Introdução

O uso da Inteligência Artificial (IA) está cada vez mais presente em nosso cotidiano, sendo que alguns questionamentos de natureza ética e jurídica surgem à medida que novas aplicações ocorrem. Adicionalmente, deve-se lembrar de que a legislação protetiva de dados auxilia no estabelecimento de certos critérios de uso da IA e a maneira de processar os dados pessoais utilizados para o aprendizado de máquina (machine learning).

Neste sentido, neste texto, discutiremos acerca do conceito de profiling (definição de perfil) e a sua conexão com a aplicação de IA, notando-se como a legislação sobre proteção de dados ajudará para que alguns limites sejam aplicados, dificultando, por exemplo, a perpetuação de discriminações de natureza econômica, racial etc.

Assim, em um primeiro instante, falaremos sobre o conceito de profiling, para, em seguida, discutirmos acerca de sua relação com a IA e a Proteção de dados e, finalmente, analisarmos a proteção concernente aos dados pessoais inferidos para a definição de perfis.

Inteligência Artificial e Proteção de Dados: o que é definição de perfil (profiling)?

O emprego da inteligência artificial (IA) para a definição de perfil (profiling) é algo cada vez mais frequente, por exemplo, profiling para a concessão de crédito bancário. Assim, nota-se que, para o uso de máquinas de aprendizado (machine learning), é preciso um elevado volume de dados para estabelecer padrões comportamentais e criar conexões que permitam o aprimoramento da definição de perfil. Por conseguinte, surgem questionamentos quanto às regras de proteção de dados e aos obstáculos enfrentados para o uso de IA sem a violação dos direitos dos titulares de dados pessoais.

Neste sentido, para iniciarmos o desenvolvimento de nossas reflexões, primeiramente, é importante mencionar que o artigo 4(4) do Regulamento Geral sobre Proteção de Dados no (GDRP) âmbito da União Europeia define o que é profiling:

"Definição de perfis, qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspectos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspectos relacionados com o seu desempenho profissional, a sua situação econômica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;"

Adicionalmente, para compreendermos o que é definição de perfil, cumpre-se destacar que a Opinião nº 216/679 (revisada em 2018) do Grupo de Trabalho do artigo 29 (hoje, intitulado Comitê Europeu para a Proteção de Dados (CEPD)) apresenta três elementos que integram o conceito de profiling:

a) A automatização: corresponde à forma de processamento;

b) O processamento: é realizado por intermédio dos dados pessoais coletados;

c) A finalidade: é a avaliação de aspectos pessoais de pessoais naturais.

Além disso, como o processamento automatizado dos dados pessoais para a definição de perfil pode ser realizado de forma livre, não há impedimento quanto à participação humana para a configuração do conceito estabelecido no artigo 4(4) do GDPR (Regulamento Geral sobre Proteção de Dados da União Europeia).

Outro aspecto interessante a ser destacado na conceituação de profiling é o fato de existir o emprego do termo "avaliar" que exige a realização de um julgamento sobre determinados aspectos de uma pessoa singular¹.

Neste diapasão, ao analisarmos, atentamente, o conceito de profiling, observamos que é preciso existir um trabalho de elaboração de precisões e conclusões decorrentes da avaliação dos dados pessoais os quais são coletados e classificados. Assim, o mero ato de classificar os clientes de acordo com o gênero, a idade, a altura etc. para fins estatísticos não pode ser considerada uma definição de perfil caso não seja utilizada para prever ou para gerar conclusões acerca de um indivíduo.

Consequentemente, ao discutirmos acerca da definição de profiling, é preciso mencionar o conceito apresentado pelo Conselho Europeu na Recomendação CM/Rec (2010)13, sobre proteção dos indivíduos face ao processamento automatizado de dados pessoais no contexto da definição de perfil, em que se estabelece:

"1.e. Profiling: significa uma técnica de processamento de dados automatizados que consiste na aplicação de uma definição de perfil individual para tomar decisões concernentes a preferências pessoais dela ou dele, comportamentos ou atitudes".

