A proteção de dados sucumbirá ao interesse público da inteligência artificial em governos?
O artigo chama atenção para o trade-off entre os benefícios públicos e os perigos da utilização massiva de dados dos cidadãos por sistemas de IA no setor público.
terça-feira, 2 de maio de 2023
Atualizado às 13:46
Ao mesmo tempo em que a regulação do uso de dados pessoais representa uma proteção aos direitos individuais - honra, privacidade, imagem e intimidade -, há inegável necessidade de conjugação da proteção desses direitos com demandas de interesse público igualmente relevantes.
A partir do manejo de bancos de dados pessoais em larga escala potencializam-se inúmeros benefícios à coletividade provenientes do avanço tecnológico no campo da medicina, da sustentabilidade, da mobilidade ou mesmo da maior eficiência do Estado no desempenho de suas funções.
A tecnologia pode viabilizar iniciativas de governos inteligentes1, cuja característica principal consiste no "uso efetivo de tecnologias [.] para a coleta, processamento e compartilhamentos de dados e informações que poderão ser usados para tomar melhores decisões e proporcionar melhor prestação de serviços públicos"2.
Em estudo a respeito do tema, LEE3 apresenta vários exemplos práticos de diferentes partes do mundo onde se observa a formulação de políticas públicas baseadas em evidências por meio do uso inovador de análises de big data e da IA. Em alguns países a IA tem sido empregada apesar dos bancos de dados ainda não possuírem volume necessário para que a sua capacidade se desenvolva plenamente. A ideia é agora aumentar o volume e a qualidade dos dados para permitir o desenvolvimento de IA em muitas aplicações de interesse público.
O problema é que, em áreas de grande transformação como a tecnologia, há uma dificuldade natural de estabelecer padrões normativos e limitações, o que pode significar a atuação dos agentes envolvidos em um espaço de "vazio regulatório". Ou seja, a evolução das técnicas e a velocidade da ampliação do potencial de coleta e tratamento de dados podem superar rapidamente a estrutura regulatória existente.
Não há dúvida acerca da importância de o poder público reservar para si a possibilidade de acessar dados e tratá-los com o uso de tecnologia e inteligência para o melhor desempenho de suas funções e de seus objetivos de políticas públicas.
Por outro lado, é necessário que o tratamento de dados seja regulado e controlado pelo sistema jurídico. O caso Snowden4- entre tantos outros - serviu para revelar quanto perigo pode haver em conferir ao poder público uma "carta branca" para requisitar qualquer tipo de informações de pessoas em bancos de dados mediante a invocação de algum interesse público em determinada situação.
O motivo de interesse público muitas vezes é visto como suficiente para dispensar uma autorização legal específica ou o consentimento do titular dos dados e obrigar o responsável pelo tratamento - empresas de tecnologia, p. ex., - a franquear livre acesso aos bancos de dados, às vezes de milhões de pessoas, para utilização pelas instituições do Estado.
O problema advém da fragmentação do próprio ecossistema de dados, caracterizado por múltiplas possibilidades de reutilização de "recursos não rivais"5. São bens passíveis de exploração para uma série de finalidades, nem sempre alinhadas com os valores democráticos, tais como a manipulação da informação ou a restrição da liberdade de expressão.
Na perspectiva das liberdades, aliás, o tratamento de dados com uso de sistemas de inteligência artificial pode colocar em risco questões mais básicas de privacidade dos cidadãos perante o Estado, diante da viabilidade de intenso monitoramento e vigilância das pessoas, tanto por parte das empresas que guardam os dados quanto dos Estados que podem ter acesso a eles. A polêmica no Brasil envolvendo a Medida Provisória 954/20 é sintomática em relação a esses riscos6.
Ainda mais, é bem possível que, por meio do tratamento massivo dos dados pessoais, o conjunto de informações coletadas - mesmo que anonimizadas - passem a compor um perfil estatístico que será utilizado para guiar as escolhas e decisões de políticas ou para incluir os indivíduos em determinadas categorias sociais.
Não sem razão, são recorrentes as discussões em torno dos efeitos colaterais do uso massivo de informações pessoais, como os riscos de perpetuar desigualdades e preconceitos na sociedade, uma vez que os algoritmos podem tirar conclusões erradas sobre identidades, comportamentos ou modo de aplicação das correlações decorrentes do tratamento dos dados, a partir inclusive de análise de dados sensíveis (saúde, raça, estado civil ou sexualidade).
Todo esse conhecimento acumulado sobre perfis, comportamentos e preferências pode ser utilizado até mesmo - em evidente desvio de finalidade - para manipular as pessoas, assim como tentar modificar suas crenças e opiniões. A realidade atual evidencia que a utilização dos dados pessoais por instituições públicas ou privadas pode ser apropriada por interesses particulares ou escusos, através da manipulação de comportamentos involuntários de usuários de dispositivos digitais.
