Inteligência Artificial e Proteção de Dados: seria este o maior desafio à LGPD?
loader-logo

Ana Catarina Alencar

Ana Catarina Alencar
Especialista em Direito Digital e Compliance. Mestre em Direito pela Universidade Federal de Santa Catarina (UFSC). Professora no Curso de Graduação em Direito da Unisociesc/Joinville. 

Inteligência Artificial e Proteção de Dados: seria este o maior desafio à LGPD?

Turivius: sua nova forma de fazer pesquisa jurisprudencial tributária

Como a Inteligência Artificial impacta a proteção de dados pessoais no cenário atual? Os princípios da LGPD são compatíveis com o universo do Machine Learning e do Big Data?

Neste texto, exploramos o desafio da adequação de serviços que utilizam a Inteligência Artificial, a partir de reflexões sobre a LGPD. 

A Relação entre IA e o Tratamento de Dados Pessoais

A Inteligência Artificial (IA) é geralmente caracterizada como um tipo de tecnologia que otimiza a execução de tarefas por meio da detecção de padrões computacionais. Entretanto, a IA cobre um universo de possibilidades e se trata de algo muito mais conceitual. 

Explico, quando se diz que um determinado serviço ou produto possui “inteligência artificial” se quer dizer que aquela aplicação utiliza algum grau de “inteligência” programada – e, por isso, “artificial” – para executar atividades usualmente atribuídas a seres humanos.

Logo, o que se deseja, verdadeiramente, com essa transformação é atingir um grau de eficiência, economia e segurança nunca antes vistos, não suscetíveis às variações e vulnerabilidades  inerentemente humanas.

 O longo debate acerca da natureza da Inteligência Artificial e sua relação com o Direito foi explorado com maior riqueza de detalhes no e-book intitulado “Inteligência Artificial e Direito: Guia Definitivo”. 

Conforme abordamos neste e-book promovido pelo Portal da Turivius em parceria com pesquisadores da área, o Machine Learning ou aprendizado de máquina é a “grande sacada” da Inteligência Artificial, permitindo não somente a automatização de tarefas por máquinas, mas, a criação de algoritmos que “aprendem” por meio do influxo de dados recebido.

Aproveite para baixá-lo gratuitamente!

E-book Inteligência-Artificial-e-Direito-Guia-Definitivo

O aprendizado de máquina não é necessariamente ou explicitamente supervisionado por um ser humano. Em geral, a máquina interage com milhares de dados em grande escala (Big Data) por meio dos quais é treinada, por tentativa e erro, a construir padrões e dar as respostas corretas para um determinado problema.

Isso ocorre, por exemplo, quando a máquina consegue classificar fotografias de cachorros e gatos na internet aprendendo a identificar os padrões que definem o que é um gato e o que é um cachorro. 

Contudo, esse é um exemplo extremamente simples. Para compreender como o Machine Learning impacta a privacidade e a proteção de dados, podemos imaginar outro cenário: é possível que um algoritmo aprenda a identificar sinais de câncer de pulmão em exames de pacientes? Como poderíamos obter milhares de dados ou imagens deste “problema”, visando o aprendizado de máquina sem violar a privacidade de indivíduos? E mais, esses dados poderiam ser livremente compartilhados entre empresas parceiras na construção de soluções de Machine Learning

 “Inferência de dados pessoais” no Contexto do Big Data

Essas questões representam um grande desafio às legislações de proteção de dados, uma vez que os dados utilizados para propiciar o aprendizado de máquina podem identificar indivíduos e grupos sociais além de produzirem novas conclusões a partir dos dados inicialmente analisados. Isto é o que se convencionou chamar de “inferência de dados”.

Imagine que uma determinada aplicação de IA possua alguns dados sobre um indivíduo. Do fato de que ele é vegetariano pode-se inferir que ele gosta de animais, assim como é possível inferir que ele é mais propenso a comprar uma gravata sendo um advogado de negócios.

A inferência de dados é uma constante do processo de Machine Learning, já que a enormidade de dados coletados sempre permite extrair outras conclusões razoáveis a partir dos dados inicialmente tratados. A questão polêmica é que as “conclusões” inferidas podem ser consideradas dados pessoais, uma vez que podem identificar – e, geralmente identificam – um determinado titular.  

