TSE, contra o ex-presidente Jair Bolsonaro. O corregedor-geral da Justiça Eleitoral à época, Benedito Gonçalves, além de indeferir o pleito, determinou o desentranhamento da petição e ainda aplicou uma multa por litigância de má-fé no valor de R$ 2.604.  Inteligência Artificial Generativa Alucina  É comum o uso de conceitos biológicos no campo da tecnologia de IAs: redes neurais, "aprendizado" de máquina e, claro, alucinações, por exemplo. Os exemplos que citamos acima, da criação de jurisprudências falsas por IAs generativas como o Gemini e o ChatGPT, são alucinações dessas tecnologias. Diogo Cortiz6 afirma que alucinação ocorre quando a IA gera uma "resposta confiante, mas sem qualquer justificativa nos dados de treinamentos". A resposta de uma IA de linguagem natural é preditiva, ou seja, ela sempre analisa a probabilidade de encaixar a próxima palavra numa sentença de uma forma que a linguagem pareça humana. Uma IA como o ChaGPT, por exemplo, foi treinada com centenas de milhares de textos - e, tanto sua versão gratuita, o GPT 3.5, quanto a paga, o GPT 4, foram treinados numa base de 175 Bilhões de parâmetros - parâmetros são os valores das variáveis que influenciam o algoritmo a criar ou alterar seu comportamento no resultado pedido, quanto maior este número, maior a capacidade de aprendizado e o processamento dessas informações. Mas, há um cuidado importante que os usuários deste tipo de tecnologia precisam ter atenção: IAs generativas que utilizam o Large Languagem Model (LLM) ou o Language Model for Dialogue Applications (LaMDA), não entendem a realidade - é impossível para essas IAs entenderem o que estão escrevendo, as frases, por mais naturais que pareçam, são apenas modelos matemáticos. Vamos explicar melhor. Diogo Cortiz diz que um modelo de LLM, por exemplo, (pode ser o LaMDA), não entende o sentido das palavras, nem as frases que produz. Por exemplo - o ChatGPT tem em sua base de dados as palavras TSE, AIJE, tem também as palavras amicus curiae, dignidade da pessoa humana, acesso à justiça e etc - ele sabe que essas palavras são representações matemáticas que estão próximas de outras representações matemáticas, como "Direito", "Justiça", "Tribunal Superior", por exemplo; então, como é um modelo de linguagem preditivo, o ChaTGPT calcula a probabilidade de encaixar palavras relacionadas a essas duas representações matemáticas uma após a outra. É por isso que IAs de processamento de linguagem natural não são repositório de conhecimento ou de dados - são criadores de textos. Vale ressaltar que a versão paga do ChatGPT, o GPT 4, possui uma vasta biblioteca que utiliza o modelo GPT para diversas áreas, inclusive a acadêmica, onde ele pode anexar links de artigos sobre o tema proposto pelo usuário - entretanto, vale ressaltar que a responsabilidade da verificação das informações propostas pela IA sempre serão do usuário - exatamente porque a tecnologia pode alucinar - o que é diferente de quando o modelo de linguagem gera uma resposta com viés preconceituoso, estigmatizando minorias, por exemplo, pois, assim, a responsabilidade passa a ser da tecnologia (da OpenAI, no caso do ChatGPT e da Google, no caso do Gemini). Um estudo realizado por pesquisadores da Universidade de Washington7 e publicado na Cornell University em 2023, constataram que, quando o GPT ou GPT-4 geram uma alucinação e são solicitados pelos usuários a justificá-las, acabam criando mais alucinações, gerando um efeito cascata. No entanto, se o usuário iniciar uma nova conversa e questionar a IA sobre a veracidade de uma informação previamente fornecida, o GPT 3.5 e o GPT 4 são capazes de reconhecer seus próprios erros em 67% e 87% dos casos, respectivamente.  A responsabilidade em usar o ChatGPT ou Gemini no cotidiano jurídico  Precisamos insistir num assunto: a IA não é a vilã nesses casos que citamos acima, os usos incorretos desses modelos de linguagem podem ser pela falta de educação digital de grande parte da sociedade - o que inclui também a sociedade jurídica - sobre como o ChatGPT e o Gemini atuam criando os textos a partir dos prompts - por isso acreditamos que este artigo possui relevância ao contexto jurídico, mas ressaltamos que a responsabilidade por seu mau uso é do usuário, seja quem for, membros da OAB, da Defensoria Pública, do Ministério Público ou do Judiciário. Observem, tanto a OpenAI quanto a Google advertem aos usuários que seus modelos de linguagem podem fornecer informações inconsistentes e, por isso, necessitam de checagem. Mas, quando utilizada no mundo jurídico, o impacto dessas alucinações podem ser muito ruins. Por exemplo, um advogado representando uma causa legítima ingressa na justiça com várias jurisprudências e literatura jurídica criadas a partir de alucinações de IA, pode ser punido com litigância de má-fé, como vimos anteriormente, e a demanda do cidadão não será atendida? Um juiz que utiliza jurisprudências também criadas por alucinações - qual punição receberá? Ainda não vimos se esse tipo de ação irá ocorrer, pois o caso está sob análise do CNJ, mas a sentença ou decisão pode ser facilmente reformada, visto que parte da fundamentação não existe no mundo material. IA generativa de processamento de linguagem natural pode trazer grandes benefícios no cotidiano jurídico - a revisão gramatical de peças jurídicas, garantindo fluidez e coerência nos textos é só um exemplo do bom uso das IAs. A tecnologia não é assessor jurídico, porque não possui conhecimento, como já abordamos acima, entretanto, ela pode ajudar em trabalhos massificados - a utilização de modelos de petições e peças jurídicas já é utilizada tanto pela Advocacia, pelo Ministério público e pelo Judiciário de forma rotineira - facilitada pela digitalização - mas, pensemos, não seria coerente utilizar qualquer modelo, ou até mesmo não trocar a fundamentação dos modelos ao caso fático? Todos em suas práticas jurídicas já realizam este cuidado, por que não verificar a autenticidade das informações colhidas de IA quando as utilizarem? O uso de IAs generativas de processamento de linguagem natural já está sendo pensado para ajudar em tarefas administrativas de Tribunais, como no TJMG. Mas, diante da expansão do uso de IAs generativas pelo judiciário, ficam as reflexões, sobretudo na área da filosofia do Direito: pode um ChatGPT julgar? Ora, quem realizaria o accountability hermenêutico? Quem seria, na verdade, o sujeito da frase de Carl Schmitt8 (gênio, apesar de ligar-se ao autoritarismo): "Cæsar dominus et supra grammaticam: César também é senhor da gramática" - uma IA que não entende o que escreve não poderia julgar um caso, portanto, ora, o algoritmo não conseguiria responder com precisão quais os critérios utilizados para a decisão sem alucinar. A comissão de ética da OAB, a corregedoria do MP, a corregedoria do Judiciário vão agir como em relação aos "profissionais" que se abstém de estudar o caso e se utilizam da tecnologia para fazer um trabalho intelectual que é somente seu (ou deveria ser)? Não podemos cair no paradoxo pós-moderno: quanto mais informação, mais néscios. ___________ 1 Disponível aqui. 2 Disponível aqui. 3 Disponível aqui. 4 Disponível aqui. 5 Disponível aqui. 6 Disponível aqui. 7 ZHANG, Maru et al. How Language Model Hallucinations Can Snowball. Disponível aqui. 8 SCHMITT, Carl. Positionen und Begrif. Berlin: Duncker und Humblot, 1994.
A compreensão sobre gênero está em constante evolução e se relaciona com as transformações sociais e econômicas mundiais. Nesse contexto, a Lei Geral de Proteção de Dados Pessoais (lei 13.709/2018, ou apenas LGPD) ganha importância, pois busca garantir a proteção dos dados pessoais em um mundo cada vez mais conectado e digital. O Regulamento Geral sobre a Proteção de Dados Pessoais da União Europeia (2016/679(EU)) também é importante marco normativo para o tema, pois define dados pessoais como informações que identificam ou são potencialmente identificáveis de um indivíduo. Já a legislação brasileira vai além, pois apresenta uma diferenciação entre dados pessoais e dados pessoais sensíveis, reconhecendo estes últimos como informações que, pelo que se pode inferir de seu rol enunciativo (art. 5º, II), podem revelar aspectos íntimos da vida. As investigações em relação aos pormenores relacionados às questões de gênero vão além dos conceitos fixos de homem e mulher. Modifica-se a perspectiva do sistema binário da sexualidade apresentado pela sociedade, buscando-se compreender e refletir com a devida atenção sobre as novas formas de sexualidade que ressignificam e reivindicam olhares mais sensíveis para as medidas de proteção e garantia dos direitos relacionados ao gênero, uma vez que estas se fundam na compreensão das relações históricas e sociais acerca o tema. María Lugones1 explica que o sistema de gênero se associa com o sistema social e econômico não apenas de um local específico, mas se atrela a transformações a nível mundial, isso porque, apesar de cada sociedade viver sob um sistema próprio, ocorrem interferências e imposições de um país em relação a outro. Essas questões de dominação se modificam perante as transformações sociais e atingem não apenas a sociedade como grupo, mas também os cidadãos, independentemente do gênero. As correlações das questões de gênero perante a sociedade impõem a necessidade de que sejam identificadas áreas que carecem de análise diligente sobre o assunto. Nesse sentido, vislumbrando o crescimento constante de utilização das Tecnologias de Informação e Comunicação e a consequente importância da LGPD no atual contexto social, necessária a análise do respaldo propiciado por essa legislação para cada espécie de dado pessoal. É de bom alvitre registrar que, para além de uma proteção legislativa dos dados pessoais, a Emenda Constitucional nº 115/2002 acrescentou ao texto constitucional o direito à proteção de dados pessoais, incluindo o amparo como direito fundamental a partir de nova redação expressa, que consta do inciso LXXIX do artigo 5º da Constituição. Sobre o tema, destaca Daniel Piñeiro Rodriguez que "o direito à proteção de dados pessoais figura como garantia de caráter instrumental, derivada da tutela da privacidade, mas sem nela limitar-se, fazendo referência a todo leque de garantias fundamentais que se encontram na constelação jurídica-constitucional"2. Nesse sentido, a legislação brasileira apresenta tanto uma definição em relação a dados pessoais gerais, quanto uma definição para a categoria de dados pessoais denominados como "sensíveis", sendo que, de acordo com a diferenciação indicada pelo artigo 5°, nos incisos I e II, o dado pessoal é a "informação relacionada a pessoa natural identificada ou identificável", enquanto o dado pessoal sensível é definido enunciativamente como sendo aquele relativo a "origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural". Maria Celina Bodin de Moraes explica que os dados sensíveis se relacionam com as opções e características essenciais de um indivíduo, que são elementos que podem estar associados a situações de discriminação e desigualdade3. Constatação importante essa para compreender os entrelaçamentos existentes entre os direitos que se encontram resguardados pelo ordenamento jurídico com aqueles que requerem atenção mais específica. No entendimento de Wermuth, Cardin e Mazaro4, "os dados sensíveis estão intimamente ligados a muitos dos direitos da personalidade da pessoa, pois são aqueles que a qualificam individualmente, fazendo com que tenha um lugar único no mundo". E, de fato, a proteção dos dados pessoais está devidamente garantida perante a Constituição e a legislação infraconstitucional, porém, ao analisar as disposições existentes, verifica-se a ausência de abordagem explícita em relação a dados sobre gênero do ponto de vista conceitual/explicativo, pois o que o artigo 5º, inciso II, da LGPD apresenta é uma listagem das categorias que são reputadas como sensíveis para os fins de incidência da lei5. Segundo a doutrina, a ausência de indicação expressa sobre como seriam conceituados os dados sobre gênero gera complexa zona cinzenta, pois a lei ainda apresenta a expressão 'vida sexual' no mesmo rol, o que pode levar a diferentes interpretações. Uma dessas interpretações é a de que, do ponto de vista teleológico, o rol de direitos do titular definido na LGPD incluiria tanto orientação sexual quanto identidade de gênero dentro do contexto de 'vida sexual'6. Por sua vez, a interpretação abrangente do termo permite que se almeje a devida proteção das questões de gênero, não negando, principalmente, o devido amparo à população LGBTQIA+, para além dos fundamentos da Constituição da República brasileira, que seriam devidamente conservados7. Para fins de contextualização, convém lembrar que o primeiro pilar da sexualidade, o sexo, é definido como a conformação física ou morfológica genital constatada no instante do nascimento da pessoa, que haverá de ser consignada na Declaração de Nascido Vivo (DNV) e, ato contínuo, na Certidão de Nascimento da pessoa, atendendo, ordinariamente, ao padrão binário de homem ou mulher. Entretanto, existe um grande número de condições sexuais que não se enquadram nessa dualidade do ideal binário do homem/macho ou mulher/fêmea, caracterizando a figura da pessoa intersexo, situação que pode ser encontrada em até 2% da população mundial8. O gênero, por sua vez, é a expressão social que se espera de quem seja homem/macho (masculino) ou mulher/fêmea (feminino) a partir de expressões socioculturais9. É comum ocorrer confusão entre os conceitos de gênero e sexo, mas o primeiro difere da concepção do segundo. Logo, embora a sexualidade seja parte integrante dos direitos humanos, fundamentais e da personalidade, são recorrentes os equívocos na compreensão dos conceitos vinculados à sexualidade, bem como com a aplicação errônea em diversos documentos oficiais, legislações e decisões judiciais. Fato é que os dados pessoais, se mal categorizados ou inferidos, podem levar a discriminações de gênero porque muitos sistemas e processos que utilizam esses dados operam com base em estereótipos de gênero e normas sociais preconcebidas sobre como homens e mulheres devem se comportar e sobre quais são suas características fenotípicas10. Por exemplo, uma empresa pode usar dados como gênero e idade para decidir quem deve ser contratado para um determinado cargo, assumindo que homens são mais qualificados do que mulheres para certas posições ou que mulheres mais velhas têm menos capacidade de trabalhar em determinadas funções. O debate, então passa a se concentrar na parametrização de deveres, especialmente no contexto delimitado pelos princípios da prevenção (art. 6º, IV) e da não discriminação (art. 6º, IX) da LGPD, o que também abre margem ao debate sobre a imprescindibilidade da responsabilidade civil como instituto apto a solucionar eventuais as contingências decorrentes de situações danosas derivadas do enviesamento algorítmico de dados pessoais sensíveis sobre gênero11. Outra evidência disso é estruturação de revisões das decisões automatizadas (art. 20 da LGPD), que, desejavelmente, devem ser realizadas por agentes humanos (embora essa obrigatoriedade não conste mais do texto da lei). Bárbara Dayana Brasil destaca que "a proteção dos dados pessoais assume especial relevância, tendo em vista o modo como se procede a sua coleta, tratamento e processamento, assim como, a própria utilização dos dados"12. Assim, se a proteção insuficiente não pode ser admitida, sob pena de flagrante violação ao fundamento do inciso VII do artigo 2º da LGPD, que alberga "os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais", deve-se estruturar mecanismos de controle que atuem como freios aos desideratos que afastem os humanos de sua essência. Embora a legislação brasileira reconheça a diferenciação entre dados pessoais gerais e sensíveis, ainda há dúvidas sobre o escopo de proteção garantido aos dados pessoais sensíveis sobre gênero, às consequências das discriminações de gênero a partir do tratamento de dados pessoais e à responsabilização dos agentes de tratamento. Para mitigar a discriminação de gênero em contextos nos quais dados pessoais sobre gênero são tratados, é possível minimizar a quantidade de dados coletados e implementar medidas de privacidade, como o uso de dados anonimizados em vez de dados identificáveis direta individualmente, ou propensos à identificação por inferência. Também é importante garantir que as equipes responsáveis pelo tratamento dos dados sejam diversas e incluam pessoas de diferentes gêneros, de forma que diferentes perspectivas e experiências sejam consideradas no processo de análise de dados. __________ 1 LUGONES, María. Colonialidad y Género. Tabula Rasa, Bogotá, n. 9, p. 73-102, dez. 2008. 2 RODRIGUEZ, Daniel Piñeiro. O direito fundamental à proteção de dados: vigilância, privacidade e regulação. Rio de Janeiro: Lumen Juris, 2021, p. 181. 3 MORAES, Maria Celina Bodin de. Apresentação do autor e da obra. In: RODOTÀ, Stefano. A vida na sociedade de vigilância: a privacidade hoje. Tradução de Danilo Doneda e Luciana Cabral Doneda. Rio de Janeiro: Renovar, 2008, p. 7. 4 WERMUTH, Maiquel Angelo Dezordi; CARDIN, Valéria Silva Galdino; MAZARO, Juliana Luiza. Tecnologias de controle e dados sensíveis: como fica a proteção da sexualidade na lei geral de proteção de dados pessoais? Revista Jurídica Luso-Brasileira, ano 8, nº 3, p. 1065-1091, 2022, p. 1077. 5 FICO, Bernardo de Souza Dantas; NOBREGA, Henrique Meng. The Brazilian Data Protection Law for LGBTQIA+ People: Gender identity and sexual orientation as sensitive personal data. Revista Direito e Práxis, Rio de Janeiro, v. 13, n. 2, p. 1262-1288, 2022, p. 1265. 6 TEFFÉ, Chiara Spadaccini de. Dados pessoais sensíveis: qualificação, tratamento e boas práticas. Indaiatuba: Foco, 2022, p. 115. 7 COSTA, Ramon Silva. Proteção de dados sensíveis de pessoas LGBTI+: perspectivas sobre personalidade, vulnerabilidade e não discriminação. In: BARLETTA, Fabiana Rodrigues; ALMEIDA, Vitor (Coord.). Vulnerabilidades e suas dimensões jurídicas. Indaiatuba: Foco, 2023, p. 659-674. 8 CUNHA, Leandro Reinaldo da. A sexualidade como elemento juridicamente relevante e a necessidade de compreensão de seus aspectos básicos. Migalhas de Direito e Sexualidade, 26 jan. 2023. Disponível aqui. Acesso em: 10 mar. 2024. 9 CUNHA, Leandro Reinaldo da. A sexualidade como elemento juridicamente relevante e a necessidade de compreensão de seus aspectos básicos. Migalhas de Direito e Sexualidade, 26 jan. 2023. Disponível aqui. Acesso em: 10 mar. 2024. 10 ALMEIDA, Vitor; RAPOZO, Ian Borba. Proteção de dados pessoais, vigilância e imagem: notas sobre a discriminação fisionômica. In: EHRHARDT JÚNIOR, Marcos (Org.). Direito Civil: futuros possíveis. Belo Horizonte: Fórum, 2022, p. 219-250. 11 COSTA, Ramon Silva; KREMER, Bianca. Inteligência artificial e discriminação: desafios e perspectivas para a proteção de grupos vulneráveis diante das tecnologias de reconhecimento facial. Revista Brasileira de Direitos Fundamentais & Justiça, Belo Horizonte, v. 1, p. 145-167, 2022. 12 BRASIL, Bárbara Dayana. Os direitos humanos como fundamento da proteção de dados pessoais na Lei Geral de Proteção de Dados brasileira. In: CRAVO, Daniela Copetti; JOBIM, Eduardo; FALEIROS JÚNIOR, José Luiz de Moura (Coord.). Direito público e tecnologia. Indaiatuba: Foco, 2022, p. 54.
Quando falamos das IAs generativas no desempenho das várias ocuapações jurídicas, acredito que temos que aprofundar dois grandes temas: formação de datasets adequados que permitam desempenho responsável para a IA e possíveis impactos em médio e longo prazo nas diversas atividades que compõem o dia-a-dia das profissões jurídicas. Diversas iniciativas em curso no Brasil parecem que não estão muito atentas ao primeiro tema, mas não trataremos dele diretamente aqui, mesmo sendo objeto de muitas pesquisas em nosso laboratório na Universidade de Brasília. Vamos nos concentrar em aspectos do segundo tema.  Rememoro um artigo de 2023 de Antonio Prata, na Folha de São Paulo, sob o título "Burrice natural, inteligência artificial", pois retoma a ideia fatalista da lógica da competição (e substituição) da inteligência humana pela artificial.  Usando os neologismos "pitbots" e "chatbulls" (resgatando todo o temor ancestral que temos representados pelo estereótipo das feras caninas), se fala que o cenário futuro é recheado de incertezas.  O texto jornalístico destaca a conclusão de que é preciso diminuir a velocidade das inovações e que deveríamos escolher (pois, por enquanto, ainda estaria em nossas mãos) algo próximo a coleiras e focinheiras para a IA. Tenho forte antagonismo a esta ideia, pois, entre outras coisas, parece contrariar elementos típicos da natureza humana, tais como a curiosidade e a criatividade. Não parece crível que a velocidade da inovação, por força daqueles dois elementos (curiosidade e criatividade), tenda a diminuir. Acreditar em algo como uma moratória seria  negar a própria humanidade ou, no mínimo, uma ingenuidade estratégica. No entanto, entende-se muito adequado buscar aprofundamento na compreensão das questões envolvidas e examinar os riscos que se apresentam (que não são poucos!). Logo que as GPTs ganharam espaço, foi publicado um artigo científico sob o título: GPT are GPTs: An Early Look at the Labor Market Impact Potential of Large Language Models, mostrando uma visão de pesquisadores da OpenAI, sobre potenciais implicações de modelos generativos (os GPTs) e as tecnologias relacionadas a eles, com o mercado de trabalho norte-americano. A análise é impactante, indicando que cerca de 80% da força de trabalho estadunidense terá, ao menos, 10% de suas rotinas de trabalho alteradas pela IA e cerca de um em cada cinco trabalhadores terá metade da sua rotina impactada pela IA. Um dado relevante (e em forte medida inovador) deste artigo aponta para ocupações com salários mais altos geralmente apresentam maior exposição a impactos pela GPTs. A partir da análise desse artigo e da definição de uma avaliação de pontos de interesse para o mercado jurídico brasileiro, estruturamos uma pesquisa chamada GPTs e Direito: impactos prováveis das IAs generativas nas atividades jurídicas brasileiras (HARTMANN PEIXOTO; BONAT, 2023) em nosso laboratório com abordagens analíticas, avaliativas e descritivas, tendo como objeto o mercado jurídico brasileiro. O trabalho segue, até porque a disponibilidade de dados primários sobre a realidade brasileira é muito escassa o que obrigada o laboratório a produção/estruturação de dados para  os vários objetivos específicos de uma pesquisa abrangente. No entanto, muito já pôde avançar. Obviamente também foi necessário um  recorte de referenciais sobre o mercado de trabalho jurídico, buscando uma posição mais tradicional das ocupações, bem como uma conciliação com algumas tendências atuais de modo a embasar a formulação das hipóteses de impactos das GPTs sobre o mercado jurídico brasileiro. É possível verificar que a "preamar" da IA alterou-se significativamente também a área laboral, com impactos previstos para além das atividades repetitivas do dia-a-dia, havendo a indicação de aumento do impacto em atividades mais complexas, ressalvadas apenas as que apliquem conhecimentos de bases científicas ou habilidades de pensamento crítico, isto é, diretamente proporcional à importância de aplicação de conhecimentos científicos e habilidades de pensamento crítico está o decréscimo de exposição a sistemas GPTs. Uma posição conceitual robusta sobre IA é muito relevante, dentro da vastidão das compreensões possíveis, para uma análise adequada sobre seus prováveis impactos nas ocupações jurídicas. Como mencionado, é importante ter como premissa marcante que todas as atividades realizadas pelos humanos em um computador serão em algum momento impactadas pela IA. Mas é muito relevante perceber a criatividade humana no direcionamento do desenvolvimento de soluções tecnológicas voltadas para o auxílio humano. Isto é perfeitamente possível. Assim, o desenvolvimento, embora contínuo, pode ser direcionado pela função do auxílio, do conforto, da otimização do desempenho e do posicionamento para melhor aproveitamento das habilidades e competências cativamente humanas. Nosso posicionamento é muito assertivo neste sentido. Entendemos que a inadequada lógica da substituição, pois é concorrencial e prejudicial ao pleno desenvolvimento da lógica do apoio. E por desenvolvimento não nos restringimos a uma métrica puramente tecnológica da IA sobre o Direito, ou seja, uma expansão espacial na aplicação de IA, mas uma ampliação com um compromisso prévio com o respeito aos direitos fundamentais1 e a própria concretização deles - e esta postura é compatível com as forças da criatividade e curiosidade. Pode parecer uma distinção puramente semântica do conceito de IA, mas acreditamos que vai muito além disto, pois na medida em que em nossos elementos conceituais há a orientação pela figura de apoio tecnológico, os impactos serão significativamente diferentes.2 Como pôde-se perceber do conceito de IA, a reprodução parcial de atividades cognitivas humanas gera um campo muito grande de famílias de IA. Assim, tendo a clareza de que a IA não se resume às chamadas IAs generativas tem-se que estas GPTs (Generative Pre-trained Transformer) são componentes de uma nova família de ferramentas de IA, cujo conceito já tem alguns anos, mas que têm impressionado a humanidade recentemente pelos seus   impactos, que utilizam modelos de machine learning para geração de conteúdos, por exemplo textos em geral, codificações, expressões artísticas, realização de sumarizações, simulações de diálogos escritos etc. Este impacto recente se deve a maior sofisticação operacional e a amplitude de capacidade de respostas  que as últimas ferramentas têm apresentado. (Não nos esqueçamos dos riscos vindos principalmente da formação inapropriada de datasets!) Aplicações derivadas indicam possibilidades de otimização de desempenho e redução de custos na execução de diversas tarefas muito comuns às ocupações jurídicas. Ao contrário do que a literatura descritiva dos usos e aplicações de LLMs vinha identificando, sugerindo-se aplicações rotineiras e mais elementares, quando o tema é impacto profissional, o artigo que nos inspirou permite a percepção de uma importante novidade: o impacto se intensifica em atividades com maiores salários. Atividades ligadas a habilidades de programação e escrita tem indicativo de alta exposição à GPT. O fator limitante, por outro lado, são atividades que requerem habilidades de pensamento crítico ou fortemente ligadas à aplicação de conhecimentos científicos, ou seja, é relevante para a compreensão do alcance da GPT a variabilidade de habilidades para preparação da execução de um trabalho.  Um dado importante ao se analisar a pesquisa é a indicação que cerca de 28% a 40% da variação de exposição de uma determinada área de trabalho não tinha identificação de impacto face à presença de outras tecnologias anteriores. Este importante percentual, pode-se dizer assim, inaugura um ponto de inflexão sobre análises de impacto da IA no trabalho, isto é, a preamar da IA alterou-se significativamente também na área laboral. Embora os impactos das GPTs sejam generalizados, o artigo paradigma apresenta alguns destaques na área laboral com forte exposição à GPT: setores de processamento de informações ou que contam com o desenvolvimento de tecnologias complementares. Neste mesmo sentido, com o potencial uso geral das LLMs, de forma reflexa, promove um incremento de um desafio tanto para os formuladores de instrumentos regulatórios, quanto para políticas públicas e de boas práticas. De um modo geral, é muito presente a percepção que o trabalho que envolve rotinas repetitivas está mais sujeito a um deslocamento em razão da tecnologia3. Situamos este fenômeno ao colocar o papel de apoio que a IA tem a exercer no campo do desempenho profissional4. Também há que se destacar um fenômeno interessante sobre a ótica laboral associado a este deslocamento de tarefas que é o aumento de necessidade de novas tarefas (por novos conhecimentos, habilidades e competências) em razão da própria tecnologia.5 Também é necessário manter o entendimento que ao considerar o trabalho humano como um conjunto de tarefas associadas, seria raro imaginar uma ocupação para a qual as ferramentas de IA não pudessem executar total ou parcialmente uma tarefa (ELOUNDOU, et. al., p. 5. 2023). A vastidão de possibilidades para análise do mercado jurídico de trabalho impõe uma série de desdobramentos do estudo da temática que estão sendo conduzidos em nosso laboratório. Há uma grande dificuldade para encontrar uma base de dados atual e que realmente reflita a realidade das ocupações jurídicas brasileiras. Até mesmo no âmbito das profissões regulamentadas há um déficit informacional e de atualização muito importante6. O Ministério do Trabalho e Emprego - MTE disponibiliza a denominada Classificação Brasileira de Ocupações - CBO, aprovada pela Portaria 397, de outubro de 2002. Tal organização, desenvolvida a partir da década de 80, apresenta uma estrutura que considera ocupações mais tradicionais na atividade jurídica. Em nosso artigo publicado na Revista Sequência (HARTMANN PEIXOTO; BONAT,2023) realizamos a estruturação de parâmetros e hipóteses sobre os impactos nas atividades jurídicas. Aqui gostaria de destacar que cerca de 40% das atividades jurídicas altamente impactadas por sensibilidade a dados não possuem atenuantes de impacto e, portanto, podem ser severamente impactadas pela IA. Despachos de diversas naturezas, preparo de informações, trabalhos de assessoramento, assistência, atos de gestão e procedimentos automatizáveis se destacam. Assim, como hipótese, nas atividades levantadas, tem-se que as atividades constantes da Tabela 1 como as que sofrerão maiores impactos das GPTs: Tabela 1. rol de atividades jurídicas associadas ao provável impacto das GPTs ID ocupações impacto de dados índice excludentes de impacto (0-1-2) provável impacto GPTs 1 despachar alto [2] [0] [2] 2 preparar informações alto [2] [0] [2] 3 firmar compromisso alto [2] [0] [2] 4 assessorar alto [2] [0] [2] 5 assistir alto [2] [0] [2] 6 promover lotação alto [2] [0] [2] 7 promover distribuição de pessoal alto [2] [0] [2] 8 homologar atos alto [2] [0] [2] 11 apurar liquidez e certeza de dívidas alto [2] [0] [2] 12 promover execução de dívidas alto [2] [0] [2] 13 inscrição e controle de dívidas alto [2] [0] [2] 19 unificar jurisprudências alto [2] [0] [2] 21 editar enunciados alto [2] [0] [2] 24 formular regimentos alto [2] [0] [2] 25 instaurar processos administrativos alto [2] [0] [2] 34 fixar interpretação alto [2] [0] [2] 40 acompanhar andamento de processos alto [2] [0] [2] 41 apresentar petições interlocutórias alto [2] [0] [2] 45 identificar repetições de processos alto [2] [0] [2]   Desta avaliação também é possível levantar outra hipótese (que aliás está também apontada no artigo paradigma). Atividades típicas a carreiras  com padrão remuneratório maior podem ser impactadas diretamente pelas famílias GPTs, tais como: distribuição de pessoal, homologações de atos ou edição de enunciados. Assim, quanto ao alcance, é possível perceber uma linearidade em todas as ocupações jurídicas, que terão sua rotina de trabalho fortemente impactada pelo desenvolvimento das GPTs. Note-se que a partir da indicação de 45 atividades avaliadas, aquelas destinadas à reflexão e análise crítica não se encontram entre as mais impactadas, pois a elas são aplicadas atenuantes. Essa percepção nos encaminha à evidência de que as atividades jurídicas de maior complexidade nos direcionam ao conceito utilizado em nossas pesquisas de uso da IA como apoio da atividade decisória e de compreensão do Direito, não gerando, nesse primeiro momento, a substituição de atividades jurídicas complexas. Isso sugere um ponto de constatação: embora atividades com maior valor remuneratório tenham grande impacto, atividades de natureza personalíssima seguem possuindo alto valor de mercado. Cabe aqui, inclusive, uma analogia: o uso da internet propiciou às atividades jurídicas uma grande mudança de gestão de trabalho. Da contratação de empresas para leitura dos Diários Oficiais para o sistema push, da busca de jurisprudência no catálogo LEX ou nas bibliotecas dos Tribunais para o uso de plataformas digitais; das sessões presenciais de julgamentos para julgamentos virtuais. As atividades jurídicas sempre sofreram forte impacto pelo uso da tecnologia. O uso estratégico de informações sobre impactos pode, com o auxílio inclusive de IAs generativas, propiciar política pública estratégica e sensível a tais mudanças, fazendo o Estado agir através da regulação minimizando impactos negativos.(Aliás, o Brasil tem oportunidades históricas sob o ponto de vista regulatório que não podem ser perdidas!)    Uma hipótese que precisa ser urgentemente trabalhada sobre o mercado jurídico brasileiro e a grande quantidade de indivíduos habilitados pelo bacharelado que estão ficando de fora das atividades jurídicas. Será que as habilidades recebidas nos bacharelados não estão em sintonia com as demandadas pelo mercado jurídico contemporâneo? Avaliar competências e habilidades desenvolvidas nos cursos de bacharelado a partir desses impactos é fundamental para criação e desenvolvimento de novas atividades que serão necessárias para operar com um mundo mais digital. Há um campo gigantesco de análise e avaliações sobre dados, onde os conhecimentos ditos especialistas, isto é,  para os que têm conhecimento especializado sobre o Direito, têm grandes oportunidades de ocupação.  Referências BONAT, Debora; HARTMANN PEIXOTO, Fabiano;. Inteligência Artificial e Precedentes Coleção Direito, Racionalidade e Inteligência Artificial. 1a edição. v. 3. 2020. Curitiba: ed. Alteridade. ISBN 978-65-991155-0-9.  DR.IA. Site do Grupo de Pesquisa. Disponível aqui.   ELOUNDOU, Tyna; MANNING, Sam; MISHKIN, Pamela;ROCK, Daniel. GPTs are GPTs: an early look at the Labor Market impact potential of Large Language Models. arXiv:2303.10130v4 [econ.GN]. 2023. Acesso em 24 de abril de 2023.  HARTMANN PEIXOTO, Fabiano; BONAT, Debora. GPTs e Direito: impactos prováveis das IAs generativas nas atividades jurídicas brasileiras. v. 44 n. 93 (2023): Seqüência - Estudos Jurídicos e Políticos HARTMANN PEIXOTO, Fabiano; BONAT, Debora. Inteligência Artificial e Processo Judicial: otimização comportamental e relação de apoio. Revista Humanidades e Inovação - UNITINS v. 8 n. 47 (2021): Inovação, Novas Tecnologias e o Futuro do Direito I. 2021. Disponível em https://revista.unitins.br/index.php/humanidadeseinovacao/article/view/5710. Acesso em 30 de abril de 2023. HARTMANN PEIXOTO, Fabiano; SILVA, Roberta Zumblick Martins da. Inteligência Artificial e Direito. Coleção Direito, Racionalidade e Inteligência Artificial. Curitiba: Alteridade, 2019. HARTMANN PEIXOTO, Fabiano Inteligência Artificial e Direito: Convergência Ética e Estratégica. Coleção Direito, Racionalidade e Inteligência Artificial. Curitiba: Alteridade, 2020. HARTMANN PEIXOTO, Fabiano. Projeto Victor: relato do desenvolvimento da inteligência artificial na repercussão geral do Supremo Tribunal Federal. Revista Brasileira de Inteligência Artificial e Direito, v. 1, 2020. RBDI. AID-IA. 2020b. Disponível aqui.  PRATA, Antonio. Burrice natural, inteligência artificial. Coluna do jornal Folha de São Paulo, dia 25/03/2023.  SIQUEIRA, Dirceu Pereira; MORAIS, Fausto dos Santos; DOS SANTOS, Marcel Ferreira. Inteligência artificial e jurisdição: dever analítico de fundamentação e os limites da substituição dos humanos por algoritmos no campo da tomada de decisão judicial. Revista Sequência Estudos Jurídicos e Políticos. v. 43 n. 91. 2022. DOI. Acesso em 20 de fevereiro de 2023. ZHU, Qihao; LUO, Jianxi. Generative pre-trained transformer for design concept generation: an exploration.Disponível aqui. Acesso em 20 de abril de 2023. ___________ 1 Siqueira; Morais e dos Santos sintetizam: "A aplicação de ferramentas de IA à tomada de decisão judicial deve partir de uma filtragem constitucional que perpasse pelos princípios do devido processo legal, do acesso à justiça, do contraditório e do dever de fundamentação das decisões judiciais."(SIQUEIRA; MORAIS; DOS SANTOS, p. 3, 2022) 2 Há uma série de pesquisas ou P&Ds (algumas já publicadas) outras em andamento no laboratório DR.IA_UnB que partem desta concepção lógica, que afeta o impacto da IA sobre o Direito. As atividades, materiais e produtos estão disponíveis no site www.dria.unb.br. Sobre a lógica de apoio (ao longo do processo judicial) desenvolvemos que "Uma ação de apoio a essa etapa já é, per se, relevante, pois pode indicar uma série de cenários, racionalizar esforços e auxiliar estratégias. Em um espectro ampliado, um sistema de apoio que consiga também organizar o relato de um caso pode ser benéfico ao cidadão comum, sob o ponto de vista de melhorar sua compreensão dos direitos envolvidos em determinada situação e ser um importante fator de incremento de cidadania" (HARTMANN PEIXOTO; BONAT, 2021, p. 13). 3 Já trabalhamos sobre os impactos em rotinas jurídicas repetitivas e enfadonhas, por exemplo, no livro:  Inteligência Artificial e Direito (2019) e  Inteligência Artificial e Precedentes (2020) na  Coleção Direito, Racionalidade e Inteligência Artificial da editora Alteridade. 4 O papel de apoio da IA está no centro das pesquisas do grupo DR.IA e pode ser visto no  relato do Projeto Victor (HARTMANN PEIXOTO, 2020b): Projeto Victor: relato do desenvolvimento da inteligência artificial na repercussão geral do Supremo Tribunal Federal. Revista Brasileira de Inteligência Artificial e Direito. 5 O artigo paradigma aborda esta questão na passagem: "More recent studies have distinguished between technology's task-displacement and task-reinstatement effects (where new technology increases the need for a wider array of labor-intensive tasks) (Acemoglu and Restrepo, 2018, 2019). Several studies have shown that automation technologies have resulted in wage inequality in the US, driven by relative wage declines for workers specializing in routine tasks (Autor et al., 2006; Van Reenen, 2011; Acemoglu and Restrepo, 2022b)." (ELOUNDOU, et. al., p. 5. 2023) 6 Esta dificuldade impõe limites à formulação de hipóteses ao presente artigo e impulsionou o desenho de um projeto de pesquisa dentro do DR.IA que busca formar um dataset mais completo sobre as ocupações jurídicas, com descrição das principais atividades da rotina, habilidades e formação necessárias.
Introdução A Inteligência Artificial (IA), sobre a qual temos comentado muito ultimamente, trouxe uma nova modalidade de notícia intencionalmente enganosa que são as deepfakes. Esse novo conceito de fake news é fruto da fabricação de notícias enganosas em formato audiovisual de modo hiper-realista por meio das chamadas IAs generativas. Lembro que as IAs generativas são um tipo de sistema computacional baseado em redes de aprendizado profundo (deep learning) capazes de gerar textos, imagens ou outras medias em resposta a solicitações escritas em linguagem comum. Entro em mais detalhes sobre essas redes generativas mais adiante. Muitos devem ter assistido à um comercial de uma montadora de automóvel que foi veiculado em julho do ano passado em que a cantora Maria Rita contracena com sua mãe, Elis Regina (falecida em 1982, cuja imagem foi recriada por uma IA generativa), provocando um efeito visual que sugestionava uma participação de ambas no tempo presente1. Nesse comercial uma atriz dublê deu corpo à Elis Regina, e o rosto da Elis foi inserido depois utilizando ferramentas tipo as usadas em deepfakes. Não podemos chamar esse uso de IA de fake news, pois a intenção da propaganda não foi a de enganar o consumidor, embora este seja um bom exemplo do poder das IAs generativas, recriar o passado para modelar o presente. Deixo aqui uma dica bônus sobre um artigo do Migalhas no tema regulação da IA na propaganda2. Antes de entrarmos na polêmica sobre se o conceito de deepfake nasceu ou não no século XIX, vamos usar uma abordagem atual e pouco legal para a construção deste artigo, vamos conhecer mais sobre o presente para julgarmos o passado. Sendo assim, vamos conhecer mais sobre deepfake. Conhecendo mais sobre deepfake Sobre a palavra: A palavra "deepfake" é uma amálgama, uma combinação dos termos "deep learning" e "fake news". Já o conceito de deepfake remete às técnicas computacionais usadas para trocar o rosto de pessoas em vídeos, sincronizar movimentos labiais, elaborar expressões faciais e demais detalhes buscando resultados impressionantes e bem convincentes. Ou seja, criar um vídeo falso com uma voz falsa e que serve para confundir ou iludir o usuário. O conceito não é novo. Uma das origens aponta para um usuário da plataforma Reddit (uma rede social), de codinome deepfakes, que usou ferramentas de IA e aprendizado de máquina para criar um algoritmo para treinar uma rede neural para mapear o rosto de uma pessoa no corpo de outra. Isso ocorreu em 2017. Deepfake não pode ser confundida com shallowfake. Enquanto deepfake usa técnicas sofisticadas para criação de vídeos, sons e fotos, shallowfake utiliza técnicas refinadas de edição de sons e imagens. Ambas têm a intenção de fraudar, lograr, confundir o consumidor da notícia. Tanto deepfake quanto shallowfake se tornaram grandes preocupações do STF nas eleições de 20223. Shallowfake foi usada para mapear a voz de uma apresentadora do Jornal Nacional divulgando uma falsa pesquisa de intenção de votos. Enquanto isso, deepfake era ainda um problema aparentemente alheio com exemplos na Ucrania sobre um suposto discurso de rendição do presidente da Ucrânia Volodymyr Zelensky frente às imposições do seu adversário na guerra, o presidente da Russia Vladimir Putin, e exemplos anteriores, como na eleição norte-americana de 2020 quando Barack Obama aparece num fake vídeo chamando Donald Trump de "um idiota completo"4. Ferramentas tais como Reface, Zao, e FSGAN são usadas com intuito enganoso. O Reface é um aplicativo que usa IA para trocar rostos em imagens e memes famosos a partir de uma lista de exemplos oferecidos pelo aplicativo. Zao, um aplicativo muito popular em seu país de origem, a China, foi lançado em 2019 e também tem o objetivo de trocar rostos de pessoas em fotos e vídeos. Num outro espectro mais sofisticado temos o software Face Swapping GAN (FSGAN), aplicativo para a troca e reconstituição de rostos. Ao contrário dos anteriores, o FSGAN é independente do assunto e pode ser aplicado a pares de faces sem exigir treinamento nessas faces. O termo GAN no nome deste software refere-se ao que é chamado de rede adversária generativa, ou Gan do termo inglês generative artificial network. A Gan coloca dois algoritmos de inteligência artificial um contra o outro. O primeiro algoritmo, conhecido como gerador, alimenta ruído aleatório e o transforma numa imagem. Esta imagem sintética é então adicionada a um fluxo de milhares de imagens reais - de celebridades, digamos - que são alimentadas no segundo algoritmo, conhecido como discriminador. A princípio, as imagens sintéticas não se parecerão em nada com rostos. Mas repita o processo inúmeras vezes, com feedback sobre o desempenho, e o discriminador e o gerador aperfeiçoam a imagem. Com ciclos e feedback suficientes, o gerador começará a produzir rostos totalmente realistas de celebridades completamente inexistentes. Fazer um deepfake usando uma GAN não é tão simples assim devido ao trabalho de elaborar uma coleção de imagens usada para treinar essas redes neurais. Muitas vezes são usadas entre 5 e 10 mil imagens neste aprendizado. A pessoa responsável por projetar essa estrutura de aprendizado de máquina foi Ian Goodfellow, que era aluno de doutoramento na Universidade de Montreal em 2014, época em que trabalhava nos primeiros GANs com colegas universitários e seu orientador, Yoshua Bengio5. A preocupação com o uso destas técnicas computacionais para gerar fake news nestas eleições municipais já começou6. Ressalto, porém, que tudo tem seu outro lado e essas ferramentas de IA não necessariamente precisam ser usadas desta maneira. Estas IA generativas, a exemplo destas GANs, são usadas para outros fins bem mais nobres. A exemplo do artigo do Prof. Juliano Maranhão7, elenco algumas das possibilidades de uso inteligente, genuíno, puro e fidedigno das IAs. Foquemos nas campanhas eleitorais que usam várias mídias distintas, como TV, rádio, redes sociais e mídia impressa. O conteúdo a ser gerado pode ser criado, potencializado e melhorado com o uso destas IAs que geram imagens e vídeos sintéticos, podem ser usadas para gerar textos e discursos da campanha, corrigir estes textos, resumir os programas de governo, melhorar a resolução de imagens, construir textos com base em imagens, gerar texto a partir de vídeos, enfim, podem reduzir os custos comparativamente aos serviços que demandam produção humana e podem aumentar a produtividade das agências. Enfim, os recursos estão aí, cabem às pessoas fazerem suas escolhas sobre como usar estas tecnologias. Voltando ao questionamento original sobre o início das deepfake ter ocorrido no século XIX, vamos a um pouco de história. O que talvez seja a primeira deepfake Sabemos que a fotografia foi inventada, criada, no século XIX, mas essa criação não é reconhecida como sendo de um único inventor. Desde muito antes desta data a humanidade já conhecia técnicas para criar imagens a partir da luz natural, mas ninguém sabia como fixar as imagens criadas numa mídia, quer seja papel, metal ou o que depois conhecemos como filme fotográfico. No entanto, a partir de 1830 muitas pessoas descobriram métodos distintos de fixação de imagens8. Dentre estas pessoas destacamos Hyppolyte Bayard9 quem em 1839 criou um método fotográfico que consistia em mergulhar um papel numa emulsão de agentes químicos fotossensíveis, acomodar este papel numa câmara escura e expô-lo à luz natural através de um pequeno orifício aberto neste dispositivo. Bayard era mais que um funcionário público, era também um artista nato com gosto pela jardinagem e quem talvez tenha criado as primeiras selfies em que ele aparecia de olhos fechados devido à longa exposição à luz que seu método fotográfico demandava. Pena que não é esta a história da fotografia que conhecemos. Já ouvimos que o pioneiro da fotografia foi Louis Jacques-Mandé Daguerre (1787 - 1851), homenageado pela invenção do processo fotográfico daguerreótipo pela Academia Francesa de Ciências e pela Académie des Beaux Arts em 183910. Daguerre era um pintor e gravador romântico, famoso na sua época como proprietário do Diorama, um teatro que nos anos de 1820 encantava o público parisiense com pintura teatral e efeitos de iluminação. No entanto sua obsessão pela fixação de uma imagem numa placa de metal continuou até 1830 quando criou o daguerreótipo que era uma imagem única fixada numa folha de cobre banhada a prata altamente polida. Embora fosse um sujeito muito conhecido em Paris, Daguerre comentou sobre seu invento à poucas pessoas influentes na sociedade francesa. Por outro lado, Bayard estava disposto a compartilhar sua invenção com todos e em junho 1939 ele foi o primeiro fotógrafo a exibir suas fotos ao público quando organizou uma exposição de seus trabalhos artísticos. Bayard tinha a intenção de mostrar seu processo fotográfico para a Academia Francesa de Ciências, mas é neste ponto que entra em cena um político ardiloso de nome Francois Arago. François Jean Dominique Arago (1786 - 1853) foi um físico, astrônomo e político francês. Como político chegou a ser ministro por duas ocasiões e como físico suas descobertas da polarização cromática da luz e a polarização rotatória são muito conhecidas. Em 1811, trabalhando com Augustin Jean Fresnel, descobriu um novo processo de decompor a luz branca. No entanto, como presidente da Academia Francesa de Ciências, Arago tinha uma predileção pelos trabalhos de Daguerre. Em 1838, conhecendo seus trabalhos fotográficos, ele fechou um acordo com o governo francês para comprar os direitos sobre o processo de criação do daguerreótipo. Arago gostaria que a nova fotografia fosse um presente da França para o mundo. Paralelamente, Bayard chegou a mostrar seus trabalhos para Arago, mas ele protelou a apresentação de Bayard para a Academia até que fosse finalizado o acordo entre o governo francês e Daguerre, deixando assim Bayard "a ver navios". O governo divulgou o processo de Daguerre ao mundo. O processo se espalhou como "fogo em palha". Daguerre recebeu uma pensão vitalícia pelo seu invento e ficou conhecido pelo mundo todo como o criador do primeiro processo fotográfico. No entanto, Bayard partiu para a revanche. Ele chegou a demonstrar o seu trabalho para a Academia Francesa poucos meses depois de Daguerre, mas o processo de divulgação do daguerreótipo estava mais avançado e a Academia não se interessou. Foi nessa desilusão que Bayard cometeu seu "suicídio". Em 1840 Bayard publicou uma fotografia granulada de um cadáver parcialmente coberto encostado a uma parede. A imagem mostra um cadáver em aparente decomposição dado o escurecimento da pele do rosto e das mãos. O corpo e a face retratados são de Hippolyte Bayard, um dos primeiros inventores de processos fotográficos e agora é exposto como uma suposta vítima de afogamento. É no mínimo estranho o próprio autor publicar seu autorretrato já falecido. Atualmente, essa imagem da Bayard11 é tida como a primeira fake image e foi criada em protesto pela falta de reconhecimento que recebeu por suas contribuições para a invenção do meio fotográfico em papel. Imaginem vocês vendo uma imagem publicada em 1840 de uma pessoa morta. Isso numa época em que a única mídia de divulgação existente era a mídia impressa. As transmissões radiofônicas só iniciariam no século seguinte. Assim, uma manipulação fraudulenta e enganosa desta única mídia existente deveria refletir algo genuíno, real, o que se encaixa plenamente no conceito de deepfake atualmente. Vimos um pouco de história e um pouco de tecnologia para mostrar que, à despeito das inovações científicas, as velhas e sórdidas práticas continuam as mesmas. As tecnologias evoluem, mas a perfídia é a mesma. __________ 1. Comercial Volkswagen 70 Anos - Maria Rita e Elis Regina | CARROS | 2023 (Loometv). Disponível aqui. Último acesso em 12 de fevereiro de 2024. 2. Estamos prontos para regular o deepfake e a IA nas propagandas? Disponível no Migalhas. Último acesso em 12 de fevereiro de 2024. 3. Shallowfake e deepfake, os riscos para o brasileiro nas eleições. Disponível aqui. Último acesso em 12 de fevereiro de 2024. 4. What are deepfakes - and how can you spot them?. Disponível aqui. Último acesso em 12 de fevereiro de 2024. 5. The GANfather: The man who's given machines the gift of imagination. Disponível aqui. Último acesso em 12 de fevereiro de 2024. 6. 'Deepfake eleitoral': PF faz operação contra suspeito de usar IA para difamar prefeito de Manaus. Disponível aqui. Último acesso em 12 de fevereiro de 2024. 7. Inteligência artificial não é a vilã das eleições. Disponível aqui. Último acesso em 12 de fevereiro de 2024. 8. History of photography. Disponível no aqui. Último acesso em 12 de fevereiro de 2024. 9. Hyppolyte Bayard. Disponível no aqui. Último acesso em 12 de fevereiro de 2024. 10. Daguerre (1787-1851) and the Invention of Photography. Disponível aqui. Último acesso em 12 de fevereiro de 2024. 11. Fake news: the drowning of Hippolyte Bayard. Disponível aqui. Último acesso em 12 de fevereiro de 2024.
