PL 2338/23 e a LGPD: Papel da Autoridade Nacional de Proteção de Dados

O debate sobre inteligência artificial (IA) tem ganhado espaço na sociedade, no mercado, nas organizações e, consequentemente, na agenda do legislador brasileiro.

Sabe-se que o uso de tecnologias relacionadas à inteligência artificial demanda atenção e cuidado - especialmente quando analisamos os aspectos ligados à privacidade das pessoas afetadas e à proteção dos seus dados pessoais.

Não buscamos, aqui, aprofundar - ou nem mesmo adentrar - nas discussões conceituais que permeiam esse tema - hiperconectividade, Internet das Coisas, ética e autonomia pessoal, o próprio conceito de privacidade em si ou o direito de personalidade envolvido nessa análise - mas não podemos nos esquecer de que os conceitos de todas essas expressões, quando fiel e detalhadamente analisados, nos levam à inevitável conclusão de que a inquietude do ser humano, aliada à velocidade do cotidiano moderno, tende a gerar cada vez mais informação que, por sua vez, inevitavelmente influenciará o nosso comportamento.

Acertou Eduardo Magrani quando disse que o "cenário de inteligência artificial traz novos desafios regulatórios ao arcabouço normativo atualmente existente" e que "diante do contexto de constante e intenso armazenamento, tratamento, compartilhamento e monetização dos dados que trafegam online é crucial debatermos as noções de privacidade e ética que deverão nortear os avanços tecnológicos".¹ E, nesse ambiente de debate, cabe ao legislador a tentativa de regulação, ainda que em ecossistemas iniciais e de testes, do uso de tais tecnologias em consonância com os direitos e regras já consolidados nas legislações vigentes.

O PL 2.338/23, de autoria do senador Rodrigo Pacheco, propõe regular esse uso no Brasil, objetivando a proteção dos "direitos fundamentais e a garantia da implementação de sistemas seguros e confiáveis em benefício da pessoa humana, do regime democrático e do desenvolvimento científico e tecnológico".

Logo no início do texto proposto no Projeto, percebe-se que a preocupação legislativa - a propósito, correta - é aliar o avanço tecnológico e o desenvolvimento econômico à obrigatoriedade de respeitar a pessoa sob todas as óticas: respeito aos direitos humanos, aos valores democráticos, ao livre desenvolvimento da personalidade, à igualdade e, também, à privacidade - que é o objetivo desta nossa breve análise.

Aliar a adoção de tecnologias disruptivas, como a inteligência artificial, à privacidade do ser humano e à proteção de seus dados pessoais, como determina a Lei Geral de Proteção de Dados (lei 13.709/08, conhecida como LGPD), é medida necessária para que o desenvolvimento de tais aplicações seja feito em conformidade com o que pretende o legislador e, acima de tudo, de maneira saudável e respeitosa.

Por isso, o PL é claro ao trazer como fundamentos, por exemplo, o respeito à privacidade, à proteção de dados e à autodeterminação informativa (art. 2º, VIII) e como alguns princípios à autodeterminação, a transparência e a prevenção de riscos.

Ao longo do texto proposto há, ainda, diversos pontos que se conectam fortemente com o disposto na própria LGPD, o que demonstra a preocupação do legislador em conciliar as regulações em benefício do cidadão.

Quando passamos à análise - com foco comparativo - dos textos do Projeto e da própria LGPD, chamamos a atenção para alguns desses pontos de interação entre as regulações: o primeiro deles é relacionado aos direitos dos titulares de dados pessoais previstos na LGPD e os direitos das pessoas afetadas pelos sistemas de inteligência artificial previstos no Projeto.

Não pretendemos revisitar o debate jurídico sobre esses direitos detalhadamente - até porque esse estudo por si só merece um nível de análise muito mais aprofundado - mas uma visão geral pode ser útil neste momento quase que embrionário da relação entre os textos regulatórios.

A LGPD elenca, em seu art. 18, os direitos que o titular de dados pessoais pode obter do controlador em relação aos dados pessoais por ele tratados. O Projeto, por sua vez, apresenta, nos art. 5º a 12, uma série de direitos das pessoas afetadas pelo uso da inteligência artificial: alguns desses direitos são, inclusive, os mesmos previstos na legislação relativa à proteção de dados pessoais.

A ANPD, em sua análise condensada sobre o tema, elaborou inclusive uma tabela comparativa contendo as similaridades entre alguns dispositivos da LGPD e do Projeto². Destacamos, nesta breve reflexão, que ambas as regulações priorizam a garantia, pelas organizações que fazem ou farão uso de IA, da transparência no tratamento das informações e dos dados pessoais, assegurando aos indivíduos afetados - nas palavras de ambas as regulações - informações claras e acessíveis.

