A proteção dos dados pessoais na era da IA

A proteção da privacidade e dos dados pessoais é de essencial importância em um mundo cada vez mais interconectado, não obstante, ainda seja tema que necessite se enraizar e consolidar na sociedade. Para tanto, a Autoridade Nacional de Proteção de Dados (ANPD) veio para assumir papel crucial na promoção da cultura de salvaguarda dessa garantia fundamental, incluída como inciso LXXIX ao artigo 5º da Constituição Federal, pela Emenda nº 115, de 2022, assegurando o direito à proteção dos dados pessoais, inclusive nos meios digitais.

Nessa seara, o Despacho Decisório PR-ANPD 020, publicado em 2 de julho de 2024, proferido nos autos do processo 00261.004509/2024-36 em que figura como interessada a gigante META PLATFORMS INC - FACEBOOK SERVIÇOS ONLINE DO BRASIL merece ser destacado em termos de atuação da autarquia.

Para além de sua relevância jurídica, ao determinar a suspensão imediata no Brasil de sua "nova política de privacidade" relacionada ao tratamento de dados pessoais dos usuários para fins de treinamento de inteligência artificial (IA) generativa, também se destaca pela forma abrangente como aborda questões relacionadas à proteção de dados, demonstrando a entidade sua postura na garantia do cumprimento da Lei Geral de Proteção de Dados (LGPD) e dos princípios que a sustentam.

A partir de uma análise crítica, identifica-se os seguintes pontos-chave:

Conformidade com a LGPD:

O despacho encontra sólido amparo na LGPD, especialmente em seus artigos 6º e 7º, que estabelecem os princípios da finalidade específica, da adequação e da necessidade para o tratamento de dados pessoais. No caso em tela, a ANPD reconheceu que a política de privacidade da Meta não apresentava clareza e objetividade suficientes quanto à finalidade do uso dos dados para treinamento de IA generativa tampouco demonstrava a necessidade e a adequação de tal prática.

Transparência e Consentimento Livre e Informado:

No intuito de fortalecer um dos pilares da LGPD - a transparência no tratamento de dados pessoais, o despacho reforça a exigência de consentimento expresso e inequívoco dos titulares para o compartilhamento de seus dados, exceto nas hipóteses de dispensa previstas na própria lei. Essa exigência visa garantir que, a partir da plena ciência de como seus dados estão sendo utilizados, os usuários possam exercer controle sobre suas informações pessoais.

Governança e Segurança de Dados:

O despacho também destaca a importância da implementação de medidas robustas de governança e segurança de dados por parte das empresas que coletam e tratam dados pessoais, o que inclui a criação de políticas claras e transparentes, a adoção de medidas de segurança adequadas à proteção dos dados contra acessos não autorizados, perdas acidentais ou uso indevido e a implementação de mecanismos de auditoria e monitoramento para garantir o cumprimento da legislação.

Relevância do PL 2338/23:

A decisão da ANPD é exemplo que demonstra a necessidade de se acelerarem ainda mais os debates e o consenso para a aprovação da regulamentação sobre a utilização da inteligência artificial mediante previsão de medidas céleres e eficazes em casos de violação à lei.

Considerações Finais:

O Despacho Decisório PR-ANPD 020 representa mais um passo crucial na consolidação da cultura de proteção de dados no Brasil, reforçado pelo Despacho Decisório PR/ANPD 24, publicado no Diário Oficial da União de 10 de julho de 2024 que, mesmo diante do pedido de reconsideração formulado pela Meta manteve a decisão anterior PR-ANPD 020, demonstrando a autarquia sua firme postura na defesa de pilares transparentes e seguros no tratamento dos dados pessoais.

Nessa linha de entendimento, recentemente, o Ministério Público Federal (MPF) e o Instituto de Defesa de Consumidores (Idec) ajuizaram ação civil pública em face do WhatsApp por forçar a adesão dos usuários à sua nova política de privacidade, implementada em 2021, sem fornecer informações adequadas, resultando na indevida coleta e compartilhamento de dados pessoais com outras plataformas do Grupo Meta, violando direitos fundamentais de aproximadamente 150 milhões de usuários brasileiros, em franco desrespeito ao princípio da transparência, inclusive nas relações de consumo.

Os órgãos pleiteiam a condenação do WhatsApp a uma indenização de R$ 1,7 bilhão por danos morais coletivos, além da imediata interrupção do compartilhamento de dados pessoais entre as empresas do grupo.

Como alvo também da ação, quanto a não prestar informações a entidades da sociedade civil interessadas, em tese, a Autoridade Nacional de Proteção de Dados (ANPD) poderia argumentar que sua decisão de não fornecer dados ao Ministério Público Federal (MPF) se fundamenta em vários princípios e diretrizes estabelecidos pela Lei Geral de Proteção de Dados (LGPD) e pelo próprio papel institucional da ANPD.

Primeiramente, a ANPD possui autonomia administrativa, sendo uma entidade independente cuja atuação deve ser guiada por critérios técnicos e pela legislação aplicável. A interferência de outras entidades, como o MPF, poderia comprometer essa independência e a eficácia da proteção de dados pessoais no Brasil.

Além disso, a ANPD tem a responsabilidade de assegurar a segurança e a proteção dos dados pessoais sob sua guarda. Compartilhar essas informações indiscriminadamente pode colocar em risco a privacidade dos indivíduos e comprometer a integridade dos dados. A LGPD impõe obrigações rigorosas quanto ao tratamento de dados, exigindo que qualquer compartilhamento seja feito em conformidade com suas diretrizes.

Outro ponto importante é a necessidade de justificação adequada por parte do MPF. A ANPD pode argumentar que o pedido deve ser bem fundamentado, demonstrando um interesse público significativo e uma necessidade concreta para a investigação em questão. Sem essa justificativa robusta, a divulgação de dados pode ser vista como desproporcional e desnecessária.

Ademais, a proporcionalidade e a minimização são princípios basilares da LGPD. Qualquer compartilhamento de dados deve ser estritamente necessário para a finalidade pretendida, evitando excessos e a exposição indevida de informações sensíveis. A ANPD poderia considerar que o pedido do MPF não atende a esses critérios, sendo excessivamente amplo ou genérico.

No caso específico de dados relacionados ao WhatsApp, a ANPD poderia deter informações sobre práticas de conformidade, segurança e privacidade do aplicativo. No entanto, essas informações são sensíveis e sua divulgação indiscriminada pode comprometer a segurança e a privacidade dos titulares dos dados. O MPF tem a possibilidade de solicitar diretamente ao WhatsApp as informações necessárias para suas investigações, utilizando os canais legais apropriados.

Concluindo, sem conhecimento detalhado do processo em questão, este é um comentário em tese sobre os possíveis argumentos da ANPD para justificar sua decisão de não fornecer dados ao MPF. Cada caso deve ser analisado individualmente, levando em conta as circunstâncias específicas e os interesses envolvidos.

Fica a reflexão sobre os desafios e oportunidades que a inteligência artificial (IA) representa para a sociedade e a necessidade premente de se intensificarem os diálogos com os diversos setores interessados para o desenvolvimento de soluções conjuntas que garantam a efetiva proteção dos dados pessoais na era digital.