Decisões automatizadas no Regulamento Geral Europeu

Migalhas de IA e Proteção de Dados

Introdução

No Considerando 4 do Regulamento Geral Europeu de Proteção de Dados (GDPR), estabeleceu-se que o sistema de processamento de dados deve ser desenhado para servir aos seres humanos, não o contrário (QUINTILIANO, 2021). Consequentemente, com o elevado uso de inteligência artificial com o objetivo de automatizar decisões, diversos questionamentos estão surgindo sobre a interpretação do art. 22 do GDPR, notadamente, no que se refere às decisões tomadas por meio da definição de perfil (profiling).

Nesse sentido, poderíamos abordar diversas questões relacionadas ao art. 22 do GDPR que estão sendo apresentadas ao Poder Judiciário, no entanto, o objetivo desse texto é apresentar a problemática sobre a compreensão da natureza do artigo 22(1) do GDPR: trata-se de uma proibição a priori, devendo o controlador evitar o uso de decisões automatizadas qualificadas, salvo nas exceções apresentadas pelos itens seguintes do art. 22 do GDPR, ou se trata apenas de um direito a ser invocado pelo titular dos dados pessoais? Como o Tribunal de Justiça da União Europeia deverá enfrentar em 2022 essa questão, por causa do Caso SCHUFA, torna-se relevante compreender o debate envolvendo o mencionado artigo do GDPR.

Por conseguinte, primeiramente, apresentaremos os requisitos necessários para que a decisão automatizada seja qualificada, logo, objeto de aplicação do art. 22 do GDPR. Em seguida, falaremos sobre o caso SCHUFA e as possíveis intepretações dadas ao art. 22(1) do GDPR. Além disso, o Comitê Europeu de Proteção de Dados (EDPB) já emitiu o seu posicionamento quanto a essa discussão, restando verificar se ele se manterá ou será modificado pela corte europeia.

As 3 condições para a aplicação do Art. 22 do GDPR

O artigo 22(1) do GDPR estabelece alguns requisitos para ser aplicado em hipóteses de automatização das decisões. Ao se verificar a existência das condições necessárias impostas pelo supracitado dispositivo do GDPR, será possível dizer que se trata de uma decisão automatizada qualificada. Consequentemente, torna-se importante apresentar as exigências do GDPR para as decisões automatizadas e as respectivas interpretações.

De acordo com o artigo 22(1) do Regulamento Geral Europeu de Proteção de Dados, para que haja a sua incidência é necessário que o processo de automatização de decisões seja baseado em dados pessoais e preencha 3 requisitos:

1) Exista uma decisão: é preciso que haja uma decisão tomada a partir do processamento dos dados pessoais e que se refira a um indivíduo que será impactado pela decisão. Dessa maneira, deve-se distinguir do processo de preparação, suporte e complementação da tomada de decisão (BYGRAVE, 2020, p. 398);

2) Baseada unicamente no processo automatizado: embora exista o termo "unicamente", o Comitê Europeu de Proteção de Dados (EDPB) esclareceu que não se deve realizar uma intepretação restritiva do termo "unicamente", ou seja, deve-se compreender esse requisito como sendo a inexistência de um envolvimento significativo de um ser humano no processo de decisão (SILVA; OLIVEIRA, 2021). Assim, os controladores não poderão se furtar da aplicação do artigo 22(1) do GDPR se a participação humana não for expressiva e não houver a possibilidade de modificação da decisão automatizada (EDPB/WP29, 2019, p. 20-21);

3) Os efeitos devem ser jurídicos ou de similar impacto significativo: De acordo com o entendimento do EDPB (2019, p. 21), a decisão automatizada preenche esse requisito: 1) quando os direitos ou o status jurídico dos indivíduos são afetados (inclusive em relações contratuais); 2) quando o comportamento, as escolhas e as circunstâncias dos indivíduos são impactadas; 3) quando o titular dos dados pessoais é impactado de forma prolongada ou permanente; e/ou 4) quando ocasiona a discriminação ou a exclusão de um indivíduo. O Considerando 71 do GDPR fornece dois exemplos relativos à natureza dos efeitos das decisões automatizadas para a aplicação do art. 22(1) do GDPR: denegação do pedido de concessão de crédito ou recrutamento eletrônico sem a intervenção humana de maneira significativa. Já o EDPB foi um pouco mais longe e forneceu como exemplo algumas formas de propagandas online que influenciam comportamentos; contudo, ressaltou-se que isso dependerá de cada caso, uma vez que é necessário verificar o quão invasivo foi o profiling e se houve uso das vulnerabilidades dos titulares dos dados pessoais para influenciarem comportamentos de determinada maneira (EDPB/WP29, 2019, p. 22).

