Inteligência Artificial e Proteção de Dados: será que essa combinação dá certo?
Que as soluções tecnológicas que utilizam Inteligência Artificial estão a todo vapor, você já sabe, né?
Agora, será que as empresas que desenvolvem essas soluções estão legitimando o tratamento dos dados pessoais de forma correta?
Esse é um questionamento que surge sempre que o tema é pauta de alguma conversa.
IA e LGPD
Se por um lado a IA busca se utilizar de técnicas para enriquecimento de dados a fim de agregar e refinar informações externas (muitas delas disponíveis publicamente na internet), de modo a torná-las eficazes e inteligentes para a tomada de decisão pelas empresas, de outro, a LGPD disciplina o tratamento de dados pessoais, ou seja, a privacidade e a proteção das informações pessoais dos titulares de dados.
Todo o processo envolvido no aprimoramento das informações pela IA pode envolver dados considerados pessoais dos usuários e esse é o auge da discussão!
Até que ponto esse aprimoramento de informações poderá conflitar com as disposições da lei?
E aqui entram duas disposições que eu considero muito importantes na lei, os Fundamentos da LGPD e a base legal do Legítimo Interesse.
Fundamentos da LGPD
“Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
V – o desenvolvimento econômico e tecnológico e a inovação”.
Base Legal do Legítimo Interesse – Inteligência Artificial e Proteção de Dados
“Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I – apoio e promoção de atividades do controlador; e
II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
Dessa forma, como base nessas duas disposições da LGPD, é possível – ou quase, viabilizar e legitimar o tratamento de dados pessoais pelas empresas que desenvolvem soluções com IA.
Sobre os fundamentos da LGPD
Desde o princípio da edição da LGPD, muito se falava, equivocadamente, que a lei tinha surgido para acabar com as empresas de tecnologia, para proibir a utilização dos dados, etc., etc.
Mas a realidade, contudo, é bem ao contrário, pois a LGPD tem como um de seus fundamentos juntamente desenvolvimento econômico e tecnológico e a inovação.
Aliado aos fundamentos da lei, passaremos para o segundo ponto que se relaciona com o tema, que é a base legal mais adequada para a legitimação do tratamento de dados pelas empresas que utilizam IA: O Legítimo Interesse!
Sobre a viabilidade da utilização da Base Legal do Legítimo Interesse para soluções com IA – Inteligência Artificial e Proteção de Dados
Da mesma forma, esse é um outro ponto de inúmeras discussões.
Aqui o ponto é a necessidade de consentimento para toda e qualquer legitimação de tratamento de dados pessoais.
Assim também, esse é, sem dúvidas, o maior equívoco dentre os intérpretes da lei.
O consentimento não é uma base legal absoluta, e muito menos a principal base disposta no rol do Art. 7º da LGPD.
Ela é uma base importante? Sim! Mas não é a protagonista!
Aliás, não existe protagonismo entre as bases e nenhuma das hipóteses legais de legitimação de tratamento é superior à outra.
No caso da IA, a mais indicada seria a base legal do Legítimo Interesse:
O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I – apoio e promoção de atividades do controlador.
Para legitimar o tratamento de dados pessoais por meio da utilização dessa base legal, é fundamental que o controlador observe alguns requisitos dispostos no Art. 10 e seus incisos e parágrafos, sendo o primeiro deles:
“§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados”.
Igualmente, será necessário que o controlador adote medidas capazes de garantir a transparência em relação a esse tratamento.
“§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse”.
LIA (Legitimate Interests Assessment) LGPD e do RIPD (Relatório de Impacto à Proteção de Dados Pessoais).
Por fim, os requisitos mais importantes relacionados a essa base legal: a elaboração do LIA (Legitimate Interests Assessment) e do RIPD (Relatório de Impacto à Proteção de Dados Pessoais) ou DPIA (Data Protection Impact Assessment).
Um LIA (Legitimate Interests Assessment) ou teste de ponderação é um teste que deve ser realizado sempre que o controlador e/ou terceiro optar por justificar ou entender aplicável a utilização da base legal do Legítimo Interesse.
Caso esta base tenha sido identificada durante a elaboração do Assessment inicial, é recomendável que o controlador realize o teste para fins de confirmação da viabilidade da opção pela utilização da referida base legal.
Saiba mais sobre o LIA LGPD.
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial”.
Por último, entenda mais sobre o RIPD (Relatório de Impacto à Proteção de Dados Pessoais) ou DPIA (Data Protection Impact Assessment)., clicando AQUI!
Inteligência Artificial e Proteção de Dados é possível!
Em conclusão, como visto acima, é perfeitamente possível legitimar o tratamento de dados pessoais pelas empresas que desenvolvem soluções utilizando IA (Inteligência Artificial) por meio da utilização da base legal do Legítimo Interesse.
Contudo, para que o esse tratamento seja lícito e não afronte o direito à privacidade e a proteção de dados pessoais dos titulares de dados, o controlador precisa se atentar aos requisitos acima, à elaboração dos documentos exigidos pela lei e a prova de cumprimento de atendimento aos princípios elencados na legislação.
Em síntese, não há outra forma de legitimar esse tratamento que não por meio dessa base legal.
E a pergunta que não quer calar: e se a empresa quiser optar pelo consentimento? A resposta é simples: nesse caso o consentimento é uma base fraca para esse tratamento e não é a mais adequada, pois além da dificuldade de formalizar esse “aceite”, a empresa poderá estar com o “sistema redondo”e haver revogação da autorização a qualquer tempo.
Ou seja, o consentimento para o desenvolvimento de soluções que utilizem IA não é a base indicada!
Por fim, caso tenha mais dúvidas sobre o tema, ACESSE AQUI!
