Decisões automatizadas e direito à explicação

No enfrentamento dos desafios trazidos ao exercermos o direito à explicação, é relevante esclarecermos que perfilar consiste na análise de aspectos da personalidade, comportamento, hábitos e interesses de um indivíduo com o objetivo de prever as suas decisões.

Cumpre registrar que a criação de um perfil pode utilizar algoritmos para encontrar correlações entre dados coletados de diferentes fontes.

Conforme a Information Commissioner's Office (ICO) [2] estaremos diante da atividade de perfilhamento quando houver a coleta de dados pessoais em larga escala e com a utilização de algoritmos, Inteligência Artificial ou aprendizado de máquina, identificando associações para construção de ligações entre diferentes comportamentos, atributos e previsão de comportamentos dos indivíduos com base na atribuição dos seus perfis.

Para fins exemplificativos do tema que ora se traz ao debate, a criação de perfis é usada para alguns tratamentos médicos aplicando o aprendizado de máquina para prever a saúde dos pacientes ou a probabilidade de um tratamento ser bem-sucedido a partir de determinadas características do grupo e até mesmo, através de inferências de aspectos aparentemente não relacionados aos indivíduos.

O exame de postagens nas mídias sociais para fins de análise das personalidades dos indivíduos através do uso de um algoritmo representa, entre outros, uma das possibilidades de perfilar a partir de dados indiretos e que tem potencial de revelar aspectos da personalidade do indivíduo.

Já a tomada de decisão automatizada consiste no processo de decidir por meios automatizados e não necessariamente envolve a criação de perfis.

Inconteste que a criação de perfis proporciona valiosos benefícios para as organizações e para a sociedade, uma vez que tem potencial de alcançar decisões mais rápidas e consistentes.

Os riscos do uso das técnicas de criação de perfis, na maioria das vezes, residem na ausência de transparência por parte das empresas que realizam o tratamento dos dados pessoais do titular, de forma que a expectativa do indivíduo seja frustrada. O conhecimento por parte do titular sobre a forma como as suas informações serão tratadas e os possíveis impactos do processo em suas vidas são elementares para caracterização da licitude do tratamento.

Com relação às leis protetivas de dados pessoais, tanto o GDPR, em seu artigo 22 [3], e a Lei Geral de Proteção de Dados (LGPD), em seu artigo 20 [4], asseguram ao titular o direito de obter explicações em relação aos tratamentos exclusivamente automatizados e que envolvam dados pessoais.

Enfrentando especificamente o direito do titular, o controlador deverá noticiar às pessoas das quais está tratando os dados para processos de tomada de decisão exclusivamente automatizados e com possíveis efeitos legais significativos. Aplica-se este dever por parte do controlador inclusive aos dados dos indivíduos que tenham sido recebidos de outra fonte.

As informações prestadas devem incluir a lógica envolvida atrás do processo, as prováveis consequências para os indivíduos, a finalidade e os possíveis resultados do tratamento.

Não há dúvidas de que explicar processos complexos de uma forma didática aos envolvidos, no caso os titulares, é um dos grandes desafios por parte do controlador.

Nessa linha, a ICO [5] esclarece que o fornecimento de informações relevantes sobre a lógica e o significado das consequências previstas de um processo devem ser claras, devendo descrever os seguintes pontos: 1) o tipo de informação coletada ou usada na criação do perfil ou na tomada de decisão automatizada; 2) o motivo da informação ser considerada relevante; e, 3) prováveis impactos sobre o indivíduo.

Exemplos rotineiros são aqueles em que um estabelecimento utiliza processos automatizados para decidir se oferece ou não crédito para o titular, baseado em informações sobre o histórico de compras anteriores com o controlador e informações mantidas pelas agências de referência de crédito para fornecer um "score" de crédito do cliente.

Evoluindo a partir do exemplo acima, o controlador deverá explicar ao titular que o comportamento pregresso de compras e o histórico de transações indicam o "score'" de crédito e influência nas condições de crédito oferecidas.

O princípio da transparência está intimamente ligado ao direito à explicação das decisões automatizadas pois pressupõe aos titulares as informações de maneira precisa e acessível com relação ao tratamento de seus dados pessoais.

[1] GENERAL DATA PROTECTION REGULATION — GPDR. Disponível em: https://gdpr-info.eu/. Acesso em: 14 abr. 2022.

[2]INFORMATION COMMISSIONER'S OFFICE — ICO. [Site institucional]. Disponível em: https://ico.org.uk. Acesso em 14 abr. 2022.

[3] GENERAL DATA PROTECTION REGULATION — GPDR. Disponível em: https://gdpr-info.eu/. Acesso em: 14 abr. 2022.

[4] BRASIL. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 14 abr. 2022.

[5] INFORMATION COMMISSIONER'S OFFICE — ICO. [Site institucional]. Disponível em: https://ico.org.uk. Acesso em 14 abr. 2022.

Referências

BRASIL. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 14 abr. 2022.

GENERAL DATA PROTECTION REGULATION — GPDR. Disponível em: https://gdpr-info.eu/. Acesso em: 14 abr. 2022.

INFORMATION COMMISSIONER'S OFFICE — ICO. [Site institucional]. Disponível em: https://ico.org.uk. Acesso em 14 abr. 2022.