Curso de LGPD GRÁTIS - Semana de LGPD na Prática (5, 6 e 7 de março)
Dados pessoais Inteligência Artificial (AI)

Inteligência Artificial e Proteção de Dados

Inteligência Artificial e Proteção de Dados: será que essa combinação dá certo?

Que as soluções tecnológicas que utilizam Inteligência Artificial estão a todo vapor, você já sabe, né?

Agora, será que as empresas que desenvolvem essas soluções estão legitimando o tratamento dos dados pessoais de forma correta?

Esse é um questionamento que surge sempre que o tema é pauta de alguma conversa.

IA e LGPD

Se por um lado a IA busca se utilizar de técnicas para enriquecimento de dados a fim de agregar e refinar informações externas (muitas delas disponíveis publicamente na internet), de modo a torná-las eficazes e inteligentes para a tomada de decisão pelas empresas, de outro, a LGPD disciplina o tratamento de dados pessoais, ou seja, a privacidade e a proteção das informações pessoais dos titulares de dados.

Todo o processo envolvido no aprimoramento das informações pela IA pode envolver dados considerados pessoais dos usuários e esse é o auge da discussão!

Até que ponto esse aprimoramento de informações poderá conflitar com as disposições da lei?

E aqui entram duas disposições que eu considero muito importantes na lei, os Fundamentos da LGPD e a base legal do Legítimo Interesse.

Fundamentos da LGPD

“Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

V – o desenvolvimento econômico e tecnológico e a inovação”.

Base Legal do Legítimo Interesse – Inteligência Artificial e Proteção de Dados

“Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I – apoio e promoção de atividades do controlador; e

II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

Dessa forma, como base nessas duas disposições da LGPD, é possível – ou quase, viabilizar e legitimar o tratamento de dados pessoais pelas empresas que desenvolvem soluções com IA.

Sobre os fundamentos da LGPD

Desde o princípio da edição da LGPD, muito se falava, equivocadamente, que a lei tinha surgido para acabar com as empresas de tecnologia, para proibir a utilização dos dados, etc., etc.

Mas a realidade, contudo, é bem ao contrário, pois a LGPD tem como um de seus fundamentos juntamente desenvolvimento econômico e tecnológico e a inovação.

Aliado aos fundamentos da lei, passaremos para o segundo ponto que se relaciona com o tema, que é a base legal mais adequada para a legitimação do tratamento de dados pelas empresas que utilizam IA: O Legítimo Interesse!

Sobre a viabilidade da utilização da Base Legal do Legítimo Interesse para soluções com IA – Inteligência Artificial e Proteção de Dados

Da mesma forma, esse é um outro ponto de inúmeras discussões.

Aqui o ponto é a necessidade de consentimento para toda e qualquer legitimação de tratamento de dados pessoais.

Assim também, esse é, sem dúvidas, o maior equívoco dentre os intérpretes da lei.

O consentimento não é uma base legal absoluta, e muito menos a principal base disposta no rol do Art. 7º da LGPD.

Ela é uma base importante? Sim! Mas não é a protagonista!

Aliás, não existe protagonismo entre as bases e nenhuma das hipóteses legais de legitimação de tratamento é superior à outra.

No caso da IA, a mais indicada seria a base legal do Legítimo Interesse:

O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I – apoio e promoção de atividades do controlador.

Para legitimar o tratamento de dados pessoais por meio da utilização dessa base legal, é fundamental que o controlador observe alguns requisitos dispostos no Art. 10 e seus incisos e parágrafos, sendo o primeiro deles:

“§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados”.

Igualmente, será necessário que o controlador adote medidas capazes de garantir a transparência em relação a esse tratamento.

“§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse”.

LIA (Legitimate Interests Assessment) LGPD e do RIPD (Relatório de Impacto à Proteção de Dados Pessoais).

Por fim, os requisitos mais importantes relacionados a essa base legal: a elaboração do LIA (Legitimate Interests Assessment) e do RIPD (Relatório de Impacto à Proteção de Dados Pessoais) ou DPIA (Data Protection Impact Assessment).

Um LIA (Legitimate Interests Assessment) ou teste de ponderação é um teste que deve ser realizado sempre que o controlador e/ou terceiro optar por justificar ou entender aplicável a utilização da base legal do Legítimo Interesse.

Caso esta base tenha sido identificada durante a elaboração do Assessment inicial, é recomendável que o controlador realize o teste para fins de confirmação da viabilidade da opção pela utilização da referida base legal.

Saiba mais sobre o LIA LGPD.

§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial”.

Por último, entenda mais sobre o RIPD (Relatório de Impacto à Proteção de Dados Pessoais) ou DPIA (Data Protection Impact Assessment)., clicando AQUI!

Inteligência Artificial e Proteção de Dados é possível!

Em conclusão, como visto acima, é perfeitamente possível legitimar o tratamento de dados pessoais pelas empresas que desenvolvem soluções utilizando IA (Inteligência Artificial) por meio da utilização da base legal do Legítimo Interesse.

Contudo, para que o esse tratamento seja lícito e não afronte o direito à privacidade e a proteção de dados pessoais dos titulares de dados, o controlador precisa se atentar aos requisitos acima, à elaboração dos documentos exigidos pela lei e a prova de cumprimento de atendimento aos princípios elencados na legislação.

Em síntese, não há outra forma de legitimar esse tratamento que não por meio dessa base legal.

E a pergunta que não quer calar: e se a empresa quiser optar pelo consentimento? A resposta é simples: nesse caso o consentimento é uma base fraca para esse tratamento e não é a mais adequada, pois além da dificuldade de formalizar esse “aceite”, a empresa poderá estar com o “sistema redondo”e haver revogação da autorização a qualquer tempo.

Ou seja, o consentimento para o desenvolvimento de soluções que utilizem IA não é a base indicada!

Por fim, caso tenha mais dúvidas sobre o tema, ACESSE AQUI!

Write A Comment