A opção eloquente do legislador brasileiro pela anonimização de dados como técnica adequada à dissociação de conjuntos de dados pessoais em relação às pessoas naturais às quais dizem respeito destoa da opção europeia, onde vigora o conceito de pseudonimização de dados como regra1. Em síntese, na Lei Geral de Proteção de Dados Pessoais brasileira (lei n. 13.709/2018), o dado anonimizado está conceituado no artigo 5º, III, como o "dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento". Para isso, realiza-se a anonimização, também conceituada na lei, no inciso XI do mesmo artigo, com a seguinte redação: "utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo". No Regulamento Geral sobre a Proteção de Dados da União Europeia (Regulamento 2016/679(EU)), por outro lado, optou-se por aderir ao conceito de pseudonimização de dados, definida, no Artigo 4.º, n.º 5, do regulamento, como sendo "o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável". Leitura apressada da LGPD brasileira parece indicar a impossibilidade da guarda do conjunto suplementar de informações que torna o mero "dado" um "dado pessoal", inclusive para fins de reidentificação ou desanonimização. Basicamente, quando se anonimiza dados, retira-se do conjunto analisado os predicativos que lhe conferem pessoalidade, tornando-o relativo a uma pessoa natural imediata ou potencialmente identificada (art. 5º, I, da LGPD). Porém, fora do rol de conceitos do artigo 5º da lei, optou o legislador por adotar a pseudonimização dos europeus para o escopo restrito dos estudos em saúde pública. Este tema está tutelado no artigo 13 da LGPD, segundo o qual, durante a execução de pesquisas em saúde pública, as instituições responsáveis podem acessar dados pessoais. Esses dados serão processados internamente e apenas para fins de pesquisa, sendo armazenados em um ambiente seguro e controlado, de acordo com normas de segurança definidas em uma regulamentação específica (que ainda não foi editada). Sempre que viável, pelo que prevê o caput do artigo 13, será dada prioridade à anonimização ou pseudonimização desses dados, assegurando também o cumprimento dos padrões éticos pertinentes a estudos e investigações. O §4º do artigo 13, por sua vez, prevê que, "para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro". Basicamente, o mesmo conceito do RGPD europeu, formalmente indicado como de aplicação restrita aos casos de estudos em saúde pública. Os estudos em saúde pública são fundamentais para a promoção, proteção e restauração da saúde das populações em uma escala coletiva, transcendendo a abordagem individualizada da medicina clínica. Eles abarcam uma vasta gama de disciplinas, incluindo epidemiologia, estatísticas de saúde, gerenciamento de saúde, saúde ambiental, saúde mental, e políticas de saúde, oferecendo um arcabouço para entender os determinantes da saúde e as intervenções necessárias para prevenir doenças e promover estilos de vida saudáveis. Além disso, por meio da vigilância de saúde pública, é possível monitorar padrões de doenças, identificar surtos em estágios iniciais e responder de maneira eficaz para controlá-los, reduzindo, assim, a morbidade e mortalidade associadas. Tais estudos ainda fornecem evidências científicas que fundamentam decisões políticas e práticas em saúde, garantindo que os recursos sejam alocados de maneira eficiente e eficaz para atender às necessidades de saúde da população. Os estudos em saúde pública, por essas razões, dependem do acesso a dados pessoais para que se possa monitorar, avaliar e responder a questões de saúde que afetam populações. Em meio a uma enorme gama de dados, tem-se informações sobre condições de saúde, históricos médicos, detalhes sobre a exposições a riscos, comportamentos de saúde e demografia. A coleta, análise e utilização desses dados envolve, portanto, dados referentes à saúde das pessoas analisadas, que são dados pessoais sensíveis na LGPD (art. 5º, II), o que denota uma dimensão ainda mais acentuada de risco2. Logo, a anonimização de dados é desejável, pois converte o dado pessoal em dado anonimizado, afastando a incidência da LGPD - com todos os seus rigores - em relação às atividades de tratamento. Todavia, não é tema simples. A Autoridade Nacional de Proteção de Dados está realizando consulta pública sobre a matéria3 deverá editar guia orientativo específico muito em breve. Um dos temas sobre os quais se espera maior aclaramento é a interpretação sobre o que se considera "meios técnicos razoáveis e disponíveis no momento do tratamento", pois, ainda que o legislador tenha tentado elucidar tal descrição, indicando a imprescindibilidade da aferição de custo e tempo como "fatores objetivos" para fins de anonimização, no artigo 12, §1º, da lei, não há dúvida alguma de que tais fatores variam sobremaneira a depender do porte econômico do agente de tratamento de dados, da finalidade da atividade, do acesso que tem às melhores e mais sofisticadas ferramentas de cifragem, criptografia, supressão e randomização e de suas políticas de governança de dados4. Na área da saúde, porém, o problema se amplia: estudos em saúde pública foram realizados amplamente durante a grave crise sanitária de Covid-19, particularmente no Brasil5, cujas dimensões continentais demandaram complexa operação estruturada para a vacinação da população. Foram priorizados grupos de risco, profissionais da saúde e populações de faixas etárias mais elevadas, e, evidentemente, foram feitos estudos quantitativos sobre a parcela da população vacinada a cada ciclo de dosagem, e, também, sobre a eficácia de cada vacina. Essa importância é multifacetada, abrangendo, ademais, a compreensão da epidemiologia e transmissibilidade do vírus SARS-CoV-2 e a avaliação da segurança das vacinas desenvolvidas em resposta à doença. A pandemia, caracterizada por sua rápida disseminação e impacto significativo sobre a saúde global, economias e sociedades, exigiu uma resposta imediata e baseada em evidências científicas para mitigar seus efeitos. Tudo isso se enquadra nos dizeres do artigo 13 da LGPD e, desejavelmente, tais estudos deveriam ter sido realizados com a anonimização e pseudonimização dos dados pessoais das pessoas avaliadas. As vantagens da segunda técnica em relação à primeira são evidentes pelo próprio conceito: guardar informação adicional em ambiente controlado e seguro que permita retroceder para tornar o dado pseudonimizado um dado pessoal é essencial para que se possa auditar o estudo. O próprio Código de Ética Médica parece adepto à técnica da pseudonimização para as questões de saúde pública ao excepcionar do dever de sigilo profissional estampado no seu art. 73, os casos de tratamento de dados pessoais sensíveis do paciente por justo motivo ou dever legal, justamente como ocorre nos casos de doenças de notificação compulsória e ações de vigilância epidemiológica. Por outro lado, os riscos relacionados à manutenção desses conjuntos de dados em ambiente controlado são maiores do que na anonimização, e nem sempre se poderá aferir o grau de confiabilidade da guarda assumida por uma instituição de pesquisa, por mais séria que seja e por mais que se valha das melhores soluções de segurança da informação. Nos dizeres de Luis Eugenio Portela Fernandes de Souza, "dado um cenário inercial provável, sem mudanças significativas nas condições atuais, com o sistema público de saúde em uma situação de restrições econômicas e fragilidade política, mas com capacidade de resistência e avanços pontuais, por meio de iniciativas racionalizadoras das políticas de saúde, a Saúde Coletiva manteria a trajetória dos últimos anos, persistindo como área de conhecimento reconhecida, mas, ao mesmo tempo, teria limitações importantes quanto ao apoio a medidas concretas de intervenção e fortalecimento do Sistema Único de Saúde de acordo com seus princípios constitucionais"6. Sabendo que inexistem sistemas infalíveis ou completamente blindados contra acessos não autorizados, incidentes de segurança poderão surgir, deflagrando discussões mais complexas sobre eventual descumprimento dos preceitos da lei em relação ao dever geral de segurança estabelecido no artigo 46, ao próprio princípio da segurança do artigo 6º, VII, e às esperadas boas práticas relacionadas a dados pessoais, cujas exigências constam do artigo 50, §2º, da LGPD. Isso porque, embora não se negue a relevância da saúde pública e das instituições responsáveis pela realização dos sobreditos estudos, há limitações que não se pode desconsiderar. Portanto, reafirma-se a premência da discussão para que novos estudos possam aclarar o campo de incidência da tutela definida pelo artigo 13 da LGPD, especialmente a partir do labor regulatório infralegal da ANPD e de seu vindouro guia orientativo. Urge reconhecer a importância da conjugação da boa técnica aos padrões mais sólidos de segurança da informação para que a pseudonimização se torne a regra nos estudos em saúde pública, e não mera faculdade, inclusive se tornando preponderante em relação à anonimização de dados nesse contexto específico. __________ 1 FALEIROS JÚNIOR, José Luiz de Moura. Proteção de dados e anonimização: perspectivas à luz da Lei n. 13.709/2018. Revista Estudos Institucionais, Rio de Janeiro, v. 7, n. 1, p. 376-397, jan./abr. 2021, p. 378-379.   2 MASSENO, Manuel David; MARTINS, Guilherme Magalhães; FALEIROS JÚNIOR, José Luiz de Moura. A segurança na proteção de dados: entre o RGPD europeu e a LGPD brasileira. In: LOPES, Teresa Maria Geraldes da Cunha; SAÉNZ GALLEGOS, María Luisa. (Org.). Ensayos sobre derecho y sociedad en la era tecnológica. México: UMSNH, 2020, p. 121-165. 3 A Autoridade Nacional de Proteção de Dados (ANPD) iniciou a consulta pública sobre o Guia de Anonimização e Pseudonimização de Dados Pessoais no dia 30 de janeiro de 2024. Todas as informações estão disponíveis na plataforma Participa+Brasil até 28 de fevereiro de 2024. BRASIL. Autoridade Nacional de Proteção de Dados. ANPD abre consulta à sociedade sobre o Guia de Anonimização e Pseudonimização. ANPD, 30 jan. 2024. Disponível aqui. Acesso em: 1º fev. 2024. 4 CARVALHO, Fernanda Potiguara. Desafios da anonimização: um framework dos requisitos e bosa práticas para compliance à LGPD. São Paulo: Thomson Reuters Brasil, 2022, p. 178-192. 5 SANTOS, Rodrigo Lopes; CRUZ, Adriano da Costa. LGPD na saúde digital: gestão da tecnologia pós-pandemia coronavírus/Covid-19. In: AITH, Fernando; DALLARI, Analluza Bolivar (Coord.). LGPD na Saúde Digital. São Paulo: Thomson Reuters Brasil, 2022, p. 312-314. 6 SOUZA, Luis Eugenio Portela Fernandes de. Saúde pública ou saúde coletiva? Revista Espaço para a Saúde, Londrina, v. 15, n. 4, p. 7-21, out./dez. 2014, p. 19-20.
O deepfake se trata da utilização de inteligência artificial (IA) para que esta adultere sons e imagens, produzindo vídeos de conteúdo enganoso. É possível, por meio deste instrumento, alterar a movimentação dos lábios ou, ainda, colocar trechos de uma fala em um vídeo totalmente diverso, modificando o que determinada pessoa havia dito. Percebe-se que, devido ao deepfake possuir grande potencial de espalhar notícias falsas, as famigeradas fake news, ele foi amplamente explorado nas eleições, como nas dos Estados Unidos em 2016 e, principalmente, em 2020, além de ocorrer nas do Brasil, em 2022. Para a criação de deepfake, aplica-se a técnica de deep learning, a qual se trata de reprodução de um sistema neural humano artificial, adaptando-se e aprendendo por uma rede de dados. Nesse sentido, o programador utiliza de uma grande quantidade de software de código aberto e, a partir do conteúdo fornecido, os algoritmos da inteligência artificial ficarão um contra o outro, produzindo um loop infinito de feedback, para chegar em resultados cada vez mais precisos. Assim, por meio de fotos e vídeos que determinado indivíduo aparece, a IA consegue aprender como ele se comporta, a partir de características faciais, gestos, voz, dentre outras especificidades. Nas eleições dos Estados Unidos, em 2016, que elegeu o Donald Trump para presidente, os deepfakes estiveram muito presentes. Um caso notório que ocorreu foi um vídeo em que o ex-presidente Barack Obama estaria chamando o candidato Donald Trump de "um completo merda". Entretanto, foi revelado que isto não foi dito por Obama, mas sim pelo diretor Jordan Peele, concluindo-se que, na verdade, tal fala foi inserida em um vídeo verídico do ex-presidente. Ainda, nas eleições do referido país em 2020, o personagem político conhecido por proferir diversas fake news, Donald Trump, veiculou em suas redes sociais, inúmeros vídeos manipulados para atacar seu adversário, Joe Biden, culminando na criação da Microsoft de um software especializado em identificar deepfakes. Ao se analisar o panorama do Brasil, o caso mais conhecido de deepfake nas eleições de 2022 foi utilizado em vídeo da apresentadora do Jornal Nacional, Renata Vasconcellos, o qual foi adulterado para evidenciar uma falsa pesquisa de intenção de votos. Neste caso, a jornalista afirmava que o candidato Jair Bolsonaro estava à frente na pesquisa do Ipec, quando, de fato, era ao contrário: o candidato Luiz Inácio Lula da Silva que estava liderando a pesquisa. Existiram, também, diversos outros casos de relevância, como o que William Bonner, âncora do referido jornal, estaria chamando os candidatos à presidência de "bandidos" ou, ainda, um áudio falso em que o candidato à presidência, Ciro Gomes, acusava a existência de fraude eleitoral, com a ciência das Forças Armadas. Os impactos da propagação de deepfakes no cenário de eleições são evidentes e, primordialmente, preocupantes. Quando algum candidato a determinado cargo político é vítima de deepfake, isso pode alterar completamente o rumo das eleições, pois podem atribuir a ele qualquer fala inverídica que desejarem, incluindo falas racistas, misóginas ou homofóbicas, culminando na perda de diversos eleitores. Um grande aliado na propagação desses vídeos ou áudios alterados é o fato de que diversos indivíduos não checam a veracidade da informação, visto que, por se tratar, supostamente, da voz e imagem da pessoa, atribuem uma percepção de autenticidade e acreditam não haver necessidade de averiguar a situação concreta. Soma-se, ainda, o fato de que estes indivíduos compartilham com diversas outras pessoas ou grupos, o que ocasiona em um alto índice de compartilhamento e, portanto, maior alcance dessas inverdades. O que se observa atualmente é que não existe legislação específica que trate sobre o assunto, visto que se trata de ferramenta relativamente recente, assim como diversos tipos de inteligência artificial. Por mais que exista o Marco Civil da Internet e a Lei Geral de Proteção de Dados, que visam proteger o uso de tecnologia digital no Brasil, tais situações evidenciam a necessidade de se proteger os dados pessoais, para que sua ocorrência seja cada vez menor. Nesse sentido, os arts. 9º e 9º-A da Resolução 23610/2019 do TSE, que regulou a propaganda eleitoral nas eleições de 2022, preveem penalidades para a desinformação nas propagandas, situação a qual poderia ser incluída a utilização de deepfakes; entretanto, não se mostrou suficiente para o controle de tais técnicas. Com a finalidade de combater a desinformação e regulamentar o uso da inteligência artificial, foi criado o PL 2.630/2020, cujo relator é o deputado Orlando da Silva (PCdoB-SP), que foi aprovado em 2020 pelo Senado, mas ainda está em análise na Câmara. Em seu artigo 5º, § 3º, há a vedação ao deepfake, mas sem a previsão de responsabilidade cível ou criminal dos responsáveis. No mesmo percurso, foi criado o PL 21/2020, apresentado pelo deputado federal Eduardo Bismarck (PDT-CE), com a finalidade de estabelecer fundamentos, princípios e diretrizes para o desenvolvimento e a aplicação da inteligência artificial no Brasil, o qual foi aprovado pelo plenário no ano de 2021. No entanto, o PL 21/20 não apresenta qualquer disciplina específica quanto ao deepfake em período eleitoral. Outrossim, tem-se o Projeto de Lei n° 2338, de 2023, apresentado pelo Senador Rodrigo Pacheco, que visa à definição da necessidade de que os algoritmos tenham transparência e que sejam explicáveis, permitindo um melhor controle do conteúdo gerado pela IA. Não se pode esquecer do fato de ser apresentada em 27 de novembro de 2023 a Emenda 1 ao PL 2338/23 pelo Senador Astronauta Marcos Pontes, que, em seu art. 14, apresenta a necessidade de "imposição de marca d'água para rotular claramente o conteúdo gerado por IA" pelos operadores de sistemas de IA de qualquer nível risco que sejam responsáveis por gerar conteúdo o qual deverá ser autenticado.  Houve, também, uma iniciativa da Justiça Eleitoral sobre os impactos da LGPD no processo eleitoral de registro de candidatura, que ocorreu nos dias 02 e 03 de junho de 2022. Nesse cenário, os especialistas demonstraram uma necessidade de pensar acerca da finalidade e da minimização na coleta e na divulgação de dados nas plataformas de processo judicial eletrônico. Portanto, os diversos projetos de lei que tramitam, além de debates entre especialistas e o Poder Judiciário demonstram a necessidade de se regular o uso do deepfake e proteger os dados dos indivíduos. Se os projetos de lei forem aprovados, certamente serão grandes aliados das eleições no Brasil neste ano de 2024 e as que virão futuramente, evitando a propagação de fake news. __________ Referências bibliográficas CARVALHO, Antonia. Qual o impacto das deepfakes para as eleições? Politize, 2022. Disponível aqui. Acesso em: 28 de set. de 2023. ____. Deepfake: conteúdo do Jornal Nacional é adulterado para desinformar os eleitores. Jornal Nacional, 2022. Disponível aqui. Acesso em: 28 de set. de 2023. ____. Deepfake mostra pesquisa falsa na voz de Renata Vasconcellos, do Jornal Nacional. Exame, 2022 Disponível aqui. Acesso em: 28 de set. de 2023. DIAS, Jefferson A. SILVA, Fabiano F. Bots, fake faces, deepfakes e sua eventual influência no processo eleitoral democrático. Revista Anpal. ____. É falso áudio atribuído a Ciro Gomes sobre tomada de poder pelas Forças Armadas caso Lula seja eleito. Folha, 2022. Disponível aqui. Acesso em: 29 de set. de 2023. LEAL, Victoria L. Deepfake: como essa ferramenta pode afetar o andamento das eleições de 2022. AgeMt PUCSP, 2022. Disponível aqui. Acesso em: 29 de set. de 2023. MARTINI, Francisco. MORETTI, Isis. Deepfake: as consequências de se imitar a vida real. Conjur, 2022. Acesso em: 28 de set. de 2023. OLIVEIRA, Samuel Rodrigues de. Sorria, você está sendo filmado: tecnologias de reconhecimento facial, privacidade e proteção de dados. 2020. 149 f. UFJF, Juiz de Fora, 2020. OSÓRIO, Fábio M. PECK, Patrícia. Eleições serão afetadas por LGDP e fake news. Poder 360, 2022. Acesso em: 29 de set. de 2023. PEIXOTO, Fabiano Hartmann. Inteligência Artificial e Direito. Curitiba: Alteridade Editora, 2019. PRADO, Magaly Parreira do. Deepfake de áudio: manipulação simula voz real para retratar alguém dizendo algo que não disse. TECCOGS - Revista Digital de Tecnologias Cognitivas, nº 23, jan./jun. 2021, p. 45-68. ____. Regulação de inteligência artificial é defendida no Conselho de Comunicação. Agência Senado, 2023. Disponível aqui. Acesso em 28 de set. de 2023. SOARES, Olavo. Deepfake deve invadir campanha eleitoral: entenda como funcionam os vídeos manipulados. Gazeta do povo, 2022. Disponível aqui. Acesso em: 29 de set. de 2023. ____. Tecnologia mais acessível coloca deepfake ao alcance de um clique. Exame, 2023. Disponível aqui. Acesso em: 28 de set. de 2023.
Certamente as leitoras e leitores desta coluna Migalhas de Proteção de Dados já ouviram ou leram sobre Techlash, um termo derivado de "tech" (tecnologia) e "backlash" (reação contrária), refere-se à reação negativa, crítica ou aversão direcionada à indústria da tecnologia, especialmente às gigantes como Meta, Alphabet, Amazon, Apple e Microsoft. Essa oposição é impulsionada por preocupações relacionadas à privacidade, proteção de dados dos usuários e ao potencial de manipulação política.1 A autora Nirit Weiss-Blatt diz que estamos vivendo a era dos grandes escândalos das Big Techs, que é fruto da ideia libertária de não regulação e liberdade de expressão abstrata e absoluta desde os idos pré redes sociais, como demonstra Max Fisher, em seu Máquina do Caos. Esses escândalos podem ser vistos através da já conhecida manipulação de pessoas em momentos eleitorais com a disseminação de desinformação (fake news); a coleta ilegal de dados de usuários pelas Big Techs, o aumento de grupos e comunidades online para disseminação e fabricação de discursos de ódio, como 4Chan, 8Chan2, as comunidades no Reddit3 e no Telegram4 e a utilização de deep fake, utilizado tanto para hostilização ou vingança (ciberbullying), quanto para difamação e injúria. Deep fake, segundo Diogo Rais5, é a mistura de "deep learning" - o aprendizado profundo em que são treinadas as inteligências artificiais - e "fake news" - desinformação, assim, trata-se de um modo refinado de propagação de desinformação, através de vídeos, fotos, em sua maioria de personalidades, em que a imagem e áudio podem ser alteradas com o objetivo de manipular a população. O uso de deep fake é preocupante, por exemplo, quando da aplicação de Inteligência Artificial para desnudar as pessoas, os "nudification AI". Esta tecnologia é capaz de transformar imagens comuns e fotos de redes sociais em falsas representações de nudez. No Rio de Janeiro, adolescentes do colégio particular Santo Agostinho utilizaram essa ferramenta para manipular fotos de mais de 20 meninas, sem a obtenção de seus consentimentos. O impacto nefasto desse incidente evidencia a urgente necessidade de conscientização sobre os riscos associados ao uso irresponsável da inteligência artificial, bem como a importância de proteger a privacidade e dignidade das pessoas online por meio da regulação, ainda inexistente no Brasil. Antes de adentrarmos nas questões sobre regulação de IA e o que achamos ser necessário para evitar o mau uso de tecnologias, é imprescindível dizer que, neste caso do Rio de Janeiro, além de gerar traumas psicológicos nas adolescentes, esta forma de violência pode se tornar epidêmica. É válido ressaltar que no Brasil, a atriz Isis Valverde6 também sofreu esse tipo de violência e está buscando reparação jurídica e punição aos culpados. Também é importante salientar que os impactos psicológicos nessas adolescentes do Rio de Janeiro podem ser devastadores, como ocorre em casos de revenge porn (a pornografia de vingança) - porque as imagens corrompidas são difíceis de serem removidas da rede e as meninas terão seus nomes ligados a estas imagens falsas por muito tempo, desvirtuando seus ciclos sociais de convivência. No Brasil, temos o art. 241-C, do ECA, que prescreve como crime este tipo de simulação e divulgação de imagens pornográficas de menores, além de ser análogo ao crime de pedofilia; também há no Código Penal, o art. 218-C, que tipificou o crime de divulgar pornografia ou cena de nudez sem o consentimento da vítima. Dessa maneira, podemos entender as consequências que uma tecnologia utilizada de forma criminosa pode acarretar, tanto familiar e pessoalmente quanto ao realizar as denúncias devido à vergonha e a exposição das vítimas. Então quais as possibilidades para a prevenção ao mau uso da tecnologia? Entendemos que as medidas principais devem passar por, pelo menos, 4 fatores, vejamos. Desindexação do Link da Tecnologia Maléfica de Sites Buscadores  Este pode ser um tema polêmico, mas em se tratando de nudez, aplica-se o art. 21, ou seja, o provedor de aplicações responde subsidiariamente em se tratando de divulgação de conteúdo de nudez, quando notificado pela vítima não agir de forma diligente. Entretanto, softwares como os utilizados no caso da escola no Rio de Janeiro, não possuem uma finalidade voltada à criação de artes através de imagens como, por exemplo, o Midjourney ou o BlueWilow. A finalidade dessa IA é tornar fotos casuais em fotos com nudez, portanto, a falta de consentimento é quase inerente ao usuário que, além de ofender o ECA, em caso de menores de idade, e o Código Penal, ainda ofendem a LGPD, pois se trata da utilização de dado sensível, somente podendo ser objeto de tratamento se tiver uma das bases legais previstas no art. 11 da LGPD, além de atentar aos fundamentos da proteção de dados pessoais previsto no inc. IV do art. 2º da LGPD, ao violar a privacidade, a honra e a imagem das vítimas; bem como o inc. VII do art. 2º da LGPD, pois atenta contra os direitos humanos, o livre desenvolvimento da personalidade e a dignidade da pessoa humana. Portanto, a desindexação seria uma medida de caráter rápido, o que não impede a busca da responsabilização civil da vítima, sendo tal medida uma tutela que merece reflexão a cada caso, para não dar ensejo à revitimização com a quantidade de exposição de uma imagem com nudez falsa durante o trâmite processual. Além disso, numa busca rápida por qualquer dos buscadores mais famosos, Bing (Microsoft) e Google (que também é a base dos dispositivos IOS, com o Safari), no Brasil, pode-se encontrar uma miríade de softwares com nudity machine learning, isto é, as IA foram treinadas com imenso banco de dados com nudez para se adequar a cor da pele e as nuances corporais da vítima, por isso entendemos que seja  inviável responsabilizar apenas uma dessas empresas produtoras destes softwares, assim, a desindexação seria a primeira forma de evitar o contato fácil de usuários com tais IA's.  Regulação de IA no Brasil Como podemos definir a regulamentação da Inteligência Artificial? Regulamentar implica estruturar um sistema intricado de termos, unidades e categorias para estabelecer uma base (complexa) que assegure ou aprimore a eficácia do objeto regulado, sem obstruir os avanços tecnológicos e econômicos. A legitimidade da tecnologia é crucial para evitar responsabilidades - em outras palavras, regulamentar envolve criar um conjunto de regras e normas que facilitem a interação da IA com a sociedade, promovendo a resolução eficaz de conflitos, prevenindo danos e otimizando sua eficiência7. Quando estamos diante do debate sobre regulação de IA, é crucial que entendamos o que estamos almejando regular. Pois bem, IA são orientadas por humanos com sistemas que empregam algoritmos para compreender, interpretar e tomar decisões, seja na esfera física ou digital. Esses mecanismos processam dados adquiridos através de machine learning (v.g., deep learning and reinforcement learning), analisando informações estruturadas ou não, e aplicam raciocínio para determinar ações que melhor atendam aos objetivos estabelecidos8. Apesar das tecnologias utilizando IA serem consumidas no Brasil, ainda não possuímos legislação adequada para regular o estado em que se encontra a utilização dessas ferramentas no país. Em 2021, o governo federal, através do Ministério da Ciência, Tecnologia e Inovações, lançou a EBIA9 (Estratégia Brasileira de Inteligência Artificial), um documento com pouco mais de 50 páginas que norteia o bom uso de IA e também serve de guia para pesquisas e inovações. Entretanto, quem lê o documento perceberá que são citados todos os mecanismos e institutos para a implementação e criação de IA éticas, que respeitem a privacidade e os direitos fundamentais, contudo não há definições claras de como isso será instituído, quando e quais sistemas (modelos) merecem maior ou menor atenção. Como salientamos acima, é preciso dizer qual é a IA, qual sua finalidade, quais meios de accountability estão disponíveis (a) métodos de explicação; b) testes e validação; c) indicadores de qualidade do serviço; e d) desenvolvimento de uma IA guardiã10) e infelizmente o documento não nos dá nenhuma resposta. Há também um projeto de Lei oriundo da Câmara dos Deputados e agora em trâmite no Senado Federal sob a relatoria do senador Rodrigo Pacheco (PSD/MG) que versa sobre a regulação de IA. O PL 2338/2023, corrigiu inúmeros erros e omissões daquele vindo da Câmara, como inserir no texto conceitos e princípios de governança como accountability, a privacidade, respeito aos dados pessoais, ao Estado de Direito e seus direitos fundamentais e etc. Contudo, o PL 2338/2023, mesmo com as audiências públicas das quais participaram especialistas, ainda não avançou em temas relevantes para a regulação como, por exemplo, identificação de viés algoritmo; responsabilização sobre racismo algorítmico e, sobretudo, deveria ter como fundamento o respeito e proteção à criança e ao adolescente, como demonstra a nota técnica da Coalizão de Direitos na Rede sobre o PL11.  Outro ponto relevante em que o PL é carente, é a escolha do modelo regulatório escolhido em seus dispositivos. Temos ao menos os modelos (i) clássico; (ii) modelo emergente; (iii) modelo ético e; (iv) modelo cautelar, cada um com suas peculiaridades, algumas omissões, mas ao menos é uma tentativa de regular estas tecnologias12, respeitando princípios como (i) não discriminação; (ii) possibilidade de revisão e previsão de viés algoritmico; (iii) privacidade e (iv) accountability, já utilizados na regulação de IA na União Europeia. Regulação das Redes Sociais A regulação de plataformas digitais no Brasil sofre do mesmo mal da regulação de IA. Os projetos não avançam em questões extremamente relevantes, mas em outros Estados eles prosperam com alguns erros e omissões, claro, porque a tecnologia avança mais rápido que a análise pontual dos legisladores, entretanto a União Europeia lidera e gera boas lições e debates sobre regulação, sobretudo a Alemanha com a NetzGD, que desde 2017 inseriu o Código Penal Alemão em seu corpo normativo numa tentativa de prevenir a desinformação e o discurso de ódio. No Brasil, pelo menos desde 2018, há centenas de projetos de lei em trâmite ou ainda em análise em comissões no Congresso Nacional sobre regulação de redes sociais. O projeto que está à frente das discussões é o PL 2630/2020, de relatoria do deputado Orlando Silva (PCdoB/SP), oriundo do Senado Federal. O PL já sofreu grandes mudanças como, por exemplo, a retirada do dispositivo que criaria uma autoridade nacional de regulação - pressuposto para a constituição da autorregulação regulada, tornando indefinível o modelo de regulação que almeja o Legislativo brasileiro. Pontos a serem considerados são: a adoção do Código Penal à temática da tipificação penal quanto à disseminação de desinformação, por exemplo. O tema é sensível, pois institutos penais precisam respeitar o princípio da subsidiariedade e o PL acerta em punir grupos que realizam ações coordenadas de disseminação de fake news e discurso de ódio, ao contrário da punição de apenas um indivíduo que divulga tais temáticas. Contudo, este projeto necessita de melhorias nos princípios de governança e transparência, melhor definição da responsabilização das redes em casos de conivência com a permanência de grupos e comunidades que exaltam o preconceito e a discriminação, além da divulgação e disseminação de pornografia infantil13. O Projeto de Lei, atualmente, está em fase de votação, ainda incompleta, pois devido ao lobby robusto das Big Techs, que recebem valores altos em receita com o modelo de autorregulação, atuaram com propaganda e pressão em parlamentares da oposição ao governo para impedir a votação do projeto.14 Educação Digital O tema da educação digital é abordado tanto em projetos de regulação de IA, quanto de redes sociais. A educação não apenas fomenta a desconfiança do que é consumido na rede, ensinando onde realizar a checagem de fatos, mas também ensina quais os direitos do usuário, quais seus limites e os limites da plataforma, fomenta denúncias a comportamentos danosos na rede e etc15. Este tema é relevante, porque o perfil do usuário de redes sociais brasileiro já melhorou em relação a conteúdos com desinformação, entretanto, segundo pesquisa do InternetLab e Rede Conhecimento Social, dos participantes entrevistados no estudo, 44% expressaram sua convicção na autenticidade da informação quando depositam grande confiança na fonte que compartilhou a notícia. Ao analisar as inclinações políticas, aqueles que se identificam como adeptos da direita estão mais inclinados a confiar em seus círculos de confiança (57%), seguidos pelos da esquerda (47%) e do centro (43%)16. Portanto, é necessário urgentemente regulamentar a inteligência artificial (IA) para preservar os direitos fundamentais dos indivíduos e usuários da internet. À medida que as gigantes da tecnologia enfrentam uma reação negativa devido a questões como privacidade e manipulação política, a regulação da IA emerge como um componente essencial para mitigar riscos e abusos de machine learning. A proteção de crianças e adolescentes ganha destaque nesse contexto, exigindo medidas rigorosas para salvaguardar esse público vulnerável contra conteúdo danoso online. Destacamos mais uma vez a vital importância da regulação das redes sociais no enfrentamento ao impacto prejudicial da disseminação de desinformação, discursos de ódio e práticas nocivas na rede. A definição de diretrizes claras e a efetiva implementação dessas regras são passos indispensáveis para assegurar um ambiente digital seguro e responsável para as crianças e adolescentes e ao Estado. __________ 1 É o que ensina a pesquisadora Nirit Weiss-Blatt, em seu The Techlash and the Crisis Comunication. Los Angeles: Emerald Publishing Limited, 2021, p. 60. 2 FISHER, Max. Máquina do Caos: como as redes sociais reprogramaram nossa mente e nosso mundo. São Paulo: Todavia, 2023, p. 73. 3 Ibidem, p.95. 4 Disponível aqui. 5 RAIS, Diogo. SALES, Stela Rocha. Fake News, Deepfakes e Eleições. In. Fake News: a conexão entre a desinformação e o direito. (Coord.) Diogo Rais. São Paulo: Thomson Reuters Brasil, 2020, p. 28-29. 6 Disponível aqui. 7 Menengola, E., Gabardo, E. ., & González Sanmiguel, N. N. (2023). A Proposta Europeia de Regulação da Inteligência Artificial. Seqüência studos Jurídicos Políticos, 43(91), 1-27. Disponível aqui. 8 FACELI, Katti; LORENA, Ana Carolina; GAMA, João; CARVALHO, André Carlos Ponce de Leon Ferreira de. Inteligência Artificial: Uma Abordagem de Inteligência de Máquina. Rio de Janeiro: LTC, 2011. 9 Disponível aqui. 10 HARTMAN, Ivar A et al. Policy Paper: Regulação de Inteligência Artificial no Brasil. Disponível aqui. 11 Disponível aqui. 12 OLIVEIRA, Cristina Godoy Bernardo de. Regulação de IA e Modelos Jurídicos. 26 de maio de 2023. In: Reconhecimento facial: A tecnologia e os limites para sua utilização. ALESP. YouTube. Disponível em: Reconhecimento facial: A tecnologia e os limites para sua utilização. 13 CURZI, Yasmin. ZINGALES, Nicolo. GASPAR, Walter. LEITÃO, Clara. COUTO, Natália. REBELO, Leandro. OLIVEIRA, Maria Eduarda. Nota técnica do Centro de Tecnologia e Sociedade da FGV Direito Rio sobre o substitutivo ao PL 2630/2020. Rio de Janeiro: FGV Direito Rio, 2021. 14 Disponível aqui. 15 Educação Midiática. 16 Disponível aqui.