Além de um aprofundamento de uma concentração de poder, o uso de dados pessoais por grandes controladores pode gerar condutas discriminatórias. Isso demonstra como os detentores da tecnologia e aqueles que se utilizam dela para gerir bancos de dados - inclusive o poder público - têm o potencial de modular as vidas dos cidadãos, até mesmo em termos de políticas públicas, com base na análise de grande volume de dados coletados.
A confirmar a relevância do tema, basta notar que os debates mais atuais sobre IA se preocupam fortemente com o uso dessa tecnologia, tanto no setor privado quanto no setor público7. Orienta-se, p. ex., a definição de uma meta de benefício público que funcione como uma espécie de "âncora" para a utilização do sistema de IA, com respeito aos princípios da não discriminação, igualdade de tratamento e proporcionalidade. A realização de avaliações de impacto da IA deve ser feita no início do processo. Outra importante orientação é a maximização da transparência na tomada de decisões da IA. Para isso, orienta medidas que incentivem a "explicabilidade" e a "interpretabilidade" dos algoritmos, de modo a evitar sistemas de IA e algoritmos "lock-in" e "black box". Além disso, propõe recomendações para alocação de riscos, de auditabilidade e de testagem contínua do modelo, a fim de evitar a tomada de decisões com erros que possam impactar negativamente os cidadãos.
Entre nós, destaca-se o estágio avançado de tramitação de alguns projetos de lei que pretendem estabelecer fundamentos, princípios e diretrizes para o desenvolvimento e a aplicação da IA. As proposições incluem diretrizes para o fomento e a atuação do poder público no tema, além de trazer princípios éticos baseados na regulamentação existente na UE e nos conceitos e diretrizes propostos pela OCDE8.
No momento em que há uma profusão de iniciativas, normas e regulamentos que procuram ampliar a digitalização dos serviços públicos e permitir o amplo compartilhamento e a reutilização de dados entre os diferentes órgãos do poder público, a compreensão sobre como as regras e os limites do uso de dados para fins de interesse público passa a ser uma questão não apenas relevante e oportuna, mas fundamental e necessária.
Se é verdade que o Estado deve agir para o cumprimento de suas finalidades legais - e sua atuação é impositiva na relação com os cidadãos para a tutela do interesse público -, o reconhecimento da presença de um interesse público legítimo na tutela da proteção de dados desafia o intérprete a saber qual deve ser, afinal, o interesse público a prevalecer em cada situação. De um lado, o interesse ligado à eficiência administrativa, exigindo o acesso a dados pessoais para fins de execução de políticas públicas; de outro, o interesse público manifesto na tutela coletiva da proteção de dados dos cidadãos.
O sentido de finalidade pública e de interesse público nas leis de proteção de dados deve levar em consideração tal aparente contradição. Não para negar a possibilidade de harmonia entre o interesse público e a proteção de dados, ao contrário: para reconhecer a dimensão coletiva dessa proteção e, assim, ponderá-la, em cada situação concreta, à luz dos princípios que orientam a atividade do poder público, entre os quais os princípios da finalidade e do interesse público, entre tantos outros.
Apesar dos inegáveis avanços a partir da edição da LGPD no Brasil (lei 13.709/18), a verdade é que ela apresenta lacunas em questões fundamentais, sobretudo no que diz respeito às hipóteses que autorizam o tratamento, a reutilização e o uso compartilhado de informações pessoais, assim como de seu correspondente - e necessário - regime de garantias e de controle.
A lacuna ou indefinição em torno desses e de outros temas leva à conclusão de que existem questões ainda não completamente resolvidas pela legislação nacional brasileira. Há ainda campo para avanços e aprimoramentos importantes no plano jurídico-normativo, especialmente quanto aos limites objetivos à reutilização de dados para fins de interesse público pelo Estado brasileiro. A falta de uma disciplina mais completa e detalhada pode abrir caminho para arbitrariedades ou, ainda pior, legitimar condutas abusivas com base em uma suposta permissividade legal ampla9.
A dimensão do desafio é perceptível justamente a partir da complexidade inerente à multiplicidade de finalidades de usos das bases de dados, assim como dos riscos que lhe são inerentes. Trata-se de disciplinar "como" isso deve ser feito, ou seja, como o Direito deve regular e limitar a utilização, o compartilhamento e a reutilização de dados pessoais pelo poder público, sem que os órgãos e entidades incorram em desvio de finalidade ou vícios de legalidade.
