As leis de proteção de dados como vetores de salvaguarda no uso da inteligência artificial
O uso responsável e ético da inteligência artificial torna-se cada vez mais vital não somente para proteção dos direitos dos indivíduos, como para o desenvolvimento e o avanço das novas tecnologias que para triunfarem precisam estar apoiadas em métodos capazes de gerar confiança na sociedade.
sexta-feira, 14 de janeiro de 2022
Atualizado às 08:59
Na atual sociedade é incontestável reconhecermos os impactos trazidos pelo uso da inteligência artificial, seus benefícios e os riscos decorrentes das novas tecnologias e abordagens que buscam reproduzir a capacidade do pensamento humano para resolução de tarefas que até pouco tempo atrás eram consideradas de alta complexidade.
No dia a dia, podemos experienciar os seus resultados na área da saúde, para detecção precoce de doenças e diagnósticos precisos; na área de segurança pública, para identificação de infratores e criminosos; no marketing, para direcionamento de produtos e serviços aos consumidores assegurando maior assertividade no resultado das campanhas publicitárias; na área financeira, utilizada para análise de crédito com base nos hábitos do consumidor, entre inúmeras outras situações rotineiras.
A partir dos exemplos acima citados, se constata que a técnica atualmente predominante de Inteligência Artificial são os modelos de aprendizado de máquina - Machine Learning - a qual pressupõe uma interação da máquina com um grande volume de dados - Big Data - e que propiciam o aprendizado através do treinamento do algoritmo.
Portanto, é imprescindível para a tecnologia a utilização de dados, e em geral, em grande volume, sendo que estes dados em larga escala alimentam a inteligência artificial permitindo uma tomada de decisão mais precisa e fundamentada. Este aprendizado, por sua vez, possibilita a identificação de padrões que resultam na capacidade de classificar, prever e recomendar situações específicas. Utilizando os casos práticos referidos torna-se possível prever o risco de inadimplência em um empréstimo, recomendar um produto específico para consumo a partir do conhecimento do comportamento do indivíduo, e de classificar se um e-mail é ou não um spam.
Corolário lógico é a constatação de que os dados pessoais representam um insumo elementar para o desenvolvimento da tecnologia do aprendizado de máquina. Sendo assim, compreendemos que quando a inteligência artificial, através da técnica de aprendizado de máquina envolve dados pessoais, somos obrigatoriamente endereçados às leis protetivas de dados pessoais.
E, nesta linha de raciocínio, convém destacar a lei geral de proteção de dados - LGPD1 - e o Regulamento Europeu de Proteção de Dados - GDPR2 -, ambas com foco na regulação do tratamento de dados pessoais para que possamos analisar em quais pontos essas legislações se conectam com a Inteligência Artificial.
Essencial assinalarmos a relevância do Regulamento Europeu de Proteção de Dados no cenário internacional e que serviu como forte inspiração para a lei geral de proteção de dados, influenciando-a em muitos aspectos. Inobstante a LGPD e o GDPR não fazerem menção expressa à Inteligência Artificial ou qualquer tipo de tecnologia; as duas direcionam especial atenção ao processamento automatizado de dados em larga escala, contendo dispositivos específicos voltados a decisões automatizadas.
No que tange ao Regulamento Europeu em seus artigos 13 e 143 é concedido aos indivíduos o direito de serem informados sobre as decisões automatizadas, a lógica envolvida nas decisões e as consequências previstas ao titular em virtude do respectivo tratamento.
Em seu artigo 154 está previsto o direito dos titulares de obterem acesso às decisões automatizadas, fornecendo o Considerando 71 orientações interpretativas a respeito do direito de obtenção de uma explicação concernente a uma decisão exclusivamente automatizada. Já o direito de objeção ao tratamento de dados, especificamente perfis, está previsto no artigo 21. E, o direito à não sujeição a uma decisão exclusivamente automatizada, excetuando-se situações específicas encontra-se regulado no artigo 22 do Regulamento Europeu5.
Por fim, mas não menos importante, o artigo 356, exige que as organizações realizem Avaliação de Impacto da Proteção de Dados - DPIAs -, sempre que envolver perfil sistemático e extenso ou outra avaliação automatizada de dados pessoais.
Sob o olhar da LGPD, embora a norma legal não conceitue a definição de perfil, e não encontre dispositivo equivalente ao art. 22 do Regulamento Europeu7, cumpre assinalar o art. 12, & 2o. e art. 20, Caput da lei de proteção de dados8 e que conferem direitos aos titulares de dados a partir do profiling.
Fundamental tecermos algumas considerações acerca das decisões automatizadas em ambas as legislações, mesmo que de forma superficial, levando em conta a complexidade do assunto e a impossibilidade de maior aprofundamento no presente artigo.
O Regulamento Europeu, em seu artigo 229, assegura, em princípio, o direito de o indivíduo não ficar submetido exclusivamente a uma decisão automatizada que produza efeitos na esfera jurídica ou afete significativamente o titular dos dados. Contudo, prevê hipóteses em que os respectivos tratamentos são admissíveis, consoante disposto no item 2 do respectivo dispositivo legal.
