LGPD e decisões automatizadas: onde vamos parar?

Uma das questões mais complexas da sociedade tem sido como usar e proteger os dados pessoais, uma vez que é um dos principais ativos das empresas e do desenvolvimento tecnológico, em especial a inteligência artificial.

Em linhas gerais, a LGPD busca garantir transparência no uso dos dados de pessoas físicas em quaisquer meios, digital ou analógico, estabelecendo regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.

A lei em debate traz uma série de direitos que, com exceção do direito à portabilidade, os demais já eram previstos em outras legislações setoriais, como o Código de Defesa do Consumidor (Lei nº 8.078/90), a Lei do Cadastro Positivo (Lei nº 12.414/11) e o Marco Civil da Internet (Lei nº 12.965/14).

No tocante ao direito à revisão das decisões automatizadas, objeto deste texto, cumpre lembrar que este já era previsto no artigo 5º, inciso VI, da Lei do Cadastro Positivo. Agora, de forma mais abrangente, a LGPD dispõe, no artigo 20, sobre a possibilidade de o titular do dado ter a revisão das decisões tomadas de forma automatizada.

Esse direito é necessário, na medida em que o uso da inteligência artificial também está sujeito a erros, por deficiência tecnológica ou até pelo uso de uma base de dados limitada ou incompleta.

Embora — ainda — não seja de conhecimento comum, convém esclarecer que um algoritmo é composto por uma sequência de raciocínios e instruções executáveis, as quais são configuradas previamente para alcançar a uma finalidade.

Explicando de modo simples, um algoritmo pode ser comparado a uma "receita culinária" para executar alguma tarefa, que é composta por dados e informações pré-definidas. A título ilustrativo, por exemplo, um programa de computador é composto por uma sequência de algoritmos.

Ocorre que, com o avanço das tecnologias, os algoritmos estão cada vez mais presentes e sofisticados, influenciando nas decisões e na vida de pessoas, de modo que eventual erro pode trazer danos irreparáveis.

Parte da população pode até acreditar que os algoritmos decidam sempre de forma justa e correta, mas essa premissa nem sempre é verdade, senão vejamos.

Um caso que ficou muito conhecido foi o do software denominado Perfil de Gerenciamento de Infratores Correcional para Sanções Alternativas (Compas), dos Estados Unidos, que possui o escopo de avaliar os riscos sobre pessoas que voltam a praticar crimes e auxiliar os juízes na tomada de decisões. Por meio de um questionário com 137 perguntas [1], é analisado o score do réu e o risco de reincidência. Contudo, análises feitas pela ProPublica identificaram que o algoritmo aponta que negros possuem alto risco de reincidência [2], o que demonstra o viés discriminatório do software [3].

Outro caso discriminatório é do dispensador automático de sabonete que não detecta a mão de um homem de pele negra. Para demonstrar que a cor da pele é o motivo, durante um vídeo, foi balançada uma toalha de papel branco sob o distribuidor, que imediatamente liberou o sabonete [4].

No Brasil, o Departamento de Proteção e Defesa do Consumidor (DPDC) multou a empresa decolar.com por prática de geographical pricing e geographical blocking, por discriminar consumidores por conta da etnia e localização geográfica, o que configura prática abusiva, além de verdadeiro desequilíbrio no mercado e nas relações de consumo [5].

Nesse contexto, já existem diversos casos comprovando que as decisões algorítmicas podem ser equivocadas e, consequentemente, gerar danos e preconceitos aos indivíduos.

Com efeito, a LGPD, conforme citado anteriormente, prevê que o titular de dados tem o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

A previsão legal da possibilidade de revisão das decisões automatizadas foi uma opção muito acertada do legislador, visto que, cada vez mais, será frequente o uso de tecnologias envolvendo inteligência artificial na sociedade.

No entanto, um dos aspectos preocupantes é se os controladores estão preparados para atender a essa espécie de solicitação, tendo em vista a complexidade existente em torno das decisões.

A LGPD, inclusive, aduz que o controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada.

Dessa forma, quando houver alguma solicitação, entende-se que o titular de dados:

"Não deseja receber códigos-fonte, mas entender os critérios que foram utilizados, pois, para ele, como leigo, é irrelevante o número de linhas de programação utilizadas (…). Para o titular dos dados, é fundamental receber informações consistentes e compreensíveis para que ele, querendo, possa contestar a decisão automatizada" [6].

Além disso, a nossa legislação não traz o conceito do que seria uma decisão totalmente automatizada.

Vale mencionar outro aspecto importante, que é como realizar a revisão da decisão. Ao contrário do que prevê o artigo 22 (2) do Regulamento Europeu (GDPR), a LGPD não impõe, expressamente, a necessidade de que a revisão seja feita por meio de intervenção humana. Contudo, a revisão por meio da intervenção humana é essencial, senão vejamos.

Sobre a temática da revisão de decisões automatizadas, Erik Fontenele Nybo afirma que é [7]: 

"Necessário criar métodos e processos de revisão por humanos da tomada de decisões dos algoritmos para evitar erros que podem ser replicados ao longo do tempo ou, até mesmo, atingir uma escala maior. O ponto é que os dados utilizados para ensinar algoritmos representam sempre uma situação do passado. Por isso, é necessário identificar a qualidade dos dados que vão ensinar um algoritmo a tomar decisões".

Erik ainda complementa que é necessário "que existam humanos que possam rever as decisões tomadas pelos algoritmos, transparência dos modelos de treinamento adotados para determinado sistema, auditoria dos dados e do código para garantir que haja responsabilidade e qualidade no uso dessas ferramentas" [8].

Inclusive, em 2019, o High-Level Expert Group on AI apresentou o Guia de Melhores Práticas "Ethics Guidelines for Trustworthy Artificial Intelligence".

Um dos pilares definidos é que "a inteligência artificial tem de poder ser supervisionada por humanos, tem de ser segura, transparente e não pode discriminar" [9].

Como é cediço, cada vez mais será frequente a utilização de decisões automatizadas. Consequentemente, haverá um grande desafio, tanto para os controladores, como para o Poder Judiciário, para analisar e solucionar conflitos, visto que quem sofre um dano em razão desse tipo de decisão tem o direito de entender o porquê.

Portanto, considerando o princípio da transparência e o da não discriminação, ambos previstos no artigo 6º da LGPD, a revisão das decisões automatizadas torna-se necessária diante do risco de discriminação, a fim de evitar violação de direitos fundamentais dos indivíduos, principalmente de minorias.

Entretanto, a forma como será realizada a decisão, em especial diante da ausência de obrigação legal que seja feita por um humano, gera novos desafios e preocupações.

Embora o Brasil ainda esteja engatinhando nos temas de privacidade e proteção de dados, é fácil notar que os algoritmos podem causar danos às pessoas, de modo que também nos resta aguardar se haverá regulamentação do tema por parte da Autoridade Nacional de Proteção de Dados (ANPD), além de acompanhar como o Poder Judiciário irá enfrentar essas questões.