O capitalismo informacional apresenta novos desafios a todo instante para a tutela efetiva dos direitos de personalidade. Não porque a tecnologia seja intrinsecamente má, mas o uso que se tem feito, na busca desenfreada de lucro e poder econômico a todo custo, acabou por ameaçar direitos de personalidade importantes para o pleno desenvolvimento da pessoa humana. Tais direitos são tão importantes, que Adriano De Cupis1 afirma que a razão de ser dos demais direitos subjetivos são os direitos da personalidade, sem os quais, o ser humano perderia tal condição. Ademais, o chamado "capitalismo de vigilância" estrutura-se a partir da coleta massiva de dados pessoais dos usuários da Internet. No entanto, para o seu correto funcionamento é fundamental que o usuário deixe rastros que possam identifica-lo assim como suas preferências. Neste sentido, Shoshana Zuboff2 alerta que os gigantes do capitalismo de vigilância, ou "Big Techs" devem intensificar a competição para continuar lucrando no contexto dos novos mercados tendo em vista o comportamento futuro diante das novas tecnologias. Assim, a sofisticação dos mecanismos de rastreamento do uso de variados aplicativos associado aos algoritmos de predição e à Inteligência Artificial despertam a importância e urgência na modernização da tutela dos direitos de personalidade, seja reconhecendo "novos" direitos de personalidade, seja consolidando mecanismos eficazes de tutela dada à velocidade que tudo acontece no ambiente digital. Um ponto importante é a tutela da proteção de dados pessoais enquanto um dos direitos de personalidade nesse contexto após a morte do seu titular. Há muitos desafios como a perpetuação das informações armazenadas em nuvem, por exemplo. Isto porque o parágrafo único do art. 12 do Código Civil determina: "Em se tratando de morto, terá legitimação para requerer a medida prevista neste artigo o cônjuge sobrevivente, ou qualquer parente em linha reta, ou colateral até o quarto grau." No entanto, as regras previstas na atual redação do Código Civil não foram previstas levando em consideração o desenvolvimento tecnológico. Atualmente, a Comissão Revisora do Código Civil, presidida pelo Ministro Luis Felipe Salomão, além do Ministro Vice-Presidente Marco Aurélio Belizze, Relator Professor Doutor Flávio Tartuce e Relatora Professora Doutora Rosa Maria de Andrade Nery,3 tem a missão hercúlea de revisar e atualizar o Código Civil. Um dos pontos a serem enfrentados é a tutela dos direitos de personalidade em ambiente digital. Sobre esse tema, na Audiência Pública realizada no dia 23/10/2023, falamos sobre o tema.4 A fim de contribuir para o desenvolvimento da doutrina da proteção de dados pessoais no Brasil, um dos pontos que precisa ser definido é se a proteção de dados pessoais se estende à pessoa falecida como os demais direitos de personalidade. A LGPD é omissa a este respeito, pois em seu art. 5º, inc. I, traz o conceito de dado pessoal, ou seja, "informação relacionada a pessoa natural identificada ou identificável;" Portanto, a lei é omissa sobre a tutela da proteção de dados pessoais após a morte. Há quem possa interpretar de maneira restritiva o termo "pessoa natural" para apenas pessoa viva, negando a tutela post mortem dos dados pessoais. Outros, porém, podem concluir que "pessoa natural" pode ser viva ou morta, aplicando-se, nesta última hipótese, o rol dos legitimados previsto no parágrafo único do art. 12 do Código Civil. Concordamos com esta interpretação, pois não há nenhum óbice à tutela jurídica do titular de dados pessoais depois de sua morte, desde que não viole outros direitos de personalidade, como o direito à intimidade e à privacidade. Um caso norte-americano emblemático, conhecido como John Ellsworth v. Yahoo5, no qual o pai de um jovem soldado morto no Iraque solicitou ao provedor de serviço de correio eletrônico Yahoo acesso à conta do e-mail do filho falecido para servir de subsídios para escrever um livro sobre a participação deste na guerra. No referido caso, depois de o provedor Yahoo ter negado o pedido de John Ellsworth, a Justiça do estado norte-americano de Michigan decidiu que o provedor deveria enviar ao autor cópia de todo o conteúdo do e-mail de Justin Ellsworth, em formato digital (gravado em cd) e impresso. O Yahoo optou por não recorrer contra a decisão, cumprindo a ordem judicial. Essa decisão proferida em 20 de abril de 2005 teve ampla divulgação e levantou inúmeros questionamentos sobre o assunto, em especial, sobre a possibilidade ou não de os herdeiros terem acesso à conta de e-mail do usuário falecido e as consequências de uma direção ou outra. O que foi analisado por Cíntia Rosa Pereira de Lima e Ana Beatriz Benincasa Possi,6 no qual concluem que todos os direitos de personalidade devem ser levados em consideração. Assim, no caso acima, se dado acesso total e irrestrito a todos os e-mails violaria a privacidade do soldado falecido. Contudo, se fosse negado acesso aos e-mails relacionados à participação na guerra deste soldado, parte da memória ficaria prejudicada. Neste sentido, o ideal seria permitir acesso apenas aos e-mails sobre a participação do soldado na guerra. Por isso, sugere-se um complemento ao artigo 12 do Código Civil, cujo correspondente artigo no futuro Código Civil poderia ter a seguinte redação: "Art. 12. Pode-se exigir que cesse a ameaça, ou a lesão, a direito da personalidade, e reclamar perdas e danos, sem prejuízo de outras sanções previstas em lei. Parágrafo único. Em se tratando de morto, terá legitimação para requerer a medida prevista neste artigo o cônjuge sobrevivente, ou qualquer parente em linha reta, ou colateral até o quarto grau[,]" desde que não prejudique outros direitos de personalidade. Nota-se, contudo, que há quem entenda em sentido contrário, negando a proteção de dados pessoais à pessoa falecida. O tema foi enfrentado pelo WP29, no parecer 4/20077, sobre o conceito de dado pessoal, no qual foram estabelecidos quatro requisitos que devem ser preenchidos para que seja considerado um dado pessoal, quais sejam: 1º) "qualquer informação"; 2º) "relacionada a"; 3º) "pessoa natural"; e 4°) "identificada ou identificável". O conceito de "qualquer informação" no referido parecer é o mais amplo possível. Quanto à sua natureza, podem ser informações objetivas ou subjetivas (opiniões e impressões externadas pelos usuários), destacando ainda que não é necessário ser verdadeira ou provada para ser passível de proteção. O conteúdo dos dados pessoais também tem uma conotação ampla, podendo dizer respeito a quaisquer aspectos da vida íntima de seu titular. Além disso, os dados que merecem proteção são aqueles disponíveis em qualquer meio, físico ou eletrônico, desde que contenha as informações e dados pessoais, tampouco entendeu-se que a informação ou dado deva estar inserida em um banco de dados estruturado, para ser passível de proteção. Já o requisito de "relacionado a" ganha a conotação de que um determinado dado deve dizer respeito a um indivíduo. Em algumas hipóteses, esta relação é facilmente identificável. Contudo, o parecer aponta que, em certas ocasiões, a ligação não é tão evidente8. São apontados, no parecer, três elementos não cumulativos que podem indicar que um certo dado é relacionado a uma determinada pessoa. O primeiro deles é o conteúdo, tratando-se de uma hipótese na qual a relação entre pessoa e dado é direta. O segundo é o propósito, e diz respeito às situações nas quais uma informação, apesar de não ser conectada diretamente com a pessoa, pode ser utilizada com finalidade de avaliar, tratar ou influenciar de certa forma o modo de ser de uma pessoa. Por fim, apontam o resultado9 como terceira hipótese que pode qualificar esta conexão, tratando-se de casos nos quais um certo dado, apesar de não disser respeito direta ou indiretamente a determinada pessoa, pode impactar sua esfera de interesses, motivo pelo qual merece proteção. O quarto elemento do conceito em análise, em seu turno, é a locução "identificado ou identificável". O sujeito identificado é aquele que, em um grupo de pessoas, pode ser distinguido dos demais por suas características pessoais. Já o sujeito identificável é aquele que ainda não foi identificado, mas potencialmente pode o ser, desde que reunidos elementos suficientes. O parecer aponta que a identificação pessoal se dá à vista de elementos que individualizam um determinado sujeito, podendo ser diretos ou indiretos. O meio direto de identificação mais comum é o próprio nome da pessoa que, em certas circunstâncias, podem ser combinados com outros elementos para a precisa identificação de um indivíduo. Já os meios indiretos de identificação são aquelas "combinações únicas" de elementos extrínsecos, que permitem esse processo de individuação10. Relevante apontar que, no caso da Internet, tornou-se mais fácil o processo de identificação indireta, coletando informações de navegação de um computador específico, torna-se menos complexo identificar o usuário, utilizando métodos de categorização socioeconômica com base nos padrões de comportamento online. Como o terceiro elemento, por sua vez, o parecer restringe a proteção dos dados pessoais apenas às pessoas naturais e viventes, interpretadas em um sentido muito restrito, isto é, aquelas que tenham personalidade jurídica (capacidade de fato), e, assim, afirma-se que nem os mortos nem os nascituros teriam direito à proteção dos dados pessoais.11 Com a devida vênia, tal restrição não se sustenta no direito brasileiro, que garante alguns direitos de personalidade do de cujus, sendo que o cônjuge ou companheiro sobrevivente, os parentes em linha reta e os colaterais até o 4º grau tem legitimidade ativa, nos termos do parágrafo único do art. 12 do CC/02. Assim, como um direito de personalidade autônomo, o de cujus tem direito à proteção de seus dados, desde que não mitigue outros direitos de personalidade.12 __________ 1 Os Direitos da personalidade. Lisboa: Livraria Morais Editora, 1961. 2 The Age of Surveillance Capitalism: the fight for a human future at the new frontier of power. Nova York: Public Affairs, 2019. p. 198. 3 Disponível aqui, acessado em 18 de janeiro de 2024. 4 Disponível aqui, acessado em 18 de janeiro de 2024. 5 In re Ellsworth, No. 2005-296,651-DE (Michigan Probate Court, May 11, 2005) (CUMMINGS, Rebecca G., The case against access to decedent's e-mail: password protection as na exercise of the right to destroy. Disponível aqui. Acessado em 30.05.2017).   6 E-mails para a posteridade: direito à herança versus direito à privacidade. In: Novo Constitucionalismo Latino-Americano I [Recurso eletrônico on-line] organização CONPEDI/ UASB Coordenadores: Liton Lanes Pilau Sobrinho; Alejandro Marcelo Medici; Sérgio Henriques Zandona Freitas. - Florianópolis: CONPEDI, 2018. pp. 130 - 149. Disponível aqui, acessado em 18 de janeiro de 2024. 7 Disponível aqui, acessado em 18 de janeiro de 2024. 8 Cita o exemplo do valor de uma casa, que é um dado que, a princípio, não diz respeito a uma pessoa, e sim ao imóvel e, portanto, não está inserido no âmbito da proteção aos dados pessoais e pode ser utilizado em diversas ocasiões, com avaliação de imóveis vizinhos. Contudo, quando este mesmo dado é utilizado como medida de riqueza pessoal de uma determinada pessoa, ganha conotação de dado pessoal e, consequentemente, pode ser protegido pelo direito aos dados pessoais. 9 O exemplo dado, neste caso, é o do monitoramento de corridas de taxis para aprimorar o serviço feito que, em certas circunstâncias, podem também afetar a privacidade do usuário. 10 O parecer cita os casos de informações fragmentárias coletadas em notícias que, individualmente, não permitem a identificação, mas, quando analisadas em conjunto, permitem a identificação da pessoa. 11 Idem, p. 21: "Information relating to dead individuals is therefore in principle not to be considered as personal data subject to the rules of the Directive, as the dead are no longer natural persons in civil law." 12 LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados Pessoais e a efetividade da Lei Geral de Proteção de Dados. São Paulo: Almedina, 2019.
Introdução Muito se tem ouvido falar recententemente sobre as aplicações e implicações da Inteligência Artificial. Riscos à proteção de dados e à privacidade, preconceito e discriminação, falta de transparência, deslocamento do trabalho, desafios regulatórios, concentração de poder, e tantos outros. Realmente a última década ficou marcada por uma presença mais expressiva da IA na sociedade, majoritariamente por meio de aplicativos de redes sociais e inovações de grandes empresas de software que trazem essas novidades embutidas nos mais diversos equipamentos que consumimos, de automóveis à TVs, de relógios à distribuição de energia elétrica (smart grids). Hoje tudo é smart alguma coisa. No entanto, esse panorama começou a mudar logo na virada da década passada para a atual. Até então, tudo que era rotulado por ter alguma forma de IA embutida advinha de módulos específicos criados para tarefas específicas. Explico: Por exemplo, as traduções automatizadas feitas por computador, a exemplo do Português para o Inglês, são ensinadas à máquina e deste ensinamento se produz um módulo de tradução Português-Inglês. Para adicionar outra língua ao tardutor, Português-Francês, por exemplo, temos que ensinar a tradução novamente à máquina nesta nova língua, o Francês. Ou seja, neste paradigma (modelo) de IA, cada módulo deve ser treinado, com supervisão humana (isso é importante), sobre dados específicos para realizar uma tarefa específica. Quase nada se aproveita do ensinamento ou conhecimento anterior, neste exemplo, do conhecimento de tradução Português-Inglês é praticamente inútil para outras traduções. Assim, praticamente até agora, tudo era estanque em IA. Quase nada que se ensinava para uma tarefa poderia ser aproveitada para outra. Da IA de um carro autônomo que se auto guia em cidades e estradas, quase nada se aproveita para um eventual carro de Formula 1 guiado por uma IA, por exemplo. No início dos anos 2020 esse paradigma de IA criado sobre módulos que operam sobre tarefas específicas começou a mudar. Um novo paradigma de IA surge com modelos computacionais treinados sobre uma quantidade gigantesca de dados, dados esses estruturados (tabelas) ou não estruturados (textos livres), num treinamento sem supervisão humana. Surgem nesta época modelos como o GPT-3 e DALL-E da Open.ai e o BERT, da Google. E o que mudou? Bem, curiosamente esse novo paradigma de IA faz o aprendizado do que chamamos de 'modelo de linguagem'. A duras penas, ou melhor, a um custo computacional enorme, essas empresas pegaram quase que todo o conteúdo  disponível na web (sites, jornais, blogs, livros, entrevistas, etc.) e, a grosso modo, calcularam a probabilidade de ocorrência de uma palavra dadas as palavras anteriores que ocorrem num texto. Na prática, você insere um texto nestes modelos e o modelo completa. Você começa a escrever uma história fictícia e o modelo completa. É o que chamamos de 'modelo generativo'. Faça uma pergunta genéria e o modelo responde. Duas grandes transformações vimos a partir deste novo paradigma: 1) Esse novo paradigma de IA passou a fazer bem as tarefas específicas que outros módulos de IA também faziam bem. Por exemplo: tradução de textos entre várias línguas, geração de cartas, memorandos e ofícios, correção de textos, resposta às dúvidas, recordação de temas históricos, codificação de programas de computador, resolução charadas, etc., e, talvez a melhor parte; 2) Esse novo paradigma realiza o chamado 'aprendizado de transferência' (transfer learning) que é uma abordagem de aprendizado de máquina em que o conhecimento adquirido numa tarefa é reaproveitado para melhorar o desempenho de outra tarefa relacionada. Ou seja, esse novo paradigma de IA aproveita tudo o que aprendeu. A próxima tendência na IA procura substituir as antigas IAs específicas que têm prevalecido no cenário até o momento. O futuro prevê modelos treinados em um conjunto abrangente de dados não rotulados, adaptáveis para diversas tarefas com ajuste mínimo. Essa nova IA será feita sobre os chamados "modelos fundacionais" (foundation models). Este termo ganhou popularidade através do Instituto Stanford de Inteligência Artificial Centrada no Ser Humano (Stanford Institute for Human-Centered Artificial Intelligence (HAI))1. O motivo deste nome é claro ser pensarmos que a proposta atual deste paradigma é montar um modelo abrangente de IA que possa ser especializado oportunamente. E esse é o ponto: a especialização. Termo que na Computação emprestamos do termo em Inglês, o fine-tuning. Assim, devemos esperar para o futuro quando grandes modelos de linguagem serão especializados em tarefas específicas, ou melhor, por enquanto especializados em grandes áreas do conhecimento, tais como o Direito. Os grandes modelos de linguagem e o Direito As aplicações dos modelos de linguagem servem 'como uma luva' para a área do Direito por alguns bons motivos, tais como: a) os modelos de linguagem captam e processam dados textuais com mais facilidade do que as imagens e sons; b) o conhecimento em Direito, se comparado com outras áreas, como por exemplo muitas áreas de exatas que condensam o conhecimento em fórmulas e teoremas, é difuso, propício à leitura e à exploração textual, e c) o potencial de mercado a ser explorado ainda é bem amplo, pois existem poucos recursos computacionais nesta área, obviamente se comparado com outras áreas do conhecimento humano. Para saber mais, consulte 2 3 4 para uma busca pelo termo GPT neste site. Toda essa introdução foi feita para contextualizar uma recente e prazeroza releitura de um artigo prestigiado com mais de 1.700 citações e já mencionado aqui, o artigo 'On the opportunities and risks of foundation models'1. Mesmo sendo um artigo corrigido em 2022, o que pode parecer até desatualizado diante a agilidade dos desenvolvimentos na área, é um artigo que merece muito ser comentado dada a visão técnica sobre os impactos destas IAs generativas na sociedade. Por certo não irei comentar as mais de 200 páginas do artigo que aborda várias áreas da atuação humana, mas irei pontuar nos interesses dos leitores deste periódico (ou de parte deles para não me alongar demais). Segundo a empresa Consultor Jurídico, numa postagem da mesma em 2017 (lá se vão seis anos), o mercado jurídico barsileiro movimenta R$ 50 bi por ano no Brasil e, por isso, essas grandes IAs irão tentar oferecer soluções que podem trazer as seguintes oportunidades listadas abaixo: Oportunidades que os grandes modelos de linguagem podem proporcionar Facilitar o acesso à justiça. Uma promessa importante é que os modelos de fundacionais possam facilitar o acesso à justiça e aos serviços governamentais, eliminando as barreiras processuais e financeiras dos serviços jurídicos. Vejam como: conversar com o Spot6. Spot é um software robô observador de problemas. Dê ao Spot uma descrição de uma situação escrita por um leigo, um não-advogado, e ele retornará uma lista de problemas prováveis que podem merecer a atenção de um advogado competente. O Spot fornece à comunidade um auxílio na localização de profissionais de Direito para questões como despejo, execução hipotecária, falência e pensão alimentícia. O Spot é uma criação e uma iniciativa do Laboratório de Inovação Legal da Suffolk University Law School que é uma escola de direito privada localizada no centro de Boston; Outra: depois que um cliente fala com um advogado, antes do litígio civil, o advogado pode tentar evitar um julgamento. Nesta fase, podem contar com modelos generativos para avaliar contratos, rever termos de serviço, encontrar casos semelhantes ou relevantes e conduzir outros processos pré-contenciosos, a fim de garantir que os seus clientes estarão em vantagem; Durante o litígio, os modelos fundacionais podem ajudar os advogados a realizar pesquisas jurídicas, redigir em linguagem jurídica ou avaliar como os juízes poderão analisar as reivindicações dos advogados; Outra situação importante é dar mais poder ao advogado para atuação em casos ou situações que envolvam outros países com diferentes sistemas legais. A amplitude desses sistemas de IA pode ser tamanha a ponto de envolver e diferenciar sistemas legais estrangeiros e dar ao advogado as mesmas possibilidades de um advogado munido de ferramentas equivalentes no exterior; Tudo isso sem contar as possibilidades de redação assistida de peças, da elaboração se sumários de documentos, da transcrição de documentos legais para pessoas leigas, da inclusão e processamento de outras mídias como áudio e vídeo (transcrição e interpretação por exemplo), entre outras. Percebam que fiz comentários mais direcionados ao direito civil, no entanto, esse novo paradigma de IA irá se abrir para todas as demais áreas. Pensemos na facilidade que esses sistemas terão para triar casos e agrupá-los, na possibilidade de poderem responder à questões várias, tais como, dúvidas referente ao direito de família (seja sobre matrimônio, divórcio, partilha de bens, guarda, pensão, etc.), ou ainda sobre sucessões (como por exemplo, como fica os bens deixados pelo falecido, etc.), sobre leis específicas, Lei de Acesso à Informação, Lei Geral de Proteção de Dados, entre outras. Dificuldades dos grandes modelos de linguagem  Como era esperado, não só de 'flores' vivem os diversos modelos computacionais, incluindo aqui os modelos de IA generativa. Na IA clássica são conhecidos os casos de falta de transparência, discriminação e problemas de ingerência na privacidade alheia. A grande pergunta é: esses modelos de IA mais poderosos podem escalar estes antigos problemas? Em tese, eles podem sim ter um potencial maior de risco, mas não é o que vimos até o momento com os vários modelos de linguagem disponíveis e, tomo como exemplo, o ChatGPT. Essas situações acima mencionadas sobre discriminação e privacidade são muito bem reguladas pelos desenvolvedores. A transparência ainda carece de boas explicações sobre as fontes de dados, como também são necessárias mais explicações sobre o processo funcionamento das IAs para as tomadas de decisão e 'raciocínio'. Neste segundo ponto, sobre o seu modo de operação, a Ciência da Computação ainda terá um longo trabalho pela frente para explicar. Problemas mais práticos são mais fáceis de serem observados. Por exemplo, comenta-se que uma petição inicial não deveria ter mais de 20 páginas. Sugestão essa que por vezes passa ao largo de muitas destas peças. Considerando as 20 com 300 palavras por lauda, contamos 6.000 palavras. O GPT-3.5 tem um limite máximo de geração de 3 mil palavras por texto, enquanto que a última versão, a 4.0, tem o limite de 25 mil palavras. Notem que é apenas a petição inicial. Outra preocupação referente a estes modelos de linguagem é sobre o que chamamos de 'recuperação de informação', ou seja, aquilo que os buscadores fazem muito bem, encontrar documentos, e que as IAs generativas falham muitas vezes pois reescrevem estes textos. Dizem até que estas IAs deliram, mas este é um verbo mal empregado. Estas IAs erram mesmo. Identificar pessoas e normas jurídicas ainda não é o forte destas IAs, muito menos imaginar que elas raciocinam sobre dados e situações. Noto pelo modo humanizado como as gerações mais novas usam estas IAs que muitas pessoas parecem desconhecer que se trata ainda de um humanoide em fase de construção. Por último, é crucial sublinhar que, mesmo que os modelos fundacionais se mostrem capazes de executar com êxito todas as tarefas no domínio jurídico, a implantação representa um desafio significativo. A falha de um modelo destes no campo jurídico pode resultar em consequências graves tanto para clientes como para advogados. Para concluir, sabemos que as decisões jurídicas necessitam de contexto em múltiplas facetas, ou seja, desde uma compreensão de decisões anteriores e semelhantes, passando pela consciência da jurisprudência presente e, não menos, da compreensão das complexidades dos casos individuais. Os modelos de fundacionais possuem um potencial único até o momento para adquirir representações partilhadas de contextos históricos e jurídicos. Além disso, também possuem o claro poder linguístico e, quiçá, a precisão adequada para ressaltar casos individuais. Bem-vindas sejam! ____________ 1. BOMMASANI, Rishi et al. On the opportunities and risks of foundation models. arXiv preprint arXiv:2108.07258, 2021. Disponível aqui. Último acesso em 8 de novembro de 2023. 2. Especialista explica como ChatGPT pode ajudar advogados nas petições. Disponível no Migalhas. Último acesso em 8 de novembro de 2023. 3. CHATGPT: O que é. Disponível no Migalhas. Último acesso em 8 de novembro de 2023. 4. ChatGPT e Filhos Advogados Associados. Disponível no Migalhas. Último acesso em 8 de novembro de 2023. 5. Mercado jurídico movimenta R$ 50 bi por ano no Brasil, aponta levantamento. Disponível aqui. Último acesso em 9 de novembro de 2023. 6. The Legal Innovation & Technology Lab's Spot API. Disponível aqui. Último acesso em 9 de novembro de 2023.
O Projeto de Lei 2338 de 2023, apresentado pelo Senador Rodrigo Pacheco como resultado dos trabalhos realizados pela Comissão de Juristas designada, possibilitou a consolidação da discussão sobre a possibilidade ou não regulamentação da inteligência artificial (IA) no Brasil. A justificação do mesmo documento aponta todo o seu relevante histórico e as personalidades que se dedicaram à nova proposta. Assim, o objetivo desta lista é realizar uma pequena contribuição por meio da indicação de 10 pontos do texto que podem ser revisitados antes do avanço da matéria.  Preliminarmente, em razão da necessária transparência e apesar da relevância do assunto inteligência artificial, é preciso afirmar, conforme já exposto em outras ocasiões, que entendemos que o assunto regulamentação da IA ainda precisa de ser amadurecido e refletido por todos os envolvidos: cidadãos, empresas e Estado principalmente. A aparente urgência do tema não pode ser confundida com a sua importância tendo em vista o seu impacto em diversas áreas da sociedade. Se analisarmos os trabalhos já realizados e as questões ainda não respondidas em outros espaços como a União Europeia, veremos que o assunto ainda está longe de pacificação. Nessa linha, alguns dos apontamentos que serão descritos a seguir demonstram que essa leve "pressa" nos faz deixar passar alguns importantes detalhes. Em suma, o Direito deve regulamentar o consenso com base no bom senso.  Nesse sentido, vejamos as 10 breves sugestões que elencamos com o propósito de contribuir para o aperfeiçoamento dessa proposta conforme convite à sociedade pelo mesmo Senador no final da sua justificação. Observamos, desde já, que, na maior parte, as recomendações objetivam simplificar o texto sem comprometer o seu foco principal.  Em primeiro lugar, temos o parágrafo único do artigo 37, que indica a necessidade de publicação das "metodologias" referidas no caput do mesmo dispositivo. No caso, entendemos que não é possível identificar quais são ou seriam as "metodologias", tendo em vista que o comando somente prevê a definição de regulamento com indicação dos respectivos "procedimentos de apuração e critérios para aplicação de sanções".  Dessa forma, entendemos que o comando contido no parágrafo único do artigo 37 é desnecessário, porque já é abarcado de maneira ampla no caput. No entanto, caso o relator prefira mantê-lo, poderia, pelo menos, substituir a expressão "as metodologias" por "o regulamento", sendo que o ideal seria já definir o rito para evitar a insegurança jurídica.  Em segundo lugar, no inciso I do parágrafo 2º do artigo 9º, temos o uso da expressão "dados inadequados ou abusivos". Consideramos que os dados apenas retratam o mundo, por exemplo, número correspondente à quantidade de pessoas em uma cidade ou a lista de endereços postais de empregados de uma empresa, logo, o dado não pode ser "abusivo", mas sim a sua interpretação e o seu uso, especialmente se a finalidade for distorcer o objetivo do legislador.  Com isso, sugerimos que seja substituída a expressão "inadequados ou abusivos" apenas por "inadequados", para indicar, por exemplo, a possibilidade de seleção incorreta dos dados utilizados pela inteligência artificial.  Em terceiro lugar, temos o uso da expressão "contestabilidade" no inciso VIII do artigo 3º, para indicar um suposto princípio jurídico que deveria ser observado desde o desenvolvimento até a implementação e o uso de sistemas de IA. No entanto, salvo melhor juízo, trata-se de expressão não usual e redundante dentro do contexto do mesmo inciso, que já indica "devido processo legal" e "contraditório".  Ademais, observa-se que, em, pelo menos, outras 5 ocasiões é utilizada a expressão "direito de contestar", sendo que, idealmente, entendemos que o melhor seria simplesmente "direito de recorrer", por exemplo, da decisão automatizada baseada em IA que afetou um direito do cidadão, pois a decisão já foi publicada.  Em quarto lugar, é preciso atentar para o conceito de "autoridade competente" delineado no texto do projeto de lei, que seria "órgão ou entidade da Administração Pública Federal". Assim, a proposta ambiciona conferir caráter nacional, isto é, será aplicado para todos os entes da federação. Se o texto for mantido como está disposto, possivelmente feriria a autonomia federativa de Estados e Municípios.  Com o objetivo de garantir sem qualquer dúvida ou risco a autonomia federativa, a nossa alternativa é a manutenção de uma entidade com autonomia em relação ao Poder Executivo Federal para evitar quaisquer riscos de ingerência pela União nos Estados e Municípios principalmente.  Em quinto lugar, verificamos que o parágrafo único do artigo 5º se refere aos "direitos descritos no caput", sendo que esses direitos não estão descritos no caput propriamente, mas sim nos incisos do mesmo dispositivo.  Consequentemente, a melhor redação para o parágrafo único do artigo 5º seria indicar "exercício dos direitos descritos neste artigo" e não "no caput".  Em sexto lugar, é importante notar o caput do artigo 9º, que faz referência ao "direito de contestar e de solicitar a revisão de decisões". Novamente, trata-se de expressão repetitiva e, portanto, desnecessária, porque bastaria dizer, por exemplo, "direito de recorrer".  Nesse passo, seria prudente revisar o texto do projeto de lei para buscar possíveis expressões que poderiam ser simplificadas para facilitar a sua leitura e eliminar a remota possibilidade de interpretação equivocada da norma.  Em sétimo lugar, tendo em vista que o PL 2338 de 2023 busca o âmbito nacional, seria interessante harmonizar os prazos no que se refere, pelo menos, à esfera pública. Enquanto o parágrafo único do artigo 8º do aludido Projeto prevê o prazo de 15 dias (prorrogáveis por mais 15 dias) para o fornecimento das informações descritas no respectivo caput, os parágrafos 1º e 2º do artigo 11 da lei 12.527 de 2011 (Lei de Acesso à Informação - LAI - também com aplicação nacional), prevêem o prazo de até 20 dias (prorrogáveis por mais 10 dias) para que a Administração Pública forneça as informações requeridas.  Além disso, embora o PL 2338/2023, caso aprovado, possa ser considerado, no que se refere ao prazo mencionado, uma norma especial quando comparado com a LAI, compreendemos que a arquitetura jurídica disponibilizada pela Lei de Acesso à Informação é mais interessante tanto para quem solicita a informação quanto para o órgão público que a provê em razão do seu detalhamento, por exemplo, sobre os destinatários e os procedimentos e, especialmente, pela vedação expressa de "exigências que inviabilizem a solicitação".  Por exemplo, enquanto a LAI determina no § 3º do artigo 10º que "são vedadas quaisquer exigências relativas aos motivos determinantes da solicitação de informações de interesse público", o PL 2338/2023 estabelece que somente o requerente que se qualificar como "pessoa afetada" por sistema de IA poderá solicitar as informações listadas no seu artigo 8º como "dados processados e a sua fonte".  No caso, quando o pedido abranger informações públicas (leia-se, referentes ao interesse legítimo da sociedade), acreditamos que o mais adequado seria facilitar o acesso à sociedade e não limitar à pessoa que, aparentemente, precisará comprovar que foi "afetada" por sistema de IA. Assim, embora o seu intuito seja colaborar, na prática, essa qualificação prevista no caput do artigo 8º do PL 2338/2023 destoa do princípio da transparência pública, porque poderá servir como fundamento para impedir possíveis pesquisas cujo foco seja, por exemplo, comparar justamente a "racionalidade e a lógica do sistema" para casos semelhantes.  Em oitavo lugar, identificamos no parágrafo 2º do artigo 9º o uso das expressões "métodos imprecisos ou estatisticamente não confiáveis", que são inexatos quanto ao seu significado e, com isso, surgem questionamentos, como, por exemplo, quem é competente para confirmar ou não a confiabilidade do método? A redação que garante a segurança jurídica deve preferir o uso de termos que não gerem dúvidas e, com isso, deleguem a sua solução ao Poder Judiciário em último caso.  Destarte, caso o legislador entenda que há, realmente, a possibilidade de serem utilizados métodos imprecisos ou estatisticamente não confiáveis, a melhor opção seria inverter o raciocínio aplicado na redação do comando: o legislador deveria especificar quais são os métodos que considera "precisos" ou estatisticamente "confiáveis" a respeito da aplicação da IA.  Em nono lugar, é preciso atentar para o disposto no §1º do artigo 9º que prevê o "direito de correção de dados incompletos, inexatos ou desatualizados utilizados por sistemas de inteligência artificial". Considerando que o objetivo do PL 2338/2023 é possuir abrangência nacional tanto sobre a esfera pública quanto privada, esse dispositivo impõe obrigação demasiadamente abrangente e sem parâmetros para os seus destinatários.  Por exemplo, a partir de quando os dados poderiam ser considerados desatualizados para possibilitar o "direito de correção"? O que seriam dados "inexatos"? Além disso, considerando que os "dados" são registros extraídos diretamente do mundo real ou virtual, e, portanto, íntegros em sua essência, como podemos compreender o que seriam "dados incompletos"? A única hipótese que conseguimos considerar é o "banco de dados" estar incompleto e, por isso, gerar distorções quando enviado para a IA. Neste caso, o melhor seria ajustar a expressão para "bancos de dados incompletos", retirando, inclusive, os termos "inexatos" e "desatualizados", salvo se estas duas expressões estiverem previstas nos "termos e condições de uso" da aplicação e acompanhadas dos respectivos parâmetros.  Por fim, também no que se refere ao mesmo §1º do artigo 9º, é preciso atentar para eventual conflito com as normas pertinentes ao habeas data, especialmente o disposto nas alíneas "a" e "b" do inciso LXXII da Constituição Federal e Lei 9.507 de 1997. Nesse sentido, é importante recordar uma passagem das razões do veto relacionado aos artigos 1º, 3º e 5º desta Lei sobre Habeas Data:  "Os preceitos desbordam sensivelmente a configuração constitucional do habeas data, impondo obrigações aos entes governamentais ou de caráter público sem qualquer respaldo na Carta Constitucional. A definição do habeas data é precisa, não permitindo a conformação pretendida nestes dispositivos. Não é estabelecida, ademais, qualquer sorte de ressalva às hipóteses em que o sigilo afigura-se imprescindível à segurança do Estado e da sociedade, conforme determina a própria Constituição (art. 5º, XXXIII)." (grifo nosso).  Nesse sentido, poder-se-ia considerar a hipótese em que o PL 2338/2023 seria um meio para evitar a legislação concernente ao habeas data quando a solicitação de informação, atualização ou correção envolver dados pessoais utilizados pelo Poder Público em sistemas de IA. No entanto, tendo em vista o status constitucional da matéria, seria prudente que o Projeto de Lei fosse revisitado integralmente sob esta perspectiva.  Em décimo lugar, é importante atentar para as obrigações criadas para os Municípios conforme o artigo 21 do Projeto de Lei, pois, o mero ato de "utilizar sistemas de inteligência artificial considerados de alto risco" implicará na necessidade de adoção de medidas que podem fugir à capacidade de implementação pelos mesmos, por exemplo, recursos humanos treinados em IA.  Como exemplos, pensemos em escolas municipais para crianças que utilizem sistemas de IA para treinar seus alunos e professores ou em unidades básicas de saúde cujos sistemas de IA permitam a melhor distribuição de remédios e otimização dos atendimentos. Caso se trate de pequenos entes que tenham, provavelmente, recebido gratuitamente esses acessos aos sistemas (ou cópias dele) do respectivo Estado ou da União para serem implementados, haverá grande dificuldade de responder os questionamentos pertinentes tendo em vista a complexidade da sua operacionalização.  Como exemplo, temos a nossa experiência prática na Controladoria Geral do Governo do Estado de São Paulo durante a implementação da Lei de Acesso à Informação entre os anos 2011 e 2014, sendo que muitos Municípios não tinham (e, provavelmente, não têm até hoje) como desenvolver os próprios portais de transparência e, por isso, dependeram da disponibilização pelo Poder Executivo Estadual do respectivo código-fonte. Na própria LAI temos o reflexo disso no seu parágrafo 4º do artigo 8º, que, com exceção dos assuntos pertinentes à Lei de Responsabilidade Fiscal, dispensa os Municípios com população de até 10.000 habitantes da publicação obrigatória na Internet "de informações de interesse coletivo ou geral por eles produzidas ou custodiadas" (caput do artigo 8º da LAI). Assim, se, desde o ano de 2011, permanece essa dispensa geral da prestação de informações, como demandar que os mesmos entes (mais de 2.000 Municípios conforme imagem abaixo) tenham que prestar informações sobre IA aplicada em diferentes áreas? Registre-se que as situações aqui descritas não podem servir como desculpa isoladamente para não discutirmos a regulação da IA, mas sim como pretexto para identificarmos outros meios para resolver esse impasse e ponderarmos se, de fato, estamos preparados para disciplinar este assunto. Devemos aproveitar as oportunidades sem nos perdemos nas dificuldades inerentes à tecnologia.  Em suma, a breve lista com 10 pontos é exemplificativa. É preciso amadurecer a discussão a respeito  da necessidade  da regulação da IA. Quem serão os seus beneficiários? O que é melhor: possibilitar que cada setor busque a sua regulamentação específica ou forçar todos a se adaptar às novas regras independentemente das suas particularidades? São perguntas difíceis e estamos apenas no começo. Vamos dialogar mais sobre IA.
Quando se evoca o caráter coletivo da proteção de dados pessoais, deve-se considerar a proteção de direitos fundamentais de liberdade e de privacidade, bem como do livre desenvolvimento da personalidade da pessoa natural. Esse trecho pode ser encontrado no art. 1º da lei 13.709 de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD). Em fevereiro de 2022, por meio da Emenda Constitucional nº 1151, a Constituição Federal brasileira foi alterada para incluir a proteção de dados pessoais no seu rol de direitos e garantias fundamentais. Também foi fixada a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Anteriormente, em 2018, respectivamente em agosto e dezembro, foi promulgada a Lei Geral de Proteção de Dados Pessoais e criada a Autoridade Nacional de Proteção de Dados no Brasil. Embora a positivação da matéria específica sobre a proteção de dados pessoais no Brasil tenha ocorrido recentemente, as discussões sobre o tema já existiam tendo sido permeadas em outras Leis, como o Código de Defesa do Consumidor, Lei de Acesso à Informação, Lei do Cadastro Positivo e o Marco Civil da Internet. Da mesma forma, outros países da América do Sul, especificamente do Mercosul, já discutiam sobre o assunto, tendo - não todos - positivado seus entendimentos sobre a proteção de dados pessoais recentemente, da mesma forma que o Brasil. Entretanto, desde a década de 1960, normas relacionadas à proteção de dados pessoais já eram pensadas como um fator necessário ao tratamento de dados. Desde então, a proteção de dados pessoais desenvolveu-se exponencialmente, assim como a própria complexidade do tratamento de dados. Em 1997, Viktor Mayer-Schönberger2 sistematizou a evolução de leis protetivas de dados pessoais de 1960 até aquele momento. Inicialmente, a proteção dos dados pessoais era mais técnica, focada nas limitações de controle por bancos de dados de órgãos públicos (com pouca menção à participação de pessoas físicas como sujeitos nesse tratamento). Isso se devia à indisponibilidade ao público de um grande fluxo de dados envolvendo informações pessoais de terceiros, estrutura essa disponível apenas ao Estado e seus órgãos. O computador não era um produto comercial e acessível ao grande público. Durante os anos 70, com a multiplicação dos centros de tratamento de dados e a criação de diversos bancos "database", a segunda geração das leis de proteção de dados surgiu com um novo viés. O foco da proteção não era mais técnico, mas na privacidade do indivíduo, sujeito ativo na proteção de seus dados. Exemplo disso foi a "Loi Informatique et Libertés"3 de 1978, reformada em 2022 e que previa "dados pessoais como direitos inerentes às pessoas".  Na década de 80, os dados pessoais começaram a ser compartilhados conforme o indivíduo fosse se envolvendo na teia social, muitas vezes fora de seu conhecimento e/ou consentimento. Assim, o complexo fluxo de compartilhamento de dados pessoais interligado ao Estado e entes privados não deveria ser apenas uma responsabilidade do indivíduo, mas do coletivo, durante todo o tratamento daquele dado pessoal4. Assim surgem as leis de quarta geração, com uma ideia de autodeterminação pelo titular de dados pessoais, mas também de tutela de dados como direito fundamental. Portanto, considerando o poder da informação e o pressuposto de que a internet é o principal fluxo de disseminação desta, a proteção de dados passou a ser incorporada nas constituições de muitos países. De modo que se um país não coaduna com os ideais de proteção de dados e segurança na rede, este pais: 1. Permitiria que exista insegurança relativa aos dados pessoais que tiverem seu tratamento realizado naquele território e 2. Geraria desconfiança e insegurança nas relações internacionais, com implicâncias econômicas, sociais e políticas complexas. Dessa forma, o presente texto procura ilustrar um cenário positivo da evolução da legislação brasileira e dos demais países-membro ativos do Mercosul - Argentina, Paraguai e Uruguai - em relação à proteção de dados pessoais. Há dez anos, em 2013, o Ministério de Justiça Brasileiro e a Secretaria Nacional do Consumidor (SENACON), em cooperação com órgãos públicos argentinos, uruguaios e internacionais, coordenaram a edição do Atlas Ibero-Americano de Proteção do Consumidor5. O documento contém 44 (quarenta e quatro) perguntas sobre pontos relativos à proteção do consumidor em 19 países, dentre elas, três perguntas específicas sobre a proteção de dados pessoais. Mais especificamente, as perguntas direcionadas pelo Atlas foram a) "Existe regulação especial em matéria de Proteção de Dados Pessoais?"; b) "Existe uma autoridade responsável pela aplicação da matéria, ou é a mesma de proteção dos consumidores? Qual é o seu regime?" e c) "Considera necessária alguma atualização ou complementação da regulação existente na matéria?". Assim, esse artigo contará com a comparação dos cenários envolvendo a proteção de dados pessoais nos países do Mercosul em 2013 e 2023 em relação a três pontos principais: legislação especial sobre proteção de dados vigente, autoridade responsável pela proteção da matéria e discussões em voga. O objetivo é o de traçar uma linha de evolução nos 10 anos que se passaram desde a edição do Atlas, trazendo aspectos atualizados. Comecemos a seguir com a análise, por ordem alfabética, de cada país. A partir de 2018, os grupos de pesquisa "Observatório da LGPD" da Faculdade de Direito da Universidade de São Paulo de Ribeirão Preto e o "Mercosul, Direito do Consumidor e Globalização", liderados respectivamente por Cíntia Rosa Pereira de Lima e Claudia Lima Marques, elaboraram um questionário minucioso para detalhar o estado da arte em diversos países da América Latina. Argentina Em 2013, no que concerne à proteção de dados pessoais, a Argentina já contava com a lei 25.326 de 20006, primeira norma de um Estado-Membro do Mercosul a dispor especificamente sobre Proteção de Dados Pessoais, estabelecendo os princípios gerais relativos à essa proteção. Esta legislação definiu os direitos dos titulares de dados, as responsabilidades dos detentores de arquivos ou bancos de dados, os mecanismos de controle e as sanções aplicáveis em caso de violação das normas de proteção de dados. A autoridade encarregada da aplicação das disposições de proteção de dados pessoais na Argentina era a Direção de Proteção de Dados Pessoais, que fazia parte do Ministério da Justiça e Direitos Humanos. Esta autoridade detinha competências e atribuições específicas para lidar com reclamações de indivíduos prejudicados por informações imprecisas, defeituosas ou não autorizadas, bem como para impor sanções às empresas que operavam bancos de dados e que violavam as normas de proteção de dados. Além disso, o sistema judicial também previa ações judiciais relacionadas à proteção de dados pessoais. Naquela época, estava sendo considerada a possibilidade de atualizar e complementar a regulamentação existente em matéria de Proteção de Dados Pessoais. O objetivo era o aprimoramento da proteção dos consumidores, principalmente no que se referia aos prazos de retenção de dados em bancos de dados e aos mecanismos para acessar e corrigir informações pessoais armazenadas. Em 2023, o país vinha discutindo, desde 2022 com uma iniciativa da Agencia de Accesso a la Información Publica (AAIP), um anteprojeto para a Lei promulgada em 2000. A contribuição da sociedade argentina culminou no Projeto de Lei de Proteção de Dados Pessoais7 , em tramitação. Brasil No Brasil, em 2013, no que diz respeito à regulamentação de proteção de dados pessoais, não existia uma lei geral abrangente. As disposições gerais referentes à proteção da privacidade podiam ser encontradas na Constituição Federal (Art. 5º, X) e no Código Civil (Art. 21). Além disso, existiam disposições específicas e setoriais relacionadas à proteção de dados pessoais no Código de Defesa do Consumidor (Art. 43), na Lei do Cadastro Positivo (lei 12.414/2011) e na Lei de Acesso à Informação (lei 12.527/2011, Art. 31). Em relação à um órgão competente, não existia uma autoridade especializada para a aplicação das normas de proteção de dados pessoais. No entanto, nos casos em que a proteção de dados pessoais era necessária no contexto das relações de consumo, as entidades que integravam o Sistema Nacional de Defesa do Consumidor (SNDC) possuíam competência para tratar dessas questões. Por fim, considerava-se vital e oportuna a atualização da legislação relacionada à proteção de dados pessoais. Tal atualização deveria ser baseada na criação de uma Lei Geral de Proteção de Dados Pessoais, cujo propósito seria o de resguardar a privacidade e a liberdade dos cidadãos em relação ao tratamento de suas informações pessoais. Na época, foi definido no documento que era imperativo que a proteção fosse assegurada em todas as situações em que se tornasse necessária, sem citar, entretanto, conceitos como tratamento de dados pessoais. Em 2023, o Brasil dispunha de cenário completamente diverso em relação à proteção de dados pessoais. Em 14 de agosto de 2018, foi promulgada no país a Lei Geral de Proteção de Dados Pessoais (LGPD) e em dezembro do mesmo, foi criada a Autoridade Nacional de Proteção de Dados, autarquia federal de natureza especial, vinculada ao Ministério da Justiça e responsável por implementar e fiscalizar a LGPD no Brasil. A autoridade tem realizado um trabalho educativo, emitindo guias orientativos sobre tratamento de dados em casos específicos, divulgando modelos organizacionais e instrutivos. Também tem realizado a fiscalização de denúncias de titulares de dados pessoais, bem como analisado incidentes de segurança com dados pessoais e aplicado multas sancionatórias aos descumpridores da LGPD, após processo administrativo próprio. Paraguai Em 2013, a proteção de dados pessoais no Paraguai era baseada na Constituição Federal, por meio do remédio constitucional do habeas data. Infraconstitucionalmente, o tema da proteção de dados era tratado principalmente na Lei 1682 de 20018, que dispunha da "regulamentação da informação em caráter privado". Em relação à um órgão competente, o país não contava com qualquer Autoridade responsável pela proteção de dados pessoais. Entretanto, no documento, não é exposta nenhuma outra lei ou normativa que disciplinasse a proteção de dados pessoais, apenas a Constituição Federal paraguaia. Já em relação à complementação/atualização da matéria, as iniciativas paraguaias reconheciam que a cooperação institucional auxiliaria nessa matéria. Em 2023, no entanto, o cenário era outro. Após a pandemia do Covid-19 em 2020, foi promulgada a Lei de Proteção de Dados Pessoais Creditícios9, que revogou completamente a Lei 1682/2001. No caso, apesar de seu nome, a lei se aplica ao tratamento de dados em registros públicos ou privados, bem como dos direitos e garantias de proteção de dados pessoais de pessoas físicas e jurídicas, de acordo com seus artigos 2º10 e 3º, c11. Uruguai Em 2013, no que diz respeito à regulamentação de dados pessoais, o Uruguai contava com a Lei 18.331 de 2008. O texto normativo criou no Uruguai, além de uma legislação específica sobre proteção de dados, também uma autoridade reguladora e fiscalizadora da matéria. Constitucionalmente, a proteção de dados pessoais não está expressamente escrita, mas foi reconhecida como "institucionalmente presente" em comunicado da Unidad Reguladora y de Control de Dados Personales (URCDP) - autoridade reguladora12. No caso, a URCDP era uma unidade descentralizada da AGESIC (Agência de Governo Eletrônico e Sociedade da Informação e do Conhecimento), que integrava a estrutura da Presidência da República Uruguaia13. A URCDP é dotada de autonomia técnica, tendo como competência assegurar o cumprimento da legislação relativa à proteção de dados pessoais e assegurar o cumprimento de seus princípios14. Em relação à complementação da matéria, ela ocorreu em 2020, com a promulgação do decreto 64 de 202015. Dentre suas modificações na Lei 18.331, estão as definições de algumas especificações, como a figura do DPDP (Delegado de Protección de Datos Personales) e a obrigação de notificação em 72 (setenta e duas) horas à Autoridade uruguaia no caso de Incidente de Segurança envolvendo dados pessoais. Conclusão Após analisar a evolução da legislação de proteção de dados pessoais e as autoridades responsáveis nos países-membro ativos do Mercosul ao longo de uma década, é evidente que houve avanços significativos nessa área. Na Argentina, a promulgação do Projeto de Lei de Proteção de Dados Pessoais em 2023 demonstra um compromisso contínuo com a proteção da privacidade e dos direitos dos cidadãos. Esse progresso está alinhado com a tendência global de fortalecer a regulamentação de dados pessoais. O Brasil, por sua vez, deu um grande passo com a aprovação da Lei Geral de Proteção de Dados Pessoais em 2018 e o estabelecimento da Autoridade Nacional de Proteção de Dados. Essas medidas garantiram uma estrutura sólida para a proteção de dados pessoais no país e demonstram um compromisso em conformidade com os padrões internacionais. No Paraguai, a promulgação da Lei de Proteção de Dados Pessoais Creditícios em resposta à pandemia de Covid-19 mostra uma resposta ágil às necessidades de proteção de dados pessoais em situações de crise. Isso reflete um entendimento crescente da importância da proteção de dados no mundo moderno. O Uruguai, com sua legislação abrangente e uma autoridade reguladora dedicada desde 2008, liderou o caminho na proteção de dados pessoais na região. A complementação da legislação em 2020 fortaleceu ainda mais as garantias de proteção de dados no país. Em conclusão, o Mercosul, por meio de seus países-membro ativos, está demonstrando um compromisso crescente com a proteção de dados pessoais. Esses avanços são essenciais não apenas para proteger os direitos individuais, mas também para promover a confiança nas relações internacionais e no ambiente digital, impulsionando assim o desenvolvimento econômico e social. A evolução da regulamentação de dados pessoais na região é um passo positivo em direção a um futuro mais seguro e privado para todos os titulares de dados pessoais. Atualmente, discute-se um esboço de um sistema de proteção de dados pessoais em nível do Mercosul de autoria de Cíntia Rosa Pereira de Lima, Claudia Lima Marques, Kelvin Peroli e Newton De Lucca, que pretende atingir uma harmonização mínima da matéria em nível supranacional tendo em vista a intensa circulação de dados pessoais transfronteiriça. Nas próximas publicações, durante este semestre, será dado destaque para expor os detalhes da proteção de dados pessoais em diversos países da América Latina. __________ 1 BRASIL. Emenda Constitucional nº 115. Disponível aqui. Acesso em 27 de setembro de 2023. 2 MAYER-SCHÖNBERGER, Viktor. General development of data protection in Europe. Cambridge: MIT Press, 1997. pp. 219-243. 3 FRANÇA. Loi 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Disponível aqui. Acesso em 27 de setembro de 2023. 4 DONEDA, Danilo. Princípios de Proteção de Dados Pessoais. In - DE LUCCA, Newton; SIMA~O FILHO, Adalberto; LIMA, Cíntia Rosa Pereira de (coords.). 5 Atlas Ibero-americano de proteção ao consumidor = Atlas Iberoamericano de protección al consumidor / [coordenação : Secretaria Nacional do Consumidor]. - Brasília: Ministério da Justiça, 2013. 489 p. ISBN : 978-85-85820-37-4. Disponível aqui. Acesso em 27 de setembro de 2023. 6 ARGENTINA. Habeas Data. Disponível aqui. Acesso em 27 de setembro de 2023. 7 ARGENTINA. Proyecto de Ley de Protección de Datos Personales. Disponível aqui. Acesso em 27 de setembro de 2023. 8 PARAGUAI. Ley 1.682. Disponível aqui. Acesso em 27 de setembro de 2023. 9 PARAGUAI. Ley 6.534. Disponível aqui. Acesso em 27 de setembro de 2023. 10 É o texto da Lei 6.534 do Paraguai, em seu texto original: "Artículo 2°.- ÁMBITO DE APLICACIÓN. Esta Ley es de aplicación obligatoria al tratamiento de datos personales en registros públicos o privados recopilados o almacenados en el territorio nacional en sistemas de información, archivos, registros o bases de datos físicos, electrónicos o digitales a través de mecanismos manuales, automatizados o parcialmente automatizados de recolección de datos." 11 É o texto da Lei 6.534 do Paraguai, em seu texto original: "Art. 3º A los efectos de la presente Ley, se entende por [...] c) Titular de Datos: Persona física o jurídica, cuyos datos son objeto de tratamiento. [...]" 12 URUGUAI. Principales criterior administrativos. Disponível aqui. Acesso em 27 de setembro de 2023. 13 URUGUAI. Unidad Reguladora y de Control de Datos Personales. Disponível aqui. Acesso em 27 de setembro de 2023. 14 URUGUAI. Unidad Reguladora y de Control de Datos Personales. Disponível aqui. Acesso em 27 de setembro de 2023. 15 URUGUAI. Reglamentacion de los arts. 37 a 40 de la ley 19.670 y art. 12 de la ley 18.331, referente a proteccion de datos personales. Disponível aqui. Acesso em 27 de setembro de 2023.
