5 anos da LGPD: existe privacidade na era da IA? A opinião de 3 especialistas
A Lei Geral de Proteção de Dados Pessoais (LGPD) completa cinco anos nesta semana. Embora tenha sido publicada no dia 14 de agosto de 2018, ela entrou em vigência apenas em agosto de 2020.
Com a rápida explosão do uso de inteligência artificial (IA) no dia a dia, é nítido que é bem difícil seguir o ritmo dessas mudanças.
Desde chatbots como o ChatGPT, que normalmente usamos para simplificar tarefas, até aplicativos divertidos que utilizam nossa imagem para gerar retratos, temos uma quantidade abundante de plataformas digitais que usam IA – e muitas delas têm posse de nossas informações pessoais.
A tendência é surgirem muito mais serviços e apps assim. O relatório Future of Jobs, do Fórum Econômico Mundial, aponta que 75% das companhias entrevistadas em diversos países já adotaram práticas com uso de IA, ou estão se preparando para isso.
Mas e a gestão dos nossos dados e a fiscalização disso, como ficam, com essas novas plataformas cada vez mais presentes na vida dos brasileiros? O Giz Brasil conversou com especialistas para entender os potenciais riscos trazidos pela IA à privacidade e o papel da LGPD neste debate.
Coleta de dados “por debaixo dos panos”
Normalmente, associamos a LGPD a dados cadastrais, como nome, CPF, RG, telefone, e-mail, data e local de nascimento, endereço, gênero e dados bancários, por exemplo. Mas imagem e voz também podem ser considerados dados pessoais, o que gera preocupação em relação à IA generativa. Essa tecnologia pode aprender padrões complexos de comportamento a partir de uma base de dados e criar conteúdo utilizando nossos dados.
“Qualquer informação que possa levar à identificação do indivíduo é dado pessoal, mesmo que dependa de associação. A voz, por si só, não pode me identificar, por exemplo, mas junto de outras informações permite identificar”, explica Nairane Farias Rabelo Leitão, diretora da Autoridade Nacional de Proteção de Dados (ANPD).
Além disso, fornecemos vários dados pessoais a essas plataformas sem perceber. Ao usar o ChatGPT, por exemplo, o aplicativo coleta detalhes sobre sua sessão, incluindo suas conversas e qualquer outra coisa que você digitar.
Conforme a política de privacidade da OpenAI, as informações coletadas incluem dados de registro, dados de uso, cookies, conteúdo do usuário, informações do seu dispositivo, informações das suas redes sociais (caso estejam vinculadas) e informações da sua conta.
E ainda existe a questão do próprio abastecimento dos modelos de IA generativa, que dependem de uma vasta quantidade de dados para treinar seus algoritmos e alcançar bom desempenho.
Para alimentar essas tecnologias, são extraídas informações de milhões de páginas da web. Isso inclui postagens em redes sociais, notícias, vídeos do YouTube, músicas, livros e demais informações que você compartilha online. Isso pode gerar uma boa dor de cabeça, a depender da natureza do conteúdo.
Especialistas consideram marco legal da IA crucial
Artistas e veículos de comunicação já estão reivindicando direitos autorais por conta disso, e agora cresce a preocupação em relação ao uso dos dados pessoais nesse processo. Como boa parte das grandes plataformas de IA são estrangeiras, como o Bard, do Google, o DALL-E e o próprio ChatGPT, é difícil fiscalizar suas políticas de tratamento de dados e garantir que sejam adequadas às leis brasileiras.
“A LGPD precisa garantir que quando essas plataformas coletam dados pessoais dos titulares isso seja feito de maneira responsável. É imprescindível que haja a regulamentação e que tenhamos uma autoridade responsável por essa fiscalização das organizações, como a ANPD”, afirma Silvia Luisa Eifert Haas, advogada especialista em LGPD que atua no escritório Kipper Gewehr.
Segundo ela, a implementação de um marco regulatório para a IA no Brasil é fundamental, como o PL 2338/2023, proposto recentemente pelo senador Rodrigo Pacheco. Mas a LGPD deve continuar sendo um instrumento importante neste debate e se atualizar para evitar infrações. É claro que os crimes digitais ligados à IA vão muito além da alçada da LGPD, mas ela não pode ficar de fora do debate, de acordo com os especialistas.
“Esse tema necessariamente precisa passar pela ANPD. Nossa atuação engloba fiscalização, normatização, criação de guias, inclusão na agenda regulatória e pesquisa. Precisamos seguir dialogando para chegar a uma regulação, por mais que precise de modificações depois”, destaca Nairane Leitão.
O projeto de lei brasileiro teve entre as referências o Regulamento Geral sobre a Proteção de Dados (GDPR, na sigla em inglês), conjunto de regras do direito europeu sobre privacidade e proteção de dados pessoais. Agora, a União Europeia trabalha para aprovar a sua Lei da Inteligência Artificial, com normas específicas sobre o uso da tecnologia.
Potenciais riscos da IA à privacidade
Guardadas as proporções, já tivemos algumas situações parecidas com a do episódio que abre a sexta temporada da série Black Mirror, em que a personagem perde o controle sobre sua própria imagem. Poderíamos fazer uma analogia com a falta de controle sobre os dados pessoais e os desdobramentos disso.
