A recente decisão da ANPD de determinar a suspensão da nova política de privacidade da Meta é destinada a ter repercussões bem além do caso específico e das fronteiras nacionais. Nos próximos meses, as atenções políticas, econômicas e sociais do planeta estarão voltadas para o Brasil. Isso por causa da presidência brasileira do G20, cuja cúpula com a participação dos chefes de Estado dos países-membros se reunirá no Rio de Janeiro em novembro. A governança da inteligência artificial é uma das prioridades identificadas pelo Brasil.
A importância dada à IA é facilmente compreensível. Seu uso não se restringe a áreas ou setores específicos. Possibilita inúmeros benefícios aplicáveis em diversas vertentes (e.g. avanços médicos, melhorias econômicas etc.), que antes seriam praticamente impossíveis[1].
O debate sobre IA enfrenta desafios globais em termos de governança, regulação, soberania, desenvolvimento sustentável, e impactos nos direitos fundamentais. Neste contexto se insere a recente decisão da ANPD de suspender o uso de dados pessoais para o treinamento de sistemas de IA pelo Grupo Meta.
O que a ANPD determinou e por quê?
Na última semana de junho, entrou em vigor a versão atualizada da política de privacidade da Meta, aplicável aos seus produtos. Nela, a empresa “estreou” uma nova seção sobre seu novo produto – IA generativa – declarando que iria utilizar diversas categorias de dados pessoais de usuários (e mesmo de não usuários dos produtos Meta) para treinar seus modelos de IA.
Tal atualização repercutiu na mídia e rapidamente ganhou eco online, despertando a atenção de organizações e órgãos públicos, resultando na primeira emissão de medida preventiva pelo Conselho Diretor da ANPD[2] suspendendo a vigência do documento e das atividades de tratamento relacionadas a tais finalidades[3]. Na avaliação da ANPD, a Meta:
“não forneceu informações adequadas e necessárias para que os titulares tivessem ciência sobre as possíveis consequências do tratamento de seus dados pessoais para o desenvolvimento de modelos de IA generativa. A Autoridade averiguou, ainda, que, embora os usuários pudessem se opor ao tratamento de dados pessoais, havia obstáculos excessivos e não justificados ao acesso às informações e ao exercício desse direito”.
Embora pudesse ser esperado um voto do Conselho Diretor em processos em estágio mais avançado, a assertividade da ANPD deve ser celebrada, refletindo um momento de maior amadurecimento institucional acerca da necessária fiscalização das práticas de IA que envolvem riscos aos direitos fundamentais. Contudo, também suscita questionamentos.
Por que somente a Meta foi alvo da ANPD?
Apesar de empresas do segmento, como Meta, Google e Microsoft, investirem em algoritmos e IA há algum tempo, a corrida pelo desenvolvimento de Large Language Models (LLM) está aquecida, com a expansão de empresas explorando massivamente os dados pessoais de seus usuários para treinamento de tais modelos.
Segundo o próprio Relatório do Ciclo de Monitoramento da ANPD de 2023, “as plataformas digitais foram o setor com maior presença nas petições de titular, totalizando 96 requerimentos (21,2% do total)”. Assim, questiona-se: somente a Meta merece medidas cautelares? E os outros agentes? O setor de fiscalização da ANPD, que conheceu de ofício este caso, não analisou as políticas de outras grandes corporações – como Google, OpenAI, TikTok, LinkedIn, Discord – que declaram expressamente o uso de dados pessoais para treinamento de modelos de IA?
Frise-se: os presentes questionamentos não pretendem desprestigiar a fiscalização da IA da Meta, que consideramos muito bem-vinda e acertada, mas sim arguir pela isonomia e coerência no cenário brasileiro, que urge pela atuação da ANPD, que pareceu entender ser agora o momento propício para avaliar a temática.
Raspagem ou não raspagem, eis a questão
Especificamente sobre o caso Meta, certos aspectos parecem ter sido negligenciados pela ANPD. A Política declarou explicitamente a utilização de “informações publicamente disponíveis online” para o treinamento de sistemas de IA generativa, incluindo dados de indivíduos que não são usuários de seus produtos ou serviços.