Neste sentido, pode-se notar que, embora o art. 22(1) do GDPR estabeleça parâmetros para ser aplicado em situações que se usam decisões automatizadas, há muito debate quanto à interpretação dos requisitos disciplinados pela lei, sendo que a doutrina e a jurisprudência contribuirão para entendermos como o mencionado artigo será aplicado em casos específicos. Além disso, como as tecnologias estão em constante modificação, nota-se que o entendimento acerca do art. 22(1) do GDPR não será estático e evoluirá conforme se desenvolverem novas aplicações envolvendo decisões automatizadas.

A interpretação do Artigo 22 do Comitê Europeu de Proteção de Dados (EDPB)

Apesar da questão concernente à automatização das decisões ser disciplinada desde 1995 pela União Europeia, por meio do artigo 15 da Diretiva de Proteção de Dados (DPD) a qual recebeu influência da Lei de Proteção de Dados da França de 1978, apenas recentemente verificamos o elevado número de casos levados ao Poder Judiciário sobre a matéria que é regida pelo art. 22 do Regulamento Geral Europeu de Proteção de Dados (GDPR). A frequência de casos relacionados ao art. 22 do GDPR deve-se, notadamente, pelo fato de ser cada vez mais frequente o uso da automatização de decisões nos diversos setores da vida cotidiana.

Diante do exposto, torna-se importante mencionar que vários questionamentos relativos à interpretação do Art. 22 do GDPR estão sendo realizados, sendo importante, primeiramente, apresentarmos o texto do supracitado dispositivo:

Art. 22 - Decisões individuais automatizadas, incluindo definição de perfis

1. O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar.

2. O n.^o 1 não se aplica se a decisão:

a) For necessária para a celebração ou a execução de um contrato entre o titular dos dados e um responsável pelo tratamento;

b) For autorizada pelo direito da União ou do Estado-Membro a que o responsável pelo tratamento estiver sujeito, e na qual estejam igualmente previstas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular dos dados; ou

c) For baseada no consentimento explícito do titular dos dados.

3. Nos casos a que se referem o n.^o 2, alíneas a) e c), o responsável pelo tratamento aplica medidas adequadas para salvaguardar os direitos e liberdades e legítimos interesses do titular dos dados, designadamente o direito de, pelo menos, obter intervenção humana por parte do responsável, manifestar o seu ponto de vista e contestar a decisão.

4. As decisões a que se refere o n.^o 2 não se baseiam nas categorias especiais de dados pessoais a que se refere o artigo 9.^o, n.^o 1, a não ser que o n.^o 2, alínea a) ou g), do mesmo artigo sejam aplicáveis e sejam aplicadas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular.

Conforme apresentado por Bygrave (2020), o debate acadêmico sobre o artigo 22 do GDPR começa com a dúvida relativa à natureza do dispositivo: trata-se de uma proibição (com algumas exceções) ou é um direito que pode ser exercido pelos indivíduos para torná-lo efetivo? Em virtude das indagações suscitadas, o Comitê Europeu de Proteção de Dados (EDPB) emitiu a sua Opinião em 2018 (EDPB/WP29, 2019):

O termo direito no Regulamento Geral Europeu de Proteção de dados não quer dizer que o Artigo 22(1) apenas se aplica quando o titular dos dados pessoais o invoca ativamente. O Artigo 22(1) estabelece uma proibição geral para uma tomada de decisão baseada em um processo de automatização. Essa proibição aplica-se quer o titular dos dados adote alguma ação, quer não, no que se refere ao processamento de seus dados pessoais. (Tradução livre)

Em relação ao Tribunal de Justiça da União Europeia (CJEU), que possui a autoridade para interpretar os dispositivos do GDPR; ainda não se manifestou sobre o conteúdo do art. 22(1). No entanto, deve-se mencionar que questionamentos preliminares sobre esclarecimentos acerca do conteúdo e da finalidade do Art. 22(1) do GDPR foram enviados ao Tribunal de Justiça da União Europeia em 2021 pelo Tribunal Administrativo de Wiesbaden (Alemanha) no Caso SCHUFA (C-634/21).