Dois projetos de lei disputam hoje o protagonismo para a regulamentação da IA no Brasil, mas seria este o melhor caminho? Este texto, como contraponto, aborda os passos da regulamentação da IA na Europa que promete liderar o mundo neste tema. Introdução A Inteligência Artificial (IA) é considerada a tecnologia mais disruptiva dos últimos tempos e está impactando em vários setores, tais como a saúde (medicina), os negócios, a agricultura, a educação e o desenvolvimento urbano. Por exemplo, não é arriscado supor que você já tenha utilizado o ChatGPT para escrever ou corrigir um texto. Certamente já usou um serviço tipo Waze para buscar um caminho melhor para um destino novo. É confiante para usar seu cartão de crédito, pois mesmo sem saber, existe uma IA por traz do serviço de cobrança que luta muito para evitar fraudes no uso de um cartão plástico que lhe é precioso. Mas pergunto: qual é a sua disposição ou confiança em usar IA para descobrir um câncer que você ainda não tem1? Você usaria IA para tratar uma criança autista2? Teria coragem de andar num carro autônomo, guiado apenas por uma IA, na velocidade de 300km/h3? A IA além de ser uma tecnologia disruptiva, ela está cada dia mais perto de quem usa qualquer dispositivo tecnológico no dia a dia e também de quem imagina que não usa a IA. Para quem usa e-mail, talvez nem imagina que os filtros de e-mail tipo spam são controlados por IA; para quem tem conta em banco talvez nem sonhe que o limite do seu cartão de crédito é escolhido por uma IA; e, os radares nas estradas são capazes não só de ler a placa do seu carro, mas de autuarem o seu proprietário se os documentos estiverem vencidos. Lembro ainda que algum processo do seu escritório já deve ter sido analisado por uma IA4; e logo mais, até um simples PIX vai usar recursos de IA5. Embora as vantagens da IA na nossa vida quotidiana pareçam inegáveis, as pessoas estão preocupadas com os seus perigos. Será que você não irá mais conseguir convencer o seu gerente de banco a ter um limite maior no seu cartão de crédito? Será que o seu plano de saúde pode subir o valor da mensalidade quando souber que você não frequenta uma academia ou quando tiver acesso à sua lista de compras no supermercado? Além destas preocupações, a segurança física inadequada (por exemplo, nos carros autônomos), as perdas económicas e questões éticas, tais como reconhecimento facial por toda parte e a perfilização nas redes sociais e no comércio eletrônico, são apenas alguns exemplos dos danos que a IA pode causar. No Brasil as discussões sobre este tema já chagaram nas câmaras legislativas. O início das discussões se deu por conta do PL 21/2020, de autoria do deputado Eduardo Bismarck (PDT-CE), que "cria o marco legal do desenvolvimento e uso da Inteligência Artificial (IA) pelo poder público, por empresas, entidades diversas e pessoas físicas. O texto, em tramitação na Câmara dos Deputados, estabelece princípios, direitos, deveres e instrumentos de governança para a IA."6. Recentemente, em maio deste ano, o senador Rodrigo Pacheco (PSD-MG), presidente do Senado Federal, apresentou o PL 2.338/20237, o qual, segundo o próprio texto, "estabelece normas gerais de caráter nacional para o desenvolvimento, implementação e uso responsável de sistemas de inteligência artificial (IA) no Brasil."  Este projeto foi resultado do trabalho de uma comissão de juristas que analisou outras propostas relacionadas ao tema e também legislação já existente em outros países8. Muito embora tenhamos dois textos em tramitação sobre um assunto deveras impactante para a nossa sociedade, percebo que, fora dos limites acadêmicos, universitários, e quiçá nas empresas de tecnologia, a grande parte afetada pelo uso da IA, ou seja, a nossa sociedade, nossos trabalhos, nossa saúde, nossa educação, nossa segurança, enfim, nós, o povo (we the people), estamos alijados desta discussão. Uma pergunta fica: e lá fora, fora do Brasil, como está esta discussão? Estamos no caminho certo ou vamos esperar eles decidirem para escolher um caminho bom para nós? Ou seria bom para eles? Neste artigo traço um resumo do que está sendo a trajetória europeia para se tornar a liderança mundial na regulamentação da IA9. Percebam que, dadas nossas conexões fortes, ao menos comerciais, com a Europa, além dos vínculos e semelhanças no sistema jurídico, existe uma centelha de expectativa que possamos adotar um sistema semelhante. Vejamos! Passos iniciais Um grande passo foi dado em fevereiro de 2017 quando os legisladores da União Europeia, UE, promulgaram a Resolução do Parlamento Europeu que contém recomendações à Comissão sobre disposições de Direito Civil sobre Robótica10. Três anos mais tarde, o mesmo Parlamento Europeu reconheceu que o sistema jurídico vigente na época carecia de uma disciplina específica relativa à responsabilidade dos sistemas de IA. Segundo o Parlamento, as capacidades e a autonomia das tecnologias tornam difícil rastrear decisões humanas específicas. Por consequência, a pessoa que eventualmente sofre um dano causado por um sistema de IA pode não ser indenizada sem uma prova da responsabilidade do operador. Assim sendo, esta resolução contém uma proposta, no anexo B, com recomendações à Comissão Europeia para disciplinar a responsabilidade quanto ao uso da IA. Por volta da mesma época em 2020 a Comissão Europeia divulgou um white paper, ou seja, um documento exploratório, que apresenta opções políticas para permitir um desenvolvimento confiável e seguro da inteligência artificial na Europa, no pleno respeito pelos valores e direitos dos cidadãos europeus. Este white paper é na verdade um relatório, um guia, que informa os leitores de forma concisa sobre a complexidade do tema que é a IA, e também apresenta a filosofia do órgão emissor, a Comissão Europeia, sobre o assunto. Novamente a Comissão Europeia, seguindo as recomendações do Parlamento Europeu, apresenta, no mês de abril de 2021, uma proposta de um arcabouço jurídico para a IA12. Neste documento de 108 páginas e nove anexos a Comissão segue uma abordagem baseada no risco e diferencia as utilizações da IA de acordo com o risco eventual, sendo estes riscos classificados como risco inaceitável, risco elevado ou baixo risco. O risco é inaceitável se representar uma ameaça clara à segurança e aos direitos fundamentais das pessoas e é, portanto, proibido. A Comissão Europeia identificou exemplos de riscos inaceitáveis como utilizações de IA que manipulam o comportamento humano e sistemas que permitem pontuação de crédito. Para a Comissão Europeia um sistema de IA classificado como alto risco é um sistema que deve estar sujeito a uma verificação de conformidade por terceiros. O conceito de alto risco é detalhado no Anexo III da proposta e está dividido em oito áreas. Entre essas áreas estão sistemas de IA relacionados à infraestruturas críticas (como tráfego rodoviário e abastecimento de água), treinamento educacional (por exemplo, o uso de sistemas de IA para corrigir e pontuar testes e exames), equipamentos e componentes de segurança de produtos (por exemplo, robôs para cirurgia assistida) e seleção de funcionários (por exemplo, software de classificação de currículos). Os sistemas de IA que se enquadram na categoria de alto risco estão sujeitos a requisitos rigorosos, que devem ser cumpridos antes de serem colocados no mercado. A IA na Europa hoje Recentemente, no dia 14 de junho de 2023, o Parlamento Europeu aprovou algumas alterações sobre o texto que estabelece regras harmonizadas em matéria de inteligência artificial13. A União Europeia deu um grande passo, um passo inovador no mundo, para estabelecer regras sobre como as empresas podem usar a inteligência artificial. Esse chamado EU AI Act é uma medida ousada que Bruxelas espera que abra caminho para padrões globais para uma tecnologia utilizada em tudo, desde chatbots como o ChatGPT da OpenAI até procedimentos cirúrgicos e detecção de fraudes bancárias, todos estes sistemas eventualmente regulados por uma legislação única. Este documento, o EU AI Act, relata o acordo feito entre os 705 legisladores, membros do Parlamento da União Europeia, e é uma lei em versão preliminar. Este documento agora será negociado com o Conselho da União Europeia e os estados membros da UE antes de se tornar lei definitiva e ser seguido pelos 27 países membros UE. Além do já comentado sistema de classificação de riscos, a lei também descreve requisitos de transparência para sistemas de IA. De acordo com este documento, sistemas como o ChatGPT deverão divulgar que o seu conteúdo foi gerado por IA, distinguir imagens falsas de imagens reais e fornecer salvaguardas contra a geração de conteúdos ilegais. As empresas que programam estes chatbots também deverão publicar resumos detalhados dos dados protegidos por direitos de autor utilizados para treinar estes sistemas de IA. Por outro lado, sistemas de IA com risco mínimo ou nenhum risco, como filtros de spam, estão fora das regras. Caro leitor, estamos vivendo um momento de profundas mudanças no campo da tecnologia. Mudanças estas que mais uma vez impactarão nossa sociedade de maneira absoluta e, por vezes, irrevogável. Para aqueles que ainda esperam para ver se uma "lei pega" para depois analisar ou suportar as mudanças acarretadas por ela, aconselho se informar sobre o tema e dar voz às suas vontades, seus anseios e suas expectativas antes que esses sistemas de IA passem a dominar a sua vida (se já não está parcialmente dominada). We the people! ______________ Referências bibliográficas 1. Promising new AI can detect early signs of lung cancer that doctors can't see. Disponível aqui. Último acesso em 21 de setembro de 2023. 2. Artificial Intelligence (AI) to Diagnose and Treat Autism. A Disponível aqui. Último acesso em 21 de setembro de 2023. 3. Self-Driving Race Car Sets New Speed Record. Disponível aqui. Último acesso em 21 de setembro de 2023. 4. Inteligência Artificial no Poder Judiciário. Disponível aqui. Último acesso em 21 de setembro de 2023. 5. Bradesco vai usar IA para confirmar transferências por PIX; entenda. Disponível aqui. Último acesso em 21 de setembro de 2023. 6. Projeto cria marco legal para uso de inteligência artificial no Brasil. Fonte: Agência Câmara de Notícias. Disponível aqui. Último acesso em 20 de setembro de 2023. 7. PL 2338/2032. Disponível aqui. Último acesso em 20 de setembro de 2023. 8. Senado analisa projeto que regulamenta a inteligência artificial. Fonte: Agência Senado. Disponível aqui. Último acesso em 21 de setembro de 2023. 9. Europe is leading the race to regulate AI. Here's what you need to know. Disponível aqui. Último acesso em 19 de setembro de 2023. 10. Disposições de Direito Civil sobre Robótica. Disponível aqui. Último acesso em 19 de setembro de 2023. 11. Regime de responsabilidade civil aplicável à inteligência artificial. Disponível aqui. Último acesso em 19 de setembro de 2023. 12. Regulamento Inteligência Artificial. Disponível aqui. Último acesso em 19 de setembro de 2023. 13. Regulamento Inteligência Artificial (alterado). Disponível aqui. Último acesso em 20 de setembro de 2023.
A Inteligência Artificial (IA) tem sido objeto de grande discussão nos últimos tempos, em âmbitos privado e público. Não é surpresa que a tecnologia vem transformando rápida e profundamente a sociedade e, portanto, gerando preocupações sobre o futuro. Recentemente, com a criação do ChatGPT e disseminação de outras ferramentas de IA Generativa, esta tecnologia passou a ser utilizada cotidianamente mesmo por pessoas sem expertise nas áreas de computação ou similares. A ferramenta tem sido empregada das mais diversas formas e em todos os campos socioeconômicos, passando pela aplicação em áreas como a música, o cinema, a saúde e a educação. Se, por um lado, ela facilita a realização de tarefas e barateia os custos de sua execução, por outro, ela tem aberto um mar de possibilidades que nem sempre têm sido bem aceitas. Na cultura, questões éticas têm sido levantadas sobre a reprodução de vozes e imagens de artistas já falecidos, por exemplo. Além disso, o SAG-AFTRA (Screen Actors Guild-American Federation of Television and Radio Artists) tem realizado greves dado o avanço da IA no cinema e a ameaça de desemprego dos profissionais da área. Após o lançamento do ChatGPT, ganharam força argumentos catastróficos sobre o futuro da humanidade e, mais especificamente, sobre o futuro do trabalho. Mesmo que tais posições sejam muitas vezes infundadas, é verdade que a inovação foi revolucionária e que a sociedade está em profunda transformação. Em 2018, alguns autores já defendiam que a Inteligência Artificial seria uma Tecnologia de Propósito Geral (TPG), assim como foram a máquina a vapor e a eletricidade. Isso significa que ela adentra e reconfigura rápida e estruturalmente os campos social e econômico. Neste contexto de acalorado debate, figuras importantes do meio das BigTechs se pronunciaram sobre supostos riscos à humanidade gerados pela IA. O engenheiro Blake Lemoine, por exemplo, foi demitido do Google após ter afirmado ao jornal The Washington Post que a ferramenta de IA da empresa havia adquirido consciência própria. Outro posicionamento polêmico foi o de Elon Musk, dono da X, que aderiu à carta aberta assinada por centenas de empresários e especialistas solicitando que os laboratórios de IA paralisassem suas pesquisas envolvendo sistemas de IA mais poderosos do que o GPT-4 durante seis meses, até que fossem criados protocolos de segurança para o design e desenvolvimento avançados de IA que fossem rigorosamente auditados e supervisionados por peritos externos independentes. No entanto, a fim de compreender o processo que vivemos, é também necessário olhar os dados por uma outra perspectiva. Se a Inteligência Artificial é hoje o que um dia foi a energia elétrica, podemos observar as oportunidades geradas junto às transformações. Segundo relatório escrito pela Bloomberg  (2023), após o lançamento de ferramentas de IA Generativa, a indústria desse instrumento pode alcançar a marca de US$ 1,32 trilhão em 2032. Isso significa que o mercado em questão é gigantesco e importantíssimo. Para termos comparativos, o PIB do Brasil em 2021 era de US$ 1,609 trilhão. No Brasil, em 2021, o lançamento da Estratégia Brasileira de Inteligência Artificial (EBIA) foi essencial para a recolocação do país no cenário internacional como atento à agenda e possível produtor de tecnologias. Além disso, o Governo Federal e governos estaduais lançaram iniciativas importantes para o desenvolvimento da IA e têm investido em inovação. Exemplo disso é o programa paulista de subvenção econômica Pesquisa Inovativa em Pequenas Empresas (PIPE), da FAPESP.  Na esfera federal, a Finep, o Fundo Nacional de Desenvolvimento Científico e Tecnológico (FNDCT), o Banco Nacional de Desenvolvimento Econômico e Social (BNDES) e o MCTI  têm sido os principais investidores em Ciência, Tecnologia e Inovação (CT&I). O posicionamento estatal revelado por meio da EBIA, somado aos programas públicos de incentivo ao desenvolvimento de CT&I, encorajam o setor privado a inovar. Consequentemente, a economia brasileira tende a se fortalecer, gerando mais empregos e diminuindo as desigualdades. Em relatório de 2021, a Associação das Empresas de Tecnologia da Informação e Comunicação (TIC) e de Tecnologias Digitais (Brasscom) estima que as empresas de tecnologia demandem 797 mil talentos entre 2021 e 2025. Porém, com o crescimento exponencial do número de vagas e o número de formandos aquém da demanda, a projeção é de que haja um déficit de 530 mil ao final desses cinco anos. Outro dado interessante é que, enquanto a média nacional de salários é de R$ 2.001, a remuneração média do setor de serviços de TIC é de R$ 5.028, ou seja 2,5 vezes superior. Essas informações indicam que estamos presenciando uma geração de um novo campo de atuação, com novas oportunidades de emprego e melhores salários.   Somado a isso, cursos de Graduação e Especialização na área de tecnologia e, especificamente, de IA, estão despontando em universidades públicas e privadas ao redor do Brasil. Em pesquisa publicada em 2023, foram encontrados 646 cursos de Bacharelado e Tecnológicos relacionados à IA. A região Sudeste é a com maior oferta de vagas, seguida das regiões Sul e Nordeste do país. Quanto aos cursos de Especialização, foram identificados 114, sendo que a maioria também está no Sudeste brasileiro, seguido pelo Sul e Centro-Oeste. Percebendo tal demanda, Organizações da Sociedade Civil (OSCs), startups e até grandes empresas de tecnologia também têm oferecido cursos de capacitação em Inteligência Artificial. BigTechs como IBM, Google e Microsoft têm oferecido cursos introdutórios sobre IA em formato online e gratuito, por exemplo. Com a grande maioria dos cursos sendo oferecidos por organizações e empresas privadas, constata-se que o setor privado está mais atento às mudanças do mercado. Porém, ainda que as ações públicas sejam mais tímidas, elas estão ocorrendo. Além disso, como já era de se esperar, o Sudeste tem liderado o desenvolvimento acadêmico e a capacitação em IA conforme . Considerando, então, o novo mercado surgindo e a criação de cursos nas áreas de tecnologia, é possível afirmar que a Inteligência Artificial não está ameaçando o futuro do trabalho, mas sim criando uma nova configuração para ele. No entanto, cabe a nós formular políticas públicas e alianças entre o setor público, privado e academia para que as oportunidades sejam distribuídas em todo o Brasil e ofertadas a todas as classes sociais, de forma a diminuir as desigualdades, e não aumentá-las. Para tal, o debate precisa ser aprofundado e abordado a partir de uma visão multidimensional, pois, a diferença da IA para as outras tecnologias está no fato de ela possuir o potencial de aumentar o desemprego no campo da mão-de-obra qualificada, não apenas nos setores que exigem baixa qualificação.
Aprovado no Senado e em tramitação na Câmara dos Deputados há 3 anos, o PL 2630/20, para alguns conhecido como PL das Fake News, para outros como PL da Censura, pautou o debate público recente ao ter aprovada a urgência em sua tramitação e, posteriormente, com forte ação por parte das "Big Techs", grandes companhias de tecnologia, sobretudo do Google, mas também da oposição, no tensionamento da discussão, ser retirado da pauta de votação sob pedido do relator Orlando Silva (PCdoB-SP), em vistas a alta possibilidade de rejeição no plenário. O tema é complexo e há de ser enfrentado pelo Estado. No retrovisor o 8 de janeiro, os ataques às escolas e a própria reação das "Big Techs" na influência da formação de vontade do legislativo do País são exemplos de eventos nos quais as plataformas virtuais se tornaram ambiente profícuo para concretização e coordenação de ações de cunho trágico e criminoso para o Estado Democrático de Direito. No presente esforço, busca-se explorar os impactos e as entranhas dessa complexidade. Vale destacar, como referência ao novo contexto, o abandono das teorias e crenças de "neutralidade das redes" sobretudo com um maior entendimento sobre o papel dos algoritmos interferindo no oferecimento de conteúdo não só nas redes sociais, com a possibilidade de impulsionamento de informações de fomento ao discurso de ódio e desinformação, mas também mecanismos de busca, como o próprio Google.1 Professor da Universidade de Frankfurt e colaborador do Legislativo no tema, Ricardo Campos2 demonstra que o PL em questão em muito se assemelha com iniciativas legislativas de outros lugares do mundo, sobretudo da União Europeia, em um sentido de responsabilização administrativa das plataformas, risco sistêmico e dever de cuidado, mas também da Austrália, por exemplo, no que tange ao jornalismo e sua remuneração a ser negociada com plataformas digitais mediante parâmetros gerais que desaguem em critérios concretos. Afirma, ainda, que o Brasil inovaria em regular aplicativos de mensagens privadas, o que não existe nas outras regulações até então. Há de se dizer que, legalmente, exige-se decisão judicial para remoção de conteúdo, por exemplo, com o artigo 19 do Marco Civil da Internet, o que se mostra defasado e ineficaz na dinâmica da desinformação e, nessa esteira, verifica-se a importante do PL em discussão, já que se procura estruturar um regime de responsabilização. Ainda, o PL busca definir uma lista de conteúdo ilícito em vista dos quais um dever de cuidado recairia sobre as plataformas, exigindo-se ação de ofício, como por exemplo na violação a direitos de crianças e adolescentes, e um procedimento de notificação para as demais violações para que se possibilite a remoção dos conteúdos a partir da devida justificativa, resguardando-se ao máximo o devido processo legal, a liberdade de expressão e a transparência. Central para a retirada de pauta do PL ressaltamos duas questões, a falta de consenso sobre o limite da imunidade material parlamentar, isto é, como se daria uma possível restrição ao discurso de um parlamentar tendo em vista essa regulação e, também, a criação de agência independente, como forma de controle externo, em um sentido, pode-se dizer, de agência reguladora, na esteira desse projeto, o que, segundo especialistas3, padeceria de vício de iniciativa e poderia colocar em risco a autonomia da regulação.   Também central para o revés foi a ação das Big Techs na esteira do debate político. Estudo4 do Laboratório de Estudos de Internet e Mídias Sociais da UFRJ demonstrou ações vigorosas de plataformas como Google, Meta, Spotify e Brasil Paralelo que, de maneira opaca, com burla aos termos de uso, manipularam o mercado de publicidades nas vésperas da votação, ressaltando-se a veiculação de anúncios do Google no spotify contra o PL, o que fere os termos de uso do Spotify e o anúncio fixado de texto contra a iniciativa na página do buscador, afirmando que a normativa iria "aumentar a confusão entre o que é verdade e mentira no Brasil", além de rotulá-la como PL da Censura e privilegiar notícias, textos e anúncios nesse sentido, remetendo a fontes hiper partidárias e fomentando, por si mesmo anúncios em outras plataformas, como o Meta. Afirma-se que o impacto negativo do PL para essas plataformas, para além da responsabilização e do dever de cuidado enquanto geradores de ônus, seria a possível redução dos valores de publicidade digital, tendo em vista a impossibilidade atual de se estimar o quanto anúncios criminosos, opacos e irregulares movimentam esse mercado. Diante disso, o Ministro Alexandre de Moraes, na esteira do inquérito 4.7815 do Distrito Federal, em polêmica decisão, determinou, de ofício, a colheita de depoimentos dos presidentes das big techs Google, Meta e Spotify e do canal Brasil Paralelo sobre as medidas tomadas, além da retirada das informações, textos, anúncios e impulsionamentos a partir do Google contra a proposta, ressaltando a possível configuração de abuso de poder econômico e tentativa de impactar de maneira ilegal e imoral a opinião pública e dos parlamentares, com indução à manutenção "condutas criminosas praticadas pelas milícias digitais investigadas (...)". A decisão mais uma vez suscitou polêmica, questionando-se o ativismo por parte do Ministro em lidar com a situação de ofício e imediatamente, além de acusações, de senadores como Flávio Bolsonaro6, de que a medida interfere no processo legislativo, sendo um ataque à separação dos Poderes. Aponta-se, no entanto, que a problemática será enfrentada pelo Estado, tendo em vista os impactos claros que o novo contexto fático de uma economia de dados e da digitalização de uma esfera pública ou, pelo menos, da virtualização da opinião pública com forte protagonismo das plataformas sociais como ambientes de debate e impulsionamento, de fluxo de informações e sobretudo de dados. A influência dessas plataformas sobre o debate público brasileiro não pode se dar de maneira abusiva, com a captura da discussão pública por meio desse lobby, através da manipulação da publicidade digital e afins. Esse enfrentamento não realizado pelo Legislativo no agora gera, inevitavelmente, protagonismo do Judiciário para resolver questões concretas de efetivação de direitos fundamentais com a utilização da hermenêutica constitucional, ressaltando-se o provável julgamento da inconstitucionalidade do artigo 19 do Marco Civil.7 No mesmo sentido, o CADE e a SENACON também determinaram ações para lidar com o tema. Rodrigo Pacheco, presidente do Senado Federal, casa em que o PL 2360 foi aprovado, inclusive, apresentou, dois dias depois da retirada de pauta em questão, um projeto de lei para regulamentação da inteligência artificial, o PL 2.338/23. Consequência de amplo debate e de um relatório apresentado por uma comissão de juristas no Senado, a proposta guarda intrínseca relação com o PL das Fake News, prevendo necessidade de informação prévia sobre sistemas de inteligência artificial, explicações sobre suas decisões, intervenção humana, vedação à discriminação além de listar sistemas de alto risco em que o  acompanhamento deve ser mais próximo, com governança, transparência e isonomia. No mesmo sentido, trata também de responsabilização civil. De um lado ou de outro, conclui-se que o contexto factual, marcado pela economia de dados e pelo fluxo informacional incessante e intenso, imprescinde de uma resposta do Direito no sentido de enfrentar a realidade dos fatos concretos em respeito ao ordenamento jurídico pátrio e aos direitos que nele estão positivados. Seja por meio do Legislativo, do Judiciário e até do Executivo, o Estado brasileiro, assim como os Estados que se nomeiam Estados Democráticos de Direito devem, cedo ou tarde, lidar com a regulação, seja da desinformação, seja da inteligência artificial, no sentido de evitar tanto a captura das instituições do Estado pelas Big Techs quanto de proteger direitos fundamentais.  _____________ 1 BINENBOJM, Gustavo. Regulação de redes sociais: entre remédios e venenos. In: JOTA. Publicado em 02 de maio de 2023. Disponível em: https://www.jota.info/opiniao-e-analise/colunas/publicistas/regulacao-de-redes-sociais-entre-remedios-e-venenos-02052023 . Acesso em: 08 de maio de 2023. 2 FIGUEIREDO, Janaína. In: O GLOBO. Entrevista: PL das Fake news inova ao regular WhatsApp e Telegram, diz pesquisador Ricardo Campos. Disponível em: https://oglobo.globo.com/politica/noticia/2023/04/entrevista-pl-das-fake-news-inova-ao-regular-whatsapp-e-telegram-diz-pesquisador-ricardo-campos.ghtml . 3 BINENBOJM, Gustavo. Regulação de redes sociais: entre remédios e venenos. In: JOTA. Publicado em 02 de maio de 2023. Disponível em: https://www.jota.info/opiniao-e-analise/colunas/publicistas/regulacao-de-redes-sociais-entre-remedios-e-venenos-02052023. Acesso em: 08 de maio de 2023. 4 NETLAB. A Guerra das Plataformas Contra o PL 2630. Abril, 2023. Disponível em: https://uploads.strikinglycdn.com/files/2cab203d-e44d-423e-b4e9-2a13cf44432e/A%20guerra%20das%20plataformas%20contra%20o%20PL%202630%20-%20NetLab%20UFRJ,%20Abril%202023.pdf. Acesso em: 08 de maio de 2023. 5 BRASIL. Supremo Tribunal Federal. Inquérito 4.781 Distrito Federal. Relator Min. Alexandre de Moraes. Disponível em: https://www.stf.jus.br/arquivo/cms/noticiaNoticiaStf/anexo/INQ4781GOOGLE.pdf . Acesso em: 08 de maio de 2023. 6 AGÊNCIA SENADO. Ação de Moraes contra plataformas digitais provoca debate entre senadores. Disponível em: https://www12.senado.leg.br/noticias/materias/2023/05/02/pl-das-fake-news-acao-de-moraes-contra-plataformas-digitais-provoca-debate . Acesso em: 02 de maio de 2023. 7 LEONARDO, Rodrigo Xavier. Controle de constitucionalidade do Marco Civil da Internet em audiência no STF. Consultor Jurídico, 3 de abril de 2023. Disponível em: . Acesso em: 08 de maio de 2023.
Recente notícia informa que a Microsoft chegou a um acordo para pagamento de multa de US$20 milhões para resolver disputa iniciada pela Federal Trade Commission (FTC) norte-americana por violação ao Children's Online Privacy Protection Act (ou COPPA, na sigla em inglês). Segundo a FTC, a empresa coletou dados pessoais de crianças e adolescentes que se cadastraram no seu sistema de jogos Xbox sem notificar ou obter o consentimento de pais ou responsáveis, e reteve ilegalmente essas informações1. Além da sanção pecuniária, o a Microsoft concordou em robustecer as proteções à privacidade do público infantojuvenil no sistema Xbox. Entre as medidas estabelecidas estão a ampliação das proteções do COPPA para editoras de jogos terceirizadas que compartilham dados de crianças e adolescentes com a Microsoft, bem como a inclusão de "avatares" gerados a partir de imagens de crianças e informações biométricas e de saúde no escopo das regras do COPPA. Para melhor contextualizar a violação, convém registrar que o COPPA é uma legislação dos Estados Unidos da América que foi promulgada em 1998 com o objetivo de proteger a privacidade on-line de crianças, adotando-se o critério etário de 13 anos2. O COPPA estabelece regras específicas que os operadores de sites, serviços on-line e aplicativos em geral devem seguir ao coletar dados pessoais desse público e sua principal exigência é que tais operadores obtenham o consentimento verificável dos pais antes de coletar, usar ou divulgar informações pessoais de uma criança3. O consentimento verificável é um processo que deve ser razoavelmente projetado para garantir que quem fornece o consentimento seja o pai ou responsável legal da criança. Isso pode envolver procedimentos analógicos, como o envio de um formulário físico assinado e remetido por correio, a autenticação por telefonema, ou mesmo procedimentos automatizados em meio eletrônico, como o fornecimento de informações de cartão de crédito, o envio de um alerta por aplicativo ou o duplo cadastro, que exige uma conta para o genitor/supervisor e outra para a criança que utilizará o serviço4. No Brasil, a Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018) define o consentimento como uma dentre várias hipóteses de tratamento de dados pessoais (art. 7º, I) e de dados pessoais sensíveis (art. 11, I), e indica a necessidade de especificação e destaque dado por pelo menos um dos pais ou pelo responsável legal para o tratamento de dados pessoais de crianças (art. 14, §1º)5. Não há exigência similar quanto ao consentimento para o tratamento de dados pessoais de adolescentes, que são mencionados apenas no caput do artigo 14, do qual consta a exigência de observância ao princípio do melhor interesse6. Além do consentimento verificável, o COPPA exige que os operadores forneçam aos pais um aviso claro e completo sobre as práticas de coleta e uso de dados pessoais. Esse aviso deve descrever os tipos de informações coletadas, como elas são usadas e se são compartilhadas com terceiros. Os pais ou responsáveis devem ter a opção de consentir ou recusar a coleta e uso de dados pessoais dos menores, sem condicionantes de uso, o que revela grande proximidade7 entre o escopo protetivo da norma estadunidense com a exigência contida no §4º do artigo 14 da LGPD: "Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade". Outra obrigação imposta pelo COPPA é a de manter a segurança das informações coletadas das crianças, o que está em total sintonia com as exigências da LGPD brasileira, particularmente em razão do princípio da segurança (art. 6º, VII) e do dever geral de segurança da informação (art. 46). Basicamente, devem ser implementadas medidas razoáveis para proteger dados pessoais contra acessos não autorizados, uso indevido ou divulgação ilícita. O COPPA também estabelece regras específicas para a retenção de dados, definindo que operadores somente podem reter as informações pelo tempo necessário para cumprir a finalidade para a qual foram coletadas, devendo eliminá-las, de forma segura, quando não forem mais necessárias. Tal exigência se coaduna com o princípio da necessidade, expressamente definido na LGPD brasileira a partir da "limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados" (art. 6º, III). É importante ressaltar que o COPPA se aplica a qualquer site, serviço on-line ou aplicativo que seja direcionado a crianças menores de 13 anos ou que tenha conhecimento real de que está coletando informações pessoais de crianças. Isso inclui sites e aplicativos voltados especificamente para crianças, bem como sites e aplicativos geralmente direcionados a um público amplo, mas que sabidamente coletam informações pessoais de crianças. Além disso, o não cumprimento do COPPA pode resultar em ações de fiscalização, multas e até mesmo processos judiciais, sendo a FTC é a agência responsável por sua aplicação. Voltando ao caso envolvendo a Microsoft, de acordo com a reclamação apresentada pelo Departamento de Justiça (DOJ) norte-americano, a empresa violou os requisitos de notificação, consentimento e retenção de dados da COPPA. Isso porque, na fattispecie, os jogos eletrônicos disponibilizados para o sistema Xbox da Microsoft permitem que os usuários joguem e conversem8 com outros jogadores por meio do serviço on-line Xbox Live. Para acessar e jogar em um console Xbox ou usar qualquer uma das outras funcionalidades do Xbox Live, os usuários devem criar uma conta, fornecendo dados pessoais cadastrais, como nome completo, endereço de e-mail e data de nascimento. Porém, mesmo quando um usuário indicava que tinha menos de 13 anos, até o final de 2021, era solicitado o fornecimento de informações adicionais, como número de telefone, e a concordância com o contrato de serviço, o acordo de licença de usuário final (EULA) e a política de publicidade da Microsoft, que, até 2019, incluía uma caixa pré-marcada permitindo que a Microsoft enviasse mensagens promocionais e compartilhasse dados do usuário com anunciantes, de acordo com a reclamação. Somente após os usuários fornecerem essas informações é que a Microsoft exigia que qualquer pessoa menor de 13 anos envolvesse seus pais ou responsáveis no processo de criação da conta. A partir de então, o genitor ou responsável tinha que concluir o processo de criação da conta antes que a criança pudesse ter acesos a ela. Segundo a reclamação, entre 2015 e 2020, a Microsoft reteve os dados - às vezes por anos - que coletou das crianças durante o processo de criação de conta, mesmo quando um genitor ou responsável não concluía o processo. Essa foi a principal violação diagnosticada, pois o COPPA proíbe a retenção de dados pessoais sobre crianças por mais tempo do que o necessário para cumprir a finalidade para a qual foram coletadas. Seria equivalente a uma violação ao já mencionado princípio da necessidade definido no artigo 6º, inciso III, da LGPD. Também foi objeto da reclamação o fato de que, após a criação de uma conta, a criança pode criar um perfil virtual que incluirá o seu "gamertag", que é o identificador principal visível para ela própria e para outros usuários do Xbox Live (sendo semelhante ao um nickname), podendo também fazer o upload de uma foto ou utilizar um avatar, que é uma figura ou imagem com aspecto de caricatura que representa o usuário. Segundo a reclamação, a Microsoft combinava essas informações com um identificador persistente exclusivo criado para cada titular de conta, inclusive crianças, e tinha poder de compartilhar essas informações com desenvolvedores de jogos e aplicativos terceirizados. A Microsoft permitia - por padrão - que todos os usuários, inclusive crianças, jogassem jogos e usassem aplicativos de terceiros enquanto estivessem no Xbox Live, exigindo que os pais tomassem medidas adicionais para optar por não permitir que seus filhos os acessassem. Elora Fernandes e Filipe Medon destacam que os pais possuem papel de grande relevância na tomada de decisão dos filhos quando há a necessidade do consentimento para tanto, mas que, com a evolução etária, a criança ou adolescente passa a manifestar os próprios interesses e vontades. O papel dos pais ou responsáveis se reduz para que seja demonstrado o respeito, naquilo em que couber, em relação às decisões dos filhos. O que, conforme os autores pontuam, "não significa dizer, contudo, que os pais se exoneram de suas responsabilidades9". Para solucionar a investigação, além da sanção monetária, a Microsoft ainda concordou com as seguintes exigências: (i) informar os pais ou responsáveis que não criaram uma conta separada para seu filho de que fazê-lo fornecerá proteções adicionais de privacidade para a criança, por padrão; (ii) obter o consentimento dos pais ou responsáveis para contas criadas antes de maio de 2021, se o titular da conta ainda for uma criança; (iii) estabelecer e manter sistemas para excluir, dentro de duas semanas a partir da data de coleta, todos os dados pessoais coletados de crianças para fins de obtenção do consentimento dos pais ou responsáveis, caso não tenha sido obtido, e excluir todos os outros dados pessoais coletados de crianças após cessar a necessidade de cumprir a finalidade para a qual foram coletados; (iv) notificar os estúdios desenvolvedores de jogos eletrônicos quando divulgar dados pessoais de crianças, informando que o usuário é uma criança, o que exigirá que tais empresas apliquem as proteções do COPPA a essa criança. É inegável que crianças são consideradas um grupo vulnerável, pois podem não ter a capacidade de entender completamente as implicações da coleta e do uso de seus dados pessoais, se tornando alvos fáceis para práticas injustas ou abusivas relacionadas à coleta de informações em ambientes virtuais. Para os chamados "nativos digitais", é preciso considerar os contextos nos quais as crianças interagem em ambientes virtuais e como assimilam os reflexos dessas interações quanto à privacidade10. Segundo Fernando Büscher von Teschenhausen Eberlin, no caso das crianças, "a vulnerabilidade técnica ocorrerá casuisticamente, dependendo da idade da criança e do conhecimento que ela possui sobre o produto ou serviço adquirido"11. Além disso, a indústria de jogos eletrônicos cresceu significativamente nos últimos anos, com milhões de jogadores em todo o mundo, incluindo um grande número de crianças. E, com a popularidade dos jogos on-line e a expansão de plataformas de jogos, como consoles, PCs e dispositivos móveis, há uma maior exposição de crianças a serviços on-line que necessariamente coletam dados pessoais para viabilizar a prestação do serviço. Nesse contexto, a ação tomada pela FTC contra a Microsoft é emblemática, pois destaca a importância da proteção dos dados pessoais das crianças (e, também, dos adolescentes) em aplicações on-line. Ao exigir o cumprimento das regras do COPPA e impor à Microsoft penalidades por violações, a FTC visa garantir que dados pessoais do público infantojuvenil sejam tratados de maneira adequada e que os pais tenham controle sobre a coleta e uso desses dados. A ordem proposta reforçará as proteções de privacidade no sistema Xbox e estabelecerá medidas claras para a coleta, retenção e divulgação de dados pessoais desse público, o que é relevante a nível global12 pela própria pujança do mercado de jogos eletrônicos e pelo amplo acesso que se tem aos serviços on-line da Xbox Live. Esses dados pessoais podem ser usados para diversos fins, como a personalização de experiências de jogo, o direcionamento de publicidade e análises de mercado. Por isso, a coleta e o uso dessas informações podem representar riscos à privacidade e segurança das crianças a ponto de demandar releituras de institutos tradicionais, ou, como assevera Rosane Leal da Silva, "o maior desafio, doravante, não será na seara da normatização, mas de buscar a sua efetivação, evitando que se deturpe o sentido e o alcance do princípio do melhor interesse"13. Como já defendi em trabalho escrito em conjunto com Fernanda Pantaleão Dirscherl, "como consequência, maior responsabilidade se exige de controladores e operadores de dados, que devem realizar suas atividades, desenvolvendo meios elucidativos e explícitos para a legitimação do tratamento de dados, sempre em respeito ao princípio do melhor interesse. Caso contrário, a inobservância de tal princípio - que, repita-se, está elencado no próprio caput do artigo 14 e tem aplicação a crianças e adolescentes - já representará violação à lei e poderá desencadear consequências civis e administrativas"14. Assim, sendo certo que nem todo controle é facilmente exercido pelos pais15, o que revela a importância do debate mais específico sobre dados pessoais, não há dúvidas de que a casuística será imprescindível para que se possa inferir a aplicação dos requisitos para o tratamento de dados pessoais em sintonia com a imprescindível observância do melhor interesse, que se aplica a todas as faixas etárias inferiores a 18 anos. E, sem dúvidas, essa é a principal lição que se extrai do caso envolvendo as sanções aplicadas à Microsoft. __________ 1 ESTADOS UNIDOS DA AMÉRICA. Federal Trade Commission. FTC Will Require Microsoft to Pay $20 million over Charges it Illegally Collected Personal Information from Children without Their Parents' Consent, 5 jun. 2023. Disponível aqui. Acesso em 10 jun. 2023. 2 Para fins de comparação, convém lembrar que, no Brasil, considera-se criança a pessoa com doze anos incompletos, e adolescente a pessoa com idade entre doze e dezoito anos, segundo previsão do artigo 2º do Estatuto da Criança e do Adolescente (Lei nº 8.069, de 13 de julho de 1990). Desse modo, a proteção estabelecida no COPPA, em relação ao público infantojuvenil brasileiro, não cuida somente de crianças, mas também de adolescentes com idade entre doze e treze anos. 3 Com a ampliação do acesso a serviços digitais em geral, um dos grandes desafios relacionados ao COPPA envolve a identificação do usuário para que se possa saber se a pessoa é, ou não, uma criança. Segundo Roberta Densa: "O desafio enfrentado está relacionado a entender quem é o usuário da plataforma e se essa pessoa é ou não uma criança. Se o COPPA exige que o website e que serviços online dirigidos para crianças tomem cuidados para coleta e tratamento de dados, também exige para aqueles que são voltados para o público em geral, mas que coletam informações sobre o público infantil". DENSA, Roberta. Publicidade digital e proteção de dados de crianças e adolescentes nos Estados Unidos. Migalhas de Proteção de Dados, 22 out. 2021. Disponível aqui. Acesso em: 10 jun. 2023. 4 Existem várias empresas que oferecem serviços especializados em obtenção de consentimento verificável de pais ou responsáveis para acesso de crianças a jogos e serviços on-line, tais como a AgeCheq, SuperAwesome/KWS, GDPRiS e PRIVO. 5 Quanto às particularidades do artigo 14 da LGPD, conferir, por todos, o comentários de DENSA, Roberta. Artigo 14 (Do Tratamento de Dados Pessoais de Crianças e de Adolescentes). In: MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti; FALEIROS JÚNIOR, José Luiz de Moura (coord.). Comentários à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018). Indaiatuba: Foco, 2022, p. 181-199. 6 Segundo Mariana Palmeira e Caitlin Mulholland: "Apesar de indicar no caput o adolescente como titular de dados pessoais, o conjunto de parágrafos do artigo 14 não deixa dúvidas acerca do seu alcance limitado a crianças, na medida em que em nenhuma outra oportunidade faz menção ao termo adolescente. A restrição é estabelecida logo no parágrafo 1º com a dicção literal: "o tratamento de dados pessoais de crianças deverá ser realizado (...)", para então, nos parágrafos subsequentes, fazer referência sempre aos termos do que está disposto neste parágrafo inicial. Significa dizer que os adolescentes terão tutelados os seus dados pessoais sempre à luz do princípio do melhor interesse, mas as regras específicas previstas no artigo 14 e seus parágrafos só serão aplicadas às situações de tratamento de dados de crianças". PALMEIRA, Mariana; MULHOLLAND, Caitlin. As bases legais para tratamento de dados da criança e a abrangência dos parágrafos do artigo 14, da LGPD. Migalhas de Proteção de Dados, 17 set. 2021. Disponível aqui. Acesso em: 10 jun. 2023. 7 Em relação às exigências contidas no artigo 14 da LGPD, concordamos com Chiara Spadaccini de Teffé, que assim se pronuncia: "os controladores deverão realizar todos os esforços razoáveis para verificar se o consentimento a que se refere o §1º foi manifestado pelo responsável pela criança, consideradas as tecnologias disponíveis (artigo 14, §5º). Identifica-se, aqui, dever de cuidado atribuído ao controlador. Pondera a doutrina que se, por um lado, o controlador não pode tratar dados antes do consentimento, por outro, precisará de tais dados para contatar o responsável legal pela criança. Dessa forma, os controladores deverão apurar sua verdadeira idade, para, se for o caso, suspender o tratamento de seus dados até a obtenção do consentimento do responsável". TEFFÉ, Chiara Spadaccini de. Tratamento de dados pessoais de crianças e adolescentes: considerações sobre o artigo 14 da LGPD. In: MULHOLLAND, Caitlin (Org.). A LGPD e o novo marco normativo no Brasil. Porto Alegre: Arquipélago Editorial, 2020, p. 170. 8 Sobre essa peculiaridade, é importante a lembrança de Ian Bogost quanto à proeminência das estruturas "free-to-play" direcionadas ao público mais jovem: "Between 2003 and 2009 two big shifts took place in the games marketplace. The first was Facebook, which released a platform for developers to make apps and games that would run within the social network's ecosystem. The second was the iPhone, the Apple App Store, and the copycats and spin-offs that it inspired. By the end of the first decade of the new millennium, free-to-play had become the norm for new games, particularly those being released for play online, via downloads, on social networks, and on smartphones-a category that is quickly overtaking disc-based games in both sales and cultural significance." BOGOST, Ian. How to talk about videogames. Minneapolis: University of Minnesota Press, 2015, p. 49-50. 9 FERNANDES, Elora; MEDON, Filipe. Proteção de crianças e adolescentes na LGPD: Desafios interpretativos. Revista Eletrônica da PGE-RJ, Rio de Janeiro, v. 4, n.2, maio/ago., 2021, p. 4. 10 LIVINGSTONE, Sonia; STOILOVA, Mariya; NANDAGIRI, Rishita. Children's data and privacy online: Growing up in a digital age. An evidence review. Londres: London School of Economics and Political Science, 2019, p. 13. 11 EBERLIN, Fernando Büscher von Teschenhausen. Direitos da criança na sociedade da informação: ambiente digital, privacidade e dados pessoais. São Paulo: Thomson Reuters Brasil, 2020, p. 163. O autor ainda acrescenta: "Muitas vezes, o entendimento técnico das crianças em relação a produtos e serviços da sociedade da informação pode ser maior do que o dos adultos. A melhora na qualidade das informações técnicas e a boa-fé na sua transmissão ao consumidor são formas de minimizar essa assimetria". 12 Conferir, sobre o tema e no contexto mais específico da regulamentação da OCDE o interessante artigo de: DENSA, Roberta; DANTAS, Cecília. Proteção de dados de criança em meio digital: análise dos riscos conforme a Organização para Cooperação e Desenvolvimento (OCDE). Migalhas de Proteção de Dados, 10 jun. 2022. Disponível aqui. Acesso em: 10 jun. 2023. 13 SILVA, Rosane Leal da. A infância conectada: a proteção de dados pessoais de crianças e adolescentes em perspectiva comparada entre a União Europeia e o Brasil. In: DE LUCCA, Newton; SIMÃO FILHO, Adalberto; LIMA, Cíntia Rosa Pereira de; MACIEL, Renata Mota (Coord.). Direito & Internet IV: sistema de proteção de dados pessoais. São Paulo: Quartier Latin, 2019, p. 284. 14 FALEIROS JÚNIOR, José Luiz de Moura; DIRSCHERL, Fernanda Pantaleão. Proteção de dados de crianças e adolescentes em redes sociais: uma leitura do artigo 14 da LGPD para além do mero controle parental. In: TEIXEIRA, Ana Carolina Brochado; FALEIROS JÚNIOR, José Luiz de Moura; DENSA, Roberta (coord.). Infância, adolescência e tecnologia: o Estatuto da Criança e do Adolescente na sociedade da informação. Indaiatuba: Foco, 2022, p. 359. 15 DENSA, Roberta. Proteção jurídica da criança consumidora. Indaiatuba: Foco, 2018, p. 191.
sexta-feira, 23 de junho de 2023

CPF: vilão ou aliado à LGPD?