Várias empresas já se utilizam de serviços que incluem o aprendizado de máquina ao longo do tratamento de dados. Em 2018, foi amplamente noticiado que uma nova patente da assistente virtual “Alexa” da Amazon poderia saber quando um consumidor estava doente e lhe oferecer remédios, a partir do tom de voz e outros sinais.

No Canadá, outro caso ainda mais polêmico terminou em acordo depois de uma ação coletiva proposta por consumidores. A empresa fornecedora de vibradores “We vibe”, coletava dados sobre a utilização do produto como dias de uso, tempo, velocidade, pulso, configurações preferidas, etc. Os dados eram compartilhados com outras empresas para que pudessem atuar no “aprimoramento do produto”. A partir dessa coleta de dados, é possível imaginar que inferências altamente sensíveis podem ser feitas sobre a vida de consumidores sem a esperada privacidade. 

Atualmente, essas inferências podem ter uma série de consequências práticas na vida de titulares impactando sua capacidade de conseguir a aprovação de um empréstimo ou seguro, de ser contratado em determinada em empresa ou mesmo de influenciar em quem votarão nas próximas eleições.

A forma pela qual a máquina nos vê influencia diretamente em como a sociedade nos vê. Entretanto, o que a máquina “infere” está, invariavelmente, fora do controle do titular de dados.  Esse é o grande desafio da IA a legislação de proteção de dados em nosso tempo. 

A Inteligência Artificial em face dos Princípios da LGPD

Se, no universo do Big Data, a coleta de dados é em larga escala e dados secundários são inferidos de dados iniciais, como a IA pode observar os princípios da finalidade, da necessidade e da transparência? Isso para não citar outros vários imperativos da LGPD que, certamente, poderiam ser “problematizados”. 

Conforme previsto no artigo 6º, I da LGPD, as atividades de tratamento deverão observar o princípio da finalidade, definida como “a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.

Assim, a LGPD preceitua que o motivo pelo qual o tratamento de dados é realizado deve ser claro e específico. 

Contudo, conforme já debatido aqui, no universo da IA a finalidade da coleta pode ser encontrada depois que o dado já foi coletado. Recapitulando esta ideia, é muito comum que uma enormidade de dados seja coletada e, a partir disso, inicie-se um processo de inferência. Isso quer dizer que não é possível antever com precisão o resultado desse processamento de dados, uma vez que a finalidade pode não ser definida, exatamente, no início da coleta desses dados. 

É importante acrescentar que, nesse contexto, a finalidade da coleta também pode mudar ao longo do processo de tratamento. Como exemplo, podemos pensar na coleta de dados genéticos realizada em hospitais.

Inicialmente, pode ser que os dados sejam coletados para fins de exame médico. Dependendo do resultado da coleta e dos dados que podem ser inferidos neste processo, pode-se encontrar finalidades muito distintas da inicial, como, por exemplo, conclusões que mostram suscetibilidades do próprio ambiente hospitalar, inferências que apontam para outras patologias no paciente, entre outras possibilidades.

Em suma, o Machine Learning quer dizer que a máquina aprende algo novo sobre dados dos quais se quer sabia antes, isto é, ela aprende substancialmente a partir das inferências que produz. 

Dito isso, é possível compreender que o aprendizado da máquina só é possível no ambiente do Big Data, pois o sistema é baseado na coleta de dados em larga escala, caso contrário, não seria possível “aprender”. 

Deste modo, temos um claro desafio ao princípio da “minimização” ou da “necessidade” previsto no artigo 6º, III da LGPD, assim definido: “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados”. (grifos nossos). 

Adicionalmente, do ponto de vista técnico, não é tão simples entender como funciona uma “rede neural” de Machine Learning até mesmo entre desenvolvedores, já que existe certa “autonomia” na interação da máquina com os dados. Por isso, esperar que a maioria dos titulares compreenda o que está, de fato, ocorrendo com seus dados é algo bastante complexo e, aqui nos deparamos com o problema do “consentimento esclarecido”. 

Ainda que os desenvolvedores tenham de facilitar o exercício dos direitos dos titulares, fornecendo as informações necessárias, as normas de proteção à propriedade intelectual das empresas também devem ser consideradas, impondo maiores dificuldades à conformidade.