Diante do exposto, segundo a Recomendação CM/Rec(2010), a definição de perfil possui três fases: 1) coleta de dados; 2) análise automatizada para profiling e 3) aplicação dos padrões auferidos e das conclusões decorrentes da análise automatizada para identificar características presentes e futuras do titular de dados pessoais.

No que tange à Lei Geral de Proteção de Dados do Brasil (LGPD), embora tenha existido inspiração no Regulamento Geral Europeu, notam-se algumas diferenças em relação à disciplina do profiling:

a) Na LGPD, não há um conceito de definição de perfil;

b) A LGPD não é tão restritiva como a GDPR em relação ao profiling;

c) Não há proibições em relação ao processamento de dados pessoais para a definição de perfis.

Ademais, é necessário ressaltar que a LGPD não possui um dispositivo semelhante ao artigo 22 da GDPR que estabelece o direito à não sujeição a decisões, exclusivamente, automatizadas, inclusive no que se refere à definição de perfis quando gerar efeitos na esfera jurídica do titular de dados pessoais. Assim, pode-se verificar que a GDPR inseriu um dispositivo relevante para a autodeterminação informacional, ou seja, para "o controle dos titulares dos dados de suas informações"².

Como há ausência de definição de profiling na LGPD, cumpre-se mencionar que há dois dispositivos que regulam a questão concernente à definição de perfil: 1) art. 12, §2º, da LGPD e 2) art. 20, caput, da LGPD. Assim, veremos a seguir cada um destes artigos da LGPD para compreendermos como o direito brasileiro protege os titulares de dados pessoais em relação ao profiling.

Por fim, cumpre-se asseverar que, como é possível compreender profiling de diversas maneiras, possuir clareza quanto ao seu conceito é importante para se aplicar de forma efetiva a legislação de proteção de dados. No caso brasileiro, observa-se que será necessário o trabalho da doutrina e da jurisprudência para termos os contornos precisos em relação à definição de perfil, sendo que é possível prever que a GDPR inspirará a construção deste significado de profiling.

IA, Proteção de Dados e Profiling

Após abordarmos o tema relativo a profiling, deve-se explicar o funcionamento das máquinas de aprendizado (machine learning) e os desafios de aplicação da legislação de proteção de dados no contexto de aplicação da IA.

Para treinar uma machine learning, torna-se necessário um elevado volume de dados, pois o treinamento de máquina depende de dados e de identificação de padrões mediante conexões que, muitas vezes, não seriam realizadas por seres humanos, já que possuímos limitações quanto à quantidade de dados que podemos processar.

Diante do exposto, ao se treinar máquinas mediante a exposição a dados de diversos indivíduos (por exemplo, clientes), para, posteriormente, analisar os resultados deste treinamento para prever novos comportamento, é possível afirmar que novos dados pessoais são gerados por meio do profiling.

Como as previsões e as conclusões obtidas por meio do emprego de machine learning podem impactar a vida dos indivíduos de múltiplas maneiras, é preciso redobrar a atenção no que se refere aos limites éticos da definição de perfil e à transparência em relação ao profiling para que os titulares de dados pessoais possam recorrer das decisões automatizadas decorrentes do emprego de IA.

Dessa maneira, pode-se salientar que a definição de perfil pode ser empregada para fins políticos, para manipulação eleitoral, para proliferação de fake news etc., ou seja, o profiling não é empregado apenas pela iniciativa privada, logo, pode-se notar que impacta as instituições democráticas e o processo eleitoral.

Finalmente, é preciso regular a definição de perfil para que a legislação de proteção de dados atinja os seus objetivos

Inferências como dados pessoais

Após o que fora discutido nos tópicos anteriores, é importante mencionar que o profiling deve ser considerado como uma nova informação pessoal ao serem empregados os resultados da machine learning para a definição de perfil, gerando previsões comportamentais ou guiando determinadas tomadas de decisões. Assim, apenas classificações e informações estatísticas não se configuram como definição de perfil que exija a aplicação da legislação de proteção de dados.

Por conseguinte, as conclusões e as previsões decorrentes do uso da máquina de aprendizado geram dados e informações pessoais por inferência. Desse modo, podemos notar que dados pessoais por inferência também são objeto de proteção conforme observamos, claramente, na GDPR.