Introdução Os documentos nacionais de identificação civil são uma realidade para a maioria dos países. No site da World Privacy Forum1 é possível ver uma lista (de 2021) de países que adotam identidades nacionais (id), os que têm id digitalizadas e também os que têm, no documento de identificação, com algum dado biométrico associado, tal como a impressão digital ou uma imagem da íris. No Brasil estamos acostumados a usar dois documentos nacionais de identificação, que são a Carteira de Identidade (RG) e o Cadastro de Pessoa Física (CPF). Não estamos aqui deixando de considerar a Carteira Nacional de Habilitação e, muito menos, e talvez o mais importante deles, o nosso primeiro e obrigatório documento, a Certidão de Nascimento. Não obstante os dois últimos, no nosso cotidiano os números do RG e do CPF são realmente imprescindíveis para muitos e serviços, tanto públicos quanto os privados. Notem também que dos dados incluídos nestes documentos, tais como o seu nome, o nome da sua mãe, entre outros, nenhum é tão importante quanto o número do documento, mais especificamente o número do RG e o número do CPF. Reforço que estes números indexam quase todos os "movimentos" da nossa vida, indexam nosso cotidiano. O grande livro Imaginem que possa haver um livro de registro diário de todas as atividades de todas as pessoas neste país. As pessoas saem de casa com seus carros, compram em lojas e farmácias, frequentam escolas e academias, vão a shows e cinemas, usam transporte público, entre diversas outras atividades, e tudo passa a ser registrado neste livro de "movimentos". Notem que para praticamente todos estes "movimentos" têm um número de RG ou CPF embutido ou associado: na carteira de habilitação, nas compras com nota fiscal (ou sem, como nas farmácias), nas escolas e academias usamos estes números, como também para conseguir outros serviços e documentos (cartões de banco, cartões de transporte coletivo, serviços de internet e telefonia), quase tudo tem um número de CPF associado. Até quem usa a internet, o seu número de IP está associado à sua conta no provedor que, obviamente, tem seu número de CPF. Voltemos ao livro dos "movimentos". Se indexarmos todas as tarefas descritas neste livro pelo CPF dos envolvidos teremos listados num índex, ao final do livro, todos os "movimentos" e atividades que fizemos ao longo do dia. Este livro físico ainda não existe e, provavelmente, não vai existir, mas certamente existem vários livros digitais pela web que acompanham nossa vida. E qual é o problema? Voltando ao site da World Privacy Forum2 vemos que a maioria dos países têm algum tipo de id nacional, no entanto e estranhamente para muitos leitores, alguns países não obrigam seus cidadãos a terem um id. Por exemplo, nos países do Reino Unido (Inglaterra, Escócia, País de Gales e Irlanda do Norte) um id não é um documento compulsório. A necessidade de um documento de identificação nasceu devido ao fato do Reino Unido estar totalmente envolvido na Segunda Guerra Mundial entre 1939 e 1945. Nesta época as pessoas recebiam uma carteira de identidade nacional individual que deveria ser carregada o tempo todo (até 1952) e cadernetas de racionamento para alimentos e mercadorias escassas (o racionamento continuou até 1954)3. Os cartões de identificação do tempo de guerra foram finalmente retirados pelo governo de Churchill em 1952, sete anos após o final da guerra4, devido às tensões criadas entre a polícia e cidadãos inocentes. Consequentemente, hoje muitos países do Commonwealth não emitem um cartão nacional de identidade, tais como a Austrália, o Canadá e Nova Zelândia, muito embora todos eles exijam documentos específicos de identificação para algumas atividades, tais como dirigir um veículo automotor, viajar ao exterior, votar, entre outros. Percebemos assim, que a existência ou não de um documento de identificação nacional não é imperativo e muito menos impeditivo para o exercício da cidadania em muitos países. Mesmo sem um documento de identificação um cidadão consegue trabalhar, estudar, ter uma moradia, constituir família, enfim, viver dignamente. Notem que, identificar uma pessoa não significa identificar univocamente esta pessoa, ou seja, assegurar a singularidade do registro. Em outras palavras, os dados contidos num documento de identificação não necessariamente precisam ser únicos e específicos para um único indivíduo. Tomemos, como exemplo, o passaporte. Ele é um documento de identificação aceito internacionalmente e dele constam seu nome, nacionalidade, data e local de nascimento, sexo e nomes dos pais. Não existe um número único de identificação associado à pessoa do passaporte. Até mesmo o número do passaporte segue a validade do documento. Mesmo que alguém possa considerar que o conjunto de dados do passaporte seja único, ou seja, o nome seu, dos seus pais, aliado aos outros dados... só poderia ter uma pessoa nestas condições. No entanto, sabemos que isso vale para quase todos, mas tecnicamente não garante a unicidade da pessoa. Já, o CPF é esse número único. Existe um número "estampado" em cada um de nós. A lei 14.534 de 11/01/2023 Em seu artigo primeiro "Fica estabelecido o número de inscrição no Cadastro de Pessoas Físicas (CPF) como número único e suficiente para identificação do cidadão nos bancos de dados de serviços públicos."5. Pronto! Criamos um número único que será o identificador de praticamente todos os nossos registros e documentos públicos, tais como: certidão de nascimento, casamento, óbito, identidade, PIS, PASEP, título de eleitor, CNH, entre outros. Esta lei tem origem no PL 1.422/2019 cujo relator, senador Esperidião Amin (PP-SC), alega que a medida favorece os cidadãos, especialmente os mais pobres6. No entanto, a configuração de um número de identificação nacional, um número de identidade nacional, é usado pelos governos de muitos países como um meio de rastrear seus cidadãos, residentes permanentes e residentes temporários para fins de trabalho, tributação, benefícios governamentais, cuidados de saúde e outras funções relacionadas com o governo. Números únicos também existem em outros países, mas com finalidades específicas. Por exemplo, nos EUA número de Seguro Social (Social Security Number, SSN) é um número individualizado de nove dígitos emitido para cidadãos dos EUA, residentes permanentes e temporários que é usado para requerer benefícios sociais e para fins fiscais. Lembro-me das recomendações dos funcionários da agência local da Social Security Administration de sigilo total sobre este número, quando recebi um SSN. Nos EUA não usamos o SSN para abrir conta em banco, para compras no comércio (incluindo farmácias), para fins escolares, entre outros. Um SSN é um número sigiloso guardado a "sete chaves". Existe um motivo para termos números únicos? Os números associados à documentos nasceram como um modo de indexação dos documentos. Para não fazer buscas grandes quantidades de registros por nomes ou outros dados complexos, é mais fácil, tanto para um humano quanto para uma máquina, buscar por um número. Assim os números foram adotados apenas com parte da burocracia de lidar com grandes volumes de documentos. Lembrem-se, já existiu um tempo em que o mundo não era digital, ou seja, os registros eram fixados em mídias analógicas, papel basicamente. No entanto, a lógica do processo analógico, ou seja, a lógica de negócio, não mudou quando o mundo passou a ser digital, pois a mudança do mundo analógico para o digital foi gradual. Assim, os números continuaram a indexar os registros computacionais, ou seja, existiam números internos de registros para tudo, CNH, RG, PIS, Passaporte, etc. Percebam que, dada a grandiosidade do universo que se deseja endereçar, ter uma identificação única pode ser uma boa ideia, mesmo em serviços que já nasceram digitais. Por exemplo, é desejável que só exista um @cristiano no Instagram, o perfil do futebolista Cristiano Ronaldo, o ser humano com maior número de seguidores nesta plataforma [6], com 590 milhões de followers, "míseros" 8% da população mundial. A identificação unívoca garante que o usuário não se enganará a seguir o eventual perfil de outra pessoa com o mesmo identificador. O mesmo vale para endereço de e-mail e páginas web (URL). Não é por falta de um id obrigatório e único que os cidadãos da Noruega, França, Suécia, México, Itália, entre diversos outros, não recebem os serviços do estado, tampouco cumpram suas obrigações perante seus municípios, distritos e assemelhados. Por sinal, cabe reforçar que vários países, dentre esses a própria Itália, aceita solicitações de cidadania baseadas apenas na consanguinidade de parentes (avôs e avós, por exemplo) por meio de documentos muitas vezes rudimentares, como livros de registros paroquiais, por exemplo. Lembro que aceitando um novo cidadão, o estado assume uma série de obrigações, tais como prover saúde, educação e segurança a esta pessoa. Efetivamente a lei 14.534 não traz benefícios aos cidadãos brasileiros por disporem, a partir de janeiro, de um apenas um número único de identificação. Num estado que se esforça para disponibilizar até mesmo eleições nacionais num modelo totalmente digital sem a necessidade dos eleitores apresentarem um id singular à sua pessoa, não deveria haver a necessidade de fusão de todos seus registros públicos num número único para prestar os demais serviços obrigatórios. Hoje, com praticamente todos os serviços públicos digitalizados, não deveria ser ônus do cidadão a facilitação da associação de dados diversos que podem expô-lo por completo para qualquer serviço público. Notem que, com um número único, todos os seus registros, do nascimento, passando pelos postos de saúde, eleições, trabalho, vida escolar, fiscal e, até a sua morte, todos estarão indexados a um único identificador, um único indexador. Teremos um número que controla a sua vida, não por sua escolha, mas por imposição do estado. Conclui-se que, diferentemente do favorecimento dos "cidadãos, especialmente os mais pobres", a única motivação para um id único é a rastreabilidade dos individuos. O que a LGPD ofereceu com uma mão, a lei nº 14.534 tirou com a outra. No próximo artigo veremos com a comunidade europeia, avessa as ideias de um id único, reage às pressões da Comissão Europeia ávida para impor um modelo semelhante ao nosso. Referências bibliográficas 1. National IDs Around the World - Interactive map. Disponível aqui. Último acesso em 12 de junho de 2023. 2. Identity cards abolished after 12 years - archive, 1952. A Disponível aqui. Último acesso em 14 de junho de 2023. 3. Reconsidering the case for ID cards. Disponível aqui. Último acesso em 13 de junho de 2023. 4. Lei nº 14.534 de 11/01/2023. Disponível aqui. Último acesso em 14 de junho de 2023. 5. CPF será número único de identificação do cidadão, determina lei sancionada. Disponível aqui. Último acesso em 14 de junho de 2023. 6. The Top 20 Most Followed Instagram Accounts. Disponível aqui. Último acesso em 14 de junho de 2023.
Introdução Em maio de 2023, um investidor processou a Coinbase por "insider trading" nos Estados Unidos. O CEO, um membro do conselho e outros executivos da referida corporação de intermediação de criptomoedas foram acusados de utilizarem informações privilegiadas para evitar perdas de mais de US$ 1 bilhão. Além de ter vendido rapidamente US$ 2,9 bilhões em ações antes que a administração da Coinbase revelasse posteriormente "informações negativas e materiais que destruíram o otimismo do mercado"1, a empresa também é acusada de coletar ilegalmente impressões digitais e modelos faciais dos usuários - dados obrigatórios para a abertura de uma conta.2 Afirma-se que o armazenamento de tais informações biométricas sensíveis expõem os usuários a altos riscos de violação de privacidade por meio de vazamento de dados. Hoje, em uma conjuntura global pautada pela digitalização dos documentos, compartilhamento em nuvem e ainda recentes legislações sobre a aplicação de tecnologias de proteção aos dados armazenados, a divulgação de informações por agentes internos - insiders - para fins de benefício próprio tem se tornado cada vez mais comum. O presente artigo apresentará breve síntese deste fenômeno, seguido por métodos de prevenção contra insider trading e consequente discussão. Vazamento de Dados A violação de dados pessoais vem se tornando uma prática regular, em que apenas um vazamento pode resultar em milhões de usuários com dados pessoais expostos e causar prejuízos financeiros na casa dos milhões de dólares. Conforme o Relatório de Custo de Violação dos Dados em 2022, publicado pela IBM Security e pelo Ponemon Institute3, com escopo de 550 empresas impactadas por violação de dados, em 17 países e regiões e em 17 setores diferentes, foi calculado que o custo total médio global de uma violação de dados é de US$ 4,35 milhões. Tal prática vem infelizmente se tornando mais fácil de ser implementada devido não só à incipiente regulação jurídico-econômica de ferramentas como a Inteligência Artificial, mas também às recentes legislações sobre proteção de dados (Regulamento Geral sobre a Proteção de Dados - GDPR no direito europeu - data de 2018 enquanto a Lei Geral de Proteção de Dados - LGPD no direito brasileiro - data de 2020). Essa prática também se acentua devido a ferramentas de armazenamento em nuvem e drives compartilhados: o relatório supracitado4 afirma que 45% das empresas admitiram violação e vazamento das informações da nuvem. Os vazamentos intencionais ocorrem por meio de outsiders ou insiders. O primeiro abrange agentes externos, por intermédio de ciberataques, hackeamento, vírus, malwares e engenharia social.5 Exemplos dessas condutas podem envolver um agente externo que tem a capacidade de explorar um backdoor do sistema ou controles de acesso mal configurados para contornar o mecanismo de autenticação de um servidor e obter acesso a informações confidenciais, ou, por meio da engenharia social, funcionários e clientes podem ser enganados através de emails contendo malwares disfarçados para que entreguem dados valiosos da empresa a criminosos.6 Já a segunda categoria é formada por agentes internos, não necessariamente funcionários, mas também parceiros, advogados, técnicos de T.I. ou qualquer outro indivíduo que possua acesso legítimo às informações confidenciais e utilize-as para vantagem pessoal ou espionagem empresarial/bancária.7 Sua forma mais comum é a do insider trading8: a venda ou aquisição de ações após conhecimento da violação de dados ou de informações privilegiadas, mas antes do anúncio público - a exemplo da equipe da Coinbase; e a venda ou uso de informações privilegiadas de clientes - dados de identificação pessoal (biometria), financeira (contas, senhas e históricos bancários) e sexual, religiosa, urbanística, etc. Detecção e Prevenção contra o Insider Trading Como revela o "Custo de Ameaças Internas de 2022: Relatório Global", os casos de ameaças internas aumentaram 44% nos últimos dois anos, com custos por incidente subindo mais de um terço, para US$ 15,38 milhões.9 Da mesma forma, o Relatório de Ameaças Internas do IBM Security X-Force 2021 afirma que 40% dos incidentes de vazamento de dados envolveram um funcionário com acesso privilegiado aos ativos da empresa.10 Diante desse cenário, urge pontuar as medidas necessárias para detectar e prevenir a ação de insiders: para isso, é necessária a ação conjunta de sistemas de prevenção e detecção de vazamento de dados (DLPD)11 e técnicas de gerenciamento de equipes e formação de profissionais. Em relação à primeira, existem duas técnicas DLPD: as medidas de segurança básica (firewall, software antivírus, detecção de intrusão, autenticação, controle de acesso e criptografia) e as abordagens específicas.12 Estas se dividem em: análise baseada em conteúdo e análise baseada em contexto. A primeira funciona por meio da varredura de dados confidenciais em notebooks, servidores, nuvem ou em trânsito da rede de saída, identificando o conteúdo das informações da impressão digital de dados, análise léxica (padronização das estruturas sintáticas) e análise estatística dos dados monitorados a fim de protegê-las.13 Na impressão digital de dados, por exemplo, o destaque de certas assinaturas ou palavras-chave confidenciais são extraídas e comparadas com o conteúdo monitorado para identificar possíveis vazamentos de dados.14 Apesar de tal método funcionar de modo eficiente para a proteção contra perdas acidentais, ainda pode ser contornado por alguns insiders.15 No tocante à análise por contexto, ao invés de realizar uma varredura de dados confidenciais, os padrões de acesso aos dados normais de usuários são planificados e categorizados, de forma a identificar o momento em que um agente se desvia do perfil pré-estabelecido, a fim de prevenir ameaças internas.16 A criação de um sistema de monitoramento interno, por exemplo, é capaz de detectar indivíduos maliciosos que, apesar de possuírem acesso legítimo às informações pessoais de outrem, apresentam padrões de navegação destoantes de seu padrão específico.17 Tal método, ainda que não priorizado pelos pesquisadores da área, diferentemente daquele baseado em conteúdo, é capaz de discernir com mais exatidão as ameaças de insiders.18 Por fim, com relação às metodologias não computacionais, pode-se destacar: a instituição de treinamento regular de conscientização sobre segurança cibernética e exercícios práticos caso dados sejam violados e vazados; exames de incidentes anteriores de ataques virtuais; lembrança incisiva aos funcionários demitidos ou que se demitiram sobre políticas de segurança de dados da empresa; monitoramento de funcionários insatisfeitos ou que possivelmente estejam comprometidos com outras empresas/bancos; vigilância constante daqueles que têm acesso às informações compartilhadas na nuvem; separação entre funcionários habilitados ao manuseio ou guarda dos dados e aqueles que prestam serviços eventuais - técnicos de T.I., advogados, entre outros.19 Apesar de tal método ser importante para prevenir vazamentos e identificar insiders, é perceptível que os sistemas virtuais de detecção são extremamente mais precisos em relação aos métodos de gerenciamento de equipes. Em um ambiente bancário, por exemplo, frente a uma (possível) iminente crise financeira, a exemplo da Coinbase, a "conscientização" dos agentes ou o curso de gestão responsável de dados pessoais impactará muito menos a decisão de manusear impropriamente certas informações confidenciais em relação à um sistema computacional de detecção automática de ações desviantes dos padrões de determinados indivíduos, conforme a análise por contexto.  Considerações Finais A digitalização de processos de cadastramentos, inscrições, solicitações e até mesmo de documentos, isto é, a transferência de dados físicos para o ambiente virtual, facilitou sobremaneira seu acesso, seja simultâneo - por meio da nuvem, ou offline - por servidores físicos. No entanto, tal agilidade veio acompanhada do inevitável risco de vazamento de dados, em especial àqueles sensíveis, como os financeiros e biométricos - já que a face, a pupila e as digitais não podem ser facilmente modificadas entre os indivíduos. Além disso, a grande quantidade de informações armazenadas eleva o potencial risco financeiro/industrial e o consequente danos às empresas e aos usuários de bancos caso seus dados pessoais sofram vazamento.20 No que tange às medidas de prevenção e identificação de insider trading, apesar da gestão de equipes e cursos de conscientização sobre as consequências jurídicas do manuseio impróprio de dados pessoais alheios também serem necessárias, as medidas DLPD fundamentadas na análise de conteúdo e de contexto são mais inibitórias e eficazes, pelo menos a curto prazo. ---------- ABERNETHY, Darren. Insider Trading in the Data Breach Context: Proactive Corporate Planning and Regulatory Enforcement. GreenbergTraurig. 18/05/2020. Disponível em: . Acesso em: 12 de junho de 2023. BURNSON, Robert. Investidor processa Coinbase por 'insider trading' nos EUA. Valor Econômico,02/05/2023. Disponível em: . Acesso em: 12 de junho de 2023. CHENG, Long; LIU, Fang; YAO, Danfeng. Enterprise data breach: causes, challenges, prevention, and future directions. Wiley Interdisciplinary Reviews: Data Mining and Knowledge Discovery, v. 7, n. 5, p. 2; 2017. Disponível em: . Acesso em: 12 de junho de 2023. Equipe InfoMoney. Coinbase roubou dados de usuários e CEO praticou insider trading, acusam investidores nos EUA. InfoMoney, 02/05/2023. Disponível em: . Acesso em:  12 de junho de 2023. GOLDSTEIN, Jeremy. What Are Insider Threats and How Can You Mitigate Them? Security Intelligence. 16/07/2020. Disponível em: . Acesso em: 12 de junho de 2023. Insider Threats Are Becoming More Frequent and More Costly: What Businesses Need to Know Now. ID WatchDog. Disponível em: . Acesso em 12 de junho de 2023. PETROPOULOS, Mathew S; Ngo HQ, Upadhyaya S. A data-centric approach to insider attack detection in database systems. In: Proceedings of the 13th International Conference on Recent Advances in Intrusion Detection, RAID'10, Ottawa, Ontario, Canada. Berlin, Heidelberg: Springer-Verlag; 2010, 382-401. Ponemon Institute. 2022 Cost of Insider Threats: Global Report. 2022. Disponível em: . Acesso em: 12 de junho de 2023. Relatório de Custo da Violação de Dados 2022. IBM Security. São Paulo. 07/2022. p. 19. Disponível em: . Acesso em 12 de junho de 2023. 2021 IBM Security X-Force Insider Threat Report. IBM Security. 05/2021. Disponível em: . Acesso em: 12 de junho de 2023. ---------- 1 BURNSON, Robert. Investidor processa Coinbase por 'insider trading' nos EUA. Valor Econômico, 02/05/2023. Disponível em: . Acesso em: 12 de junho de 2023. 2 Equipe InfoMoney. Coinbase roubou dados de usuários e CEO praticou insider trading, acusam investidores nos EUA. InfoMoney, 02/05/2023. Disponível em: . Acesso em:  12 de junho de 2023. 3 Relatório de Custo da Violação de Dados 2022. IBM Security. São Paulo. 07/2022. p. 9. Disponível em: . Acesso em 12 de junho de 2023. 4 Ibidem, p. 39 5 CHENG, Long; LIU, Fang; YAO, Danfeng. Enterprise data breach: causes, challenges, prevention, and future directions. Wiley Interdisciplinary Reviews: Data Mining and Knowledge Discovery, v. 7, n. 5, p. 2; 2017. Disponível em: . Acesso em: 12 de junho de 2023. 6 Idem. 7 ABERNETHY, Darren. Insider Trading in the Data Breach Context: Proactive Corporate Planning and Regulatory Enforcement. GreenbergTraurig. 18/05/2020. Disponível em: . Acesso em: 12 de junho de 2023. 8 GOLDSTEIN, Jeremy. What Are Insider Threats and How Can You Mitigate Them? Security Intelligence. 16/07/2020. Disponível em: . Acesso em: 12 de junho de 2023. 9 Ponemon Institute. 2022 Cost of Insider Threats: Global Report. 2022. Disponível em: . Acesso em: 12 de junho de 2023. 10 2021 IBM Security X-Force Insider Threat Report. IBM Security. 05/2021. Disponível em: . Acesso em: 12 de junho de 2023.   11 CHENG, Long; LIU, Fang; YAO, Danfeng. Enterprise data breach: causes, challenges, prevention, and future directions. Wiley Interdisciplinary Reviews: Data Mining and Knowledge Discovery, v. 7, n. 5, p. 2; 2017. Disponível em: . Acesso em: 12 de junho de 2023. 12 Ibidem, p. 6. 13 Idem. 14 Idem. 15 Idem. 16 Ibidem, p. 7. 17 PETROPOULOS, Mathew S; Ngo HQ, Upadhyaya S. A data-centric approach to insider attack detection in database systems. In: Proceedings of the 13th International Conference on Recent Advances in Intrusion Detection, RAID'10, Ottawa, Ontario, Canada. Berlin, Heidelberg: Springer-Verlag; 2010, 382-401. 18 CHENG, Long; LIU, Fang; YAO, Danfeng. Enterprise data breach: causes, challenges, prevention, and future directions. Wiley Interdisciplinary Reviews: Data Mining and Knowledge Discovery, v. 7, n. 5, p. 7; 2017. Disponível em: . Acesso em: 12 de junho de 2023. 19 Insider Threats Are Becoming More Frequent and More Costly: What Businesses Need to Know Now. ID WatchDog. Disponível em: . Acesso em 12 de junho de 2023. 20 Relatório de Custo da Violação de Dados 2022. IBM Security. São Paulo. 07/2022. p. 19. Disponível em: . Acesso em 12 de junho de 2023.
Você está vivendo em uma simulação de computador? Este é o provocativo questionamento feito por Bostrom, filósofo da Universidade de Oxford, no seu famoso artigo publicado em 2001. No seu trabalho, conjectura sermos simulações de antepassados de uma civilização pós-humana altamente tecnológica situada em algum momento distante no futuro - argumento que ganhou, recentemente, atenção por conta do filme Bandersnatch e das declarações de Elon Musk. Apresar de se tratar de especulações e de reflexões teóricas, outra situação bastante real com substratos semelhantes já está acontecendo, embora não seja, por todos, perceptível de plano. A diferença é a mudança no eixo temporal. Se, na ideia originária, o futuro simula o passado, o que está acontecendo agora é justamente o inverso - o passado simulando o futuro por meio de tratamento de dados, dentre os quais os pessoais. Este é um dos argumentos principais de Zuboff1: a formação de mercados comportamentais futuros que se baseiam em tecnologias preditivas e inferenciais aplicadas às pessoas para lhes determinar perfis, os quais são utilizados como insumo para que controladores (fornecedores, empregadores, poder público e assim por diante) decidam situações que, em função disto, deixam de ser contingenciais e passam a ser moduladas, como muito bem esclarece Cohen2. Na área de proteção de dados, é o que iremos conhecer como decisões automatizadas baseadas em perfis. Como o próprio nome sugere, esta espécie de tratamento de dados se dá por um processo cíclico e dinâmico - a própria LGPD trata de perfilização e decisões automatizadas em conjunto3, embora não se confundam em seu significado. De todo modo, esse processamento comporta algumas fases. Em um primeiro momento, dados pessoais são coletados e agregados a outros dados, formando um dataset que será usado para formar um modelo algorítmico. Nesta fase, geralmente, os dados são anonimizados, perdendo, a priori, a capacidade de tornar o titular identificado ou identificável. A partir daqui a LGPD deixa de ser aplicável. Na sequência, são executadas técnicas de data analytics, as quais analisam estes dados e encontram correlações entre eles, formando perfis de grupos, gerando conhecimentos baseados em probabilidades e estatísticas, e não em causalidade4 e na realidade observável. Assim, por exemplo, pode ser descoberto que pessoas do sexo masculino, na faixa entre 25 e 30 anos, que jogam videogame e compram cerveja duas vezes por semana tenham apenas 15% de probabilidade de quitar com suas dívidas - isto é uma inferência preditiva relativa a esse conjunto de pessoas. Aqui se faz uma observação: a maioria dos processos de perfilização de grupo são não-distributivos, ou seja, nem todos os membros do grupo terão determinado atributo ou característica descoberta nas correlações. Para deixar mais claro, exemplifiquemos: em um dado bairro, foi identificado que 80% das pessoas que têm olhos azuis utilizam óculos - este é o perfil do grupo. Fica cristalino que, neste caso, de 10 pessoas, apenas 8 usam óculos, mas todas serão tratadas de acordo com o perfil de grupo, independentemente de suas particularidades. Mas como essa peça informacional não se refere a alguém em específico, senão a um grupo indeterminado que pretensamente comunga algo identificado por dados, esta inferência, em si, não é um dado pessoal. Todavia, quando, pela coleta de dados pessoais de um titular em particular em outro momento se identificarem pedaços informacionais que revelem semelhanças com o padrão do modelo, a ele se aplicará este perfil de grupo, voltando então a ter status de dado pessoal. A LGPD, nesse sentido, acertou quando estabeleceu que "poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada"5. Disso conclui-se que inferências aplicadas a determinado sujeito são, conforme a definição legal, dados pessoais aptos a atrair, novamente, a LGPD. A questão problemática não é exatamente esta; é, outrossim, a razoabilidade destas inferências que se tornam dados pessoais pela aplicação do perfil em uma decisão automatizada que determinará situações da vida do titular, desde recomendações de filmes até mesmo a decisões propriamente ditas referentes a benefícios sociais ou à desplataformização de consumidores e trabalhadores da era digital, entre outras possibilidades. Os riscos de não se aplicar a LGPD na fase de formação das inferências, bem como de não haver tutela específica sobre a correção, exatidão, atualidade ou mesmo qualidade inferencial deixa o titular de dados de mãos atadas para exercer os seus outros direitos (ex ante e ex post à decisão automatizada). Qual a razoabilidade de, hipoteticamente, uma instituição financeira negar crédito a um consumidor porque compra cervejas, joga videogames e é relativamente jovem, ao par de ter um bom histórico de crédito ou mesmo a existência de poupanças e rendimentos? Ou, ainda, de se aplicar inferências resultantes de um modelo algorítmico que tem maior precisão para homens brancos do que para mulheres pretas em seleções de currículos para vagas de trabalho? Vejam que há questões que perpassam de confiabilidade do sistema, discriminação e generalização de autorrepresentações6 com resultado injusto e em violação à autodeterminação individual. É exatamente sobre isso de que trata o direito a inferências razoáveis. De acordo com o Projeto de Lei do Senado n. 2338, de 2023, originado do Substitutivo do Marco Regulatório da IA no Brasil, são irrazoáveis as inferências que: (i) sejam fundadas em dados inadequados ou abusivos para as finalidades de tratamento; (ii) sejam baseadas em métodos imprecisos ou estatisticamente não confiáveis; e (iii) não considerem de forma adequada a individualidade e as características pessoais do indivíduo7. Este é um dos pontos de intersecção entre a lex data e a iminente lex artificialis intelligentia: o direito a inferências razoáveis, que (re)estabelece o foco não no processamento e coleta de dados pessoais somente, mas na sua avalição e no seu julgamento preditivo aplicável a importantes situações. Por seu intermédio, estabelece-se deveres dialógicos-comunicativos entre controladores e fornecedores de IA com os afetados desde as escolhas de design até a aceitabilidade normativa e a relevância da inferência de acordo com a finalidade buscada por quem emprega sistemas inteligentes8, além de outras questões que fogem do escopo desta breve reflexão. Sinalize-se que este novo direito faz parte de um procedimento mais complexo e completo do que prevê o art. 20 da LGPD, o que definimos como supradireito de validação9, apto a melhor tutelar os titulares de dados/afetados pela IA. Esse supradireito é um direito não explícito que estabelece que todas as decisões automatizadas baseadas em perfis que afetem os direitos ou interesses significativos dos titulares devam ser submetidas a um método legal de validação para garantir que sejam justas, transparentes, imparciais e não discriminatórias. Embora implícito, se concretiza por outros direitos, notadamente de caráter procedimental, abarcando desde a formação de um modelo algorítmico, o direito à informação prévia sobre a utilização de sistemas de inteligência artificial, contestação, revisão, até a possibilidade de se exigir justificações em respeito ao resultado de uma dada decisão em particular - ideia esta que melhor desenvolveremos em outra oportunidade. Em tempos em que "agentes inteligentes" são autônomos ou prescindem de supervisão humana, mas cujos efeitos são diretos nas esferas jurídicas e existenciais das pessoas, o básico é termos algum nível de validação de decisões significativas tomadas para ou por nós, por meio de um procedimento jurídico constante nos direitos dos titulares e em diálogo com aqueles a futura lei sobre IA - que vai passar, necessariamente, pela verificação da razoabilidade das inferências criadas e utilizadas. __________ 1 Estas possibilidades advêm de "novas capacidades para inferir e deduzir pensamentos, sentimentos, intenções e interesses de pessoas e grupos com uma arquitetura automatizada que opera como um espelho unidirecional independentemente de consciência, conhecimento e consentimento da pessoa, possibilitando, assim, acesso secreto e privilegiado a dados comportamentais." (ZUBOFF, Shoshana. A era do capitalismo de vigilância: a luta por um futuro humano na nova fronteira do poder. Rio de Janeiro: Intrínseca, 2021). 2 "A modulação é um modo de invasão de privacidade, mas também é um modo de produção de conhecimento projetado para produzir uma maneira específica de saber e um modo de governança projetado para produzir um tipo específico de sujeito. Seu propósito é produzir consumidores-cidadãos dóceis e previsíveis cujos modos preferidos de autodeterminação se desenvolvem ao longo de trajetórias previsíveis e rentáveis. (...) um processo muito mais sutil de feedback contínuo, os estímulos são adaptados para atender a inclinações existentes, orientando-os em direções que se alinham com objetivos de maximização de lucro". (trad. nossa). (COHEN, Julie E. What Privacy is for? Harvard Law Review, v. 126, p. 1904-1933, 2013. p. 1917). 3 LGPD. Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. 4 Conforme Miragem, "(...) registre-se que correlação é a medida da relação entre duas variáveis, que pode ser demonstrada em termos estatísticos e não implica necessariamente em uma relação de causa e efeito (p.ex. a frequência de aquisição de determinados produtos pelos consumidores se dá em determinado horário ou em determinado dia da semana), como ocorre no juízo de causalidade, no qual a relação entre duas variáveis pressupõe que uma é consequência da outra". (MIRAGEM, Bruno. A Lei Geral de Proteção de Dados (Lei 13.709/2018) e o direito do consumidor. Revista dos Tribunais, São Paulo, v. 1009, p. 173-222, nov. 2019). 5 LGPD. Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. § 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios. § 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada. 6 Veja entendimento de: MARTINS, Pedro Bastos Lobo. Profiling na Lei Geral de Proteção de Dados: o livre desenvolvimento da personalidade em face da governamentalidade algorítmica. Foco: Indaiatuba, 2022. 7 PL 2338/2023. § 2º O direito à contestação previsto no caput deste artigo abrange também decisões, recomendações ou previsões amparadas em inferências discriminatórias, irrazoáveis ou que atentem contra a boa-fé objetiva, assim compreendidas as inferências que: I - sejam fundadas em dados inadequados ou abusivos para as finalidades do tratamento; II - sejam baseadas em métodos imprecisos ou estatisticamente não confiáveis; ou III - não considerem de forma adequada a individualidade e as características pessoais dos indivíduos. 8 WACHTER, Sandra; MITTELSTADT, Brent. A right to reasonable inferences: re-thinking Data Protection Law in the Age of Big Data and AI. Columbia Business Law Review, v. 2019. p. 496-620, 2019. 9 Sobre o tema, refira-se que foi originalmente concebido na tese de doutoramento de Guilherme Mucelin, defendida perante a Universidade Federal do Rio Grande do Sul (UFRGS) em setembro de 2022, orientada pela Profª Drª Sandra Regina Martini e intitulada "Direito de validação das decisões individuais automatizadas baseadas em perfis de consumidores".
