As leis de proteção de dados como salvaguarda da inteligência artificial

Na atual sociedade é incontestável reconhecermos os impactos trazidos pelo uso da inteligência artificial, seus benefícios e os riscos decorrentes das novas tecnologias e abordagens que buscam reproduzir a capacidade do pensamento humano para resolução de tarefas que até pouco tempo atrás eram consideradas de alta complexidade.

A partir dos exemplos acima citados, se constata que a técnica atualmente predominante de inteligência artificial são os modelos de aprendizado de máquina — machine learning — a qual pressupõe uma interação da máquina com um grande volume de dados — big data — e que propiciam o aprendizado através do treinamento do algoritmo.

Portanto, é imprescindível para a tecnologia a utilização de dados, e em geral, em grande volume, sendo que esses dados em larga escala alimentam a inteligência artificial permitindo uma tomada de decisão mais precisa e fundamentada. Esse aprendizado, por sua vez, possibilita a identificação de padrões que resultam na capacidade de classificar, prever e recomendar situações específicas. Utilizando os casos práticos referidos torna-se possível prever o risco de inadimplência em um empréstimo, recomendar um produto específico para consumo a partir do conhecimento do comportamento do indivíduo, e de classificar se um e-mail é ou não um spam.

Corolário lógico é a constatação de que os dados pessoais representam um insumo elementar para o desenvolvimento da tecnologia do aprendizado de máquina. Sendo assim, compreendemos que quando a inteligência artificial, através da técnica de aprendizado de máquina envolve dados pessoais, somos obrigatoriamente endereçados às leis protetivas de dados pessoais.

E, nessa linha de raciocínio, convém destacar a Lei Geral de Proteção de Dados (LGPD [1]) e o Regulamento Europeu de Proteção de Dados (GDPR [2]), ambas com foco na regulação do tratamento de dados pessoais para que possamos analisar em quais pontos essas legislações se conectam com a inteligência artificial.

Essencial assinalarmos a relevância do Regulamento Europeu de Proteção de Dados no cenário internacional e que serviu como forte inspiração para a Lei Geral de Proteção de Dados, influenciando-a em muitos aspectos. Inobstante a LGPD e o GDPR não fazerem menção expressa à inteligência artificial ou qualquer tipo de tecnologia, as duas direcionam especial atenção ao processamento automatizado de dados em larga escala, contendo dispositivos específicos voltados a decisões automatizadas.

No que tange ao regulamento europeu em seus artigos 13 e 14 [3], é concedido aos indivíduos o direito de serem informados sobre as decisões automatizadas, a lógica envolvida nas decisões e as consequências previstas ao titular em virtude do respectivo tratamento.

Em seu artigo 15 [4], está previsto o direito dos titulares de obterem acesso às decisões automatizadas, fornecendo o Considerando 71 orientações interpretativas a respeito do direito de obtenção de uma explicação concernente a uma decisão exclusivamente automatizada. Já o direito de objeção ao tratamento de dados, especificamente perfis, está previsto no artigo 21. E o direito à não sujeição a uma decisão exclusivamente automatizada, excetuando-se situações específicas, encontra-se regulado no artigo 22 do regulamento europeu [5].

Por fim, mas não menos importante, o artigo 35 [6] exige que as organizações realizem avaliação de impacto da proteção de dados (DPIAs), sempre que envolver perfil sistemático e extenso ou outra avaliação automatizada de dados pessoais.

Sob o olhar da LGPD, embora a norma legal não conceitue a definição de perfil, e não encontre dispositivo equivalente ao artigo 22 do regulamento europeu [7], cumpre assinalar o artigo 12 & 2º e artigo 20, caput, da Lei de Proteção de Dados [8] e que conferem direitos aos titulares de dados a partir do profiling.

Fundamental tecermos algumas considerações acerca das decisões automatizadas em ambas as legislações, mesmo que de forma superficial, levando em conta a complexidade do assunto e a impossibilidade de maior aprofundamento no presente artigo.

O regulamento europeu, em seu artigo 22 [9], assegura, em princípio, o direito de o indivíduo não ficar submetido exclusivamente a uma decisão automatizada que produza efeitos na esfera jurídica ou afete significativamente o titular dos dados. Contudo, prevê hipóteses em que os respectivos tratamentos são admissíveis, consoante disposto no item 2 do respectivo dispositivo legal.

Enfrentando o conceito de decisões exclusivamente automatizadas, mister estarmos cientes de que para que as decisões assim sejam caracterizadas, é exigida a exclusão de qualquer influência humana no resultado. A contrário sensu, a caracterização de uma decisão híbrida requer uma participação humana ativa e não meramente simbólica, conforme posicionamento do WP — Working Party 29 [10].