A relevância do tema decorre não só da aparente ausência de regulação jurídica adequada e suficiente no Direito brasileiro, mas também da necessidade de assimilação e equilíbrio das normas de proteção de dados pessoais com as finalidades de interesse público igualmente relevantes. O desafio consiste na busca pelo delineamento de uma disciplina jurídico-regulatória coerente, capaz de influenciar a política legislativa e o aprimoramento das normas e instrumentos regulatórios pertinentes no Brasil.
Não se trata apenas de uma questão de proteção de dados exclusivamente. É preciso ir além para estabelecer novas formas de regulação sobre o uso da informação. Trata-se de discutir quais possibilidades, discutir quais riscos a serem evitados, a reclamar, no mínimo, a regulação pelo Direito do seu regime de exploração.
Em última análise, a questão de fundo passa pela identificação das regras e dos limites materiais e procedimentais a serem observados a fim de que o poder público - e no limite toda a sociedade - possa se apropriar do valor potencialmente gerado pelos dados pessoais para fins de interesse público. Trata-se de um direito a ser ainda construído no Brasil, por isso a relevância da discussão na tentativa de encontrar respostas seguras e úteis para os desafios que se apresentam no contexto atual dos governos mais conectados e digitais.
----------------------
1 Cf. NUAIMI, Al; NEYADI, E. Al; MOHAMED, H. N. et al. Applications of big data to smart cities. J Internet Serv Appl, 2015, p. 25. Disponível em: https://doi.org/10.1186/s13174-015-0041-5. Acesso em 19/01/2021.
2 Cf. MELATI, Claudia; e JANISSEK-MUNIZ, Raquel. Governo inteligente: análise de dimensões sob a perspectiva de gestores públicos. Revista de Administração Pública. Rio de Janeiro 54(3):400-415, maio - jun. 2020. Disponível em: http://dx.doi.org/10.1590/0034-761220190226. Acesso em 19/03/2021.
3 Os exemplos incluem os governos dos Estados Unidos, China, Reino Unido, Índia, Coréia, China, Japão, Índia, Canadá, Cingapura, Reino Unido e União Europeia. As iniciativas envolvem detecção de fraude, cuidados de saúde, educação, combate ao crime, proteção ambiental, energia, agricultura, previsão do tempo etc. Cf. LEE, Jung Wan. Big Data Strategies for Government, Society and Policy-Making. Journal of Asian Finance, Economics and Business Vol 7 No 7 (2020) 475 - 487. Disponível em: https://doi.org/10.13106/jafeb.2020.vol7.no7.475. Acesso em 14/08/2021.
4 Cf. WEAVER, Russell L. Transparency, Privacy & The Snowden Affair. in: Transparency in the Open Government Era (Org. BOUHADANA, Irène; GILLES, William; WEAVER, Russell). Paris: IMODEV, 2015, p. 235-255.
5 Cf. ZANATTA, Rafael. Prefácio do Livro de MOROZOV, Evgeny; BRIA, Francesca. A cidade inteligente: Tecnologias Urbanas e Democracia. Trad. Humberto do Amaral. São Paulo: Ubu Editora, 2019, p. 10-11.
6 Cf. STF. ADIs 6387, 6388, 6389, 6390 e 6393. Disponível em: http://www.stf.jus.br/portal/autenticacao/autenticarDocumento.asp. Acesso em 18/06/2021.
7 Cf. OFFICE FOR ARTIFICIAL INTELLIGENCE (UK). Guidelines for AI Procurement. 2020: https://www.gov.uk/government/publications/guidelines-for-ai-procurement/guidelines-for-ai-procurement. Acesso em 20/04/2021.
8 Em dezembro de 2022, a Comissão de Juristas do Senado Federal voltada à regulação da IA no Brasil apresentou um substitutivo aos Projetos de Lei nº 5.051/2019, 21/2020 e 872/2021. A proposta apoia-se em três pilares centrais: i) a garantia de um rol de direitos às pessoas afetadas pelos sistemas de IA; ii) a gradação do nível de riscos impostos pelos sistemas de IA; iii) estabelecimento de medidas de governança aplicáveis às empresas que forneçam ou operem sistemas de IA.
9 Como destacam Paulo BRANCHER e BEPPU: "(.) o capítulo da LGPD sobre tratamento de dados pessoais pelo Poder Público apresenta inconsistências internas, visto que requer a observância do interesse público e apresenta autorizações amplas para que órgãos públicos compartilhem dados pessoais que poderão resultar em constrangimentos a direitos individuais e sociais. É necessário haver regras claras que permitam o estímulo à inovação pelo Poder Público, mas que protejam a privacidade dos cidadãos (.). BRANCHER, Marcos Rodrigues; BEPPU, Ana Cláudia. Proteção de dados pessoais no Brasil: uma nova visão a partir da Lei nº 13.709/2018. Belo Horizonte: Fórum, 2019, p. 220-221.