No caso C-634/21, o Tribunal de Wiesbaden foi provocado a analisar o modelo de negócio da agência de crédito da Alemanha (SCHUFA), pois a SCHUFA está fornecendo informação aos bancos quanto à confiabilidade dos indivíduos conforme decisões automatizadas de classificação dos titulares dos dados pessoais por meio de um sistema de pontuação (scores). De acordo com o Tribunal alemão, trata-se de uma questão que deve ser analisada sob o ponto de vista do processo em si de automatização para a concessão de crédito por meio do score, não se restringindo a avaliar os casos em que o crédito é denegado a determinado indivíduo (FPF, 2022, p. 47). Como esse caso influenciará as demais decisões do Poder Judiciário que impactarão os titulares de dados pessoais de forma substancial, o Tribunal de Wiesbaden pretende confirmar com o Tribunal de Justiça da União Europeia a interpretação dada ao artigo 22(1) do GDPR.

Diante do exposto, nota-se que, em 2022, provavelmente, verificaremos se o Tribunal de Justiça da União Europeia confirmará o entendimento emitido pelo Comitê Europeu de Proteção de Dados de que o artigo 22(1) deve ser interpretado como uma proibição a priori; devendo o controlador, portanto, evitar utilizar decisões automatizadas que possuam efeitos significativos jurídicos ou similares (decisões automatizadas qualificadas) sobre os titulares dos dados pessoais, salvo nas exceções apresentadas no artigo 22 do GDPR.

Conclusões

Ao se verificar que a proteção fornecida pelo GDPR é destinada ao titular dos dados pessoais, não aos dados em sim, pode-se notar que a tendência é existir a confirmação do posicionamento do EDPB pelo CJEU, ou seja, a natureza do artigo 22(1) do GDPR será considerada como uma proibição a priori (salvo as exceções apresentadas no Art. 22(2) do GDPR), pois se deve evitar ao máximo o uso recorrente de decisões automatizadas baseadas no uso do profile dos indivíduos, já que se trata de uma elevada concentração de poder nas mãos das empresas e do poder público. Assim, cumpre-nos observar e acompanhar os desdobramentos desse debate, pois, certamente, impactará, ainda que de forma tangencial, o Brasil.

Referências

BYGRAVE, L.A.. The EU General Data Protection Regulation (GDPR) - A Commentary. Oxford: Oxford Press, 2020, p. 530-532.

EDPB/WP29. Guidelines on Automated individual decision-making and profiling for the purposes of Regulation 2016/679 (WP251rev.01), Brussels: EU, 2018, p. 19.

FPF (Future of Privacy Forum). Automated Decision-making under the GDPR: practical cases from courts and data protection authorities. Washington: FPF, 2022.

QUINTILIANO, Leonardo. Contexto histórico e finalidade da Lei Geral de Proteção de Dados (LGPD).

SILVA, Rafael Meira; OLIVEIRA, Cristina Godoy Bernardo de. Inteligência Artificial e proteção de dados: definição de perfil e desafios. Migalhas de Proteção de Dados, 22 jan. 2021. Disponível aqui. Acessado em 01 de junho de 2022.

COORDENAÇÃO

Cintia Rosa Pereira de Lima , professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira , professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Evandro Eduardo Seron Ruiz , professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo - PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca , professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.

outras edições

APOIADORES

FOMENTADORES

COLUNAS

Migalhas de IA e Proteção de Dados

Decisões automatizadas no Regulamento Geral Europeu (GDPR): interpretações possíveis