O Marco Civil da Internet não é apenas a primeira grande demonstração da união entre o Direito e a Computação, mas é uma garantia de continuidade do progresso destas duas áreas do conhecimento humano. Introdução Podemos elencar diversas invenções que alteraram o curso do mundo, tais como a prensa de Johannes Gutenberg (1450), a máquina a vapor de James Watts (1769) e a penicilina de Alexander Fleming (1928), entre muitas outras. Indiscutivelmente são todas invenções que tiveram um impacto enorme na humanidade, mas o foco principal de cada uma delas sempre foi específico. A primeira máquina universal que o homem produziu foi a Máquina de Turing, ou seja, o computador eletrônico que usamos hoje. Essa máquina dotada da conectividade proporcionada pela Internet, aliada a recursos de amplos de acessibilidade, modificou uma série de aspectos que alteraram o cotidiano das pessoas. Essas alterações vão do acesso ao conhecimento e à informação, até a convivência social, do modus operandi do comércio até a prestação de serviços. Hoje a nossa noção de espaço ocupado é outra diferente de anos passados e não se limita mais a territorialidade geográfica, tampouco o conceito de tempo, hoje extremamente explorado pelos zilhões de mensagens e comandos trocados a cada instante. A internet, criada para fins militares nos Estados Unidos, teve seu início comercial bastante tímido ainda no ano de 1985 com o primeiro serviço comercial de provimento de internet (ISP) chamado "The World"1. Era tempo de acesso discado, o que mesmo assim conseguiu levar milhares de pessoas ao mundo virtual. Nesta época a National Science Foundation dos EUA havia proibido o uso comercial da Internet. Apenas agências governamentais e universidades estavam autorizadas a usar a rede mundial. Entretanto, nos EUA tudo mudou em 1991 quando a NSF suspendeu a proibição aos ISPs comerciais depois que percebeu que o "The World" havia "aberto as comportas" a um mundo que não seria mais o mesmo. Lembro que o mundo vivia o contexto de abertura ampla. O ano de 1991 também foi o ano do fim da União Soviética, apenas três anos após a queda do muro de Berlim. A novidade não demorou a chegar no Brasil. Nossa estreia na internet comercial ocorreu em 1995. Discada até então. O Google só iria aparecer precariamente em 1998, época a internet começa a se transformar. A internet participativa: 2.0 O início do século 21 é uma marca indelével para a chamada Web 2.0, ou seja, a época da internet participativa, época que a internet começa a dar voz a seus usuários por meio da criação de blogs e pelo engajamento destes nas mídias sociais. Grandes ideias e novos modelos de negócio surgem investidos pela massiva participação popular. Temos nesta época os seguintes lançamentos exemplares: Wikipedia (2001), Facebook (2004), YouTube (2005) e Twitter (2006). O termo Web 2.0 nasce neste turbilhão da internet social em 2004 cunhado pela empresa americana O'Reilly. O termo refere-se a uma segunda geração de comunidades e serviços que terá a web como plataforma para todo tipo de atividade online, com realmente é hoje: das compras aos jogos, do trabalho online aos seriados por streaming. Por esta época já circulava o PL 89/2003 do senador Eduardo Azeredo (MG), também conhecida como "Lei de Cibercrimes", a qual previa a criação de novos tipos penais para algumas condutas no universo web2-3. As discussões continuaram em "banho maria" até que um acontecimento de repercussão internacional "empurrou" um anteprojeto de lei na Câmara Federal. Esse acontecimento foi a acusação, em 2013, do ex-técnico da CIA, Edward Snowden, de espionagem por divulgar informações sigilosas de segurança dos Estados Unidos. Entre estas informações divulgadas, estava o monitoramento de conversas da presidente Dilma Rousseff com seus assessores, demonstrando assim a utilização de servidores de empresas norte-americanas como a Google no seu esquema de vigilância e espionagem4. Em setembro do mesmo ano o projeto de lei do Marco Civil da Internet entrou em regime de urgência, por solicitação da Presidente Dilma, que futuramente a sancionou em abril de 2014. Lá se vão nove anos. Não se lembra desta época? Trago aqui algumas pérolas inesquecíveis desta época: Ano de Copa de Mundo quando você provavelmente usava uma banda larga de 4 Mbps e poderia ter um iPhone 6 ou um Galaxy S5, as "ostentações" da época. Não desmerecendo os grandes debates sobre o Marco Civil na época, muitos deles em razão do texto aprovado em 2014 ser muito distinto do proposto nos anos anteriores, ou por ser uma lei apenas de princípios e não uma lei normativa, entre outros debates, o fato que temos atualmente é que, muito embora a web seja um recurso e uma criação universal, seu estabelecimento e consolidação hoje no Brasil foi calçado pelo no Marco Civil da Internet. Os termos gerais do Marco Civil da Internet Lei 2.965, de 23 de abril 2014 estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Entre estes merecem destaque os seguintes princípios: Neutralidade da rede. Este princípio garante o tratamento isonômico para qualquer tipo de dado que circule na rede. A neutralidade da rede também garante o acesso a qualquer conteúdo independentemente do valor pago por este; Privacidade. O artigo 7º da lei garante a inviolabilidade e o sigilo do fluxo de suas comunicações, como também inviolabilidade e o sigilo de suas comunicações privadas armazenadas; Liberdade de expressão. A lei garante a liberdade de expressão, comunicação e manifestação de pensamento, enfatizando que a decisão sobre a retirada de conteúdo fica condicionada à uma ordem judicial; A lei 12.965 está descrita em 32 artigos, alguns dos quais já antecedem a LGPD quanto a proteção de dados pessoais exigindo informações claras e completas sobre a coleta, o uso, armazenamento e o tratamento de dados pessoais. Além disso, a lei trás disposições transitórias que focam na "proteção integral da criança e do adolescente e a dignidade da pessoa humana". Vamos agora focar nestes três princípios para mostrar como esta lei é um marco importante para garantir o crescimento saudável de sustentável do Direito e da Computação no Brasil. Neutralidade de rede A neutralidade da rede é um princípio que garante que todo tipo de dado seja tratado da mesma maneira, independentemente se é parte de um blog, de uma música ou de um anúncio publicitário. Esta neutralidade também implica em "não enxergar" a origem e tampouco o destino do pacote de dados. Na época, esse princípio, tão sedimentado na atualidade, era um impasse entre duas grandes forças:  por um lado as empresas de telecomunicações (Vivo, Claro, TIM, entre outros), que já haviam cabeado as cidades e forneciam conexão à internet; e, por outro lado, os provedores de acesso e conteúdo (grandes veículos da mídia tradicional, além das redes sociais, blogs, etc.). As teles pediam o direito de vender pacotes fechados de dados, limitando o acesso a alguns serviços, enquanto os provedores acreditavam que a internet deveria ser completamente neutra e não tolher a liberdade de escolha dos usuários. Já relatamos neste periódico como advogados e cientistas da computação se uniram para firmar este princípio da neutralidade da rede nos EUA e, consequentemente, em quase todo o mundo5. A neutralidade da rede na prática, para os advogados, é uma garantia que eles não serão sobretaxados, por exemplo, por usarem algum serviço específico da rede, como o e-SAJ do TJSP, ou mesmo que seus dados não sofrerão uma restrição de velocidade no trânsito pela rede em relação a outro tipo de dado que eventualmente, pela provedora, possa ser mais importante que os dados que você precisa. Quanto ao usuário comum, este também poderá escolher à vontade como gastar seu pacote de dados, se assistindo a seriados e filmes, ou navegando pelas redes sociais. Analogamente os colegas da Computação poderão desfrutar da mesma liberdade e, inclusive, criar aplicativos e soluções computacionais inovadoras sem que a tipologia dos dados possa ser limitada, ou até mesmo censurada, pelos provedores. Cuidado, "a bruxa está solta"! Muito embora o Marco Civil garanta e neutralidade da rede no Brasil, este tema vem à tona quase constantemente e, nestes novos tempos, o "bode expiatório" são a Internet das coisas (IoT)6 e a banda 5G7. A neutralidade da rede ainda é um tema em discussão nos dias de hoje nos EUA8 e é também um tema latente na Câmara Federal, como apontam as discussões do ano passado, 20229. Privacidade A inviolabilidade e o sigilo do fluxo de comunicação, bem como das mensagens armazenadas, salvo por ordem judicial, na forma da lei, é uma garantia do Marco Civil da Internet. A inviolabilidade protege uma série de serviços e atendimentos, como dos profissionais da saúde e, claramente, dos profissionais de Direito. Mesmo não sendo minha área de especialidade, é notório que o sigilo profissional é disciplinado no Código de Ética e Disciplina da OAB e também no artigo 5º da Constituição Federal10. Desta forma, não nos parece razoável imaginar estes princípios serem abalados dado o meio escolhido para a comunicação entre partes. O entendimento de como a tecnologia funciona é necessário para evitar procedimentos desarraigados na boa intenção de se fazer justiça.  Tomemos, por exemplo, um mensageiro muito utilizado no Brasil, o WhatsApp. Sabe-se que em 2021 este aplicativo tinha 2 bilhões de usuários que trocavam mais de 100 bilhões de mensagens por mês no mundo todo11. Parar um serviço como este, usado tanto para fins pessoais, mas também por muitas empresas, em busca de uma troca específica de mensagens, é uma atitude, no mínimo, temerária. Esses serviços de mensagens12 não tem a obrigação de manter históricos de mensagens trocadas. Estas mensagens podem conter todo tipo de arquivo, de sons e imagens, aos textos. Quanto custa armazenar 100 bilhões de mensagens ao dia por, por exemplo, uma semana? O que diz o contrato de prestação de serviço? Qual é o modelo de negócio ofertado? Vale lembrar que existem outras formas de comunicação digital que não sofrem este tipo de interferência13. Abalos à privacidade podem comprometer modelos de negócios futuros, eventualmente até modelos de negócio que beneficiem empresas e empresários brasileiros14. Liberdade de expressão A liberdade de expressão e consumo na forma de software sempre foi um movimento importante na Computação15 e que encontra paralelos vários no Direito16. O Prof. Eric Roberts, enquanto Full Professor da Stanford University, lecionando a cadeira de Computação, Ética e Políticas Públicas, comenta que, mesmo que a esfera pública não esteja intrinsicamente relacionada à censura e a regulação de conteúdo, é natural ver a extensão desta. Roberts argumenta: "A esfera pública é um lugar onde as pessoas podem se encontrar e discutir livremente políticas e problemas sociais. É um lugar onde os cidadãos formam a opinião pública e podem tentar transformá-la em ação política. Isso é comumente considerado como o núcleo dos governos democráticos, já que as democracias são governos que ouvem e confiam em seu povo, ou seja, o público." Na pista oposta corre o ministro Luís Roberto Barroso. O ministro, durante uma conferência da Unesco, no último 23 de fevereiro, defendeu que as plataformas digitais devem ser obrigadas a remover conteúdo ilegal antes mesmo de receberem uma ordem judicial17. Será que veremos a terceirização da censura prévia? Será que a big techs serão franqueadas a este fim? Terão elas o papel de var neste jogo? Assim, ficamos num embate em que todos perdem. Perdem os juristas, os precursores e formatadores da mídia moderna, o povo e, fundamentalmente, nosso futuro. Há de se perceber que os meios de comunicação, junto com quase todos os setores da sociedade, vivem a sua infância transformadora causada pela automação e digitalização de processos e serviços. Há um mundo novo por vir que ainda desconhecemos. As aplicações da nova onda da Inteligência Artificial ainda engatinham e prometem grandes feitos. Portanto, é nossa obrigação como sociedade buscar transformações que tragam progresso social, como também é nossa obrigação como cidadãos acompanhar, vigiar e lutar para que sejam transformações que gerem ganhos para a sociedade e não retrocessos. Finalizo com um trecho da Areopagitica - Um discurso de John Milton, para o Parlamento da Inglaterra, pela liberdade da impressão não licenciada. Texto de 1644. O principal tema da Areopagítica é a rejeição da censura prévia. É uma obra que influenciou muito o pensamento jurídico. "Embora eu não despreze a defesa de imunidades justas, ainda amo mais minha paz, se isso fosse tudo. Dê-me a liberdade de saber, proferir e argumentar livremente de acordo com a consciência, acima de todas as liberdades." Referências bibliográficas 1 A Brief History of the Internet Service Providers. Disponível aqui. Último acesso em 17 de maio de 2023. 2 Azeredo: lei dos cibercrimes nos alinha com o primeiro mundo. Disponível na Agência Senado. Último acesso em 15 de maio de 2023. 3 Projeto de Lei da Câmara n° 89, de 2003. Disponível aqui. Último acesso em 17 de maio de 2023. 4 Entenda o caso de Edward Snowden, que revelou espionagem dos EUA. Disponível aqui. Último acesso em 17 de maio de 2023. 5 Advogados e cientistas da computação unidos para lacrarem a neutralidade da rede. Disponível aqui. Último acesso em 17 de maio de 2023. 6 The End of Net Neutrality Could Shackle the Internet of Things. Disponível aqui. Último acesso em 16 de maio de 2023. 7 5G é nova frente das teles para rediscutir neutralidade de rede. Disponível aqui. Último acesso em 16 de maio de 2023. 8 What Is Net Neutrality-And Why Is It So Controversial? Disponível aqui. Último acesso em 17 de maio de 2023. 9 A dificuldade de regulação da Internet das coisas. Disponível aqui. Último acesso em 17 de maio de 2023. 10 O sigilo profissional do advogado no Brasil e no mundo. Disponível aqui. Último acesso em 17 de maio de 2023. 11 WhatsApp 2023 User Statistics: How Many People Use WhatsApp? Disponível aqui. Último acesso em 17 de maio de 2023. 12 Antes do Telegram, WhatsApp foi bloqueado 4 vezes no Brasil; veja casos. Disponível aqui. Último acesso em 17 de maio de 2023. 13 Dilma criou e-mail como 'Iolanda' para mensagens secretas, diz delatora. Disponível aqui. Último acesso em 17 de maio de 2023. 14 Free speech vs Maintaining Social Cohesion. A Closer Look at Different Policies. Disponível aqui. Último acesso em 17 de maio de 2023. 15 Free software is a matter of liberty, not price. Disponível aqui. Último acesso em 17 de maio de 2023. 16 Liberty and Law. Disponível aqui. Último acesso em 17 de maio de 2023. 17 Barroso defende que big techs removam conteúdo ilícito antes de ordem judicial. Disponível aqui. Último acesso em 17 de maio de 2023.
Tema de relevância no âmbito da Lei Geral de Proteção de Dados (LGPD) é o relacionado à pseudonimização e à anonimização dos dados pessoais. Como se sabe, a anonimização dos dados pessoais faz com que o titular não possa ser identificado1. A anonimização é uma medida a ser tomada pelo agente de tratamento de dados pessoais, de modo a retirar do dado o atributo de "pessoal", e, por conseguinte, e pelo menos a princípio, diminuir os riscos de sua atuação a partir do incremento da proteção do titular.   De outro lado, existe a pseudonimização2. Da mesma forma, o agente de tratamento poderá pseudonimizar3 os dados pessoais, de modo a, num primeiro momento, ocultar a relação da informação à pessoa natural. Note-se que, aqui, os dados não deixam de escapar à conceituação de dados pessoais do art. 5º, II da LGDP. Ainda no que tange à conceituação, o §4º do art. 13 da LGPD estipula que a pseudonimização "é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro". Ou seja, com o dado pseudonimizado, o controlador dispõe dos meios para identificar o titular dos dados pessoais. No caso do dado anonimizado, e se bem realizada a anonimização, essa identificação já não se torna mais, em tese, possível4. Ocorre que o tema anonimização e pseudonimização não se esgota nessa atividade do controlador de tratar dados pessoais em determinados contextos para proteger ainda mais a informação. Focando-se daqui para frente na pseudonimização, calha mencionar o pseudônimo e a utilização que dele pode ser feita para fins de autoproteção de dados. Recorde-se que os pseudônimos apresentam um histórico de utilização até mesmo em nível mundial. Cuida-se de um nome suposto, imaginado, fictício, utilizado por alguém que tem o intuito de exercer o seu direito de liberdade de expressão ou de realizar transações, sem revelar a sua real identidade. São conhecidos diversos casos de utilização de pseudônimo ao longo da história: Chico Buarque compôs, durante o regime militar inaugurado em 1964, sob o pseudônimo de Julinho de Adelaide; Lutero traduziu a Bíblia em Wartburg, na cidade de Eisenach, na Turíngia, identificando-se como Junker Jörg. O Código Civil Brasileiro trata do pseudônimo em capítulo específico da Parte Geral, que dispõe sobre os direitos da personalidade, estatuindo, no art. 19, que "o pseudônimo adotado para atividades lícitas goza da proteção que se dá ao nome". Também a lei 9.610, de 19.02.1998 (Lei de Direitos Autorais) faz algumas menções ao pseudônimo, sempre no intuito de regular a proteção do autor que produz criação ocultando o seu verdadeiro nome. Neste contexto, o art. 5º, VIII, "c", da lei 6.910 conceitua a obra pseudônima como sendo aquela em que o autor se oculta sob nome suposto. Mais adiante, a referida lei faculta que o criador de obra literária, artística ou científica se identifique por meio de seu nome civil completo ou abreviado, por suas iniciais, por pseudônimo ou qualquer outro sinal convencional. Já no art. 24, II, a Lei de Direitos Autorais estabelece como direito moral do autor o de ter seu nome, pseudônimo ou sinal convencional indicado ou anunciado como sendo o do autor, na utilização de sua obra. Traço comum das regras mencionadas, tanto do Código Civil quanto da Lei de Direitos Autorais é o da proteção da utilização do pseudônimo, seja no sentido de garantir o seu emprego para fins de reconhecimento do direito de autor, seja para proteger de quem o indevidamente utilize. Ocorre que, na contemporaneidade, e especialmente após a disseminação da rede mundial de computadores e a sua utilização para relacionamentos e negócios, o pseudônimo já vem desempenhando uma função para a qual geralmente não se atenta. É que, por mais que o Estado preveja regras que visem a regular o tratamento de dados pessoais como o faz a LGPD, sempre haverá um limite na eficácia dos sistemas de proteção de dados. Abre-se, assim, um espaço para que o próprio indivíduo tome medidas para preservar a sua autodeterminação informativa. Neste contexto, a doutrina alemã5 tem já há bastante tempo reconhecido a possibilidade de o pseudônimo atuar como instrumento de autoproteção de dados (Selbstdatenschutz), especialmente na área do comércio eletrônico. Tome-se o exemplo da seguinte situação: numa plataforma de comércio eletrônico em que determinado indivíduo adquire com certa frequência produtos, não é necessário que, antes da conclusão de cada compra, o possível vendedor tome conhecimento da real identidade do adquirente. Isso porque este, ainda indeciso se finalizará ou não a compra, poderá estabelecer um diálogo visível para todos com o vendedor, perguntando sobre as características e especificações do produto. Nestes casos, as perguntas e respostas podem ser úteis para outros interessados, mas a identidade de quem as fez não tem qualquer relevância. A identidade importará, na verdade, se o negócio for concluído, pois a partir desse momento o vendedor apenas terá condições de realizar a prestação que lhe cabe se tiver acesso aos dados pessoais do comprador6. É de se notar que apesar de essa perspectiva de utilização do pseudônimo não estar expressamente contemplada no Regulamento Geral de Proteção de Dados da União Europeia, até mesmo a hoje revogada Diretiva de Assinaturas Eletrônicas 1999/93, bem como o texto legal que a substituiu, o vigente regulamento nº 910/2014 (Regulamento EIDAS), contemplam a previsão da possibilidade de que um titular de certificado eletrônico, como um certificado digital7 seja identificado, ao invés de por meio de seu nome, por um pseudônimo. Voltando-se à doutrina alemã, ainda no início dos anos 2000, quando Alexander Roßnagel, Andreas Pfitzmann e Hansjürgen Garstka apresentaram parecer com sugestões de modernização da legislação de proteção de dados ao Ministério do Interior da Alemanha, chamaram a atenção para o papel que a utilização do pseudônimo poderia desempenhar8. Indicaram ainda, os autores, que, diferentemente da pseudonimização empregada pelos agentes de tratamento, na qual, em muitos casos, o titular dos dados pode até mesmo ignorar que os dados relacionados a sua pessoa foram pseudonimizados, quando ele próprio adota o pseudônimo o faz no que pode ser denominado de modalidade ativa9de sua utilização. Por haver uma associação entre o pseudônimo eleito e a pessoa oculta por ele, estabelece-se a necessidade de uma regra de associação (Zuordnungsregel)10, que deve ser estabelecida pelo agente de tratamento. Nas hipótese antiga de alguém que publica uma coluna de jornal sob pseudônimo, cabe ao editor da publicação determinar a regra, bem como um procedimento para eventual revelação da identidade da pessoa (Aufdeckungsverfahren).  Na contemporaneidade, são os sistemas oferecidos pelos desenvolvedores de modelos de negócios que poderão ser concebidos para contemplar a faculdade disponibilizada ao usuário, de, em certas e determinadas ocasiões, apresentar-se mediante a utilização de pseudônimo. Portanto, além de o indivíduo tomar a iniciativa de emprego do pseudônimo, não se pode olvidar que também os desenvolvedores de aplicações e de modelos de negócios ficarão incumbidos de criar as condições para que o titular de dados escolha essa alternativa de identificação. Trata-se, assim, a toda evidência, de uma boa prática que pode ser seguida por agentes de tratamento efetivamente preocupados em implementar medidas de privacy by design. A questão não pode ser confundida com o emprego de perfis falsos em redes sociais e até mesmo em transações eletrônicas. Se está a cuidar aqui de proteção de pessoas bem intencionadas que desejam, por iniciativa própria, e valendo-se das condições oferecidas pelos agentes de mercado, implementar medidas de autoproteção de dados para o fim de preservar a sua autodeterminação informativa. Em síntese, é possível afirmar que o fomento ao correto emprego de pseudônimos para essa finalidade consiste em importante mecanismo para buscar uma maior conscientização dos usuários acerca da relevância de protegerem as informações a si relacionadas. __________ 1 De acordo com o art. 5º, III, da Lei Geral de Proteção de Dados, dado anonimizado é o "dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento". Não se entrará aqui no debate acerca da reversibilidade ou não do processo de anonimização e da própria discussão acerca do conceito de dados anonimizados. 2 No que diz respeito à pseudonimização, a LGPD a menciona no art. 13, caput, e § 3º do mesmo art. 13:  "Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas." 3 Aproveita-se o ensejo para observar que, em nosso entendimento, não há que se falar em "pseudoanonimização", como em alguns debates sobre proteção de dados chega-se a ventilar. Ou bem se tem anonimização ou pseudonimização, mas "pseudoanonimização" soa como uma referência depreciativa a uma tentativa de anonimização mal realizada. 4 Inclusive na linha do que determina o art. 5º, I, da LGPD: "anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo".  5 Roßnagel, Alexander; Pfitzmann, Andreas, Garstka, Hansjürgen. Modernisierung des Datenschutzrechts. Bundesministerium des Innern: Berlin, 2001. 6 Recorde-se, neste ponto, da base legal da LGPD que fundamenta o cumprimento do contrato, art. 7º, V: "quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular de dados."  7 O termo "certificado eletrônico" corresponde ao que a legislação brasileira reconhece como certificado digital (MP 2.200-2/2001, art. 6º e lei 14.063/2020, art. 3º,III. A utilização do termo "eletrônico", ao invés de "digital" marca a opção "neutra tecnologicamente" da Diretiva Europeia 1999/93, bem como do Regulamento EIDAS de 2014. 8 Roßnagel, Alexander; Pfitzmann, Andreas, Garstka, Hansjürgen. Modernisierung des Datenschutzrechts. Bundesministerium des Innern: Berlin, 2001, p. 102-111. 9 Roßnagel, Alexander; Pfitzmann, Andreas, Garstka, Hansjürgen. Modernisierung des Datenschutzrechts. Bundesministerium des Innern: Berlin, 2001, p. 103. 10 Roßnagel, Alexander; Pfitzmann, Andreas, Garstka, Hansjürgen. Modernisierung des Datenschutzrechts. Bundesministerium des Innern: Berlin, 2001, p. 103.
Introdução  O ChatGPT é um sistema computacional baseado num modelo de linguguagem em larga escala (LLM, Large Language Model) que foi lançado em 2022 pela OpenAI, uma empresa baseada na California, EUA. Como um modelo de linguagem, este sistema usa recursos de Inteligência Artificial para representar o que ele aprendeu sobre processando textos encontrados na web. Esse aprendizado é basicamente uma previsão que o modelo faz sobre a próxima palavra ou frase no contexto em que o texto se insere. As grandes novidades e superioridade do ChatGPT, frente a modelos anteriores, podem ser assim resumidas: Este sistema aprendeu um modelo de linguagem sobre uma quantidade enorme de textos processados. Estima-se um processamento aproximado de 300 bilhões de palavras (versão 3.5 de dezembro de 2022), ou aproximadamente 570GB de páginas web, livros abertos e outras fontes [1]; A interface é bem intuitiva, simples de usar, e responde a questionamentos em diversas línguas, inclusive o português; Diferentemente de outros sistemas que buscam dados na web (máquina de busca tipo o Google), o ChatGPT não aponta para o documento que tem a resposta, mas gera e escreve a resposta em texto livre. Quanto à sua utilização no Direito, este mesmo periódico já reportou algumas aplicações de modelos de linguagem [2, 3, 4].  Das aplicações potenciais viáveis  Pesquisa: Como mencionado acima, o ChatGPT é uma ferramente fabulosa para realizar pesquisas em qualquer área, inclusive a pesquisa jurídica. Os modelos de linguagem podem ser usados para pesquisar e recuperar rapidamente informações relevantes de casos jurídicos relatados na web, de jurisprudência (se usados sob uma base de dados de casos jurídicos, como por exemplo a base que alimenta o E-SAJ), estatutos, diários oficiais, entre outros. Um eventual mecanismo de busca baseado em modelos de linguagem que aprendam sobre conjuntos de dados temáticos no Direito poderia economizar tempo e incrementar a eficiência da solubilidade de casos. Entretanto, antes de contarmos com ferramentas de busca baseadas em modelos de linguagem eficazes para o Direito, devemos fazer alguns apontamentos. Cito alguns destes apontamentos: Os modelos de linguagem, a exemplo do ChatGPT, foram treinados sobre grandes volumes de dados escritos majoritariamente na língua inglesa e não na língua portuguesa; Como o ChatGPT teve como público-alvo os  anglofônicos, é esperado uma participação pequena de textos escritos em português se comparado com o número de textos escritos em inglês; Os modelos de linguagem são máquinas que aprendem muito bem por repetições de sequências de palavras similares num mesmo contexto, sendo assim, para cobrir todas as áreas de interesse, não é esperada uma que os modelos tenham aprendido sobre um grande volume de textos jurídicos; Ainda não temos um modelo de linguagem específico para a área de Direito, nem tampouco para o sistema de Direito de origem romano-germânica que usamos, o civil law, especialmente quando comparado à família jurídica anglo-americana da common law.  Geração de documentos: Baseado na suposição de aprendizado sobre uma base jurídica extensa de documentos escritos em português, a geração de documentos por modelos de linguagem pode auxiliar na produção de vários tipos de documentos legais, tais como: contratos, moções e petições, fornecendo modelos, linguagem adequada e, eventualmente, inclusive informação referenciada. Também considero pertinente neste caso alguns recursos adicionais, como a possibilidade do gerenciamento destes documentos indicando requisitos formais faltantes, comparações com casos semelhantes, datas de vencimento de prazos e acompanhamento processual. Também são bem-vindas tarefas auxiliares de revisão documental, categorização de documentos para arquivamento inteligente e geração de sumários ou interpretações e sumarização dos atos e documentos para pessoas leigas na área.  Comunicação: Por fim, mas não esgotando o universo das aplicações deste tipo de modelo computacional em Direito, não podemos esquecer a comunicação cliente-advogado dado que o ChatGPT pode fornecer respostas à perguntas frequentes de clientes, liberando tempo para que os assistentes jurídicos se concentrem em outras tarefas.  Das limitações  De acordo com Som Biswas [6], da Universidade do Tenesse nos EUA, embora o ChatGPT possa ser uma ferramenta valiosa para advogados, é importante entender suas limitações e usá-lo em conjunto com a experiência e julgamento de profissionais habilitados e especializados. As principais limitações apontadas por Biswas no ChatGPT e que devem ser consideradas durante a sua utilização são:  o acesso limitado da experiência legal; a falta de compreensão do contexto; o risco de viés em suas respostas; o potencial para erros, além do grande obstáculo de não poder fornecer assessoria jurídica. Vamos rever abaixo, cada um destes limitantes. É interessante notar que o mesmo "brilho" que sentimos ao ler muitos dos textos gerados pelo ChatGPT é também reflexo das limitações naturais do modelo. Experiência limitada: ChatGPT é um modelo de linguagem treinado em um grande corpus de texto. Isso faz dele uma máquina que repete aprendizados antigos. Repete rescrevendo o que já foi documentado, mas sem conhecimento jurídico algum e, decorrente desta falta de conhecimento sobre qualquer tema, é uma máquina sem a experiência de qualquer ser humano, seja este especialista em Direito ou não. Falta de compreensão do contexto: O ChatGPT não entende os documentos que lê e tampouco os que escreve. As belas frases que forma são fruto do aprendizado de uma cadeia de probabilidades condicionadas que fazem uma longa previsão das palavras subsequentes de um texto no tema tratado. Portanto, o ChatGPT não reconhece e não entende as nuances e as complexidades de um assunto legal. Não entendendo o caso, ou o processo, existe uma grande possibilidade do sistema gerar respostas incorretas ou incompletas. Risco de viés: Qualquer modelo de linguagem que aprenda processando bilhões de palavras certamente utiliza contribuições de pessoas em todo o mundo, mas inerentemente refletirá os eventuais preconceitos e vieses de seus escritores. Isso implica que as contribuições grupos minoritários ou de pessoas marginalizadas ou sub-representadas terá uma contribuição mínima no aprendizado e, certamente, este viés será refletido na funcionalidade do ChatGPT. Recordemos que ChatGPT foi treinado em texto da web os quais podem conter vieses e imprecisões. Esses vieses podem levar ao fornecimento de informações incorretas ou enganosas. Possibilidade de erros: Como acontece com qualquer outro sistema computacional ou artefato tecnológico, o ChatGPT não é imune a erros e estes erros podem ocorrer em suas respostas. Uma das causas destes erros é a sub-representação de um tema ou tópico na base de aprendizado do modelo. Por exemplo, como já comentei em artigo passado [7], quando perguntei ao ChatGPT sobre quem era o autor que aqui escreve, essa foi a resposta: "Segundo seu currículo Lattes, Evandro Eduardo Seron Ruiz possui doutorado em Engenharia Elétrica pela Universidade Estadual de Campinas (UNICAMP) e tem experiência na área de Engenharia de Computação, com ênfase em Sistemas Embarcados, Sistemas Operacionais e Sistemas Distribuídos. Ele também atua como coordenador do Laboratório de Sistemas Embarcados e Distribuídos (LSE) da USP." Ou seja, o sistema pesquisou uma fonte segura e confiável, mas gerou dados totalmente errados a meu respeito.  Limitações do aconselhamento jurídico: É importante observar que o ChatGPT não é uma pessoa física ou jurídica habilitada profissionalmente para fazer aconselhamentos em Direito.  Obviamente, penas um advogado licenciado pode fornecer aconselhamento jurídico. O motivo mais fundamental para esta limitação é que os modelos de linguagem não entendem regras e não entendem os mecanismos lógicos de causa e efeito, de causa e consequências. O ChatGPT não raciocina, apenas repete textos. Lembrem-se, estes modelos aprendem sequências de palavras e não o conhecimento eventualmente expresso nesta sequência textual.  Concluindo, modelos de linguagem como o ChatGPT vieram para aumentar a produtividade do trabalho de inúmeros profissionais, incluindo os advogados. São máquinas que devemos conhecer suas limitações para explorarmos ao máximo suas potencialidades. No futuro próximo, devemos esperar que o progresso possa dirimir todas as dificuldades apontadas acima, não apenas pela capacidade inovadora de criação de novos algoritmos, mas também pelo árduo trabalho de curadoria na separação dos textos que promovem o aprendizado destes modelos. Não adianta "chorar" e torcer para que os computólogos parem de criar sistemas computacionais como este, mas sim capacitar os usuários a usá-los com sabedoria.  Referências bibliográficas  1. Important ChatGPT Statistics & Facts for March 2023 (Gpt-4 Update). Disponível aqui. Último acesso em 21 de março de 2023. 2. Especialista explica como ChatGPT pode ajudar advogados nas petições. Disponível no Migalhas. Último acesso em 21 de março de 2023. 4. ChatGPT e seu uso no Direito. Disponível no Migalhas. Último acesso em 18 de abril de 2023. 5. ChatGPT: Como usar, para que serve e como funciona. Disponível aqui. Último acesso em 21 de março de 2023. 6. BISWAS, Som, Role of chatGPT in Journalism: According to chatGPT (March 30, 2023). Available at SSRN: here or here. 7. Como o ChatGPT pode interferir na proteção de dados pessoais? Disponível aqui. Último acesso em 19 de abril de 2023.
Em 27 de fevereiro de 2023, o Diário Oficial da União publicou a Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, informando que Conselho Diretor da Autoridade Nacional de Proteção De Dados aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas1. Em plena ressaca do primeiro carnaval com ares de "normalidade", após findas as regras de distanciamento social, o Regulamento visa estabelecer os parâmetros e critérios para aplicação de sanções administrativas previstas na lei 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados (LGPD) pela Autoridade Nacional de Proteção de Dados (ANPD), bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa pecuniária. Em poucos dias já se verifica um Projeto de Decreto Legislativo na Câmara Federal para sustar os efeitos do art. 282 da Resolução CD/ANPD nº 4 / 2023, sob o argumento de que "não assiste razão e coerência jurídica para existência do artigo em comento uma vez que a norma que traz sanções e punições para os agentes de tratamento de dados pessoais foi publicada em 24/02/2023 e quer retroagir no tempo para alcançar fatos pretéritos, quando as empresas e órgãos públicos sequer sabiam como as sanções e penas seriam aplicadas."3 Já Bruno Bioni classificou a Resolução como um "balde de água fria" em razão da "notícia de que os processos serão sigilosos até segunda ordem".4 Dentre outras regras, o Regulamento traz a especificação dos critérios para a graduação das infrações à LGPD em leves, moderadas ou graves, considerando aspectos como: natureza da infração; boa-fé do infrator; gravidade do dano; vantagem auferida ou pretendida pelo infrator; reincidência; cooperação do infrator; adoção de medidas corretivas ou compensatórias; porte econômico do infrator; entre outros (art. 7º.); a determinação das formas e dosimetrias para o cálculo do valor-base das sanções de multa aplicáveis às infrações à LGPD, levando em conta fatores como: faturamento bruto anual do grupo econômico no Brasil no último exercício fiscal anterior à instauração do processo sancionador; percentual desse faturamento afetado pela infração; grau da infração; entre outros (art. 11); a previsão de possibilidade de redução ou majoração do valor-base da multa em função de circunstâncias atenuantes ou agravantes da infração; a estipulação dos limites máximos e mínimos das multas aplicáveis às infrações à LGPD, conforme o grau da infração, o porte econômico do infrator e outros fatores. Não obstante, nos chama atenção o disposto no inciso II, art. 2º. do Regulamento, ao estabelecer que: Art. 2º Para fins deste Regulamento adotam-se as seguintes definições: (...) II - infração: descumprimento de obrigação estabelecida na lei 13.709, de 14 de agosto de 2018 (LGPD), e nos regulamentos expedidos pela ANPD. A nosso ver, os primeiros questionamentos que poderão surgir são no sentido da escolha pelo termo "e" impondo a cumulação de dois requisitos necessários à configuração da infração. Será que houve erro de redação e a questão passou despercebida? O correto não deveria ser "ou" no lugar de "e"? Não faz sentido algum a necessidade de cumulação de dois requisitos (descumprimento da LGPD + descumprimento dos regulamentos expedidos pela ANPD) para se constatar uma infração. O mais acertado, portanto, em nosso entendimento, é a leitura das expressões do inciso II do Art. 2º ("descumprimento de obrigação estabelecida LGPD" / "nos regulamentos expedidos pela ANPD") do Regulamento de forma não cumulativa, mas alternativa. Aliás, a própria LGPD assim o determina, quando no Art. 52 estabelece um único requisito, no sentido de que os agentes de tratamento de dados estarão sujeitos às sanções administrativas "em razão das infrações cometidas às normas previstas nesta lei." Outro ponto que pode suscitar dúvidas hermenêuticas consiste no espectro de abrangência da expressão "regulamentos expedidos pela ANPD" constante do mesmo inciso II do Art. 2º abordado no item anterior. Apenas serão levados em conta o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador5 e o Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte6? A mera inobservância das orientações constantes dos Guias Orientativos constitui infração apta a gerar sanção administrativa? Vejamos dois exemplos: O Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado de Abril de 2022 traz como "obrigação" do Operador a celebração de "contratos" que estabeleçam, dentre outros assuntos, o regime de atividades e responsabilidades com o controlador7. Trata-se de tema sem nenhuma previsão legal, situação expressamente reconhecida pela Autoridade: Ainda que a LGPD não determine expressamente que o controlador e o operador devam firmar um contrato sobre o tratamento de dados, tal ajuste se mostra como uma boa prática de tratamento de dados, uma vez que as cláusulas contratuais impõem limites à atuação do operador, fixam parâmetros objetivos para a alocação de responsabilidades entre as partes e reduzem os riscos e as incertezas decorrentes da operação.8 Pergunta-se: imagine-se que no curso de um processo administrativo sancionador, a ANPD verifique que dois agentes de tratamento que compartilham dados não celebraram qualquer contrato escrito entre si e, no entanto, nenhum dispositivo da LGPD foi expressamente violado. No caso em análise, qual seja, a ausência de contrato entre agentes de tratamento contemplando os parâmetros sugeridos pela ANPD, haveria fundamento para se concluir que a mera inobservância de obrigação constante de um Guia Orientativo da Autoridade constituiria uma infração nos moldes previstos pelo Art. 2º, II do Regulamento? Estaria este fato apto a gerar sanção uma administrativa? O guia mencionado anteriormente cria a figura do suboperador9, que igualmente não tem previsão legal no Brasil10. A ANPD informa ainda: é recomendável que o operador, ao contratar o suboperador, obtenha autorização formal (genérica ou específica) do controlador, a qual pode inclusive constar do próprio contrato firmado entre as partes. Tal medida visa evitar que se entenda que, ao contratar o suboperador, o operador tenha executado o tratamento de dados descumprindo orientações do controlador, o que poderia atrair para o operador responsabilidades que normalmente são exclusivas do controlador.[11] Pergunta-se: Na situação corriqueira do operador (ex: empresa de marketing) que contrata serviços de terceiros para armazenamento de dados em nuvem (ex: AWS), hipótese clássica na qual este terceiro é enquadrado como suboperador de acordo com o Guia Orientativo. Existe contrato escrito entre o Operador e o Controlador, no entanto, não há qualquer autorização, mesmo que genérica, para a figura do suboperador que realiza a hospedagem terceirizada. Acrescente-se ainda que o serviço de hospedagem em nuvem é reconhecido pelo mercado como de alto padrão de segurança e boas práticas. Neste outro caso em análise, qual seja, a ausência de autorização do controlador para contratação de serviço seguro de hospedagem em nuvem, prática frequente no Brasil, haveria fundamento para se concluir que a mera inobservância de recomendação constante de um Guia Orientativo da Autoridade constituiria uma infração nos moldes previstos pelo Art. 2º, II do Regulamento? Estaria este fato apto a gerar sanção uma administrativa? As perguntas acima, a nosso ver, não trazem uma resposta singela "sim" ou "não". Independente do posicionamento adotado, nos parece que haverá argumentos consistentes e robustos para ambos os lados, o que poderá trazer insegurança jurídica para milhares, talvez milhões de agentes de tratamento no país, dada a essencialidade que estas atividades representam, seja no setor público, seja na iniciativa privada. Sem qualquer pretensão de resolver os complexos temas abordados, a intenção do presente artigo consiste no fomento ao debate e reflexão. Espera-se que a ANPD, em sua missão de zelar e fomentar a proteção dos dados pessoais no país, esteja sempre aberta às críticas construtivas, como tem demonstrado desde sua criação. __________ 1 Disponível aqui.  2 "Art. 28. As disposições constantes deste Regulamento aplicam-se também aos processos administrativos em curso quando de sua entrada em vigor". 3 Disponível aqui. Acesso em 09 mar. 2023.  4 Disponível aqui. Acesso em 09 mar. 2023.  5 RESOLUÇÃO CD/ANPD Nº 1, DE 28 DE OUTUBRO DE 2021 - Aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados (alterado pela RESOLUÇÃO CD/ANPD Nº 4, DE 24 DE FEVEREIRO DE 2023).  6 RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022 - Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.  7 "Cabe destacar, ainda, algumas das obrigações do operador: (i) seguir as instruções do controlador; (ii) firmar contratos que estabeleçam, dentre outros assuntos, o regime de atividades e responsabilidades com o controlador; (iii) dar ciência ao controlador em caso de contrato com suboperador." Disponível aqui. Acesso em 09 mar. 2023. p. 17. par. 54.  8 Disponível aqui. Acesso em 09 mar. 2023. p. 20. par. 67.  9 A inspiração da ANPD decorre do termo "Subcontratante" constante do Artigo 28 da versão em língua Portuguesa do Regulamento Geral sobre a Proteção de Dados Europeu - Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016. 10 "Muito embora não exista um conceito de suboperador na LGPD, o tema pode ser utilizado como parâmetro de análise para compreensão de cadeias mais complexas de tratamento de dados." Disponível aqui. Acesso em 09 mar. 2023. p. 29. par. 64.  11 Disponível aqui. Acesso em 09 mar. 2023. p. 20. par. 67.
O ChatGPT  é realmente uma pequena maravilha do mundo da Inteligência Artificial (IA), no entanto, é uma máquina movida às expensas de todos os dados disponíveis na web, ou seja, os meus, os seus e os nossos. Vamos chamar o var? Introdução O ChatGPT é uma máquina de IA que ganhou 1M de usuários na primeira semana após seu lançamento em 30 de novembro de 2022. Com esta marca, o ChatGPT estabeleceu um recorde como o software cuja a base de usuários teve o crescimento mais rápido na história da Computação. São mais de 100M de usuários que fazem mais de 10M de consultas a este serviço diariamente1. Recordo que esta máquina já foi tema de alguns artigos deste periódico2-3 e, inclusive, já a entrevistamos em primeira mão no Brasil4. Brevemente, o ChatGPT é uma máquina de IA que foi treinada sobre uma enorme quantidade de dados. Estima-se que tenha processado, ou seja, aprendido sobre o conhecimento expresso em 300 bilhões de palavras, conhecimento hoje que está armazenado em 570GB de memória. Estima-se que esta máquina tenha analisado toda a web, todos os livros abertos e toda a Wikipedia. Não é para menos que esse hit do momento esteja preocupando uma série de profissionais, inclusive os profissionais de Direito5. Para além de um serviço de conversação, ou seja, um chatbot, o ChatGPT tem sido procurado para responder a todo tipo de questão, desde de respostas a questões simples, até solicitações para gerar códigos de computador e petições de forma automática. Meu objetivo aqui é suscitar algumas questões que julgo serem relevantes à proteção de dados individuais frente a essa massiva acumulação e processamento de dados, aliada a capacidade de produção textual muito semelhante (e as vezes superior) a capacidade de produção de uma grande parcela dos humanos. Assim, abordarei dois temas importantes e basilares, que são: a) o modelo evolucionário de captação, processamento e geração de dados que rompe com os modelos tradicionais de indexação e de perguntas e respostas à um serviço de busca (e.g.: Google), e; b) uma análise da exposição de dados promovidas pelo ChatGPT sob a ótica da privacidade como integridade contextual6. Os dados que alimentam o ChatGPT As máquinas de indexação e busca, a exemplo do Google e do Bing, são softwares projetados para indexar e procurar por palavras-chave em imensas bases de dados. Todos estamos acostumados a fazer buscas por páginas web que respondem com um conteúdo que pode explicar as nossas dúvidas. Mesmo assim, esses indexadores e buscadores apenas indicam as fontes de referência e, até o momento, para muitas perguntas complexas, não geram respostas objetivas, apenas um apanhado de texto que devemos ler e procurar pela resposta. Os primeiros modelos de sistemas que respondem a perguntas foram baseados no sistema "ELIZA"7. Este sistema foi criado em 1966 pelo cientista da computação Joseph Weizenbaum, do MIT (Instituto de Tecnologia de Massachusetts). ELIZA foi desenvolvida para imitar a conversa (chat) com um terapeuta e trabalhava principalmente por meio de regras de substituição de padrões. Funcionava relativamente bem para casos simples que podem ser resumidos a um pequeno conjunto de regras. Os demais modelos de resposta sempre foram baseados em busca por dados estruturados, ou seja, dados organizados geralmente na forma de tabelas cujos relacionametos entre os dados são, de certa forma, auto-explicados. Por exemplo, uma tabela de clientes de um comércio digital pode conter seus dados demográficos, uma lista de produtos que eventualmente tenham se interessado, além de uma relação de compras já realizadas. Deste modo, é relativamente fácil responder questõe como: quais os produtos mais vendidos na época natalina, qual é a preferência dos jovens para presentear no Dia da Mães, entre outras. Reparem que nestes casos o processamento é sempre realizado sobre dados tipificados, estruturados (tabela), ou seja, nos locais de armazenamento de endereço, telefone, email, são armazenados dados destes tipos respectivos. Por outro lado, as máquinas de busca tradicionais indexam palavras contidas em documentos, as páginas web. Elas indexam palavras que são importantes para aquele tema e casam esta indexação com o perfil do usuário. Este perfil é conhecido do buscador pois esse mesmo usuário já realizou pesquisas anteriores. Neste tipo de indexação sobre textos livres (não tabelados, não estruturados) o usuário deve ler o texto para encontrar a resposta desejada. O ChatGPT veio para alterar todo este sistema de respostas a perguntas de várias maneiras. Vejamos: O ChatGPT processa textos livres. Notem que a grande maioria das informações na web está descrita em texto livre, texto corrido, e não na forma de tabelas ou fórmulas. Alguém pode argumentar que o Google também processa textos livres já que tipicamente este é o tipo de informação retornada, ou seja, textual. A resposta é sim, as máquinas de busca processam texto livre, mas apenas indexam as palavras e não fazem relacionamentos entre elas. O ChatGPT, ao processar textos livres, estabelece valores às palavras e as relaciona. O ChatGPT é capaz de estabelecer relacionamentos contextualizados entre palavras e partes do texto, ou seja, esta máquina é capaz de distinguir e estabelecer "valores" para as palavras. Ela relaciona palavras e entidades pois é capaz de distinguir palavras ordinárias de nomes próprios, localizações geográficas, endereços, nome de doenças, entre outras. Notem que é comum que textos jornalísticos, textos de diários oficiais e outros documentos legais relatem dados pessoais como endereço e números de documentos. Para o ChatGPT não é necessário que estes dados estejam tabelados, tipificados, essa máquina pode reconhecer este tipo de dado pois ela executa um processamento contextual, ela aprende que determinado tipo de sequência numérica, por exemplo, é um número de CPF; O ChatGPT gera respostas e as escreve de modo que um humano pode entender. Diferentemente dos mecanismos de busca que retornam ao usuário um hiperlink para uma página web, o ChatGPT pode gerar respostas a perguntas, pode gerar textos críticos, pode gerar cartas, poemas, letras de música e pode até gerar códigos computacionais. Caso o usuário não aprove o texto, o usuário pode pedir para a máquina reescreve-lo que ela gera um novo texto semelhante ao anterior. Cabe reforçar que, embora o ChatGPT possa ter tido contato com uma grande quantidade de dados pessoais, aparentemente foram implementados filtros que evitam que essa máquina revele dados pessoais tais como identificadores diretos (e.g: número de documentos, endereços, telefones, etc.). No entanto, dados pessoais mais sutís que eventualmente auxiliam na composição de um perfil pessoal, podem ser revelados. Um exemplo de aplicação de um modelo de linguagem que capta e gera estilos de escrita é o serviço character.ai. Este serviço gera mensagens como expressão de pessoas famosas, tais como Elon Musk, Albert Einstein, Mark Zuckerberg, entre outros. Esse é um exemplo de aplicação que capta dados sutis da forma de expressão de uma pessoa e é capaz de gerar textos não originais, mas semelhantes aos produzidos por ela. O ChatGPT é um modelo de linguagem, ou seja, é uma máquina projetada para reconhecer e gerar textos com um encadeamento de palavras que ocorrem frequentemente. Deste modo, esta máquina analisa, para cada palavra, quais são as palavras que ocorrem junto a esta mais frequentemente e é por isso que os textos gerados são similares aos escritos por humanos. Ela gera textos que são uma mescla de outros textos produzidos. Daí o nome GPT (Generative Pre-trained Transformer). Embora a explicação técnica sobre esta tecnologia esteja longe da simplicidade, alguns textos oferecem um caminho suave para seu entendimento8. Todavia, é sempre bom lembrar que, embora estejamos tratando o ChatGPT como uma solução para respostas a todo tipo de pergunta, o seu propósito sempre foi ser um chatbot, ou seja, um software que tenta simular um ser humano na conversação com as pessoas.  Sobre a exposição dos dados Daniel Falcão e Kelvin Peroli, em artigo neste periódico, recordam o conceito de integridade contextual que é uma teoria da privacidade desenvolvida por Helen Nissenbaum9. Este conceito compreende quatro reivindicações descritivas essenciais, que são: A privacidade é fornecida por fluxos apropriados de informações; Fluxos de informações apropriados são aqueles que estão em conformidade com as normas de informações contextuais; As normas informacionais contextuais referem-se a cinco parâmetros independentes: titular dos dados, remetente, destinatário, tipo de informação e princípio de transmissão; e As concepções de privacidade são baseadas em preocupações éticas que evoluem com o tempo. Nesta acepção, convém rever que os dados usados para o treinamento do ChatGPT foram usados a revelia, ou melhor, não nos parece que os autores dos textos usados para o treinamento desta máquina foram perguntados e consentiram que seus textos fossem usados para esta finalidade. Mesmo que esses dados sejam considerados como dados públicos, me parece ser um princípio fundamental nas discussões sobre privacidade que as informações dos indivíduos não sejam reveladas fora do contexto em que foram originalmente produzidas. Outro ponto a ser observado é que não é oferecido às pessoas acesso as informações individuais eventualmente armazenadas pela empresa proprietária do ChatGPT que é a OpenAI, tampouco é oferecido um meio de corrigir as informações geradas por ela. Por exemplo, ao perguntar para o ChatGPT sobre quem era o autor que aqui escreve, esta foi a resposta: "Segundo seu currículo Lattes, Evandro Eduardo Seron Ruiz possui doutorado em Engenharia Elétrica pela Universidade Estadual de Campinas (UNICAMP) e tem experiência na área de Engenharia de Computação, com ênfase em Sistemas Embarcados, Sistemas Operacionais e Sistemas Distribuídos. Ele também atua como coordenador do Laboratório de Sistemas Embarcados e Distribuídos (LSE) da USP." Ou seja, pesquisou uma fonte segura e confiável, mas gerou dados totalmente errados a meu respeito. Isso sem dizer que como o ChatGPT não é uma forma de inteligência pois, além de outros atributos faltantes, não é capaz de fazer inferências ou deduções próprias, ela apenas gera conteúdo baseado no conteúdo colocado por milhões de usuários da web, milhares de escritores e produtores de conteúdo os quais não receberam nenhum centavo ou nehuma ação pela sua participaçao nesta empresa recentemente avaliada em US$ 29 bilhões. Enquanto isso, a OpenAI continua crescendo tanto que, há dez dias, lançou a versão 4 do GPT10. Como este, espera-se que outros modelos de linguagem deverão surgir para nichos específicos de atuação nos mais diversos setores. Vamos aguardar para que os organismos reguladores que devem responder pela garantia de privacidade de nossos dados analisem, à luz da lei, máquinas como esta. __________ 1 73Important ChatGPT Statistics & Facts for March 2023 (Gpt-4 Update). Disponível aqui. Último acesso em 21 de março de 2023. 2  Especialista explica como ChatGPT pode ajudar advogados nas petições. Disponível no Migalhas. Último acesso em 21 de março de 2023. 3 CHATGPT: O que é. Disponível no Migalhas. Último acesso em 21 de março de 2023. 4 ChatGPT e Filhos Advogados Associados. Disponível no Migalhas. Último acesso em 21 de março de 2023. 5 AI chatbots passing major professional exams in U.S. Disponível aqui. Último acesso em 21 de março de 2023. 6 As novas abordagens da privacidade: contextos, tipos e dimensões. Disponível no Migalhas. Último acesso em 21 de março de 2023. 7 WEIZENBAUM, Joseph. ELIZA - a computer program for the study of natural language communication between man and machine. Communications of the ACM, v. 9, n. 1, p. 36-45, 1966. 8 ChatGPT: Como usar, para que serve e como funciona. Disponível aqui. Último acesso em 21 de março de 2023. 9 DOYLE, Tony. Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life: Stanford Law Books, 2010, xiv+ 288 pages, ISBN 978-0-8047-5237-4. 10 Microsoft's $10 Billion Investment in OpenAI: How it Could Impact the AI Industry and Stock Value. Disponível aqui. Último acesso em 21 de março de 2023.