Da mesma maneira, observamos que, no art. 12, §2º, da LGPD, também há a proteção de dados por inferência, pois, segundo mencionado dispositivo:

"§2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada."

Além disso, verificamos, no art. 20, caput, da LGPD, o direito do titular dos dados pessoais a pedir a revisão de decisões automatizadas que afetem os interesses do titular, incluindo a definição de perfil.

Diante do exposto, podemos afirmar que a Lei Geral de Proteção de Dados também protege, de maneira clara os dados pessoais por inferência, notadamente, os decorrentes de processos de tratamento de dados pessoais automatizados.

Como se pode observar, a proteção de dados inferidos auxilia na aplicação de inteligência artificial para que esta seja confiável, estabelecendo obstáculos para a perpetuação de possíveis condutas discriminatória e prejudiciais ao Estado Democrático de Direito.

Ademais, cumpre-se ressaltar que os critérios aplicáveis para dados pessoais inferidos para a definição de perfil de pessoas naturais, estabelecidos no estudo desenvolvido pelo Painel para o Futuro da Ciência e da Tecnologia do Parlamento Europeu sobre o impacto do Regulamento Geral sobre Proteção de Dados da União Europeia (GDPR) nas questões relativas à inteligência artificial, são:

a) Aceitabilidade: os dados pessoais utilizados para a definição de perfil devem ser juridicamente aceitáveis;

b) Relevância: como desdobramento do critério anterior, o dado pessoal inferido deve ser relevante para as decisões e para as conclusões elaboradas;

c) Confiabilidade: a acurácia e os resultados estatísticos devem ser confiáveis no que se refere ao treinamento de máquinas.

Por fim, deve-se salientar que, conforme a GDPR, os dados pessoais inferidos decorrentes de estudos científicos não possuem as mesmas limitações acima apresentadas, já que são utilizados para pesquisas científicas, não atingindo ou ferindo os interesses dos titulares dos dados.

Conclusões

Em linhas gerais, buscamos apontar alguns dos principais elementos que integram os questionamentos concernentes ao profiling por meio do emprego de Inteligência Artificial. Conforme pudemos notar, a legislação sobre proteção de dados auxilia no estabelecimento dos limites para a aplicação da IA, sendo necessário compreender os desdobramentos advindos do emprego de máquinas de aprendizado para a definição de perfil.

Além disso, como a LGPD não definiu o que é profiling, cumpre-se ressaltar que o conceito apresentado pela GDPR pode nos auxiliar para estabelecer os contornos de sua definição para que o art. 12, §2º, e o art. 20, caput, ambos da LGPD possam ser efetivados na sua integralidade alcançando os seus objetivos.

Em suma, ao decorrer do tempo, mediante o surgimento de casos relacionados ao profiling, verificaremos que o conceito será melhor definido por meio da doutrina e da jurisprudência. No entanto, algo é claro: a LGPD buscou proteger, de forma expressa, os dados pessoais inferidos no caso de profiling.

*Rafael Meira Silva é advogado e consultor jurídico. Graduado e doutor em Filosofia do Direito pela Faculdade de Direito da USP, com estágio doutoral pela Université Paris 1 Panthéon-Sorbonne pelo programa de doutorado sanduíche pela CAPES (2014/2015). Associado fundador do Instituto Avançado de Proteção de Dados - IAPD.

**Cristina Godoy Bernardo de Oliveira é professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011).  Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Associada fundadora do Instituto Avançado de Proteção de Dados - IAPD.

__________

1 OLIVEIRA, Cristina Godoy Bernardo; SILVA, Rafael Meira.  Inteligência Artificial e Proteção de Dados: Desafios e Debates - Parte 2. In Instituto Avançado de Proteção de Dados, Ribeirão Preto, 2021. Disponível em aqui. Acesso em: 20 de janeiro de 2021.

2 LIMA, Cíntia Rosa Pereira. Política de proteção de dados e privacidade e o mito do consentimento. In Migalhas de Proteção de Dados, 2021. Disponível em aqui. Acesso em: 20 de janeiro de 2021.