A decisão da ANPD tem um caráter didático muito maior do que punitivo. Quando essas gigantes da tecnologia, que tratam um enorme volume de dados e têm um grande poder no mercado, precisam mostrar a adequação à norma, ainda que de uma forma coercitiva, fica muito clara a mensagem para todas as demais organizações
Bruna Fabiane da Silva (*)
Os projetos que tramitam no Congresso e os incontáveis debates realizados em forma de audiência pública e outros fóruns sobre o assunto podem passar a sensação de que a regulamentação da Inteligência Artificial (IA) ainda está longe de acontecer no Brasil. O pior é que tal impressão enseja o diagnóstico de que, por enquanto, pode-se fazer o que quiser em nome dessa inovação.
Mas o Despacho Decisório nº 20, publicado pelo Conselho Diretor da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) no Diário Oficial da União do dia 2 de julho, prova o contrário. O documento determina que a Meta, proprietária do Facebook, suspenda imediatamente a vigência da nova política de privacidade da empresa, tendo como argumento justamente o uso inadequado por parte da organização de dados pessoais dos brasileiros para fins de treinamento de sistemas de IA generativa.
A determinação, que é imposta sob pena de multa diária de R$ 50 mil por dia de descumprimento, tem um caráter didático muito maior do que punitivo. Quando essas gigantes da tecnologia, que tratam um enorme volume de dados e que têm um grande poder no mercado, precisam mostrar a adequação à norma, ainda que de uma forma coercitiva, fica muito clara a mensagem para todas as demais organizações, sejam elas públicas ou privadas.
Se um ícone global como o Facebook precisa se adequar às normas, imagine se isso não seria necessário também para as empresas de menor porte!
Quando estão envolvidos sistemas de IA, é preciso observar que se trata de uma nova tecnologia e que essas novas tecnologias não têm todos os riscos já totalmente conhecidos pelas organizações, pelos governos e nem pelas pessoas.
Cuidado redobrado
Isso significa que, ao contrário da sensação de que se pode tudo, é necessário ter um cuidado redobrado para se ter a certeza de que o tratamento de dados destes processos seja realizado sem causar grande prejuízo para os indivíduos.
Mesmo com o fato de que a IA é algo relativamente recente, não é verdade que mesmo antes de uma regulação mais específica ela possa existir sem que haja uma responsabilidade por parte de quem faz uso destes sistemas.
De qualquer forma, com medidas como essa, a ANPD vem cada vez mais mostrando sua força em relação às decisões que dizem respeito à proteção dos direitos fundamentais de privacidade. O recado fica estampado. Ninguém se exime da responsabilidade de seguir com a regulamentação da privacidade e proteção de dados. As exceções estão na própria legislação.
Neste caso, o pior para a Meta é o fato de o ajuste ter que ser feito sobre uma necessidade gerada pela própria Autoridade Nacional de Proteção de Dados. Ou seja, a sanção já foi aplicada. O dano à imagem já foi feito.
Tal ocorrido colide diretamente contra os princípios da LGPD. Estes princípios pressupõem que a Meta e todas essas grandes empresas já deveriam estar preocupadas em garantir a privacidade e a proteção de dados desde o início ou da fase de concepção de qualquer serviço ou produto que envolva o tratamento de dados pessoais.
As empresas precisam ser orientadas no sentido de que não basta fazer ajustes apenas em alguns processos. Isso é muito reativo. Somente depois que acontece algum problema é que se busca uma consultoria especializada para, só então, trazer a conformidade para o tratamento de dados que já é realizado.
Ajustes já no planejamento
A lei determina que, na fase de planejamento de um determinado tratamento de dados, os ajustes já precisam ser observados. Então, quando acontecem esses problemas, até mesmo com sistemas de IA, isso significa claramente que a empresa está falhando profundamente na governança da privacidade e proteção de dados.
Ter essa governança não significa a certeza de evitar todo e qualquer tipo de problema que possa surgir, mas é uma forma de mitigar o risco de ter um tratamento de dados que possa gerar um impacto ou um dano para os indivíduos.
A inovação e a regulação são duas realidades inegáveis. Ao mesmo tempo em que as empresas não podem deixar de inovar, elas também não podem deixar de cumprir as leis e regulamentos. Quanto mais medidas e controles que permitam a ocorrência dessa inovação com as devidas responsabilidades, melhor.
Aplicar os requisitos e os princípios éticos de responsabilidade no momento da utilização é fundamental, sem jamais esquecer que privacidade e proteção de dados pessoais são direitos fundamentais do ser humano.
A inovação faz parte da rotina de negócios de qualquer organização. Entretanto, essas duas realidades precisam orbitar e a governança tanto da IA quanto da privacidade e proteção de dados é o que garante que esse fluxo aconteça de uma forma mais assertiva.
(*) Sócia da DeServ Academy, eleita recentemente como uma das 50 Melhores Mulheres em Segurança Cibernética das Américas pela WOMCY (LATAM Women in Cybersecurity)