A publicação da Lei Geral de Proteção de Dados Pessoais (LGPD) completou cinco anos em 2023, proporcionando uma oportunidade para reflexão sobre os avanços alcançados nessa meia década e os desafios futuros relacionados à proteção de dados pessoais.
Um marco significativo em 2023 foi a aplicação, em julho, da primeira sanção administrativa pela Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por zelar pela proteção de dados no Brasil. A empresa Telekall Infoservice foi condenada a pagar uma multa máxima permitida (2% do seu faturamento bruto), totalizando 14 mil reais, por tratar dados pessoais sem uma hipótese de tratamento adequada e por não ter designado um encarregado (também chamado de “DPO”) para o tratamento de dados pessoais. A denúncia que levou à sanção alegava que a empresa ofertou uma lista de contatos de WhatsApp para fins de disseminação de material eleitoral, referente à eleição municipal de 2020.
Apesar do valor comparativamente pequeno da multa aplicada, o caso chamou a atenção por diversos motivos. Primeiro, a imposição da primeira multa a uma microempresa desfez a ideia equivocada, mas muito repetida, de que apenas grandes empresas deveriam tomar medidas de adequação. Segundo, ao concluir que a empresa não agiu corretamente ao usar dados públicos em suas atividades comerciais, a decisão da ANPD derrubou a noção errônea (mas também muito repetida) de que dados disponíveis na internet podem ser tratados indiscriminadamente. Terceiro, demonstrou que não é necessário que haja um “vazamento” de dados ou um dano individual concreto para que haja violação à lei, bastando a falta de respeito aos princípios legais e aos direitos dos titulares, como o de adotar uma postura transparente em relação ao tratamento de dados pessoais pela empresa. Neste sentido, o valor desta primeira sanção da ANPD vai muito além de seu valor pecuniário.
Atuação da ANPD tem mais um ano de destaque – Pautada pela transparência e pela participação popular, a atuação da ANPD em 2023 merece novamente elogios. No ano passado, a Autoridade abriu consultas públicas sobre transferências internacionais de dados, cláusulas-padrão contratuais, o papel do encarregado de dados, incidentes de segurança de dados, e sobre um possível sandbox regulatório (experimentação colaborativa entre regulador, entidades reguladas e outras partes interessadas com o objetivo de testar inovações) de inteligência artificial e proteção de dados pessoais no Brasil.
Tais consultas foram acompanhadas pela emissão novas regulamentações. A aplicação das primeiras sanções só foi possível porque a ANPD publicou, em fevereiro, o regulamento de dosimetria das penas, que permitiu à Autoridade punir o descumprimento da LGPD. Em 2023, a Autoridade ainda emitiu esclarecimentos sobre a atuação do encarregado, a emissão de selos de conformidade com a LGPD, o tratamento de dados de crianças e adolescentes e o relatório de impacto à proteção de dados pessoais. A Autoridade emitiu ainda parecer sobre projetos de lei relacionados à proteção de dados, como o PL nº 2630/20 (conhecido como “lei das Fake News”) e PL nº 2338/2023, que dispõe sobre o uso da inteligência artificial no Brasil (tema sobre o qual falamos mais abaixo).
Finalmente, a ANPD facilitou em 2023 o envio de denúncias e petições de titulares, disponibilizando em sua página formulários para envio dos requerimentos e esclarecendo as principais dúvidas sobre quando fazer uma denúncia ou uma petição.
Inteligência artificial é desafio no horizonte – O lançamento do ChatGPT trouxe, de forma repentina, o tema da inteligência artificial (IA) para o centro das discussões mundiais. Uma carta assinada por mais de 20 mil pessoas, incluindo Elon Musk, presidente da Tesla, e o historiador Yuval Noah Harari, pediu uma pausa no desenvolvimento de IA e a adoção de medidas de segurança e governança, incluindo maior regulamentação, para tornar sistemas de IA mais precisos, seguros e transparentes.
Houve passos significativos desde então: os EUA, via decreto do presidente Joe Biden, estabeleceram novos padrões para proteger a privacidade e demais direitos dos cidadãos americanos no desenvolvimento de IA (e ao mesmo tempo manter a liderança americana no setor), e a União Europeia aprovou em dezembro a lei mais abrangente sobre o tema, impondo obrigações progressivas com base no risco oferecido pela IA. Enquanto sistemas de baixo risco precisam apenas cumprir certos requisitos de transparência, IAs de alto risco, como aquelas usadas em tribunais ou para classificação de currículos, devem cumprir obrigações mais rigorosas. IAs que ofereçam “riscos inaceitáveis”, como sistemas de crédito social ou monitoramento em tempo real (ambas já em uso limitado na China), tiveram seu desenvolvimento banido.
No entanto, nove meses após a publicação da carta, é seguro dizer que o desenvolvimento da IA continua a todo vapor (o próprio Musk passou a atuar na área quatro meses após assinar a carta). A IA já está integrada em várias facetas de nossas vidas, indo muito além do ChatGPT, como quando aplicativos oferecem sugestões de produtos com base em nossas preferências históricas e outros dados.
À medida que as IAs se desenvolvem, as preocupações com a privacidade aumentam, devido ao vasto uso de dados (incluindo dados pessoais) em seu treinamento. Não à toa, a agência de proteção de dados italiana chegou a proibir em março o uso do ChatGPT, acusando seus desenvolvedores de coleta ampla e ilegal de dados pessoais, bem como de exposição de menores a informações e tratamentos de dados inadequados com sua idade.
Outra questão recente é que conforme as IAs se tornam mais “humanas”, mais as pessoas tendem a confiar nelas e a compartilhar seus dados. Isto apenas amplia a crescente assimetria informacional entre as pessoas que geram dados e as grandes corporações que os acumulam, facilitando a manipulação algorítmica.
Tecnologias de IA já são usadas para monitorar pessoas em um nível antes inimagináveis, rastreando atividades online e offline e mesmo analisar nossas expressões faciais e outros dados biométricos. Com base nesses dados, IAs já fazem previsões sobre indivíduos e tomam decisões sobre o acesso a serviços e oportunidades, determinam intervenções estatais, ou decidem quem deve ser contratado ou qual deve ser a pena aplicada a uma pessoa. Pior: se tais IAs forem treinadas com dados enviesados, as decisões tomadas por elas podem resultar em discriminação grave com base em raça, gênero ou status socioeconômico.
A salvaguarda de nossa privacidade é crucial na era das IAs. O mundo está engajado em debates sobre o estabelecimento de parâmetros legais e éticos, visando assegurar que a IA seja desenvolvida em prol da humanidade. O futuro das IAs e nosso próprio futuro dependerá em grande medida dos debates e medidas adotados em 2024. Legisladores, incluindo no Brasil, precisam estar atentos ao fato de que a rápida evolução da IA requer uma abordagem dinâmica nas regulamentações propostas, mas que seja qual for o caminho escolhido, a proteção de nossos dados pessoais precisa ser um direito cada vez mais fundamental.
*Marcelo Cárgano, advogado e coordenador do Japan Desk no escritório Abe Advogados. É formado em Direito e Jornalismo pela USP, mestre em Sociologia pela Universidade de Osaka e pós-graduado em Direito Digital pelo ITS-UERJ. Possui especialização em Direito Digital e Proteção de Dados, com certificações da IAPP (CIPM) e EXIN
Os comentários são exclusivos para assinantes do Estadão.