Para o professor Fernando Osório, do Instituto de Ciências Matemáticas e de Computação (ICMC) da USP, o problema começa com a própria raspagem de dados (ou web scraping). Essa prática é muito usada para treinar ferramentas de IA; trata-se da coleta de dados na web de maneira automatizada.
De acordo com ele, muitas vezes, as plataformas usam dados sem autorização e não são transparentes sobre a gestão dessas informações, a forma de armazenamento e compartilhamento, o que pode gerar inconvenientes. A falta de prestação de contas é uma das grandes questões envolvidas.
“Para construir um modelo, a IA depende de dados, é assim que ocorre o aprendizado de máquina. Com base nessas informações, as plataformas tomam decisões”, explica o pesquisador do Centro de Inteligência Artificial (C4AI) da USP.
E quando a tecnologia erra?
A tomada de decisões dos algoritmos também tem preocupado os especialistas. Silvia Haas destaca os riscos de sistemas inteligentes que tomam decisões baseadas em informações pessoais dos usuários, por exemplo, que podem gerar prejuízo financeiro, por exemplo, ou até serem discriminatórias.
Ela explica que muitas empresas usam modelos de IA para acelerar processos e chegar a resultados mais rápidos. “O sistema coleta dados das pessoas e, com base nisso, o algoritmo cria um precedente. Para tal situação, a resposta é X. Mas nem sempre isso vai ser favorável”, argumenta a advogada.
Instituições financeiras, setores de Recursos Humanos e demais organizações do universo corporativo podem acabar violando a lei ao usar essa tecnologia, gerando situações de discriminação por raça ou gênero, por exemplo. Um estudo recente mostra que a inteligência artificial pode excluir pais e mães do mercado de trabalho.
A pesquisa da Universidade de Melbourne (Austrália) aponta que ferramentas de IA não são tão imparciais quanto pensávamos em processos seletivos, reproduzindo vieses de gênero e parentalidade em algoritmos de recrutamento de funcionários.
“O titular dos dados tem que ter o direito de questionar essas decisões. Se uma decisão tomada pela tecnologia afeta a pessoa, ela deveria poder tentar revertê-la. Todos precisam ter seus direitos fundamentais respeitados, como o direito à liberdade e à privacidade. É aí que entra a LGPD. Muitas vezes, as pessoas nem têm conhecimento disso”, diz Silvia.
Uso de imagem e voz: onde vai parar?
Quem nunca usou um desses aplicativos para gerar fotos com IA? Apps que te mostram como você vai ficar quando envelhecer, que te “transformam” em homem ou mulher, que te mostram sua versão grávida ou como serão seus filhos… Estamos vendo um verdadeiro festival de ferramentas assim, com imagens pipocando nas redes sociais diariamente.
Tivemos alguns casos notórios de problemas de privacidade com essas ferramentas, como o do aplicativo russo FaceApp, que tinha políticas questionáveis e gerou indignação. “Quando você baixa um app gratuito, quem está pagando a conta são os nossos dados pessoais. Ou seja, as empresas estão monetizando em cima dos seus dados. As pessoas não têm noção dos riscos que estão assumindo, e não existe a cultura de ler os termos de uso”, argumenta Silvia.
Agora, temos também os deepfakes, que se apropriam da voz ou da imagem da pessoa sem conhecimento ou autorização dela e com o intuito de propagar desinformação, muitas vezes. Para Fernando Osório, podemos ter consequências ainda maiores.
“Quantas pessoas já levaram aquele famoso golpe do sequestro, em que recebem uma ligação de um suposto parente, mas com a voz esquisita? Se uma pessoa mal-intencionada usar a IA para ‘roubar’ a voz da vítima, é um perigo gigantesco. O que já era ruim vai ficar pior ainda. Estamos vendo só a ponta do iceberg”, disse o professor.
As autoridades europeias anunciaram que uma das novidades da lei da IA será a proibição do uso de reconhecimento facial. Haverá praticamente um total banimento dessa prática, com o intuito de evitar crimes.
Possíveis caminhos
Para os especialistas, precisamos exigir transparência e prestação de contas das organizações, de modo a entender como as tecnologias funcionam e o que estão fazendo com nossos dados pessoais. Muitas vezes, as empresas lucram com essas informações, por exemplo, e a população não fica sabendo, de acordo com Nairane Leitão.
“Temos que entender o uso comercial dos dados. E não somente as autoridades, mas também os titulares. Não podemos trabalhar com dados pessoais à revelia de todos, e o titular acaba sendo o último a saber o que é feito com seus dados. Precisamos garantir um ambiente digital mais ético, e isso passa por transparência”, destaca a diretora da ANPD.
Outro problema é a falta de consciência dos cidadãos, segundo Silvia Haas. A advogada acredita que os brasileiros ainda não têm a cultura de ir atrás dos termos de uso dos aplicativos e acabam deixando seus dados caírem nas mãos erradas sem nem perceber. Para ela, isso pode ser mudado por meio de conscientização.
Os especialistas também concordam que a implementação da LGPD deixa a desejar; ainda há muitos gargalos e “a cultura de privacidade dos dados está caminhando a passos lentos”, segundo Silvia.
“As organizações precisam fazer o dever de casa. Mapear fluxo de dados, dizer para quê são usados, qual a base legal que autoriza essa utilização, como armazenam as informações. São fatores que a LGPD já exige e a adaptação está acontecendo vagarosamente”, opina.