Meta x ANPD: separar espaços da IA e dos dados pessoais não será nada fácil

Coluna de Carlos Affonso Souza no Uol Tilt.

publicado em

10 de julho de 2024

categorias

{{ its_tabs[single_menu_active] }}

tema

A ANPD suspendeu a nova política da Meta sobre o uso de dados pessoais para treinamento de IA e Carlos Affonso Souza, em sua coluna no Uol Tilt, explica sobre o assunto

Entradas triunfais são típicas dos super-heróis. O Batman sempre quebra a abóbada de vidro, abre a capa e cai por cima de dois ou três bandidos. O Homem-Aranha abre a janela e já lança sua teia imobilizando os vilões. Todo mundo adora entradas triunfais, mas elas são arriscadas. Tudo tem que ser bem sincronizado, sem falhas, para não correr o risco de o movimento trazer consequências indesejáveis.

A ANPD (Autoridade Nacional de Proteção de Dados) foi criada pela LGPD (Lei Geral de Proteção de Dados) em 2018. Muita gente, desde então, esperava que a autoridade tivesse na largada soltado multas pesadas em cima de empresas que tratam dados de maneira irregular. Isso não aconteceu.

A Autoridade publicou guias orientativos e organizou consultas públicas sobre diversos temas dentro de sua agenda regulatória. Os processos sancionatórios já finalizados da Autoridade, por sua vez, miraram mais o Poder Público do que empresas, e as multas, quando existentes, foram de pequena monta.

Isso fez com que muita gente desavisada, e um tanto emotiva, achasse que os primeiros anos da autoridade foram pouco impactantes.

Esses dias acabaram. A Autoridade acabou de publicar uma medida preventiva através da qual ordena a suspensão das atividades de tratamento de dados pessoais de brasileiros realizadas pela Meta para treinamento de seus sistemas de inteligência artificial.

Essa medida vem na mesma semana em que a empresa se preparava para lançar no Brasil diversas funcionalidades envolvendo IA nas suas aplicações, como WhatsApp, Facebook e Instagram.

O que disse a ANPD?

A Autoridade identificou quatro motivos para suspender, pelo menos por enquanto, o tratamento de dados pessoais para o treinamento de aplicações de IA pela empresa.

– A primeira razão levantada foi a não existência de uma base legal que permita o tratamento de dados pessoais para essa finalidade. Base legal é a forma pela qual se procura justificar um tratamento de dados.

A LGPD traz várias bases legais que podem ser utilizadas para motivar o tratamento de dados, como o consentimento, o cumprimento de uma obrigação regulatória, a necessidade de executar um contrato, ou mesmo a existência de interesses legítimos que motivem o tratamento.

A Autoridade entendeu que usar dados pessoais para treinar aplicações de IA não poderia se valer da base do legítimo interesse, que foi a justificativa informada pela empresa em recente alteração de sua Política de Privacidade.

Vale esclarecer que a base legal dos legítimos interesses não se aplica aos chamados “dados sensíveis”, ou seja, àqueles dados relativos à vida sexual, religião, política e dados biométricos. Segundo a ANPD, esses dados estariam sendo tratados quando a empresa se vale de fotos, vídeos e demais publicações postadas por usuários para treinar seus sistemas de IA.

– O segundo argumento levantado pela ANPD foi a divulgação insuficiente feita pela empresa sobre a mudança das suas regras.

– Esse argumento se conecta com o terceiro, que aponta para a dificuldade que usuários brasileiros teriam para se opor à utilização dos seus dados pessoais, tendo que clicar em várias páginas até chegar a opção de bloqueio dos dados para o treinamento de IA. Essa jornada seria mais complexa do que aquela oferecida em outros países.

– Por fim, a ANPD também apontou que dados de crianças e de adolescentes estariam sendo tratados para essa finalidade, em desacordo com o disposto na LGPD.

Qual o impacto da medida?

A primeira impressão que fica da medida adotada pela ANPD é que ela possui um claro efeito sistêmico. A destinatária da proibição é a Meta, mas ao apontar esses quatro argumentos para obstar, pelo menos por enquanto, o tratamento de dados, a Autoridade manda um sinal para todas as empresas que estão, nesse momento, usando dados de seus usuários para treinar sistemas de IA. Spoiler: não são poucas.