O desafio da Conformidade das aplicações de IA à LGPD

Em que pese o debate seja controverso, é fundamental que os desenvolvedores sejam capazes de fornecer informações sobre a “lógica geral” subjacente às aplicações totalmente automatizadas, indicando “a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial”, consoante previsto na LGPD. 

Adicionalmente, é imprescindível que a empresa que se utiliza de IA na coleta de dados pessoais informe essa circunstância, claramente, incluindo a eventual mudança de finalidade na coleta de dados, o que pode ser um processo extremamente complexo para empresas atuantes no ambiente do Big Data.

Em síntese, considerando a principiologia da LGPD sobre a IA, podemos dizer que os consumidores devem ter acesso à (i) explicação sobre os processos automatizados que permitam uma compreensão razoável dos critérios utilizados, bem como à (ii) revisão de decisões completamente automatizadas que “afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade”.

Neste ponto, são inúmeras as situações que afetam os interesses dos titulares quando se trata de IA. Decisões automatizadas que determinam quais currículos serão selecionados para uma vaga de emprego, quem receberá uma promoção baseada na avaliação de desempenho ou qual será a taxa de juros aplicada ao seu financiamento, ocorrem a todo momento na maioria das aplicações. 

Fato é que, demonstrada uma situação que “afete o interesse” de um indivíduo, haverá direito à explicação e à objeção sobre a decisão tomada pela máquina. Por conseguinte, pela redação do artigo 20 da LGPD é possível concluir que o consumidor terá direito de expressar a sua visão sobre o tratamento de dados automatizado e sobre os resultados inferidos pela máquina.

Entretanto, uma interpretação completa dessa objeção permanece em aberto, pois quando a legislação afirma um “direito à revisão” poderá querer dizer que uma nova decisão completamente humana deva ser tomada – desconsiderando o que o algoritmo decidiu – ou, que uma nova decisão humana poderá ser tomada com o apoio do algoritmo. 

Neste complexo cenário, garantir a conformidade das aplicações de IA é um grande desafio.

Para além de outros documentos e análises relevantes na adequação, dos quais tratamos em texto anterior sobre os aspectos de um bom Plano de Adequação, existe um documento de suma importância para demonstrar a conformidade das aplicações de IA. Trata-se do “Relatório de Impacto à Proteção de Dados Pessoais” (RIPD), mencionado no artigo 38 da LGPD. 

Leia também:

Implementação LGPD: como construir um bom plano de adequação

O RIPD exige uma análise abrangente do impacto causado pela aplicação de IA nos direitos e liberdades fundamentais dos titulares.

Assim, este documento visa não somente descrever a lógica subjacente do algoritmo, sua eficiência e segurança, mas, também o contexto no qual violações podem ocorrer subjugando titulares de dados.

Através do RIPD procura-se compreender quais são as consequências do tratamento de dados e suas decisões automatizadas sobre a vida de consumidores, bem como a forma pela qual a empresa pode atuar mitigando riscos. 

Para tanto, é necessário um especial cuidado com decisões automatizadas que impliquem em tratamentos discriminatórios ou “vieses”. Neste sentido, a auditoria constante dos algoritmos é um ponto de atenção para desenvolvedores.

Contudo, além de auditar “tecnicamente”, é imprescindível entender quem está por trás da programação e arquitetura desses sistemas, já que o “fator humano” pode ser determinante para o surgimento de algum viés discriminatório, ainda que inconsciente. Por isso, é extremamente relevante que exista diversidade e representatividade nas equipes de trabalho dentro do universo da IA. 

Em que pese não existam respostas claras para o desafio que se impõe, a LGPD traça parâmetros essenciais para que as empresas busquem compreender seu ambiente de dados e tomem as medidas preventivas.

Nesse encalço, o que não está previsto em lei ou, tampouco regulado pela Autoridade Nacional de Proteção de Dados (ANPD) deverá contar com a aplicação da ética, da razoabilidade e da proporcionalidade já presentes na própria hermenêutica da LGPD. 

Leia também:

Impactos da LGPD para advogados: preparando-se para o mercado da privacidade e proteção de dados.





Inscreva-se para receber notícias

Não perca nenhuma notícia publicada no blog da Turivius!

Turivius: sua nova forma de fazer pesquisa jurisprudencial tributária

Share on linkedin
Share on whatsapp
Share on facebook
Share on twitter
Share on email

Publicações Relacionadas