MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. PL 2338/23 e a LGPD: Papel da Autoridade Nacional de Proteção de Dados

PL 2338/23 e a LGPD: Papel da Autoridade Nacional de Proteção de Dados

O que é indiscutível, entretanto, é a necessidade de desenvolvimento sadio, respeitoso e ético dessa regulação - sempre em consonância com os direitos fundamentais de privacidade já garantidos ao cidadão brasileiro.

quinta-feira, 20 de julho de 2023

Atualizado em 21 de julho de 2023 09:48

O debate sobre inteligência artificial (IA) tem ganhado espaço na sociedade, no mercado, nas organizações e, consequentemente, na agenda do legislador brasileiro.

Sabe-se que o uso de tecnologias relacionadas à inteligência artificial demanda atenção e cuidado - especialmente quando analisamos os aspectos ligados à privacidade das pessoas afetadas e à proteção dos seus dados pessoais.

Não buscamos, aqui, aprofundar - ou nem mesmo adentrar - nas discussões conceituais que permeiam esse tema - hiperconectividade, Internet das Coisas, ética e autonomia pessoal, o próprio conceito de privacidade em si ou o direito de personalidade envolvido nessa análise - mas não podemos nos esquecer de que os conceitos de todas essas expressões, quando fiel e detalhadamente analisados, nos levam à inevitável conclusão de que a inquietude do ser humano, aliada à velocidade do cotidiano moderno, tende a gerar cada vez mais informação que, por sua vez, inevitavelmente influenciará o nosso comportamento.

Acertou Eduardo Magrani quando disse que o "cenário de inteligência artificial traz novos desafios regulatórios ao arcabouço normativo atualmente existente" e que "diante do contexto de constante e intenso armazenamento, tratamento, compartilhamento e monetização dos dados que trafegam online é crucial debatermos as noções de privacidade e ética que deverão nortear os avanços tecnológicos".1 E, nesse ambiente de debate, cabe ao legislador a tentativa de regulação, ainda que em ecossistemas iniciais e de testes, do uso de tais tecnologias em consonância com os direitos e regras já consolidados nas legislações vigentes.

O PL 2.338/23, de autoria do senador Rodrigo Pacheco, propõe regular esse uso no Brasil, objetivando a proteção dos "direitos fundamentais e a garantia da implementação de sistemas seguros e confiáveis em benefício da pessoa humana, do regime democrático e do desenvolvimento científico e tecnológico".

Logo no início do texto proposto no Projeto, percebe-se que a preocupação legislativa - a propósito, correta - é aliar o avanço tecnológico e o desenvolvimento econômico à obrigatoriedade de respeitar a pessoa sob todas as óticas: respeito aos direitos humanos, aos valores democráticos, ao livre desenvolvimento da personalidade, à igualdade e, também, à privacidade - que é o objetivo desta nossa breve análise.

Aliar a adoção de tecnologias disruptivas, como a inteligência artificial, à privacidade do ser humano e à proteção de seus dados pessoais, como determina a Lei Geral de Proteção de Dados (lei 13.709/08, conhecida como LGPD), é medida necessária para que o desenvolvimento de tais aplicações seja feito em conformidade com o que pretende o legislador e, acima de tudo, de maneira saudável e respeitosa.

Por isso, o PL é claro ao trazer como fundamentos, por exemplo, o respeito à privacidade, à proteção de dados e à autodeterminação informativa (art. 2º, VIII) e como alguns princípios à autodeterminação, a transparência e a prevenção de riscos.

Ao longo do texto proposto há, ainda, diversos pontos que se conectam fortemente com o disposto na própria LGPD, o que demonstra a preocupação do legislador em conciliar as regulações em benefício do cidadão.

Quando passamos à análise - com foco comparativo - dos textos do Projeto e da própria LGPD, chamamos a atenção para alguns desses pontos de interação entre as regulações: o primeiro deles é relacionado aos direitos dos titulares de dados pessoais previstos na LGPD e os direitos das pessoas afetadas pelos sistemas de inteligência artificial previstos no Projeto.