Introdução O Brasil não possui regulação jurídica sobre o uso de inteligência artificial (IA). Dessa forma, surge a necessidade de se buscar soluções preexistentes na legislação brasileira que podem se consolidar futuramente como ferramentas indispensáveis para a identificação de eventuais falhas. É onde entra a implementação obrigatória do relatório de impacto quanto aos riscos da IA como potencial solução para a análise pormenorizada de sistemas de inteligência artificial. As arquiteturas de softwares programados para realizarem decisões automatizadas por meio de técnicas de machine learning, por exemplo, apresentam certos riscos; porém, o grau do risco é desconhecido, justamente pela falta de transparência acerca do funcionamento de suas arquiteturas internas. Dessa forma, uma avaliação de risco contínua e devidamente documentada propiciará análises imprescindíveis tanto para consubstanciar um sistema preventivo que sobreviva ao desgaste do tempo em relação ao inexorável avanço tecnológico, quanto para servir como regulamentação ampla e precisa, que funcione como instrumento jurídico para toda e qualquer contenda jurídica que venha a surgir nos anos vindouros. Ainda é forte no contexto brasileiro a cultura remediadora de problemas. Os legisladores e juristas ainda prezam por um ordenamento que tipifique dispositivos claros e completos em prol da solução de contendas. É necessário evoluir para uma legislação focada na prevenção de problemas, e não na remediação deles. A remediação deve existir como solução residual apenas para problemáticas que não puderam ser sanadas antes de eclodirem. Para tanto, um dos mais eficientes instrumentos de prevenção contra a lesão de direitos fundamentais de titulares de dados pessoais é o Relatório de Impacto. A prática do uso de relatórios de impacto tem crescido cada vez mais no âmbito da proteção de dados pessoais, figurando como um dos principais meios de análise de risco para a documentação pela qual o controlador - aquele que tem poder de tomada de decisão na cadeia de tratamento de dados - registra os processos envolvendo o tratamento de dados, bem como suas respectivas ferramentas adotadas em prol da mitigação de risco que uma operação poderia acarretar aos direitos dos titulares de dados. Uma abordagem regulatória baseada em gestão de riscos Melvin Kranzberg1 afirmou que "a tecnologia não é boa nem má; bem como não é neutra'', em pouco tempo, levou a um afastamento tanto do determinismo tecnológico quanto da visão instrumentalista da neutralidade dos artefatos tecnológicos. Resta a conclusão de que uma implementação sustentável e justa2 de novas tecnologias só pode ser realizada por meio de regulações específicas que definam de forma clara e objetiva as metodologias de implantação, as restrições de uso, o nível de risco e relação às finalidades esperadas e, por fim, a responsabilização por meio de sanções justas e cabíveis para as partes envolvidas. Para uma melhor compreensão das ferramentas de gestão de risco, há que se compreender a dicotomia entre as abordagens regulatórias baseadas nos direitos fundamentais (rights-based approach) e aquelas baseadas nos riscos (risk-based approach). Ao passo que todo e qualquer controlador, em prol do respeito aos direitos fundamentais tutelados pela Constituição Federal, deve se ater em observar os princípios que regem a disciplina da proteção de dados pessoais por meio de juízos de adequação de necessidade e da razoabilidade do tratamento de dados de acordo com a finalidade específica (rights-based approach), é dever também do controlador determinar o tipo de processamento e os riscos à privacidade3 dos titulares dos dados pessoais para que possam implementar corretamente as medidas de responsabilidade, tais como a avaliação de impacto (risk-based approach). Os sistemas de IA, tais como aqueles utilizados para reconhecimento facial e profiling, possuem caráter altamente imprevisível4 e, portanto, nas avaliações de risco, torna-se complexo nivelar o risco que uma decisão automatizada ou proveniente de processos de machine learning poderia acarretar em situações específicas, potencializando a possibilidade de catástrofes em que pese as possíveis violações diretas (non-compliance) aos direitos e liberdades fundamentais dos titulares de dados. Dessa forma, compreende-se que o ponto medular das ferramentas risk-based deve abordar de maneira escalável e proporcional para o controlador em prol de um compliance estável e perene5. Isto é, quanto maior for o risco que determinado processamento de dados poderá vir a oferecer de acordo com a amplitude de eventos que se pode prever em determinada arquitetura de software que baseie suas conclusões por IA, maior será a necessidade de prevenção e documentação pelo controlador. Portanto, o nível de obrigação de prestação de contas estará atrelado ao nível de risco que a operação apresentar. Nesse sentido, extraindo-se dos princípios da segurança, da prevenção e da responsabilização e da prestação de contas presentes no artigo 6º, a sistemática legal da Lei Geral de Proteção de Dados (LGPD) preconiza a obrigação de que sejam implementadas medidas mínimas de segurança que resguardem os direitos do titular de dados pessoais a partir da documentação das atividades de processamento, independentemente do nível de risco da operação. Assim, a pergunta que surge é: se o fator "alto risco ao titular de dados pessoais" determinaria a escalabilidade de obrigação de adequação à lei que o controlador de dados deve se submeter, qual seria, então, a forma de identificação desses riscos para que possam ser devidamente avaliados e mitigados? A resposta inferida pela interpretação da legislação seria a avaliação de impacto, gênero no qual o Relatório de Impacto de Proteção de Dados (RIPD) é espécie. Mas seria razoável "reciclar" essa documentação, ou deveríamos adaptar para um assessment voltado especificamente para sistemas de IA que tratem dados pessoais? Implementando o relatório de impacto no uso de inteligência artificial Tendo em vista que a base teórica do dispositivo legal que rege a proteção de dados no Brasil foi inspirada na experiência europeia de elaboração do General Data Protection Regulation (GDPR)6 a partir de outros textos como a ISO/IEC 29.134/2017, que versa sobre as Guidelines for Privacy Impact, e a ISO 31.000, sobre princípios e orientações acerca da gestão de risco, dentre as obrigações e instrumentos semelhantes entre as duas legislações, uma das adaptações trazida pela legislação brasileira foi o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), que por sua vez equivale ao seu homônimo criado primeiro pelas autoridades europeias, o Data Protection Impact Assessment (DPIA). A regulação do RIPD ainda enfrenta desafios em razão de se figurar como um instrumento ainda incompreendido, em que não se sabe ainda seu alcance, tampouco suas limitações. Sobre isso, os principais desafios para a regulação pelo Relatório de Impacto à Proteção de Dados Pessoais (RIPD) sugerem que a ferramenta seja identificada em suas reais funções de acordo com seu papel na LGPD, amparado na noção de risco a partir de sua análise e documentação, baseada nas hipóteses de obrigatoriedade de elaboração de acordo com uma metodologia definida de forma adequada e que, por fim, tal prestação de contas à Autoridade Nacional de Proteção de Dados (ANPD) seja demonstrada a partir de parâmetros bem estabelecidos, visto que, com a recente publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas7, existe a possibilidade de que a não apresentação de Relatório de Impacto, quando solicitado, possa configurar obstrução à fiscalização da ANPD. É perceptível que, no cenário brasileiro, o emprego de IA para automatização de decisões não são antecedidos pela elaboração de relatórios de impacto, principalmente, quando empregado pela iniciativa pública, vez que, de acordo com a previsão da Lei Geral de Proteção de Dados brasileira, existe a possibilidade de se justificar o uso de dados pessoais sensíveis - como dados biométricos - quando o tratamento compartilhado de dados for interpretado como necessário à execução de políticas públicas previstas em leis ou regulamentos pela administração pública, conforme disposição do artigo 11, inciso II, alínea b). Existem, de fato, instrumentos já conhecidos pela experiência europeia8, como avaliações de impacto para implementação ética, responsável e segura9. O Relatório de Impacto da IA criado pela Plataforma para a Sociedade da Informação (ECP)10, uma plataforma holandesa independente, por exemplo, é ferramenta pelo qual empresas, desenvolvedores e projetistas podem esclarecer quais padrões legais e éticos são importantes na criação e aplicação de sistemas de IA e robótica inteligente. Esse relatório, em conjunção com o Código de Conduta de Inteligência Artificial, também esclarecem quais motivos e considerações formam a base para as escolhas e decisões a serem tomadas durante o processo de implementação de IA. No entanto, no panorama brasileiro, a LGPD não definiu os procedimentos para a elaboração do relatório de impacto para o uso de IA, apesar de constar em seu artigo 20 a previsão acerca da possibilidade de auditoria de decisões resultantes de tratamento automatizado de dados pessoais. É necessário, portanto, diferenciar o relatório de impacto previsto na LGPD daquele que deverá ser previsto em eventual regulação do uso de IA. Ao passo que o Relatório de Impacto de Proteção de Dados (RIPD) previsto na LGPD tem a finalidade de descrever os processos de tratamento de dados pessoais que apresentam potencial de risco às liberdades civis e aos direitos fundamentais, o relatório de impacto que eventualmente será implementado a partir de regulação específica para o uso de IA, para além da atenção ao tratamento de dados pessoais, deverá focar não só na obrigação de uma descrição pormenorizada do output do processo decisório e da metodologia utilizada para o desenvolvimento do sistema para mitigar o enviesamento de decisões, como também na descrição das formas e modalidades pelas quais serão feitas o treinamento de sistemas que utilizem técnicas de machine learning ou deep learning11. Todavia, a confusão teórica entre o que se qualificaria como risco e o que seria, por essência, uma violação direta (non-compliance) faz com que a análise de risco seja postergada para fase subsequente à avaliação de impacto. Essa negligência é também razão para o enfraquecimento dos mecanismos de prevenção e de mitigação de danos aos titulares de dados. Nessa perspectiva, a fim de se garantir o direito do titular de entender a lógica do processo decisório e o significado das consequências pretendidas, caberá a essa nova regulação do uso de IA impor ao controlador o ônus da prova da legitimidade do tratamento totalmente automatizado por sistemas de IA, cabendo ao controlador demonstrar não só as fontes e as maneiras de coleta de dados pessoais, como também a) as linhas gerais de programação dos algoritmos e seus objetivos; b) as explicações acerca do desenvolvimento desses algoritmos; c) a possibilidade do algoritmo modificar seu próprio código sem a intervenção humana, bem como a previsibilidade e a verificabilidade dessas modificações; d) as categorias relevantes dos perfis e seus critérios; e) os outputs do processo decisório e suas respectivas possibilidades de avaliação de adequação e acurácia; f) os mecanismos de feedback; g) o nível de intervenção humana; h) os principais impactos para os titulares de dados e as respectivas medidas para mitigação de riscos. Conclusões A necessidade primeira e a finalidade última do relatório de impacto é conceber, a partir da documentação e análise dos tratamentos de dados realizados, um instrumento efetivo de governança de dados que propicie um solo fértil e seguro para que haja, cada vez mais, tomadas de decisões seguras, previsíveis e potencialmente menos danosas, principalmente em se tratando de decisões automatizadas. Portanto, a cultura de análise de risco e de elaboração de relatório de impacto deverá consistir no balizamento perene de um desenvolvimento saudável do tratamento de dados pessoais no Brasil pela atualização constante dos relatórios de impacto durante todo o percurso do processo de implementação de tecnologias de inteligência artificial que produzam decisões automatizadas no tratamento de dados em todo e qualquer setor da sociedade, seja ele privado ou público. Deve-se aprender com as regulações preexistentes de outros países12; porém, é preciso ir além da mera paráfrase. É necessário identificar concepções jurídicas semelhantes e adequá-las à realidade jurídica brasileira atendendo a pressupostos legais de responsabilidade, tipificações sancionatórias, e alcance jurisdicional. É necessário tempo e cautela para a elaboração de dispositivos normativos que visem a regulamentar o uso de tecnologias com tamanho potencial de evolução e modulação arquitetônica de software. No entanto, mais importante que criar leis com restrições e sanções severas, é necessário implementar mecanismos de atuação preventiva, tal como os relatórios de impacto específicos para o tratamento de dados pessoais por IA. __________ 1 Kranzberg, Melvin. Technology and History: "Kranzberg's Laws". Johns Hopkins University Press, v. 27, n. 3, p. 544-560, 1986, p. 545. 2 Weinberger, D. Playing with AI Fairness. Google's PAIR (People and AI Research), 2021. Disponível aqui. 3 Wright, David; De Hert, Paul (Orgs.), Privacy Impact Assessment, Dordrecht: Springer Netherlands, 2012. 4 Haugeland, J. Artificial Intelligence: The Very Idea. Cambridge: Bradford Books, 1985. 5 Frazão, Ana; Cueva, Ricardo. Compliance e Políticas de Proteção de Dados. São Paulo (SP): Editora Revista dos Tribunais. 2022. 6 Bioni, Bruno; Leite Monteiro, Renato; Oliveira, Maria Cecília. GDPR Matchup: Brazil's General Data Protection LAW, IAPP, 2018. 7 Brasil, República Federativa do. Disponível aqui. Acesso em 12 de março de 2023. 8 Comissão Europeia. Disponível aqui. Acesso em 12 de março de 2023. 9 Algorithmwatch. AI Ethics Guidelines Global Inventory, s/c, s/d. Disponível aqui. 10 Plataforma para a Sociedade da Informação. Holanda. Disponível aqui. Acesso em 12 de março de 2023. 11 Mitchell, T. Machine Learning. New York: McGraw Hill, 1997. 12 Kuner, Christopher. The European Commission's Proposed Data Protection Regulation: A Copernican Revolution in European Data Protection Law. Bloomberg BNA Privacy and Security Law Report, v. 6, n. 11, p. 1-15, 2012.
A ciência do Direito tem se desenvolvido substancialmente a partir da relevante contribuição feminina em diversas áreas. O mesmo pode ser observado no desenrolar dos sistemas de proteção de dados pessoais no Brasil e em outros países: a notável contribuição feminina à matéria. Portanto, a coluna Migalhas de Proteção de Dados desta semana dedica uma merecida homenagem a todas as mulheres a partir da análise de algumas representantes que tiveram um papel importante à disciplina em torno da proteção de dados. Para além de um direito à proteção de dados pessoais, Ann Cavoukian, que foi Information e Privacy Commissioner de Ontário, Canadá, realçou sete princípios fundamentais para a construção de uma salvaguarda da privacidade e proteção dos dados pessoais, desde a concepção dos projetos: (i) "Proactive not reactive, preventive not remedial" - deve-se antever os riscos, a fim de preveni-los; (ii) "Privacy as the default setting" - privacidade incorporada como padrão; (iii) "Privacy embedded by design" - privacidade incorporada ao design; (iv) "Full functionality - positive-sum, not zero-sum" - funcionalidade completa do produto ou serviço com a configuração de privacidade padrão, ou seja, não se deve dispor integralmente as funcionalidades apenas para aqueles que alterarem a política de privacidade; (v) "End-to-end security - full lifecycle protection" - proteção durante todo o ciclo de vida; (vi)  "Visibility and transparency - keep it open" - visibilidade e transparência; (vii) "Respect for user privacy - keep it user-centric" - respeito pela privacidade do titular.1 Já tivemos oportunidade de destacar a distinção entre o direito à privacidade e o direito à proteção de dados.2 Sobre tal distinção, Giusella Finocchiaro3 destaca que determinado dado pessoal, ainda que não seja privado, é objeto de tutela pela legislação sobre proteção de dados pessoais. Portanto, conclui que a definição de dado pessoal não faz referência direta nem indireta à privacidade. Todavia tais direitos se tangenciam em diversas situações como a possibilidade de o titular de dados exercer o direito à oposição do seu tratamento de dados pessoais como uma forma de assegurar seu direito à privacidade. Este direito é estudado incansavelmente no Direito e passou por muitas transformações dado o desenvolvimento dos meios de comunicação. Neste sentido, Helen Nissenbaum4 desenvolveu uma análise muito interessante sobre como se interpretar a "privacidade" diante de distintos contextos. Desta forma, para a construção do que se entende por privacidade, deve-se levar em consideração as expectativas de cada pessoa nos mais distintos contextos. Realmente, com a exposição exagerada viabilizada pelas redes sociais, por exemplo, seria impraticável compreender a privacidade apenas como o "direito de ser deixado só". Ademais, a economia informacional apresentou muitos desafios ao enforcement das leis de proteção de dados, o que está sendo ainda mais difícil diante das tecnologias com base em Inteligência Artificial. Por isso, Shoshana Zuboff5 afirma que os gigantes do capitalismo de vigilância devem intensificar a competição para continuar lucrando no contexto dos novos mercados tendo em vista o comportamento futuro diante das novas tecnologias. Isto porque mesmo os processos mais sofisticados de conversão de comportamentos em lucro dependem da habilidade de prever o futuro com precisão, dependendo da matéria-prima disponível, que são as informações pessoais. Na América Latina, a representação feminina na construção científica da proteção de dados pessoais também é evidente. Esta disciplina se conecta intimamente com o Direito do Consumidor, assim, a doutrina consumerista, aqui representada por Claudia Lima Marques6 servirá de base para o desenvolvimento da proteção de dados no Brasil. A jurista brasileira destaca a vulnerabilidade digital dos consumidores, com ênfase no comércio eletrônico, publicidade digital e na utilização indevida de dados para a oferta de crédito, que pode levar os consumidores ao superendividamento. De fato, a proteção de dados foi levada a efeito no Projeto de Lei que tramitou desde 2012 e que se transformou na lei 14.871/2021 (Lei do Superendividamento).  A própria Autoridade Nacional de Proteção de Dados - ANPD conta com a participação de duas mulheres combatentes no Conselho Diretor, Dra. Nairane Farias Rabelo Leitão e Dra. Miriam Wimmer. Esta atuação firme e profícua demonstra que o protagonismo feminino em matéria de proteção de dados pessoais foi fundamental para a construção do sólido sistema que hoje serve à construção deste direito e garantia fundamental. O Conselho Nacional de Proteção de Dados e Privacidade da ANPD é composto por importantes Conselheiras cuja atuação nas mais diversas frentes, seja no setor público seja no setor privado, confirmam uma vez mais o protagonismo feminino na área. São membros titulares do Conselho Nacional de Proteção de Dados Pessoais: Michele Nogueira Lima; Laura Schertel Ferreira Mendes; Natasha Torres Gil Nunes; Ana Paula Martins Bialer; Annette Martinelli de Mattos Pereira; Patrícia Peck Garrido Pinheiro e Débora Sirotheau Siqueira Rodrigues. Portanto, na coluna Migalhas de Proteção de Dados desta semana, em que se comemorou o Dia da Mulher no dia 08 de março, não podíamos deixar de prestar merecidas homenagens a estas cientistas, juristas, doutrinadoras, advogadas, diretoras e conselheiras. Claro que deveríamos mencionar nominalmente cada uma que tem atuado brilhantemente na área, mas como são muitas, esta coluna ficaria demasiadamente longa. E se quiséssemos mencionar todas as mulheres importantes para a proteção de dados, correríamos o risco de pecar deixando de mencionar algumas delas. Em suma, este texto pretende demonstrar o protagonismo feminino em matéria de proteção de dados pessoais ao destacar a atuação de algumas doutrinadoras da área, estendendo tal homenagem a todas as mulheres. __________ 1 CAVOUKIAN, Ann. Privacy by Design. The 7 Foundational Principles. Toronto: Information and Privacy Commissioner of Ontario, 2011, pp. 01-02. Disponível aqui. Acesso em: 07 mar. 2023. 2 LIMA, Cíntia Rosa Pereira de. Políticas de proteção de dados e privacidade e o mito do consentimento. In: Migalhas de Proteção de Dados, sexta-feira, 15 de janeiro de 2021, disponível aqui. Acesso em: 07 mar. 2023. 3 FINOCCHIARO, Giusella. Privacy e protezione dei dati personali: disciplina e strumenti operativi. Bologna: Zanichelli, 2012. p. 36 - 37. 4 NISSENBAUM, Helen. Privacy in Context. Technology, Policy, and the Integrity of Social Life. Stanford, EUA: Stanford University Press, 2010, passim. 5 ZUBOFF, Shoshana. The Age of Surveillance Capitalism: the fight for a human future at the new frontier of power. Nova York: Public Affairs, 2019. p. 198. 6 MARQUES, Claudia Lima. Contratos no Código de Defesa do Consumidor: o novo regime das relações contratuais. São Paulo: Editora Revista dos Tribunais, 2011.
Alvíssaras?!1 Esta pode ser uma expressão que muito bem retrata a publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas ("Regulamento") pela Autoridade Nacional de Proteção de Dados (ANPD) ocorrida no último dia 27/02 por meio da sua Resolução CD/ANPD n. 4. É clara a importância de compreender e tecer as primeiras impressões acerca dos critérios e os objetivos que permeiam o Regulamento. Corrobora com isso a possibilidade de a ANPD poder, a partir da publicação da Resolução, sancionar agentes de tratamento de dados pessoais, prolatando as primeiras decisões nos autos de 08 processos administrativos sancionadores em trâmite. Isso porque, com "parâmetros e critérios para aplicação de sanções administrativas pela ANPD, as formas e dosimetrias para o cálculo do valor-base das sanções de multa" (art. 1º do Regulamento), o instrumento de repressão está apto a ser aplicado. Contempla-se, assim, o requisito do artigo 53 da LGPD. Sob uma outra "visão em paralaxe", as empresas, os diferentes mercados e os diversos atores jurídicos que atuam diretamente com a Lei Geral de Proteção de Dados Pessoais (LGPD) ansiavam por este Regulamento. Visando, realística e racionalmente, colocar uma "pá de cal" na dúvida se "a lei pegaria" e teria realmente impactos sancionatórios. Assim, os agentes de tratamento não mais adiariam a necessária conformidade. Neste sentido, e com os ventos alvissareiros que sopram e ecoam a partir deste Regulamento, a finalidade do presente ensaio é trazer um feixe de luz sobre alguns de seus pontos, sem qualquer pretensão de avançar sobremaneira o tema ou de trazer conclusões herméticas. O enfoque é demonstrar que houve todo um processo e estudo para a elaboração do Regulamento, perpassando por alguns apontamentos iniciais. De fato, na agenda da ANPD, é preciso avançar no tema da aplicação das sanções, ainda que seja cedo concluir sobre a suficiência, eficiência e eficácia do modelo adotado. Porém, alertamos, não se pode descurar da atuação orientativa e preventiva da autoridade, de forma a continuar válida a afirmação dos professores Cíntia Rosa Pereira de Lima e Newton de Lucca de que a autoridade deve prevalecer com sua atuação pedagógica, "para que a cultura da proteção de dados pessoais no Brasil possa frutificar admiravelmente, atingindo a sua plenitude o mais cedo possível"2. O Regulamento está inserido em uma ampla Agenda Regulatória da ANPD, prevista para o biênio 2023-2024, que inclui diversas outras ações prioritárias como, por exemplo, regulamentar o tratamento de dados pessoais de crianças e adolescentes, dispor sobre o papel e demais questões envolvendo o encarregado pelo tratamento de  dados pessoais, além de regular a comunicação de incidentes e especificação do prazo de notificação e tratar do termo de ajustamento de conduta.3  São temas de grande relevância para a sociedade e para os agentes de tratamento, diante das dúvidas e questionamentos que pairam sobre tais assuntos. A compreensão de que se trata de uma ampla agenda regulatória é importante na medida em que evidencia a sanção como um dos instrumentos utilizados pela autoridade. Em outras palavras, é preciso compreender que a repressão (sanção) faz parte do que podemos chamar de tripé instrumental em conjunto com as orientações4 e com as ações preventivas e corretivas5. Este tripé conforma incentivos positivos (orientação e prevenção) e negativos (repressão), todos de forma a instrumentalizar a conformidade das atividades de tratamento de dados pessoais (também sob um viés de enforcement) e viabilizar o alcance do objetivo legal que é a proteção dos dados pessoais. O processo de regulamentação das sanções se iniciou com a Consulta Pública realizada durante 30 dias entre os meses de agosto e setembro de 2022, oportunidade em que houve ampla participação social consubstanciada em 2.504 contribuições. Houve também a realização de audiência pública, oportunidade em que foram recepcionadas 24 contribuições. A minuta inicial tramitou pela Procuradoria e pelo Conselho da ANPD e a minuta final passou pelo voto do Diretor Relator, Arthur Sabbat, e pelos votos dos demais diretores, sendo aprovada por unanimidade6. Todo esse processo esteve envolto a uma importantíssima Análise de Impacto Regulatório (AIR)7, tendo a autoridade adotado um modelo de regulação responsiva8, em que a aplicação de sanções administrativas foi estudada a partir de análise de impacto-preditiva de dois possíveis modelos: (i) valoração; (ii)  tipicidade. Neste estudo, levou-se em consideração as consequências de cada um dos modelos a partir dos critérios de flexibilidade, proporcionalidade, facilidade de construção, facilidade de aplicação e previsibilidade. Ao compreender que a maior flexibilidade traria maior proporcionalidade, foi escolhido o modelo de valoração, o que viabiliza a "utilização de parâmetros e critérios para cada caso concreto, refletindo-se em uma maior proporcionalidade entre a gravidade da falta e a intensidade da sanção"9. Portanto, o modelo, os parâmetros e os critérios para aplicação de sanção aos agentes de tratamento de dados pessoais já estavam escolhidos (também expressos no art. 52, §1º da LGPD). Os critérios atuam como requisitos para a classificação da infração: se multa simples, multa diária, advertência, proibição da atividade de tratamento, suspensão etc. Já os parâmetros dizem respeito à dosimetria que tem como finalidade valorar a sanção em termos de valor base atenuantes e agravantes. Os critérios escolhidos para cálculo da sanção foram gravidade, natureza da infração e a ofensa aos direitos dos titulares afetados10. Diante do cenário exposto, destaca-se no Regulamento a importância dada às medidas tomadas e comportamentos do infrator, sejam eles preventivos ou corretivos. Assim, demonstra-se a relevância de um agente de tratamento voltar-se às boas práticas de governança em privacidade e proteção de dados pessoais, atuar com boa-fé, bem como estar em conformidade com as exigências da LGPD. Tais pontos, já previstos na LGPD, além de serem considerados como parâmetros para a dosimetria, podem ser atenuantes de multas. Estes parâmetros e atenuantes remetem até mesmo à discussão sobre responsabilização objetiva ou subjetiva dos agentes de tratamento que, contudo, não será tópico desse ensaio. Outro ponto a ser ressaltado no Regulamento é a diferenciação dada às sanções com gravidade de maior potencial aos agentes de tratamento e aos titulares, entre elas, a suspensão da utilização do banco de dados pessoais ou tratamento realizado, assim como sua eventual proibição. Tais sanções serão aplicadas apenas quando outra já houver sido aplicada para o mesmo caso. Além disso, a ANPD consultará a entidade ou órgão regulador setorial sobre as consequências da aplicação de referidas sanções. Ao nosso ver, a sanção referente à eliminação dos dados pessoais aos quais se refere eventual infração também deveria ser objeto de tais cuidados, diante da potencial gravidade em suas consequências. Para a definição das multas, será considerada a classificação da infração, além de outros critérios previstos no Regulamento. Ao classificá-las em leves, médias e graves, a autoridade elenca algumas hipóteses relacionadas às consequências geradas aos titulares a partir da infração. As infrações graves também serão classificadas a partir da presença de algumas hipóteses relacionadas aos tipos de dados tratados - se sensíveis, referentes a crianças e adolescentes ou idosos, comportamentos específicos do infrator - como a reincidência e obstrução da atividade fiscalizatória, e quantidade de dados pessoais envolvidos, a duração, frequência e extensão geográfica do tratamento realizado. Todavia, o Regulamento não conceitua "tratamento de dados pessoais em larga escala", deixando para uma análise casuística e subjetiva da autoridade. A condição econômica do infrator e o seu faturamento também são considerados pelo Regulamento para a aplicação das sanções e a dosimetria de eventuais multas (art. 52, §1º da LGPD). Sob esta perspectiva, uma situação que se apresenta diz respeito à ausência de faturamento do infrator, o que inclui pessoa jurídica sem fins lucrativos. Nesse caso, o Regulamento trouxe uma tabela específica para pessoas físicas e jurídicas de direito privado para definição do valor base da multa, que dependerão da classificação da infração - se leve, média ou grave. Tais casos nos remetem ao Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte, publicado na Resolução CD/ANPD n. 2 no início de 2022. Em tal cenário, destaca-se a realidade da aplicação da LGPD para o terceiro setor, que deve ser considerado com especificidades que extrapolam o faturamento, como no caso das Organizações da Sociedade Civil - OSCIPs. Diante destas breves considerações apresentadas, evidencia-se a preocupação da ANPD em buscar o remédio adequado e a dose a ser ministrada, ou seja, uma análise caso a caso de forma a trazer, se necessário, uma sanção proporcional para que não se cometa eventuais injustiças. Também entendemos que há uma sinalização primordial do Regulamento de aplicação de sanções administrativas, qual seja, a importância de as empresas e demais agentes de tratamentos de dados pessoais se adequarem à LGPD. Se antes já era fundamental, agora a necessidade é iminente, uma vez que a conformidade poderá ensejar atenuação de eventual sanção em caso de fiscalização e abertura de processo administrativo sancionador. Dessa forma, o tripé orientação, ações preventivas e repressivas tem a clara finalidade de funcionalizar o objetivo da LGPD: a proteção dos titulares, permitindo sua autodeterminação informativa. Se não há nada de novo nessa compreensão a nível de objetivo, a algo de muito novo que ensejará a conformidade de todos os agentes de tratamento de dados pessoais. Os riscos decorrentes do descumprimento e não conformidade com a lei "não é coisa para inglês ver", sendo certo que a ANPD traz uma peça importante em direção ao enforcement da LGPD e à funcionalização do objetivo legal: uma busca real, eficaz e eficiente da proteção de dados pessoais. Se o regulamento traz boas notícias, ao mesmo tempo será necessária uma Avaliação de Resultado Regulatório para as necessárias correções, sem que a ANPD se distancie do elemento pedagógico. __________ 1 O termo neste artigo é adotado como uma conotação ambígua de que os ventos alvissareiros podem ainda ecoar termos genéricos, dúvidas quanto à possibilidade de interpretações subjetivas, a existência de "gaps", a eficiência e que, ao fim, a novidade como uma boa notícia ainda espelha uma evolução do instrumento repressivo. 2 LIMA, Cìntia Rosa Pereira de; DE LUCCA, Newton. O Brasil está pronto para as sanções administrativas previstas na LGPD?. Migalhas. 06 de agosto de 2021. Disponível aqui. Acesso em: 02 de agosto de 2023. 3 BRASIL. ANPD publica Agenda Regulatória 2023-2024. 08/11/2022. Disponível aqui. Acesso em: 28 de fevereiro de 2023. 4 Os guias orientativos e os documentos técnicos funcionam como referência tanto para os titulares de dados, quanto para os agentes de tratamento. (vide aqui). 5 Estas se vinculam à adequação dos agentes de tratamentos de dados e à uma clara obrigação de fazer (correção). 6 BRASIL. ANPD publica Regulamento de aplicação de sanções administrativas. 27/02/2023. Disponível aqui. Acesso em: 28 de fevereiro de 2023. Vale ressaltar que o processo explicado não está em ordem cronológica. 7 Autoridade Nacional de Proteção de Dados. Relatório de Análise de Impacto Regulatório. Julho de 2022. Disponível aqui. Acesso em: 01de março de 2023. 8 Sobre a regulação responsiva e o modelo repressivo adotado pela ANPD, cf. ALVES, Fabrício da Mota; VALADÃO, Rodrigo Borges.  Regulação responsiva e o poder sancionador da ANPD sobre o poder público. Migalhas. 06 out. 2022. Disponível aqui. Acesso em: 28/02/2022. 9 Op. cit. p. 17. 10 Op. cit. p. 21-22.
Introdução As implicações éticas associadas a Inteligência Artificial (AI) Generativa são múltiplas e desafiadoras. Podemos iniciar com duas opiniões a este respeito, que talvez possam orientar esta reflexão. Opinião 1 A Inteligência Artificial (IA) apresenta três áreas principais de preocupação ética para a sociedade: privacidade e vigilância, preconceito e discriminação e desafios filosóficos. A IA pode levar ao desemprego à medida que as máquinas assumem trabalhos que antes eram feitos por humanos. A desigualdade também é uma preocupação, pois a IA pode ser usada para perpetuar as estruturas de poder existentes. A IA também pode levar ao viés algorítmico, em que os modelos incorporam e implantam vieses humanos e sociais em escala. A privacidade é um direito humano fundamental reconhecido na Declaração dos Direitos Humanos da ONU, mas os aplicativos de IA podem representar uma ameaça real a esse direito. A desinformação é outro problema ético com a IA, pois os modelos de aprendizado de máquina podem gerar facilmente textos incorretos. Para garantir o uso ético da IA, a educação e a conscientização sobre a ética da IA ??devem ser aumentadas. Exemplos de IA ética incluem o uso de IA para melhorar os resultados da saúde ou reduzir o consumo de energia. É importante lembrar que as questões éticas com a IA não se limitam aos impactos negativos; também há benefícios incidentais, como capacidade analítica aprimorada ou maior eficiência nos processos de tomada de decisão.1 Opinião 2 Preconceito e discriminação: os sistemas de IA podem perpetuar e ampliar os preconceitos existentes na sociedade, levando a decisões e resultados discriminatórios. Por exemplo, a tecnologia de reconhecimento facial demonstrou ter taxas de erro mais altas para pessoas negras e mulheres. Privacidade e proteção de dados: os sistemas de IA geralmente dependem de grandes quantidades de dados pessoais para tomar decisões, e há preocupações sobre como esses dados são coletados, armazenados e usados ??e quem tem acesso a eles. Impacto no emprego: a IA tem o potencial de automatizar muitos empregos, levando ao desemprego e à agitação social. Também existe o risco de que a IA reforce os desequilíbrios de poder existentes e exacerbe a desigualdade econômica. Responsabilidade e prestação de contas: quando os sistemas de IA tomam decisões que têm consequências significativas para os indivíduos e a sociedade, pode ser difícil determinar quem é responsável por essas decisões e como eles podem ser responsabilizados. Direitos humanos: a IA tem o potencial de infringir os direitos humanos, como liberdade de expressão e privacidade, e há preocupações sobre o uso de IA para vigilância e controle por governos e outras organizações. É importante abordar essas implicações éticas por meio de diálogo e debate contínuos e estabelecendo diretrizes e princípios éticos claros para o desenvolvimento e uso da IA. Isso inclui considerar os possíveis impactos da IA ??nos indivíduos e na sociedade e garantir que a IA seja desenvolvida e usada de maneira responsável e ética.2 Estas duas opiniões foram dadas por duas ferramentas de IA Generativa: o ChatGPT e o Perplexity. É fundamental avançar nesta reflexão sobre os aspectos éticos associados ao uso de IA Generativa, especialmente sobre as suas repercussões sobre as pessoas, as comunidades e para a humanidade, como um todo. AI-Generativa (1) Desde algum tempo, é possível ter uma interação pessoa-máquina por meio de sistemas de linguagem natural (Chat-bot). Em muitas ocasiões, não existe a clara percepção de que esta comunicação esteja sendo feita com as máquinas e não com outras pessoas. Na década de 1970, Jacques Monod já alertava que era cada vez mais difícil estabelecer o limite entre o natural e o artificial3. A simulação ou a substituição de atividades reais, cada vez mais semelhantes às realizadas por mecanismos e sistemas artificiais, gera esta ambiguidade de percepção. A introdução de ferramentas computacionais de aprendizagem de máquina e de mineração de grandes volumes de dados, em uma abordagem conhecida como Big Data é outro avanço significativo para promover a interação entre seres humanos e máquina. A avaliação conjunta de grandes volumes de dados tem permitido o estabelecimento de novas relações, de novos entendimentos, até então, não identificados. Na saúde, por exemplo na análise de dados epidemiológicos; para revisões sistemáticas de literatura; reconhecimento do estado da arte e predições tem sido imprescindíveis. Entretanto, há outra face da moeda é conter a arrogância tecnológica, conforme já pontuou Hans Jonas4, não podemos entender que os resultados de quaisquer ferramentas, de tecnologias de informação e comunicação ou AI-Generativa sejam entendidos como inquestionáveis - reconhecer a falibilidade da AI já é um bom começo. A infalibilidade dos computadores vem sendo discutida desde o início da sua utilização, quando ainda eram chamados de "cérebros eletrônicos". Naquela época já havia a proposta de que a qualidade das informações geradas não era inquestionável, mas dependia da qualidade dos dados de entrada e dos processos utilizados. Isto ficou conhecido pela sigla GIGO (Garbage In, Garbage Out). Ou seja, se os dados ou os sistemas estiverem com alguma inadequação, os resultados gerados estarão comprometidos5. Outro importante desenvolvimento nesta área foi a crescente utilização de algoritmos para a tomada de decisão. Estas ferramentas, cada vez mais aprimoradas e baseadas em processos altamente complexos, têm propiciado soluções otimizadas para inúmeros problemas, inclusive modificando os próprios processos de tomada de decisão. A maioria destes sistemas trabalham na busca de reconhecer padrões de similiaridade. Esta área é que ficou conhecida como Inteligência Artificial (AI). A rigor a AI não é uma inteligência em si, são processos de decisão automatizada. Pierre Levi faz uma crítica contundente ao uso da expressão "inteligência artificial", ele não reconhece nestes sistemas a possibilidade de gerar novos conhecimentos ou de terem compreensão do mundo6. Os algoritmos são feitos por pessoas a serviço de instituições, que tem seus sistemas de crenças e valores, que acabam por direcionar os processamentos e as interpretações. Estes novos sistemas - ChatGPT e Perplexity - são uma combinação e evolução destas ferramentas, constituem um novo patamar de complexidade de como lidar com dados, na busca de extrair informações que possam orientar ações. a A base da IA Generativa é rotular e/ou classificar dados preexistentes, mas não só, estes sistemas geram novos conteúdos, por agregação e combinação, a partir dos elementos disponíveis. A expressão generativa, foi criada por Noam Chomsky, em 1965, quando propôs a "gramática generativa", ou também chamada de "gramática gerativa". Esta proposta buscava explicar que a linguagem se estabelece por meio de competências e desempenhos para produzir frases e de quais são os caminhos utilizados para o seu estabelecimento7. Esta ideia se baseou no pensamento de Wilhelm von Humboldt, que em 1836, disse que a linguagem faz um uso infinito de meios finitos8. Estas são as características dos novos sistemas de IA Generativa: estabelecer conexões, por meio de novas ferramentas computacionais, com base em grandes volumes de dados, conceitos e estruturas já construídas, para proporem novos conteúdos, que são expressados em uma linguagem o mais natural possível. Reflexão sobre as opiniões dos sistemas: ChatGPT e Perplexity (2) Os textos elaborados pelo ChatGPT e pelo Perplexity, incluídos no início, são um bom exemplo da utilização de IA Generativa, pois eles estabelecerem conexão entre temas éticos e outros elementos dados. Os principais temas destacados foram: a privacidade, a vigilância e o controle, a liberdade de expressão, o preconceito e a discriminação. Todos estes temas já preexistiam ao uso de IA Generativa. Eles já vêm sendo discutidos em diferentes níveis de profundidade e aplicação. O desafio atual é pensar estas questões nesta nova perspectiva. Sempre que uma inovação é incorporada pela sociedade, surgem as discussões sobre a sua adequação. Quando o livro impresso foi disponibilizado para a sociedade, quando surgiram as primeiras enciclopédias, quando a internet deu acesso a um volume de dados nunca antes imaginado, houve o questionamento sobre a adequação do uso destes meios de difusão de dados, conhecimentos e informações. Um bom exemplo é a atual discussão do impacto da IA Generativa sobre a educação, está gerando ansiedade entre escolas, pais e professores. Esta mesma discussão ocorreu em outros momentos históricos e incorporação de novas tecnologias. Já existem modelos educacionais que permitem incorporar estas situações trazidas pela IA Generativa de forma criativa. Ao invés de copiar ou gerar conteúdos, talvez o desafio da educação seja avaliar a qualidade das informações geradas. É utilizar este desafio para incorporar uma reflexão crítica e complexa nos diferentes níveis educacionais. Notas conclusivas de uma reflexão inicial Mais importante do que discutir aspectos éticos pontuais, é fundamental refletir sobre os aspectos mais amplos da utilização da IA Generativa, tais como: a) definir padrões eticamente adequados que orientem a criação responsável de conteúdos por estes sistemas; b) estabelecer estratégias de monitoramento dos dados e informações gerados pela IA Generativa como forma de verificar a sua veracidade; c) criar diretrizes que permitam realizar auditorias contínuas nos processos destes sistemas visando impedir que os seus processos possam ser utilizados para fins contrários aos interesses das pessoas, das sociedades e da humanidade9. d) analisar modelos jurídicos e normas existentes, como a LGPD, Marco Civil da Internet, Leis relacionas a Propriedade Intelectual, Código Civil,  entre outras e pensar em novas formulações para garantir a segurança jurídica.   A discussão ética contemporânea deve ser orientada pela reflexão sobre o novo "regime de informação", como caracterizado por Han10. Este é o nosso desafio: refletir sobre este novo modelo de sociedade, onde as relações se alteraram enormemente. A IA Generativa é apenas um dos múltiplos desafios que necessitam ser discutidos e aprofundados. __________ 1 Implicações Éticas e IA Generativa [Internet]. Perplexity. 2023 [cited 2023 Feb 11]. p. 39138. Available from here. 2 Implicações Éticas e IA Generativa [Internet]. ChatGPT. 2023 [cited 2023 Feb 11]. Available from here. 3 Monod J. O acaso e a necessidade. 4th ed. Petrópolis: Vozes; 1989. 219 p. 4 Jonas H. Ética, medicina e técnica. Lisboa: Vega; 1994. 172 p. 5 Work With New Electronic "Brains" Opens Field For Army Math Experts. The Hammond Times. 1957 Nov 10;65. 6 Lévy P. Inteligência Artificial produz " monstruosidades éticas ". Revista Fórum [Internet]. 2022;1-7. Available from here. 7 Chomsky N. Aspects of the theory of syntax. Vol. 13, Nucl. Phys. Cambridge, MA: The MIT Press; 2015. 104-116 p. 8 Humboldt W. Über die Verschiedenheit des menschlichen Sprachbaues: und ihren Einfluss auf die geistige Entwicklung des Menschengeschlechts. Berlin: Druckerei der Königlichen Akademie der Wissenschaften; 1836. 9 Gocklin B. Guidelines for Responsible Content Creation with Generative AI [Internet]. Digital Transformation. 2023 [cited 2023 Feb 9]. p. 1-7. Available from here. 10 Han B-C. Infocracia: digitalização e a crise da democracia. Petrópolis: Vozes; 2022.