A título exemplificativo, podemos citar como decisões integralmente automatizadas e com efeitos significativos sobre o indivíduo a análise de uma solicitação de empréstimo online, em que a plataforma usa algoritmos e pesquisa de crédito automatizada para fornecer uma decisão imediata negativa ou positiva sobre a concessão do crédito.

No exemplo utilizado não houve nenhuma participação humana com capacidade e autoridade para alterar o resultado da decisão algorítmica. Evidentes, também, os impactos da decisão desse resultado na esfera do indivíduo. Situação diferente ocorre, por exemplo, naqueles processamentos também de natureza exclusivamente automatizada, mas que não têm potencial de gerar efeitos significativos, tais como a recomendação de programas de televisão, decorrentes da análise prévia das preferências do titular.

Já a legislação nacional de proteção de dados — LGPD [11] —, ao tratar do referido tema, não proíbe o tratamento de dados baseado em tomada de decisões exclusivamente automatizadas, mas garante o direito de revisão de decisões que afetem seus interesses, incluindo a definição de perfis.

Note-se que, apesar de a LGPD não conter proibição expressa ao tratamento exclusivamente automatizado, esta prevê que possa ser revista mediante a afetação dos interesses do titular. Portanto, nesse tópico, é mais abrangente do que a GDPR, que requer efeitos na esfera jurídica ou similar.

Sendo assim, pacificada a compreensão de que a coleta e o uso de dados pessoais que alimentam o aprendizado de máquina largamente utilizado pela inteligência artificial se submetem às leis de proteção de dados ora referidas, impõe-se também reconhecer os desafios impostos em face dos princípios elencados no artigo 6 da LGPD [12]. Em especial aos princípios da finalidade, necessidade e transparência, os quais exigem que um tratamento seja realizado para um fim específico, informado e sem possibilidade de tratamento posterior de forma incompatível com a finalidade original, além da limitação do tratamento ao mínimo necessário às finalidades.

Sem sombra de dúvida, a garantia do cumprimento dos princípios norteadores das leis de proteção de dados no uso da inteligência artificial, dado o grande volume de dados tratados e a possibilidade de novos tratamentos que alteram o propósito original, representam um desafio ao qual devemos nos debruçar em prol de alcançarmos maior garantia à privacidade e proteção de dados dos indivíduos.

Tendo em vista que no cenário brasileiro ainda não contamos com uma lei específica regulando a inteligência artificial, é possível concluirmos que as leis de proteção de dados constituem um vetor protetivo sobre a aplicação da inteligência artificial em processos decisórios, especialmente quando exercido na prática o princípio da transparência por parte do controlador, provendo ao titular de dados os parâmetros utilizados no processo de tomada de decisão automatizada.

O uso responsável e ético da inteligência artificial torna-se cada vez mais vital não somente para proteção dos direitos dos indivíduos, como para o desenvolvimento e o avanço das novas tecnologias que, para triunfar, precisam estar apoiadas em métodos capazes de gerar confiança na sociedade.

Referências bibliográficas
BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 08 jan. 2022.

EUROPEAN DATA PROTECTION BOARD — EDPB. Article 29 Working Party. Disponível em: https://edpb.europa.eu/about-edpb/more-about-edpb/article-29-working-party_en. Acesso em: 09 jan. 2022.

GENERAL DATA PROTECTION REGULATION — GPDR. [Site institucional]. Disponível em: https://gdpr-info.eu/. Acesso em: 08 jan. 2022.

[1] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 08 jan. 2022.

[2] GENERAL DATA PROTECTION REGULATION – GPDR. [Site institucional]. Disponível em: https://gdpr-info.eu/. Acesso em: 08 jan. 2022.

[3] Ibidem.

[4] Ibidem.

[5] GENERAL DATA PROTECTION REGULATION — GPDR. [Site institucional]. Disponível em: https://gdpr-info.eu/. Acesso em: 08 jan. 2022.

[6] Ibidem.

[7] Ibidem.

[8] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 08 jan. 2022.

[9] GPDR, loc. Cit.

[10] EUROPEAN DATA PROTECTION BOARD — EDPB. Article 29 Working Party. Disponível em: https://edpb.europa.eu/about-edpb/more-about-edpb/article-29-working-party_en. Acesso em: 09 jan. 2022.

[11] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 08 jan. 2022.

[12] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 08 jan. 2022.