Não pretendemos revisitar o debate jurídico sobre esses direitos detalhadamente - até porque esse estudo por si só merece um nível de análise muito mais aprofundado - mas uma visão geral pode ser útil neste momento quase que embrionário da relação entre os textos regulatórios.

A LGPD elenca, em seu art. 18, os direitos que o titular de dados pessoais pode obter do controlador em relação aos dados pessoais por ele tratados. O Projeto, por sua vez, apresenta, nos art. 5º a 12, uma série de direitos das pessoas afetadas pelo uso da inteligência artificial: alguns desses direitos são, inclusive, os mesmos previstos na legislação relativa à proteção de dados pessoais.

A ANPD, em sua análise condensada sobre o tema, elaborou inclusive uma tabela comparativa contendo as similaridades entre alguns dispositivos da LGPD e do Projeto2. Destacamos, nesta breve reflexão, que ambas as regulações priorizam a garantia, pelas organizações que fazem ou farão uso de IA, da transparência no tratamento das informações e dos dados pessoais, assegurando aos indivíduos afetados - nas palavras de ambas as regulações - informações claras e acessíveis.

Além disso, fica evidente a preocupação do legislador ao possibilitar a interação humana com os mecanismos de automatização utilizados nas tecnologias de inteligência artificial: ambos os regulamentos preveem a possibilidade de solicitar revisão de decisões automatizadas. Aqui, entretanto, há diferenças nas expressões utilizadas nos textos analisados que podem ocasionar possível conflito de interpretação: o art. 20 da LGPD determina que "o titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade", enquanto que o art. 9º do Projeto prevê que a pessoa poderá contestar e solicitar revisão de decisões, recomendações ou previsões geradas por IA que "produzam efeitos jurídicos relevantes ou que impactem de maneira significativa seus interesses". Vê-se que o Projeto prevê hipóteses mais restritas para a contestação ou revisão de decisões baseadas em IA do que a LGPD ao tratar das decisões automatizadas: segundo a própria ANPD, "é necessário, portanto, que a compatibilidade jurídica seja estabelecida pelo PL, assegurando-se o respeito às competências da ANPD em regular o tema que já lhe é afeto".

Outro ponto extremamente relevante são os mecanismos de avaliação previstos nos textos analisados: o Relatório de Impacto à Proteção de Dados Pessoais (LGPD) e a Avaliação de Impacto Algoritmo (Projeto). Em relatório publicado pelo Laboratório de Políticas Públicas e Internet (LAPIN)3 em abril de 2023, foi traçado um comparativo entre ambos os mecanismos de proteção.

O documento apresenta as similitudes de ambos os instrumentos de governança (como o fato de que trata-se de avaliações de impacto que utilizam lógicas semelhantes em parte), mas também expõe as diferenças que justificam a existência de instrumentos distintos para utilização em casos concretos: o Relatório de Impacto previsto na LGPD será obrigatório quando a atividade de tratamento de dados pessoais puder gerar riscos às liberdades civis e aos direitos fundamentais (art. 5º, inciso XVII, LGPD), enquanto que a Avaliação de Impacto Algoritmo é mais ampla e não trata somente de situações onde haja tratamento de dados pessoais, mas envolve também a atividade do algoritmo e de outros elementos que podem afetar todos os campos de atuação da inteligência artificial em si.

Ainda sob esse aspecto, é necessário destacar que, na busca de beneficiar as pessoas afetadas e de privilegiar as organizações responsáveis, a literatura estrangeira tem proposto modelos de fusão (ainda que parciais) dos deveres de accountability relacionados à inteligência artificial com o já conhecido DPIA previsto na GDPR por entender que esse processo traria ao titular e controlador de dados pessoais benefícios como a comprovação efetiva de transparência e prestação de contas e superar a falácia da transparência através de um ciclo virtuoso de auditoria algorítmica e detecção/mitigação contínua de efeitos injustos.4 O que se depreende, dessa breve menção, é que a discussão relativa a esses instrumentos de governança ainda avançará - e muito - na literatura técnica e na prática pelas organizações.