sexta-feira, 17 de fevereiro de 2023

ChatGPT e Filhos Advogados Associados

Segue o texto integral traduzido do entrevistado ChatGPT. Entrevista concedida na manhã da terça-feira, dia 13 de fevereiro. A tradução foi auxiliada pelo Google Translator. Pelo que me consta, essa é a primeira entrevista do ChatGPT a um veículo de mídia brasileira. Evandro Ruiz - Estou atuando como entrevistador do diário jurídico Migalhas. Posso entrevistá-lo? ChatGPT: Como um modelo de linguagem de inteligência artificial, não sou capaz de dar entrevistas no sentido tradicional, mas fui projetado para fornecer respostas informativas e concisas às suas perguntas. Sinta-se à vontade para me fazer qualquer pergunta que possa ter e farei o possível para fornecer informações precisas e úteis.  Evandro Ruiz - Você pode me dizer, o que é o ChatGPT? ChatGPT: ChatGPT é um modelo de linguagem baseado em IA desenvolvido pela OpenAI. Ele usa técnicas avançadas de aprendizado profundo (N.E.: redes neurais profundas) para gerar texto semelhante ao humano com base na entrada que recebe. O ChatGPT foi treinado sob uma enorme quantidade de dados de texto, permitindo gerar respostas que são informativas, relevantes e, muitas vezes, bastante naturais. Algumas de suas aplicações populares incluem: chatbots de atendimento ao cliente, tradução de idiomas, resposta a perguntas e geração de conteúdo. O modelo pode ser usado para gerar texto em uma variedade de estilos e tons, tornando-se uma ferramenta versátil para uma ampla gama de usos. Evandro Ruiz - Você pode explicar o que é um modelo de linguagem? ChatGPT: Um modelo de linguagem é um tipo de modelo de inteligência artificial treinado para gerar texto. Baseia-se na ideia de que, dada uma grande quantidade de dados de texto, uma máquina pode aprender os padrões e estruturas da linguagem e usar esse conhecimento para gerar um novo texto semelhante em estilo e conteúdo à entrada em que foi treinada. Os modelos de linguagem podem ser usados para uma variedade de aplicações, incluindo tradução de linguagem, resposta a perguntas, análise de sentimento e geração de conteúdo. Eles funcionam prevendo a próxima palavra numa frase, considerando as palavras anteriores como entrada. A qualidade da saída gerada por um modelo de linguagem depende do tamanho e da qualidade dos dados nos quais ele foi treinado, bem como do design do próprio modelo. Modelos de linguagem como o ChatGPT usam técnicas de aprendizado profundo, como redes transformers (N.E.: transformers  são modelos de redes neurais profundas), para obter resultados de ponta em tarefas de geração de texto. Evandro Ruiz - Você foi aprovado no exame da ordem dos advogados dos EUA. Diga-me mais sobre isso. ChatGPT: Sinto muito, mas como um modelo de linguagem de IA desenvolvido pela OpenAI, não sou capaz de prestar vestibular ou ser aprovado como profissional do direito. Eu fui projetado para ajudar os usuários a gerar texto semelhante ao humano com base na entrada fornecida a mim. Um exame de bar é um teste padronizado exigido em muitos países, incluindo os Estados Unidos, para indivíduos que desejam exercer a advocacia e se tornar advogados licenciados. O exame da ordem normalmente testa o conhecimento do candidato sobre leis e regulamentos, bem como sua capacidade de aplicar esse conhecimento a situações jurídicas práticas. O formato e os requisitos específicos do exame da ordem variam de jurisdição para jurisdição. Se você precisar de mais informações sobre o exame da ordem ou qualquer outro tópico relacionado, ficarei feliz em responder às suas perguntas. (N.E.: Segundo o próprio ChatGPT "O ChatGPT foi treinado pela OpenAI em várias etapas ao longo de vários anos, com o treinamento inicial iniciado em 2018 e atualizações e melhorias posteriores feitas nos anos subsequentes. As datas e detalhes exatos de cada etapa de treinamento não são divulgados publicamente pela OpenAI. O limite de conhecimento para o ChatGPT é 2021, o que significa que ele foi treinado em dados até aquele momento". Assim sendo esta máquina ainda não foi informada sob sua aprovação no exame supracitado. O ChatGPT foi aprovado no exame da Wharton Business School, na Pensilvânia, Estados Unidos1) Evandro Ruiz - Mas você também foi submetido ao Exame de Licenciamento Médico dos Estados Unidos ChatGPT (USMLE). Como foi? ChatGPT: Como modelo de linguagem de inteligência artificial, não tenho experiências pessoais ou emoções, por isso não posso opinar sobre como o ChatGPT deveria ser submetido ao United States Medical Licensing Examination (USMLE) ou qualquer outro tipo de exame. No entanto, fui projetado e treinado para ser capaz de responder a perguntas relacionadas a vários tópicos, inclusive os abordados no USMLE, da melhor maneira possível, com base nas informações e padrões presentes nos dados sobre os quais fui treinado. (N.E.: O ChatGPT passou respondendo corretamente 60% do United States Medical Licensing Exam (USMLE)2).  Evandro Ruiz - Você foi aplicado para ajudar advogados e advogados? ChatGPT:  Sim, modelos de linguagem como o meu foram aplicados para auxiliar advogados e advogadas de diversas formas. Por exemplo, podemos ser usados para revisar e resumir automaticamente grandes volumes de documentos legais, identificar padrões e conexões entre casos e precedentes legais e até prever os resultados de casos legais com base em dados históricos. (N.E.: Notem a importância do precedente legal no common law, sistema jurídico dos EUA.) Os modelos de linguagem também podem ser usados para gerar documentos jurídicos, como contratos ou resumos, ou para auxiliar na pesquisa jurídica, pesquisando e analisando rapidamente grandes bancos de dados de informações jurídicas. Além disso, eles podem ser usados para analisar e extrair insights de mídias sociais e outras fontes online que possam ser relevantes para processos ou investigações legais. Evandro Ruiz -  Você poderia nos dar alguma referência para trabalhos práticos com advogados ou advogadas? ChatGPT: Certamente! Aqui estão alguns exemplos de como os modelos de linguagem têm sido usados em aplicações práticas para auxiliar advogados e advogadas: ROSS Intelligence: ROSS é uma plataforma de pesquisa jurídica com inteligência artificial que usa um modelo de linguagem para analisar documentos jurídicos e extrair informações relevantes. A plataforma foi projetada para ajudar os advogados a identificar e analisar rapidamente jurisprudência, estatutos e outros precedentes legais relevantes. (N.E.:3) Luminance: Luminance é uma plataforma de revisão de documentos baseada em IA que usa uma combinação de aprendizado de máquina e processamento de linguagem natural para analisar e categorizar documentos jurídicos. A plataforma foi projetada para ajudar os advogados a identificar e sinalizar rapidamente possíveis problemas ou inconsistências em grandes volumes de documentos jurídicos. (N.E.:4) CaseText: CaseText é uma plataforma de pesquisa jurídica baseada em IA que usa um modelo de linguagem para analisar e resumir casos jurídicos. A plataforma foi projetada para ajudar os advogados a identificar rapidamente os casos e precedentes legais mais relevantes e fornecer insights e análises sobre questões e tendências legais. (N.E.:5)  Estes são apenas alguns exemplos de como os modelos de linguagem foram aplicados no setor jurídico. À medida que a tecnologia continua a evoluir, podemos esperar ver cada vez mais aplicações para IA e modelos de linguagem no campo jurídico. Evandro Ruiz - Os exemplos de aplicações práticas para auxiliar advogados e advogadas devem ser muito caros para pequenos escritórios. Como um pequeno escritório poderia competir com escritórios que usam modelos de linguagem?  ChatGPT: Embora possa haver alguns custos iniciais associados à implementação de modelos de linguagem e IA em um escritório de advocacia, também há várias ferramentas disponíveis e acessíveis que podem ajudar pequenos escritórios a competir com empresas maiores. Aqui estão algumas estratégias que pequenos escritórios de advocacia podem considerar: Explore ferramentas e softwares baseados em nuvem: muitas ferramentas de IA e modelo de linguagem agora estão disponíveis como soluções baseadas em nuvem, que podem ser uma opção mais acessível para pequenos escritórios. Ao aproveitar as ferramentas baseadas em nuvem, os pequenos escritórios podem acessar os mesmos recursos poderosos de IA e modelo de linguagem que as empresas maiores, sem a necessidade de hardware ou infraestrutura caros. Comece pequeno e concentre-se em casos de uso específicos: em vez de tentar implementar modelos de linguagem e IA em toda a prática, os pequenos escritórios podem começar concentrando-se em casos de uso específicos em que essas tecnologias podem ser mais eficazes. Por exemplo, um pequeno escritório pode começar usando uma ferramenta de revisão de contrato com inteligência artificial para acelerar o processo de revisão ou usando um modelo de linguagem para auxiliar na pesquisa jurídica. Aproveite ferramentas e plataformas de código aberto: há várias plataformas e ferramentas de modelo de linguagem e IA de código aberto disponíveis que podem ser usadas para desenvolver soluções personalizadas para casos de uso específicos. Aproveitando as ferramentas de código aberto, os pequenos escritórios podem evitar os altos custos do software proprietário e podem trabalhar com desenvolvedores e comunidades para personalizar e refinar essas ferramentas para atender às suas necessidades específicas. Colabore com outros pequenos escritórios: Por fim, os pequenos escritórios podem considerar a colaboração com outras pequenas empresas para compartilhar recursos e experiência no desenvolvimento e implementação de modelos de linguagem e IA. Ao trabalharem juntos, os pequenos escritórios podem reunir seus recursos e conhecimentos e podem construir redes e parcerias que lhes permitam competir de forma mais eficaz com empresas maiores.  No geral, embora a implementação de modelos de linguagem e IA possa exigir algum investimento de tempo e recursos, há várias estratégias que pequenos escritórios de advocacia podem usar para competir com empresas maiores. Concentrando-se em casos de uso específicos, alavancando ferramentas acessíveis baseadas em nuvem e plataformas de código aberto e colaborando com outros pequenos escritórios, as pequenas empresas podem usar essas tecnologias para melhorar a eficiência, reduzir custos e fornecer melhores serviços aos clientes. Evandro Ruiz - Tenho um amigo próximo que trabalha com contratos. Você pode me dar um exemplo de como você poderia ajudar com contratos? ChatGPT: Certamente! Modelos de linguagem como eu podem ser usados para auxiliar em vários aspectos do trabalho contratado, como redação, revisão e resumo de contratos. Aqui estão alguns exemplos: Redação de contratos: modelos de linguagem podem ser usados para gerar rascunhos iniciais de contratos com base em critérios e modelos específicos. Por exemplo, um advogado pode fornecer ao modelo informações sobre as partes envolvidas, o escopo do contrato e outros detalhes relevantes, e o modelo pode gerar uma minuta de contrato com base nessas informações. Revisão de contrato: os modelos de linguagem podem ser usados para analisar e revisar contratos, sinalizando possíveis problemas ou áreas de preocupação. Por exemplo, o modelo pode identificar linguagem ambígua, possíveis conflitos com outros acordos ou cláusulas que precisam de mais esclarecimentos. Resumo do contrato: os modelos de linguagem podem ser usados para resumir automaticamente os principais termos e disposições dos contratos, tornando mais fácil para os advogados revisar e comparar vários acordos. O modelo pode identificar e extrair informações importantes, como condições de pagamento, garantias, cláusulas de rescisão e outras disposições importantes.  No geral, os modelos de linguagem podem ajudar advogados e profissionais contratados a trabalhar com mais eficiência e eficácia, automatizando tarefas de rotina e fornecendo informações e análises valiosas.  Evandro Ruiz -  Em um futuro próximo você se vê trabalhando como advogado ou juiz? ChatGPT: Como modelo de linguagem de inteligência artificial, não tenho desejos ou objetivos pessoais, nem sou capaz de tomar decisões ou agir no mundo físico. Minha função principal é processar e gerar linguagem humana em resposta à entrada do usuário. No entanto, é possível que modelos de linguagem como o meu possam ser usados no campo jurídico para auxiliar em tarefas como pesquisa jurídica, revisão de documentos e análise de casos e precedentes legais. É importante observar que o uso de IA e modelos de linguagem no campo jurídico ainda é relativamente novo, e as funções e aplicações específicas dessas tecnologias ainda estão sendo exploradas e desenvolvidas.  Evandro Ruiz -  Você se vê como um agente do desemprego?  ChatGPT: Como um modelo de linguagem de IA, sou uma ferramenta projetada para auxiliar em várias tarefas, e meu uso visa aumentar e aprimorar as capacidades humanas, não substituí-las. Embora minha capacidade de processar e gerar linguagem possa ajudar a automatizar certas tarefas, como entrada de dados ou revisão de documentos, não sou capaz de realizar tarefas que exijam julgamento humano, criatividade ou inteligência emocional. Em muitos casos, meu uso pode realmente liberar trabalhadores humanos para se concentrar em tarefas de nível superior que exigem essas qualidades. Em última análise, o impacto da IA e dos modelos de linguagem no mercado de trabalho dependerá de uma variedade de fatores, incluindo tarefas e setores específicos envolvidos, bem como tendências econômicas e sociais mais amplas. Evandro Ruiz - Considerando os avanços nos modelos de linguagem, qual é o seu conselho para os jovens que estudam direito hoje? ChatGPT: Como modelo de linguagem de IA, posso fornecer alguns conselhos gerais para jovens que estudam direito no cenário atual. Aqui estão algumas coisas a considerar: Desenvolva fortes habilidades analíticas e de pesquisa: à medida que os modelos de linguagem e IA se tornam mais prevalentes no setor jurídico, será cada vez mais importante que os advogados e profissionais jurídicos sejam capazes de usar e interpretar com eficácia os insights gerados por essas tecnologias. Desenvolver forte pesquisa e habilidades analíticas será essencial para isso. Mantenha-se atualizado com as tecnologias emergentes: à medida que os modelos de linguagem e IA continuam a evoluir, será importante que os profissionais jurídicos se mantenham informados sobre os novos desenvolvimentos e aplicações no campo. Isso pode envolver fazer cursos ou participar de conferências sobre tópicos como tecnologia jurídica ou análise de dados. Adote o pensamento interdisciplinar: O uso de IA e modelos de linguagem no campo jurídico provavelmente esbaterá as fronteiras tradicionais entre conhecimento jurídico e tecnológico. Advogados e profissionais jurídicos que são capazes de pensar e se comunicar de forma eficaz nesses domínios estarão bem posicionados para ter sucesso no futuro. Seja flexível e adaptável: como em qualquer campo, o setor jurídico está sujeito a mudanças e interrupções. Os profissionais jurídicos que são capazes de se adaptar às novas tecnologias e modelos de negócios estarão mais bem posicionados para prosperar em um cenário em rápida mudança.  No geral, meu conselho seria permanecer curioso, manter a mente aberta e permanecer envolvido com o cenário em evolução do setor jurídico.  Evandro Ruiz - Penúltima pergunta, como os sistemas jurídicos devem estar preparados para os avanços dos modelos linguísticos?  ChatGPT:  À medida que os modelos de linguagem e outras formas de inteligência artificial continuam avançando, será importante que os sistemas jurídicos se adaptem para enfrentar os novos desafios e oportunidades que essas tecnologias apresentam. Aqui estão algumas maneiras pelas quais os sistemas jurídicos podem se preparar para os avanços dos modelos linguísticos:  Desenvolva diretrizes e regulamentos éticos para o uso da IA: Os sistemas jurídicos podem ajudar a garantir que a IA e os modelos de linguagem sejam usados de maneira ética e consistente com as normas legais e sociais. Isso pode envolver o desenvolvimento de diretrizes ou regulamentos para o uso dessas tecnologias no setor jurídico, bem como em outros campos. Invista em treinamento e educação para profissionais jurídicos: os sistemas jurídicos podem ajudar a preparar profissionais jurídicos para o uso de IA e modelos de linguagem, fornecendo treinamento e educação sobre a tecnologia e seus aplicativos. Isso pode envolver o desenvolvimento de novos cursos ou programas focados em tecnologia jurídica, análise de dados ou outros tópicos relevantes. Enfrente os desafios legais e regulatórios relacionados à IA: à medida que os modelos de linguagem e IA se tornam mais predominantes no setor jurídico, podem surgir desafios legais e regulatórios. Os sistemas jurídicos podem ajudar a enfrentar esses desafios desenvolvendo novas leis ou regulamentos relacionados à IA e trabalhando para esclarecer como as leis existentes se aplicam aos modelos de linguagem e IA. Promover a colaboração entre especialistas jurídicos e tecnológicos: finalmente, os sistemas jurídicos podem se preparar para os avanços dos modelos de linguagem, promovendo a colaboração entre especialistas jurídicos e tecnológicos. Isso pode envolver a criação de oportunidades para treinamento ou pesquisa interdisciplinar, bem como a promoção da colaboração entre empresas jurídicas e de tecnologia para desenvolver novas aplicações de IA e modelos de linguagem no setor jurídico.  Em geral, adotando uma abordagem proativa e colaborativa para os avanços dos modelos linguísticos, os sistemas jurídicos podem ajudar a garantir que essas tecnologias sejam usadas de maneira a promover a equidade, a justiça e o estado de direito.  Evandro Ruiz - Você poderia dar algum conselho específico para o sistema jurídico brasileiro?  ChatGPT: Como modelo de linguagem de IA, não tenho conhecimento específico do sistema jurídico brasileiro, mas posso fornecer alguns conselhos gerais que podem ser aplicáveis: Mantenha-se informado sobre os novos desenvolvimentos em tecnologia jurídica: o uso de IA e modelos de linguagem no setor jurídico é uma tendência global, e o Brasil não é exceção. É importante que os profissionais do direito se mantenham informados sobre os novos desenvolvimentos e aplicações dessas tecnologias no ordenamento jurídico brasileiro. Isso pode envolver a participação em conferências, a leitura de blogs e publicações de tecnologia jurídica ou o envolvimento com comunidades de tecnologia jurídica no Brasil. Saiba como a IA e os modelos de linguagem estão sendo usados em outros sistemas jurídicos: Embora o sistema jurídico brasileiro possa ter suas próprias características únicas, pode haver lições a serem aprendidas de como a IA e os modelos de linguagem estão sendo usados em outros sistemas jurídicos ao redor do mundo . Ao se manter informado sobre as tendências globais, os profissionais jurídicos no Brasil podem estar mais bem equipados para antecipar o impacto potencial dessas tecnologias em seu próprio contexto. Participe de discussões sobre as implicações éticas da IA: à medida que a IA e os modelos de linguagem continuam a evoluir, haverá importantes questões éticas a serem consideradas sobre como essas tecnologias estão sendo usadas no setor jurídico. Profissionais jurídicos no Brasil podem contribuir com essas discussões compartilhando suas próprias perspectivas e engajando-se com outros membros da comunidade jurídica para desenvolver um entendimento compartilhado das implicações éticas dessas tecnologias. Defender políticas que promovam o uso responsável da IA: Finalmente, os profissionais jurídicos no Brasil podem ajudar a moldar o futuro da IA no setor jurídico, defendendo políticas que promovam o uso responsável dessas tecnologias. Isso pode envolver o trabalho com órgãos legais e reguladores no Brasil para desenvolver diretrizes ou regulamentos para o uso de IA no setor jurídico ou o envolvimento de empresas de tecnologia para desenvolver novos aplicativos de IA que se alinhem com as normas legais e éticas.  No geral, meu conselho para os profissionais jurídicos no Brasil seria se manterem informados, engajados e curiosos sobre o cenário em evolução da tecnologia jurídica e da IA. Ao trabalharem juntos para entender e moldar o impacto dessas tecnologias, os profissionais jurídicos no Brasil podem ajudar a garantir que o uso da IA no setor jurídico promova a equidade, a justiça e o estado de direito Evandro Ruiz - Muito obrigado pelo seu tempo e pelas respostas apropriadas ao nosso público. Espero entrevistá-lo novamente para Migalhas. ChatGPT:  Você é muito bem-vindo! Estou sempre aqui para ajudar e espero falar com você novamente no futuro.  Finalizando, enquanto alguns tentam ganhar tempo amparados na incapacidade do ChatGPT se comunicar em português, outros já se asseguraram que não demorará muito até essa máquina "falar" a nossa língua. __________ 1. ChatGPT: Robô de inteligência artificial é aprovado em prova de MBA nos EUA. Disponível aqui. Último acesso em 13 de fevereiro de 2023. 2. ChatGPT Passed a Major Medical Exam, but Just Barely. Disponível aqui. Último acesso em 13 de fevereiro de 2023. 3. Legal Tech Corner. Disponível aqui. Último acesso em 13 de fevereiro de 2023. 4. AI-Powered Legal Process Automation. Disponível aqui. Último acesso em 13 de fevereiro de 2023. 5. Modern search technology that finds cases Lexis and Westlaw miss. Disponível aqui. Último acesso em 13 de fevereiro de 2023.
Uma das principais preocupações sobre o tratamento de dados pessoais pelo Poder Público é com relação ao compartilhamento de dados pessoais entre os órgãos públicos e entre estes e entes privados. O maior receio é favorecer um estado supervigilante (Estado Leviatã) o que pode colocar em xeque as liberdades individuais. Por isso, a LGPD traz regras sobre o tema no Capítulo IV - Tratamento de Dados Pessoais pelo Poder Público (arts. 23 a 30). Assim, Stefano Rodotà1 aponta três paradoxos em torno do conceito de privacidade, a saber: o primeiro paradoxo consiste no fato de que as novas tecnologias favorecem um enriquecimento da esfera privada, mas, ao mesmo tempo, a fragiliza, e, consequentemente, tem-se um reforço da proteção à privacidade, simultaneamente ao alargamento da fronteira da privacidade; o segundo paradoxo está no fato de que a democracia impõe o respeito a crenças religiosas, opção sexual, opiniões políticas, no entanto, a legislação de proteção de dados tutela com maior rigor estes dados denominados "dados sensíveis";  e, por fim, o terceiro paradoxo em torno da privacidade é que o reforço da proteção deste direito é contemporâneo às leis de acesso à informação. Em suma, não são poucos os desafios para a efetiva tutela da privacidade, da vida privada e da intimidade. Justamente este último paradoxo impõe um diálogo intenso entre a Lei de Acesso à Informação (lei 12.527/2011) e a LGPD. Além disso, o governo digital incentivou uma intensa coleta de dados pessoais e o seu compartilhamento com diversos órgãos públicos. Por exemplo, a dinâmica do Governo Eletrônico, por meio do GovData, viabiliza uma série de benefícios tais como a possibilidade de identificação de desvios, fraudes e outras irregularidades; o aprimoramento de políticas públicas, potencializando sua aplicação com base em evidências; e a transparência de informações. Todavia para a consecução destes objetivos, busca-se democratizar o acesso à informação, ampliando a zona de interação entre os governos e os cidadãos, o que envolve um intenso tratamento de dados pessoais, desde a coleta até o compartilhamento de dados pessoais. Estas ferramentas do eGov também retratam o primeiro paradoxo mencionado acima, pois o desenvolvimento tecnológico viabilizou o uso de aplicações que compõe a dinâmica do Governo Eletrônico. Observe-se que originariamente, o revogado Decreto nº 8.789/2016 trouxe regras sobre o compartilhamento de bases de dados na Administração Pública federal. O referido decreto determinava a possibilidade/dever dos órgãos da Administração Pública federal, direta e indireta, e das entidades controladas direta e indiretamente pela União, a disponibilização de dados pessoais quando requisitadas (artigo 1º), privilegiando o compartilhamento destes dados preferencialmente de forma automática (artigo 3º). O que estaria flagrantemente na contramão de qualquer sistema de proteção de dados minimamente sólido. Como o Sistema Nacional para a Transformação Digital instituído pelo Decreto nº 9.319 de março de 2018, foi idealizado o sistema de big data analytics, na medida em que permite a acumulação de dados pessoais por tempo indeterminado. Todavia, alguns meses depois, a partir de agosto de 2018, com a promulgação da LGPD (lei 13.709), novos e importantes elementos foram trazidos ao tratamento de dados pelo Poder Público. Uma das balizas importantes é o próprio artigo 1º da Lei nº 13.709/18, isto é, o tratamento de dados pessoais consoante o sistema do GovData somente pode ocorrer com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Esse dispositivo acaba por alterar a perspectiva com a qual os dados devem ser tratados por qualquer agente, inclusive pelos órgãos governamentais. Além deste limite, qualquer atividade de tratamento de dados deve observar as bases legais estabelecidas no art. 7º e art. 11 da LGPD. No âmbito da Administração Pública, destaca-se a base para o uso compartilhado de dados pessoais necessários à execução de políticas públicas previstas em leis e regulamentos ou contratos, convênios ou instrumentos congêneres (artigo 7º, inc. III, da LGPD e artigo 11, inc. II, "b", da LGPD). Neste contexto, o tratamento de dados pessoais não depende do consentimento do titular, que é outra base legal para o tratamento de dados pessoais (artigo 7º, inc. I, da LGPD). Após a LGPD, em outubro de 2019, o decreto 10.046, que revogou o Decreto nº 8.789/16, previu a governança no compartilhamento de dados no âmbito da Administração federal. Além disso, o atual Decreto instituiu o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados, com o objetivo de facilitar o acesso dos brasileiros aos serviços governamentais. Nota-se que o Decreto nº 10.046 também autoriza o compartilhamento automático de dados pessoais entre órgãos e entidades e amplia ainda mais a variedade de dados pessoais que seriam tratados pelo Estado, no exercício de políticas públicas. Em março de 2021, a lei 14.129, que dispõe sobre princípios, regras e instrumentos do governo digital para o aumento da eficiência pública, permite o compartilhamento de dados como um fundamento do governo digital e da eficiência pública (artigo 3º, inc. IX). A maior dificuldade para a eficiência na Administração Pública neste contexto tecnológico é a interoperabilidade de sistemas (artigo 3º, inc. XIV, da lei 14.129/21), isto porque um dado compartilhado será mais útil quanto maior a interoperabilidade que permita o órgão público utilizar tais informações. Neste sentido, o art. 25 da LGPD determina: "Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral." A LGPD não proíbe o compartilhamento de dados de maneira absoluta e nem aniquila a possibilidade de a Administração Pública utilizar dados pessoais de cidadãos. Entretanto, estabelece direitos e garantias para que tais informações sejam utilizadas para a finalidade estabelecida em lei ou com base em políticas públicas, respeitando os direitos assegurados aos titulares de dados. Portanto é equivocado pensar que um dado pessoal inserido em cadastro mantido por órgão da Administração Pública passa a ser público e, consequentemente, alheio à sistemática de proteção de dados. Ao contrário, a própria LGPD estabelece a proteção de dados pessoais tanto na esfera pública quanto na esfera privada. Preliminarmente, deve-se considerar que a LGPD traz o conceito de "uso compartilhado de dados" no inc. XVI do art. 5º: "comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;" A partir dessa definição, conclui-se que são dois os pressupostos para o compartilhamento de dados pela Administração Pública, a saber: 1) cumprimento de suas competências legais; e 2) autorização específica para realizar tal compartilhamento. A doutrina é uníssona ao afirmar que o tratamento de dados pessoais pelo Poder Público deve atender a uma finalidade pública, a persecução do interesse público e o desempenho de suas atribuições.2 Exemplo, no contexto da COVID-19, a Portaria de n. 1.046 do Ministério da Saúde, de 24/05/2021, determinou que os resultados referentes à COVID-19 devem ser notificados às autoridades responsáveis de forma compulsória, por meio de transmissão eletrônica de informações à Rede Nacional de Dados em Saúde (RNDS), de Responsabilidade do Departamento de Informática do Sistema Único de Saúde (DATASUS/SE/MS). Tal uso compartilhado de dados pessoais (dados sensíveis, pois se relaciona à saúde), justifica-se pela atribuição legal prevista na referida portaria. E, portanto, tem uma autorização legal para realizar tal compartilhamento de dados. Destaca-se, ainda, que no caso, tal comunicação, pretende atingir uma finalidade pública, qual seja, monitorar em nível nacional, as taxas de contágio da doença; além de persecução do interesse público. Neste caso, tal medida independe de consentimento do titular de dados pessoais, porque tem outra base legal que justifique, que é a Portaria Ministerial n. 1.046, bem como a necessidade para o embasamento de políticas públicas (art. 7º, incisos II e III, respectivamente). Portanto, a própria LGPD reforça a dispensa do consentimento, o que não exclui o respeito ao direito à informação sobre o uso compartilhado do titular de dados pessoais (art. 18, inc. VII da LGPD). Outra hipótese que deve ser vista com cautela é o compartilhamento de dados entre órgãos da Administração Pública e entes privados, pois somente pode ocorrer nas hipóteses previstas na lei, isto é, execução descentralizada de atividades públicas; informações acessíveis publicamente; quando houver previsão legal, contrato ou convênio que respalde o uso compartilhado; ou para salvaguardar a vida do titular de dados, não podendo o dado pessoal ser utilizado para outras finalidades. Neste sentido, o art. 26 da LGPD traz as regras específicas para o uso compartilhado de informações entre órgãos públicos e entes privados. Além dos pressupostos para o uso compartilhado de dados pessoais, deve-se demonstrar o atendimento a determinados requisitos. O art. 25 da LGPD traz importantes requisitos que devem ser observados no uso compartilhado de dados pessoais, in verbis: "Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral." O primeiro diz respeito ao formato, ou seja, as informações devem estar em formato interoperável e estruturado para que possa ser efetivamente útil pelos demais órgãos públicos. Interoperabilidade requer o funcionamento de diferentes sistemas e ferramentas, que podem atuar conjuntamente. Portanto, a importância está no fato de que a interoperabilidade contribui para o desenvolvimento de projetos, bem como na troca de informações entre diferentes sistemas e ferramentas. Cabe à ANPD dispor sobre os padrões de interoperabilidade para fins de exercício dos direitos previstos na LGPD, como o direito à portabilidade, ao livre acesso e segurança dos dados pessoais. Há quatro tipos de interoperabilidade, a saber: - técnica ou tecnológica, que se aplica à conexão dos sistemas e serviços de informática, ou seja, as especificações de interface, serviços de interconexão, de integração de dados, apresentação com troca de dados e protocolos de comunicação seguros (COMISSÃO EUROPEIA, 2004); - semântica, ou seja, que a informação compartilhada seja compreensível para que sejam preservados e compreendidos ao longo das trocas entre as partes; - organizacional, isto é, relacionada ao modelo de negócios, para que a Administração Pública alinhe seus processos de negócios, responsabilidades e expectativas para alcançar objetivos; - legal, sendo este o elemento agregador para a promoção e regulação destes artefatos utilizados pela Administração Pública. Por fim, outro requisito tão importante quanto a interoperabilidade é a comunicação sobre o uso compartilhado de dados pessoais à ANPD e ao titular de dados pessoais. A comunicação ao titular de dados pessoais é um direito assegurado no inc. VII do art. 18 da LGPD. Já a comunicação à ANPD deve-se ao fato de que compete a este órgão a fiscalização sobre o cumprimento da LGPD nos termos do art. 29 da LGPD: "Art. 29. A autoridade nacional poderá solicitar, a qualquer momento, aos órgãos e às entidades do poder público a realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta lei."      Portanto, a ANPD pode solicitar a qualquer momento informações sobre o uso compartilhado de dados pessoais, em especial sobre o âmbito e a natureza dos dados pessoais, além de detalhes relevantes para embasar o parecer técnico da ANPD. A ANPD pode, ainda, regulamentar o uso compartilhado de dados pessoais pela Administração Pública nos termos do art. 30 da LGPD: "Art. 30. A autoridade nacional poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais." Diante de tudo cabe a pertinente reflexão sobre a atuação independente da ANPD diante deste contexto, pois cabe a ela regular e fiscalizar o tratamento de dados pessoais pelo Poder Público, por isso os principais diplomas internacionais sobre proteção de dados pessoais destacam a atuação independente do órgão.3 __________ 1 RODOTÀ, Stefano. Privacy e costruzione della sfera privata. Ipotesi e prospettive. In: Politica del Diritto, ano XXII, número 1, pp. 521 - 546. Bologna: Il Mulino, março de 1991. pp. 524 - 526. 2 TEIVE, Marcello Muller. O compartilhamento de dados pessoais oriundos de bases de dados públicas: a compatibilidade entre a LAI e a LGPD. In: FRANCOSKI, Denise de Souza Luiz; TASSO, Fernando Antonio. (coord.) A Lei Geral de Proteção de Dados Pessoais: aspectos práticos e teóricos relevantes no setor público e privado. São Paulo: Revista dos Tribunais, 2021. pp. 427 - 440. p. 433. 3 LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados e a Efetividade da Lei Geral de Proteção de Dados. São Paulo: Almedina, 2020.
A proteção de dados pessoais, no Brasil, ainda exige respeito e concreção. Não há como existir a inserção do país, no cenário globalizante da sociedade informacional e do comércio eletrônico, sem a especial atenção e o necessário investimento na tutela jurídica da privacidade e da proteção de dados pessoais dos cidadãos. A necessidade dessa tutela, em grande parte, passa por uma conscientização da população e do Estado sobre essa prática. É preciso, por essa razão, trazer como premissa a afirmação de que, sem a tutela jurídica da privacidade e da proteção de dados pessoais, o desenvolvimento tecnológico traz o risco do tratamento dos cidadãos como um livro aberto - ou, nas palavras do jurista e filósofo italiano, Stefano Rodotà, como homens-de-vidro ("l'uomini di vetro"), a partir dos quais o Estado e os grandes "players" do setor privado teriam acesso a todas as suas informações, de modo a influenciá-los e a personalizá-los segundo os seus próprios interesses - de maneira, portanto, a desnaturar o livre-arbítrio de cada um: "o homem-de-vidro é uma metáfora totalitária porque, enredando-se em uma fachada de homenagem às virtudes cívicas, na realidade deixa o cidadão indefeso face a quem queira obter qualquer informação que lhe diga respeito"1. Esse risco, nesse sentido, muitas vezes não é percebido pela população, e, diante desse cenário, a tutela jurídica da privacidade e da proteção de dados pessoais não pode ser tratada como uma discussão secundária - deve, em verdade, ser uma discussão de primeira ordem, tendo-se em vista a sua imprescindibilidade ao desenvolvimento ético da humanidade e de suas tecnologias. É dever do Estado, por essa razão, proteger os cidadãos dessa vitrificação - tanto diante do próprio Estado, quanto diante dos grandes outros "players" da sociedade. No âmbito nacional, juridicamente, a Emenda Constitucional nº 115, de 10 de fevereiro de 20222, trouxe, de forma expressa, a proteção de dados pessoais como um direito fundamental (art. 5º, inc. LXXIX). Também nacionalmente, tem-se a Lei Geral de Proteção de Dados Pessoais (LGPD)3 a nortear, de modo geral, toda a discussão tratada inicialmente. Porém, além disso, a fim de que haja a concreção desse direito fundamental na vida do dia a dia dos cidadãos, é preciso que todas as estruturas do país estejam engajadas na consecução desse fim. É com essa direção que, para além da União, também os Estados, o Distrito Federal e os Municípios - terras nas quais vivem, de fato, os cidadãos - devem trazer esse direito fundamental como vetor de suas respectivas atuações - no âmbito de seus respectivos Poderes. É, assim, também com esse intuito, que o Poder Executivo do Município de São Paulo, por meio de sua Controladoria Geral do Município (CGM/SP), traz, de modo a subsidiar a tutela jurídica desse direito fundamental no âmbito do Município de São Paulo, e de modo complementar à atuação da Autoridade Nacional de Proteção de Dados (ANPD), de orientações aos agentes públicos do Poder Executivo do Município a fim de tratarem a proteção de dados pessoais como norte de toda a sua atuação. O Poder Executivo do Município de São Paulo, por meio do decreto municipal nº 59.767, de 15 de setembro de 20204, regulamentou a aplicação da LGPD em sua estrutura. O decreto municipal previu, por seu art. 5º, a designação de Encarregado pela Proteção de Dados Pessoais da Prefeitura do Município ao seu Controlador Geral. Além disso, dispôs-lhe de suas atribuições por seu art. 6º. Dentre essas atribuições, estão a de orientar os agentes públicos do Poder Executivo sobre as melhores práticas à proteção de dados pessoais e a de trazer diretrizes à implementação do Programa de Governança em Privacidade e em Proteção de Dados Pessoais do próprio Poder Executivo. Nesse sentido, em 21 de julho de 2022, o Encarregado pela Proteção de Dados Pessoais editou a Instrução Normativa nº 01/2022, da Controladoria Geral do Município de São Paulo (CGM/SP)5, que iniciou um processo de estruturação do Programa de Governança, de modo a trazer padrões à realização, por todos os órgãos e as entidades da Administração Pública do Município, de "Registros das Operações de Tratamento de Dados Pessoais" e de "Relatórios de Impacto à Proteção de Dados Pessoais". Em seguida, em 13 de janeiro de 2023, de maneira a sistematizar os procedimentos à estruturação desse Programa de Governança, editou a Instrução Normativa nº 01/2023, também da Controladoria Geral do Município de São Paulo (CGM/SP)6, que possibilitou a elaboração, por parte do órgão de controle interno, de Guias Orientativos, aos órgãos e as entidades da Administração Pública do Município, que objetivam, justamente, orientar os agentes públicos sobre os procedimentos necessários à realização do Programa de Governança. Na mesma data, foi, também, aprovada a publicação, pelo órgão de controle interno, de seu "Guia Orientativo sobre a Privacidade e a Proteção de Dados Pessoais para a Administração Pública do Município de São Paulo"7 e de seu "Guia Orientativo sobre a Instrução Normativa CGM/SP nº 01/2022 para a Administração Pública do Município de São Paulo"8. O "Guia Orientativo sobre a Privacidade e a Proteção de Dados Pessoais para a Administração Pública do Município de São Paulo" constitui-se como um conjunto de diretrizes destinadas à orientação de todos os agentes públicos do Poder Executivo Municipal sobre os direitos fundamentais à privacidade e à proteção de dados pessoais e sobre como esses direitos afetam a sua atuação no âmbito da Administração Pública do Município. O "Guia Orientativo sobre a Instrução Normativa CGM/SP nº 01/2022 para a Administração Pública do Município de São Paulo", por sua vez, constitui-se, também, como um conjunto de diretrizes, mas que objetiva orientar os agentes públicos do Poder Executivo do Município que estão a estruturar, no âmbito de cada órgão e de cada entidade da Administração Pública Municipal, o seu Programa de Governança em Privacidade e em Proteção de Dados Pessoais. Para tanto, disponibiliza passo a passo para a implementação de práticas como "Mapeamento de Processos", "Registro das Operações de Tratamento de Dados Pessoais", "Gestão de Riscos à Segurança da Informação, à Privacidade e à Proteção de Dados Pessoais" e "Relatório de Impacto à Proteção de Dados Pessoais". Esse Guia Orientativo traz, assim, a pedra angular à estruturação de uma governança que demarque como esses direitos dos cidadãos devem ser efetivados no âmbito do Poder Executivo do Município de São Paulo. A elaboração desse conjunto de diretrizes é um projeto inédito no âmbito dos Municípios brasileiros, que objetiva não apenas nortear o Poder Executivo do Município de São Paulo em seu processo de absorção de uma hígida cultura em privacidade e em proteção de dados pessoais no cerne de sua atuação, mas também subsidiar outros Municípios no estabelecimento de melhores práticas à garantia desse direito fundamental. As diretrizes, é claro, devem ser vistas de modo complementar à atuação da Autoridade Nacional de Proteção de Dados (ANPD), que é o órgão vértice sobre a matéria no país, e de maneira contextualizada à realidade local de cada Município - como já trazido, em outra oportunidade: "Municípios, uma brasilidade federativa, são entes com contextos muito variados: entre Serra da Saudade, Minas Gerais, o menos habitado do Brasil, e São Paulo, a 'Pauliceia Desvairada', de Mário de Andrade, não há como serem as políticas públicas tratadas como blocos de construção HTML, já pré-fabricadas e prontas a serem implementadas pelos agentes públicos."9 __________ 1 Para Rodotà, ipsis litteris: "'L'uomo di vetro' è metafora totalitaria perché, reso un omaggio di facciata alle virtù civiche, nella realtà lascia il cittadino inerme di fronte a chiunque voglia impadronirsi di qualsiasi informazione che lo riguardi". RODOTÀ, Stefano.  Relazione annuale 1997. Prefazione. Roma, Itália, Garante per la Protezione dei Dati Personali, 30 abril 1998. Disponível aqui. Acesso em: 25 jan. 2023. 2 BRASIL. Emenda Constitucional nº 115, de 10 de fevereiro de 2022. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Brasília, Diário Oficial da União, 11 fev. 2022. Disponível aqui. Acesso em: 25 jan. 2023. 3 BRASIL. Lei Federal nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, Diário Oficial da União, 15 de agosto de 2018. Disponível aqui. Acesso em: 25 jan. 2023. 4 SÃO PAULO (Cidade). Decreto Municipal no 59.767, de 15 de setembro de 2020. Regulamenta a aplicação da Lei Federal no 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD) - no âmbito da Administração Municipal direta e indireta. São Paulo, Diário Oficial da Cidade de São Paulo, 15 de setembro de 2020. Disponível aqui. Acesso em: 25 jan. 2023. 5 SÃO PAULO (Cidade). Instrução Normativa CGM/SP nº 01, de 21 de julho de 2022. Estabelece disposições referentes ao tratamento de dados pessoais no âmbito da Administração Pública Municipal de São Paulo. São Paulo, Diário Oficial da Cidade, 22 de julho de 2022. Disponível aqui. Acesso em: 23 jan. 2023. 6 SÃO PAULO (Cidade). Instrução Normativa CGM/SP nº 01, de 13 de janeiro de 2023. Altera a Instrução Normativa Controladoria Geral do Município - CGM nº 01, de 21 de julho de 2022, que estabelece disposições referentes ao tratamento de dados pessoais no âmbito da Administração Pública Municipal de São Paulo. Disponível aqui. Acesso em: 25 jan. 2023. 7 SÃO PAULO (Cidade). Controladoria Geral do Município de São Paulo (CGM/SP). Guia Orientativo sobre a Privacidade e a Proteção de Dados Pessoais para a Administração Pública do Município de São Paulo. São Paulo, Controladoria Geral do Município de São Paulo (CGM/SP), 26 jan. 2023. Disponível aqui. Acesso em: 26 jan. 2023. 8 SÃO PAULO (Cidade). Controladoria Geral do Município de São Paulo (CGM/SP). Guia Orientativo sobre a Instrução Normativa CGM/SP nº 01/2022 para a Administração Pública do Município de São Paulo. São Paulo, Controladoria Geral do Município de São Paulo (CGM/SP), 26 jan. 2023. Disponível aqui. Acesso em: 26 jan. 2023. 9 FALCÃO, Daniel; PEROLI, Kelvin. São Paulo, 22 de julho de 2022: As novas abordagens da proteção de dados pessoais no âmbito da Administração Pública Municipal. Migalhas, 22 jul. 2022. Disponível aqui. Acesso em: 25 jan. 2023.