Enfrentando o conceito de decisões exclusivamente automatizadas, mister estarmos cientes de que para que as decisões assim sejam caracterizadas é exigida a exclusão de qualquer influência humana no resultado. A contrário sensu, a caracterização de uma decisão híbrida, requer uma participação humana ativa e não meramente simbólica, conforme posicionamento do WP - Working Party 2910.
A título exemplificativo podemos citar como decisões integralmente automatizadas e com efeitos significativos sobre o indivíduo, a análise de uma solicitação de empréstimo on-line, onde a plataforma usa algoritmos e pesquisa de crédito automatizada para fornecer uma decisão imediata negativa ou positiva sobre a concessão do crédito.
No exemplo utilizado não houve nenhuma participação humana com capacidade e autoridade para alterar o resultado da decisão algorítmica. Evidente, também, os impactos da decisão desse resultado na esfera individual do indivíduo. Situação diferente ocorre, por exemplo, naqueles processamentos também de natureza exclusivamente automatizada, mas que não tem potencial de gerar efeitos significativos, tais como a recomendação de programas de televisão, decorrentes da análise prévia das preferências do titular.
Já a legislação nacional de proteção de dados - LGPD11 - ao tratar do referido tema não proíbe o tratamento de dados baseado em tomada de decisões exclusivamente automatizadas, mas garante o direito de revisão de decisões que afetem seus interesses, incluindo a definição de perfis.
Note-se que, apesar da LGPD não conter proibição expressa ao tratamento exclusivamente automatizado, esta prevê que possa ser revista mediante a afetação dos interesses do titular. Portanto, neste tópico, é mais abrangente que a GDPR, que requer efeitos na esfera jurídica ou similar.
Sendo assim, pacificada a compreensão de que a coleta e o uso de dados pessoais que alimentam o aprendizado de máquina largamente utilizado pela Inteligência Artificial se submetem às leis de proteção de dados ora referidas, impõe-se também reconhecer os desafios impostos em face dos princípios elencados no art. 6 da LGPD12. Em especial aos princípios da finalidade, necessidade e transparência os quais exigem que um tratamento seja realizado para um fim específico, informado e sem possibilidade de tratamento posterior de forma incompatível com a finalidade original, além da limitação do tratamento ao mínimo necessário às finalidades.
Sem sombra de dúvida, a garantia do cumprimento dos princípios norteadores das leis de proteção de dados no uso da inteligência artificial, dado o grande volume de dados tratados e a possibilidade de novos tratamentos que alteram o propósito original, representam um desafio ao qual devemos nos debruçar em prol de alcançarmos maior garantia à privacidade e proteção de dados dos indivíduos.
Tendo em vista que no cenário brasileiro ainda não contamos com uma lei específica regulando a Inteligência Artificial é possível concluirmos que as leis de proteção de dados constituem um vetor protetivo sobre a aplicação da inteligência artificial em processos decisórios, especialmente quando exercido na prática o princípio da transparência por parte do controlador provendo ao titular de dados os parâmetros utilizados no processo de tomada de decisão automatizada.
O uso responsável e ético da inteligência artificial torna-se cada vez mais vital não somente para proteção dos direitos dos indivíduos, como para o desenvolvimento e o avanço das novas tecnologias que para triunfarem precisam estar apoiadas em métodos capazes de gerar confiança na sociedade.
_____________
1.BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 08 jan. 2022.
2. GENERAL DATA PROTECTION REGULATION - GPDR. [Site institucional]. Disponível em: https://gdpr-info.eu/. Acesso em: 08 jan. 2022.
3. Ibidem.
4. Ibidem.
5. GENERAL DATA PROTECTION REGULATION - GPDR. [Site institucional]. Disponível em: https://gdpr-info.eu/. Acesso em: 08 jan. 2022.
6. Ibidem.
7. Ibidem.
8. BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 08 jan. 2022.
9. GPDR, loc. Cit.
10. EUROPEAN DATA PROTECTION BOARD - EDPB. Article 29 Working Party. Disponível em: https://edpb.europa.eu/about-edpb/more-about-edpb/article-29-working-party_en. Acesso em: 09 jan. 2022.
11. BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 08 jan. 2022.
12. BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 08 jan. 2022.
____________
BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 08 jan. 2022.
EUROPEAN DATA PROTECTION BOARD - EDPB. Article 29 Working Party. Disponível em: https://edpb.europa.eu/about-edpb/more-about-edpb/article-29-working-party_en. Acesso em: 09 jan. 2022.
GENERAL DATA PROTECTION REGULATION - GPDR. [Site institucional]. Disponível em: https://gdpr-info.eu/. Acesso em: 08 jan. 2022.
Eduardo Magrani
Doutor em Direito, Affiliate no Berkman Klein Center na Universidade de Harvard. Sócio do Demarest Advogados. Pós Doutor na Universidade Técnica de Munique (TUM) em Proteção de Dados e Inteligência Artificial. Presidente do Instituto Nacional de Proteção de Dados no Brasil. Colunista do MIT Tech Review.