Outro ponto relevante que objetivamos trazer à tona, ainda que de maneira preliminar e superficial, é o papel dos sujeitos envolvidos na regulação e implementação do uso da inteligência artificial no Brasil: a nossa A (?) própria Autoridade Nacional de Proteção de Dados (ANPD), originalmente responsável pela implementação e fiscalização da LGPD, entende ser órgão chave na regulação da inteligência artificial em território nacional5 - o que fortalece ainda mais a necessidade da aliança entre as temáticas de privacidade, proteção de dados e inteligência artificial.

A esse respeito, voltamos os olhos também ao papel que as autoridades internacionais de proteção de dados têm exercido na regulação de IA.

Veja-se, por exemplo, que a ICO (Information Comissioner's Office), autoridade inglesa, entende que o tema de inteligência artificial é prioridade para o órgão considerando seu potencial de apresentar alto risco aos indivíduos e seus direitos e liberdades. Portanto, a autoridade concetra seus estudos e atuação nos seguintes temas: (i) justiça na inteligência artificial, (ii) dark patterns, (iii), AI-as-a-service, (iv) dados biométricos e tecnologias de biometria e (v) privacidade e confidencialidade na IA.

Desde 2017, a ICO tem publicado opiniões, guias e reportes sobre o tema e, ainda, preside um grupo de trabalho informal para reguladores com foco em questões de IA e participa em grupo de trabalho permanente na Assembleia Geral de Privacidade, atuando como relatora nos encontros de IA e emprego e gestão de riscos em IA.

De igual maneira, a autoridade francesa (CNIL) disponibiliza uma série de conteúdos e recursos dedicados à temática de IA considerando sua missão de "informar e proteger direitos, apoiar o compliance e antecipar e inovar". Na visão da autoridade, o conteúdo publicado visa informar profissionais que fazem uso de sistemas de inteligência artificial para que o façam, inclusive, em conformidade com a legislação de proteção de dados aplicável (no caso, o General Data Protection Regulation).

Considerando a atuação didática e informativa dessas autoridades, inclusive da própria ANPD, podemos esperar que a nossa Autoridade se posicione como órgão chave na disseminação de conteúdo, no apoio ao legislador e à instituição que será competente para a regulação da inteligência artificial no Brasil.

Sabe-se, enfim, que toda e qualquer análise relativa aos conceitos de IA, à aplicação de sistemas de tecnologia de IA, aos papeis e responsabilidade dos sujeitos envolvidos no ecossistema regulatório de IA é incipiente e preliminar, merecendo um olhar atento do mercado a cada etapa e avanço da regulação e da adoção prática desses instrumentos. O que é indiscutível, entretanto, é a necessidade de desenvolvimento sadio, respeitoso e ético dessa regulação - sempre em consonância com os direitos fundamentais de privacidade já garantidos ao cidadão brasileiro.

----------

1 MAGRANI, Eduardo. Entre dados e robôs: ética e privacidade na era da hiperconectividade. Editora Arquipélago. 2019.

2 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Análise preliminar do Projeto de Lei nº 2338/2023, que dispõe sobre o uso da Inteligência Artificial, 06 de julho de 2023. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/analise-preliminar-do-pl-2338_2023-formatado-ascom.pdf

3 LABORATÓRIO DE POLÍTICAS PÚBLICAS E INTERNET. Relatório: avaliação de impacto algorítmico para proteção dos direitos fundamentais. Abril de 2023, Disponível em: https://lapin.org.br/wp-content/uploads/2023/04/RelatorioAIA.pdf

4 KAMINSKI, Margot E. and MALGIERI, Gianclaudio. Multi-layered Explanations from Algorithmic Impact Assessments in the GDPR. January, 2020. Disponível em: https://dl.acm.org/doi/abs/10.1145/3351095.3372875

5 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Análise preliminar do Projeto de Lei nº 2338/2023, que dispõe sobre o uso da Inteligência Artificial, 06 de julho de 2023. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/analise-preliminar-do-pl-2338_2023-formatado-ascom.pdf.

Maísa Beatriz Antoniazi Evangelista

Maísa Beatriz Antoniazi Evangelista

Advogada atuante em Direito Digital, Privacidade e Proteção de Dados. Coordenadora da área de Direito Digital do Martinelli Advogados no Paraná.

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca