ANPD autoriza Meta a usar dados pessoais para treinar IA; com restrições

De acordo com o órgão, os usuários serão informados sobre o direito de manifestar oposição à prática com seus dados pessoais, e "poderão exercer tal direito de forma facilitada".
Com ressalvas, ANPD autoriza Meta no uso de dados pessoais para IA | Foto: Freepik
Com ressalvas, ANPD autoriza Meta no uso de dados pessoais para IA | Foto: Freepik

A Meta poderá utilizar dados pessoais  dos usuários de suas plataformas para treinar a inteligência artificial (IA) da big tech, com algumas restrições. A prática estava proibida por uma medida preventiva pela Autoridade Nacional de Proteção de Dados (ANPD), mas foi revista pela autarquia, conforme despacho publicado nesta sexta-feira, 30. 

A proibição ocorreu em julho, pela identificação de “risco iminente de ocorrência de danos graves e irreparáveis ou de difícil reparação aos titulares”. De acordo com a ANPD, a suspensão da medida preventiva ocorre após recurso da Meta, “com base em documentação apresentada pela empresa e em compromissos por ela assumidos”, que prevê a adequação a um Plano de Conformidade aprovado pelo Conselho Diretor.

O Plano de Conformidade permite, entre outros pontos, que os usuários possam manifestar a oposição ao tratamento de seus dados pessoais. As condições previstas são as seguintes:

  • Não incluir, neste momento, dados pessoais disponíveis publicamente de contas pertencentes a seus usuários no Brasil, menores de 18 anos, no treinamento de seus produtos de IA generativa;
  • Envio de notificação a todos os usuários nos aplicativos Facebook e Instagram no Brasil;
  • Envio de notificação para o endereço de e-mail cadastrado pelo usuário junto ao Facebook e Instagram no Brasil;
  • Inclusão de banner no artigo “Como a Meta usa informações para recursos e modelos de IA generativa”;
  • Inclusão de banner na página inicial da Central de Privacidade no Brasil para garantir informações em destaque sobre o tratamento de dados pessoais;
  • Inclusão de link facilitado para o formulário de oposição;
  • Atualização do Aviso de Privacidade do Brasil;
  • Atualização do banner da Política de Privacidade para informar sobre a atualização de seu conteúdo e incluir link facilitado para o formulário do pedido de oposição;
  • Simplificação do preenchimento do formulário de oposição para garantir o exercício facilitado de direitos;
  • Aprimoramento da transparência no formulário de oposição;
  • Publicação na Sala de Imprensa da Meta para fornecer ainda mais informações sobre as melhorias de transparência e facilitação do acesso ao formulário de oposição;
  • Redução do número mínimo de caracteres para a solicitação do formulário de oposição disponível para qualquer indivíduo, incluindo não-usuários;
  • Para titulares que não são usuários de produtos da Meta: oferecer formulário simplificado para o exercício de oposição; e
  • Protocolar uma petição junto à ANPD para confirmar cada compromisso assumido.

Na avaliação sobre o caso, o relator, diretor Joacil Basílio Rael*, destaca que a área técnica da ANPD constatou “a efetiva adoção das medidas previstas no plano de conformidade, incluindo a comunicação prévia aos titulares por meio de notificação, bem como o aprimoramento das medidas de transparência e dos mecanismos de opt-out (direito de oposição)”. Com isso, “ficam afastadas as potenciais irregularidades e os riscos identificados na medida preventiva inicial, em especial mediante o atendimento aos requisitos relacionados às legítimas expectativas dos titulares, e aos princípios da finalidade e da necessidade”.

Fiscalização

O Conselho Diretor determinou que a Coordenação-Geral de Fiscalização acompanhe “rigorosamente” o cumprimento do Plano de Conformidade pela Meta e a implementação do sistema de IA da empresa.  O descumprimento pode gerar punições. 

Conforme a decisão da autoridade, a empresa deve apresentar um cronograma atualizado de implementação do plano até cinco dias úteis, respeitando um prazo mínimo de trinta dias entre o envio da notificação aos titulares e o início do tratamento de dados públicos de contas de usuários.

Em coletiva de imprensa nesta tarde, coordenador-Geral de Fiscalização da ANPD, Fabrício Lopes, acrescentou que a atividade de fiscalização envolverá o monitoramento de como a IA da Meta vai se comportar, as ocorrências registradas pelos usuários e os documentos técnicos a serem apresentados pela empresa ao longo do processo (saiba mais neste link).

Ao anunciar a suspensão da medida preventiva, o presidente da ANPD, Waldemar Gonçalves, afirmou em nota que a atuação da autoridade “se deu com o objetivo de promover a conformidade com a Lei Geral de Proteção de Dados Pessoais e o esclarecimento dos direitos dos titulares de dados”. 

“Esse episódio, mais uma vez, demonstrou que a atuação do órgão se dá no sentido de disseminar uma cultura da proteção de dados”, concluiu Gonçalves. 

“Insuficiente”

Após a divulgação, o Instituto de Defesa de Consumidores (Idec), que denunciou o caso da Meta à ANPD, criticou a decisão da autarquia.  Para a entidade, “na revogação da medida cautelar, a Autoridade não se aprofunda na análise do ponto central do tratamento de dados: a base legal utilizada, requisito para o tratamento de dados pessoais no Brasil”.

“Ainda que em flagrante ilegalidade por aceitar a base legal do legítimo interesse para o tratamento de dados sensíveis (como pela análise de fotos, com dados biométricos), a Autoridade permite que o tratamento seja continuado numa situação vedada por lei. Mesmo que o processo de fiscalização continue investigando esse ponto, no futuro não importará se a base for considerada ilegal, o modelo de IA generativa já terá sido treinado e os danos aos nossos direitos já terão ocorrido”, consta na manifestação.

Quanto ao tratamento de dados de crianças e adolescentes, o Idec entende que mesmo o Plano de Conformidade proibindo, “essa prática ainda pode ocorrer incidentalmente, afetando direitos que deveriam ser protegidos com absoluta prioridade, nos termos da Constituição Federal. “A Autoridade isenta a empresa de responsabilidade e de medidas específicas para a proteção de menores, passando para as crianças e seus pais a responsabilidade pela proteção de seus dados pessoais, em total desconformidade com a lei”, opina. 

De forma geral, a avaliação do Idec é a de que a empresa está sendo exigida em “somente o mínimo necessário, aquém do disposto na LGPD”.

Acesse a íntegra da decisão neste link

*A matéria foi atualizada para correção da autoria do relatório.

Avatar photo

Carolina Cruz

Repórter com trajetória em redações da Rede Globo e Grupo Cofina. Atualmente na cobertura de telecom nos Três Poderes, em Brasília, e da inovação, onde ela estiver.

Artigos: 1172