ANPD: Restrições para IA da Meta têm princípios que alcançarão casos futuros
Representantes da Autoridade Nacional de Proteção de Dados (ANPD) detalharam na tarde desta quarta-feira, 30, alguns elementos que baseiam o Plano de Conformidade para uso de dados pessoais no treinamento de inteligência artificial (IA) da Meta que, possivelmente, serão aplicados em processos semelhantes. A autarquia destaca que trata-se de um caso concreto, que tem especificidades, mas reconhece princípios que podem orientar casos futuros.
Ao analisar a adequação do sistema à Lei Geral de Proteção de Dados (LGPD), destacam-se os mecanismos de transparência, que deixem claro o que será feito com os dados pessoais, a possibilidade do usuário exercer o pleno direito de manifestar oposição, a proteção de vulneráveis – como crianças e adolescentes –, e se há uma finalidade legítima.
“Essas salvaguardas podem variar um pouco, a depender do contexto do treinamento, mas, neste caso em específico, a preocupação maior foi com relação à desidentificação desses dados, de modo que eles não remetam mais ao indivíduo identificado ou identificável”, explicou a diretora Míriam Wimmer, em coletiva.
Sobre o direito do usuário de se opor ao tratamento de seus dados pessoais para treinar IA, a ANPD valoriza o acesso simplificado, a exemplo da determinação de um “link facilitado”, como exemplificou o coordenador-Geral de Fiscalização (CGF) da autoridade, Fabrício Lopes.
“A nossa ideia do link facilitado é porque, na primeira experiência [no caso da Meta], para se opor, você tinha que navegar numa sequência de oito opções para poder encontrar esse link. Agora, esse link vai cair na mão do cidadão. Ele vai receber uma notificação na plataforma e, assim que ele entrar na notificação, o link está lá”, detalha Lopes.
Quem não tem conta na plataforma poderá se opor ao tratamento também através de um link na página de política de privacidade das plataformas do Facebook ou Instagram, conforme cronograma a ser definido pela empresa (saiba mais abaixo).
Legítimo interesse no caso Meta
A finalidade é um parâmetro para analisar se o “legítimo interesse” de uma empresa pode fundamentar o tratamento de dados pessoais. Conforme a LGPD, ela deve incluir “o apoio e promoção de atividades” e “a proteção, em relação ao titular [dos dados], do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais”. Há exceção para dados sensíveis, como origem racial, étnica, condição de saúde, filiação política ou sindical, e dados genéticos e biométricos.
A suspeita de uso inadequado do legítimo interesse esteve entre os motivos que levou a ANPD a emitir a medida preventiva que suspendeu o uso de dados pessoais para treinamento da IA da Meta até que a empresa detalhasse a prática e se comprometesse a seguir a lei, cumprindo o Plano de Conformidade aprovado pelo Conselho Diretor da ANPD e divulgado nesta sexta-feira.
Questionada sobre como a ANPD interpretou o caso da Meta, Wimmer destaca que “a suspensão da medida preventiva não está dizendo que o legítimo interesse está liberado como uma hipótese geral de tratamento de inteligência artificial, sem qualquer condicionamento adicional”. Segundo a diretora, o conceito envolve um amplo debate jurídico e a experiência internacional vem mostrando que “o legítimo interesse vai acabar sendo uma hipótese muito comumente utilizada, simplesmente, por não ser factível pedir o consentimento [no uso de dados] em todos os casos”.
“O legítimo interesse acaba sendo uma hipótese plausível desde que haja um incremento verdadeiro na transparência, então: claras informações para o titular; facilidade de se opor ao tratamento, seja usuário ou não usuário daquele tipo de serviço específico; notificação por diversos meios – por email, pelo aplicativo –; tudo isso torna a hipótese de legítimo interesse mais plausível, uma vez que o titular continue no controle sobre o que é feito com as informações dele”, complementou Wimmer.
Cronograma e ajustes
O caso da Meta segue em acompanhamento e, se necessário, a ANPD pode pedir novos ajustes no Plano de Conformidade. Conforme a decisão da autoridade, a empresa deve apresentar um cronograma atualizado de implementação do plano de conformidade em até cinco dias úteis, respeitando um prazo mínimo de trinta dias entre o envio da notificação aos titulares e o início do tratamento de dados públicos de contas de usuários.
O coordenador-Geral de Fiscalização da ANPD, Fabrício Lopes, acrescenta que a atividade de fiscalização envolve o monitoramento de como a IA da Meta vai se comportar, as ocorrências registradas pelos usuários e os documentos técnicos a serem apresentados pela empresa ao longo do processo.
“Insuficiente”
Em nota divulgada nesta tarde, o Instituto de Defesa de Consumidores (Idec), que denunciou o caso meta à ANPD, critica a decisão da autarquia. Para a entidade, “na revogação da medida cautelar, a Autoridade não se aprofunda na análise do ponto central do tratamento de dados: a base legal utilizada, requisito para o tratamento de dados pessoais no Brasil”.
“Ainda que em flagrante ilegalidade por aceitar a base legal do legítimo interesse para o tratamento de dados sensíveis (como pela análise de fotos, com dados biométricos), a Autoridade permite que o tratamento seja continuado numa situação vedada por lei. Mesmo que o processo de fiscalização continue investigando esse ponto, no futuro não importará se a base for considerada ilegal, o modelo de IA generativa já terá sido treinado e os danos aos nossos direitos já terão ocorrido”, consta na manifestação.
Quanto ao tratamento de dados de crianças e adolescentes, o Idec entende que mesmo o Plano de Conformidade proibindo, “essa prática ainda pode ocorrer incidentalmente, afetando direitos que deveriam ser protegidos com absoluta prioridade, nos termos da Constituição Federal. “A Autoridade isenta a empresa de responsabilidade e de medidas específicas para a proteção de menores, passando para as crianças e seus pais a responsabilidade pela proteção de seus dados pessoais, em total desconformidade com a lei”, opina.
De forma geral, a avaliação do Idec é a de que a empresa está sendo exigida em “somente o mínimo necessário, aquém do disposto na LGPD”.