A análise sobre a adequação do legítimo interesse como base legal para este tratamento extensivo de dados pessoais denota um enfoque mais limitado à legalidade do uso das informações disponíveis nas plataformas geridas pela Meta, e não ao uso de informações disponíveis online, publicamente acessíveis a qualquer pessoa.
Ademais, consideramos que a explicita afirmação da Meta sobre o tratamento de dados publicamente disponíveis online, por meio de técnica conhecida como raspagem de dados ou data scrapping[4], poderia ter sido objeto de uma análise mais rigorosa, especialmente à luz dos precedentes estabelecidos pela ANPD.
No caso Telekall Infoservice, marcado pela primeira sanção pecuniária aplicada pela ANPD, a autoridade constatou que a coleta de dados pessoais disponíveis na internet e seu uso para fins comerciais sem cumprir os princípios da finalidade e transparência configuram a inadequação da base legal do legítimo interesse para o tratamento.
Como destacamos em precedência, esta orientação é essencial para nortear a fiscalização da ANPD no que diz respeito ao treinamento de LLMs. Não é compreensível que este raciocínio se aplique somente para uma microempresa de marketing digital e não seja aplicado a empresas que perpetram a mesma conduta em escala global e dispõem de orçamentos bilionários para facilitar o compliance.
Esta análise é crucial para o caso da Meta, levantando questões sobre práticas semelhantes adotadas por outras empresas, como Google[5] e OpenAI[6], quanto à adequação das bases legais utilizadas e à conformidade com os princípios estabelecidos pela LGPD para o treinamento de modelos de IA tratando dados pessoais publicados online e considerados como “disponíveis”.
Em nossa visão, a ANPD perdeu uma oportunidade significativa de reforçar tais entendimentos ao não conduzir uma análise igualmente rigorosa no caso da Meta, suscetível de fornecer rumos essenciais para que o setor seja desenvolvido de maneira sustentável. A ausência de uma análise detalhada pela ANPD sobre a conformidade das práticas da Meta, baseada na prática de raspagem de dados com os dispositivos legais da LGPD, compromete a aplicação consistente de entendimentos pela autoridade sobre questões críticas em proteção de dados e IA, vez que tal técnica é utilizada por praticamente todos os LLMs.
Reflexos internacionais
Observa-se que a decisão da ANPD foi emitida em consonância com o debate que ocorre ao redor do tratamento de dados exercido pela Meta desde 2018 na União Europeia, onde o tema encontra-se em estado mais amadurecido que o brasileiro. Todavia, faz-se necessário tratar com parcimônia a importação da experiência estrangeira para o território brasileiro.
No caso europeu, devido à última mudança da Política da Meta, os usuários foram notificados quanto ao uso de seus dados para o treinamento de IA. Em resposta, a organização NOYB, encabeçada pelo ativista Max Schrems – que estará no Rio de Janeiro para a conferência CPDP LatAm –, acionou 11 autoridades reguladoras europeias. A Comissão de Proteção de Dados da Irlanda (DPC) determinou a suspensão do tratamento de dados para esta finalidade. Cumprindo com a solicitação do DPC, a Meta anunciou a suspensão dos planos de implementação da assistente de IA na Europa.
No Brasil, embora a política de privacidade já mencionasse o treinamento de IA antes da última atualização, a decisão da ANPD apenas ocorreu após ampla cobertura midiática dos acontecimentos europeus, de modo que, apesar de ela ser positiva, questiona-se se é um mero reflexo do movimento da UE.
De todo modo, a ANPD cada vez mais se insere em um papel de destaque para o cenário brasileiro, regional e global, quando o assunto é IA. Isso porque, além de os dados serem a força motriz para a operação de diversos tipos dessas ferramentas, a autoridade foi proposta como coordenadora do Sistema Nacional de Inteligência Artificial, no bojo do PL 2338/2023, recebendo novas atribuições[7].
Se a proposta legislativa se tornar realidade, as responsabilidades da ANPD serão notavelmente expandidas e sua atuação será observada com atenção pelos parceiros internacionais. Assim, torna-se imprescindível evitar assincronias entre as decisões proferidas pela autoridade, como as que destacamos no presente artigo.