“E é aqui que aparece um primeiro ponto que pode tornar a entrada da Autoridade mais arriscada: ela escolheu ir contra uma empresa de todo um ecossistema que faz praticamente a mesma coisa. Se existe “risco iminente de dano grave e irreparável ou de difícil reparação”, esse risco é compartilhado, em grande escala, por pelo menos um punhado de atores.”

Isso pode até ser uma escolha comunicacional da Autoridade: usar uma das maiores empresas como alvo da medida preventiva para que ela sirva de exemplo para as demais. Mas uma vez feito isso, qual é o próximo passo? A Autoridade não pode deixar que as mesmíssimas práticas continuem ali do lado sob pena de enfraquecer seus próprios argumentos e parecer que o ônus regulatório é seletivo.

É preciso entender o contexto

Timing é tudo nessa vida. A imposição da medida preventiva pela ANPD foi publicada na mesma semana em que o projeto de lei que procura regular a inteligência artificial no Brasil foi à votação na comissão do Senado dedicada ao tema. Na última versão do PL é a própria ANPD que aparece como entidade responsável por coordenar o sistema regulatório de IA no Brasil.

Nesse sentido, ao proferir decisão com forte impacto no campo da IA, a Autoridade parece mandar um recado sobre como já estaria pronta para exercer os atos de seu futuro papel.

Mas essa decisão, nesse contexto, também parece levantar a pergunta sobre as fronteiras entre a inteligência artificial e a proteção de dados pessoais. A medida adotada pela ANPD é baseada, por óbvio, na sua competência para regular e fiscalizar o tratamento de dados pessoais, mas seu impacto é inegável em todo um ecossistema de desenvolvimento e disponibilização de aplicações de IA.

Se hoje, sem os poderes que podem ser concedidos pela futura lei, a ANPD já pode atuar de maneira contundente no campo de IA através da janela dos dados pessoais, vale refletir sobre como ficará a supervisão do campo da inteligência artificial no Brasil quando oficialmente a Autoridade de Proteção de Dados for a coordenadora dos esforços regulatórios.

“Será importante criar condições para que o futuro da IA no Brasil não seja visto apenas pelo prisma —não menos importante, mas também não exclusivo— da proteção de dados pessoais.”

Pode ser que, no futuro, talvez seja mesmo a ANPD o melhor lugar para se assentar a coordenação das atividades de regulação de IA, mas, pelo que se começa a se perceber nessa semana, separar os espaços da IA e dos dados pessoais não será tarefa fácil. O próprio PL de IA, que está para ser votado no Senado, possui partes que emulam a LGPD.

Dados fantásticos e onde habitam

Só para dar um outro exemplo sobre como pode acontecer um tilt entre proteção de dados e IA na prática (e que tem tudo a ver com o presente caso).

A LGPD diz que todos os titulares de dados têm direito a solicitar a retificação e o apagamento de seus dados pessoais detidos por uma empresa. Mas o que acontece quando esse dado pessoal já foi usado para treinar um modelo que alicerça um sistema de IA generativa?

Uma vez treinado o modelo, a empresa pode até apagar o dado pessoal arquivado em seus sistemas, mas o resultado desse treinamento pode aparecer na forma pela qual o modelo é utilizado nas mais diferentes aplicações. Não existem, até o momento, formas viáveis de se destreinar um modelo sem implicar em custos, gasto de energia e mão de obra desproporcionais.

“A comunidade técnica dedicada ao desenvolvimento de IA e aquela formada pelos reguladores e especialistas sobre proteção de dados pessoais têm o desafio de buscar uma solução para esse atual impasse.”

A entrada da ANPD no tema do tratamento de dados para treinar IA proporcionou um olhar para o futuro da atuação da entidade. Ele é promissor em vários aspectos, mas não está isento de armadilhas que podem ter sido colocadas pela própria escolha do tema, do timing e dos impactos que ela gera em um setor que é chave para o desenvolvimento econômico do país.

Desarmá-las bem rapidamente será fundamental para que essa entrada não se transforme em um passo em falso.

autor

{{ pessoas.pessoaActive.title }}

×