Em um momento em que todas as atenções estarão voltadas para o Brasil e em que se debate a posição da ANPD como coordenadora do SNIA, a atividade preventiva da autoridade na análise da nova Política da Meta pode tornar-se emblemática, sedimentando parâmetros que deverão ser observados na utilização de dados pessoais por ferramentas de IA.
Uma atuação forte e técnica, consolidando entendimentos positivos fundamentados pela ANPD, como a impossibilidade de aplicação de técnicas de raspagem de dados no caso Telekall, é o caminho recomendável e é suscetível de se tornar um exemplo reproduzido internacionalmente. Ademais, a atuação não deve se restringir a Meta, mas estender-se também para todos os agentes de tratamento que utilizam práticas semelhantes, atualmente com aparência de total permissibilidade.
Assim, nos parece que a recente postura da ANPD tenha o potencial de contribuir enormemente para um dos maiores legados da presidência brasileira do G20: a IA deve ser desenvolvida respeitando as leis de proteção de dados que mais de 160 países do mundo – todos os membros do G20 menos os EUA – já adotaram. O direito à proteção de dados não deve ser considerado como um obstáculo à inteligência artificial, mas talvez um dos maiores aliados que temos para evitar que a IA se torne totalmente insustentável.
Autores:
Luca Belli – Professor da FGV Direito Rio e coordenador do Centro de Tecnologia e Sociedade (CTS-FGV)
Rodrigo Pinho Gomes – Doutorando e mestre em Direito Civil pela UERJ. Professor dos cursos de pós-graduação da PUC-Rio, IBMEC-Rio e Belo Horizonte
Beatriz Souza Costa – Pesquisadora do Centro de Tecnologia e Sociedade da FGV Direito Rio
Fernando Naegele – Pesquisador do Centro de Tecnologia e Sociedade da FGV Direito Rio
Sofia Chang – Pesquisadora do Centro de Tecnologia e Sociedade da FGV Direito Rio
Daniel Dore Lage – Pesquisador do Centro de Tecnologia e Sociedade da FGV Direito Rio
[1] Como exemplo, cita-se um modelo em desenvolvimento para detecção de câncer de pele em paciente. Para maiores informações, ver: https://portugues.medscape.com/verartigo/6510281?form=fpf. Acesso em 02 jul. 2024.
[2] Disponível em: https://www.in.gov.br/en/web/dou/-/despacho-decisorio-n-20/2024/pr/anpd-569297245 . Acesso em 02. jul. 2024.
[3] A fundamentação foi exposta em documento contendo mais de 20 páginas, liderado pelo voto da diretora relatora Miriam Wimmer. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-determina-suspensao-cautelar-do-tratamento-de-dados-pessoais-para-treinamento-da-ia-da-meta/SEI_0130047_Voto_11.pdf. Acesso em 02. jul. 2024.
[4] Em 2019, a Autoridade Francesa abordou o tema. Disponível em: https://www.cnil.fr/fr/la-reutilisation-des-donnees-publiquement-accessibles-en-ligne-des-fins-de-demarchage-commercial. Acesso em 02. jul. 2024.
[5] Fontes de acesso público: “Podemos, por exemplo, coletar informações disponíveis publicamente on-line ou de outras fontes públicas para ajudar a treinar os modelos de IA do Google e criar recursos como o Google Tradutor, os apps do Gemini e os recursos de IA em Cloud. Ou, caso as informações sobre sua empresa apareçam em um site, podemos indexá-las e exibi-las nos Serviços do Google”. Disponível em: https://www.gstatic.com/policies/privacy/pdf/20240328/kqt85t47/google_privacy_policy_pt-BR_br.pdf . Acesso em 02. jul. 2024.
[6] Disponível em: https://www.jota.info/opiniao-e-analise/artigos/por-que-o-chatgpt-descumpre-a-lgpd-e-por-que-peticionei-a-anpd-23052023. Acesso em 02 jul. 2024.
[7] Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-e-formalizada-como-coordenadora-do-sistema-nacional-de-inteligencia-artificial. Acesso em 02. jul. 2024.