Além disso, fica evidente a preocupação do legislador ao possibilitar a interação humana com os mecanismos de automatização utilizados nas tecnologias de inteligência artificial: ambos os regulamentos preveem a possibilidade de solicitar revisão de decisões automatizadas. Aqui, entretanto, há diferenças nas expressões utilizadas nos textos analisados que podem ocasionar possível conflito de interpretação: o art. 20 da LGPD determina que "o titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade", enquanto que o art. 9º do Projeto prevê que a pessoa poderá contestar e solicitar revisão de decisões, recomendações ou previsões geradas por IA que "produzam efeitos jurídicos relevantes ou que impactem de maneira significativa seus interesses". Vê-se que o Projeto prevê hipóteses mais restritas para a contestação ou revisão de decisões baseadas em IA do que a LGPD ao tratar das decisões automatizadas: segundo a própria ANPD, "é necessário, portanto, que a compatibilidade jurídica seja estabelecida pelo PL, assegurando-se o respeito às competências da ANPD em regular o tema que já lhe é afeto".

Outro ponto extremamente relevante são os mecanismos de avaliação previstos nos textos analisados: o Relatório de Impacto à Proteção de Dados Pessoais (LGPD) e a Avaliação de Impacto Algoritmo (Projeto). Em relatório publicado pelo Laboratório de Políticas Públicas e Internet (LAPIN)³ em abril de 2023, foi traçado um comparativo entre ambos os mecanismos de proteção.

O documento apresenta as similitudes de ambos os instrumentos de governança (como o fato de que trata-se de avaliações de impacto que utilizam lógicas semelhantes em parte), mas também expõe as diferenças que justificam a existência de instrumentos distintos para utilização em casos concretos: o Relatório de Impacto previsto na LGPD será obrigatório quando a atividade de tratamento de dados pessoais puder gerar riscos às liberdades civis e aos direitos fundamentais (art. 5º, inciso XVII, LGPD), enquanto que a Avaliação de Impacto Algoritmo é mais ampla e não trata somente de situações onde haja tratamento de dados pessoais, mas envolve também a atividade do algoritmo e de outros elementos que podem afetar todos os campos de atuação da inteligência artificial em si.

Ainda sob esse aspecto, é necessário destacar que, na busca de beneficiar as pessoas afetadas e de privilegiar as organizações responsáveis, a literatura estrangeira tem proposto modelos de fusão (ainda que parciais) dos deveres de accountability relacionados à inteligência artificial com o já conhecido DPIA previsto na GDPR por entender que esse processo traria ao titular e controlador de dados pessoais benefícios como a comprovação efetiva de transparência e prestação de contas e superar a falácia da transparência através de um ciclo virtuoso de auditoria algorítmica e detecção/mitigação contínua de efeitos injustos.⁴ O que se depreende, dessa breve menção, é que a discussão relativa a esses instrumentos de governança ainda avançará - e muito - na literatura técnica e na prática pelas organizações.

Outro ponto relevante que objetivamos trazer à tona, ainda que de maneira preliminar e superficial, é o papel dos sujeitos envolvidos na regulação e implementação do uso da inteligência artificial no Brasil: a nossa A (?) própria Autoridade Nacional de Proteção de Dados (ANPD), originalmente responsável pela implementação e fiscalização da LGPD, entende ser órgão chave na regulação da inteligência artificial em território nacional⁵ - o que fortalece ainda mais a necessidade da aliança entre as temáticas de privacidade, proteção de dados e inteligência artificial.

A esse respeito, voltamos os olhos também ao papel que as autoridades internacionais de proteção de dados têm exercido na regulação de IA.

Veja-se, por exemplo, que a ICO (Information Comissioner's Office), autoridade inglesa, entende que o tema de inteligência artificial é prioridade para o órgão considerando seu potencial de apresentar alto risco aos indivíduos e seus direitos e liberdades. Portanto, a autoridade concetra seus estudos e atuação nos seguintes temas: (i) justiça na inteligência artificial, (ii) dark patterns, (iii), AI-as-a-service, (iv) dados biométricos e tecnologias de biometria e (v) privacidade e confidencialidade na IA.

Desde 2017, a ICO tem publicado opiniões, guias e reportes sobre o tema e, ainda, preside um grupo de trabalho informal para reguladores com foco em questões de IA e participa em grupo de trabalho permanente na Assembleia Geral de Privacidade, atuando como relatora nos encontros de IA e emprego e gestão de riscos em IA.

De igual maneira, a autoridade francesa (CNIL) disponibiliza uma série de conteúdos e recursos dedicados à temática de IA considerando sua missão de "informar e proteger direitos, apoiar o compliance e antecipar e inovar". Na visão da autoridade, o conteúdo publicado visa informar profissionais que fazem uso de sistemas de inteligência artificial para que o façam, inclusive, em conformidade com a legislação de proteção de dados aplicável (no caso, o General Data Protection Regulation).

Considerando a atuação didática e informativa dessas autoridades, inclusive da própria ANPD, podemos esperar que a nossa Autoridade se posicione como órgão chave na disseminação de conteúdo, no apoio ao legislador e à instituição que será competente para a regulação da inteligência artificial no Brasil.

Sabe-se, enfim, que toda e qualquer análise relativa aos conceitos de IA, à aplicação de sistemas de tecnologia de IA, aos papeis e responsabilidade dos sujeitos envolvidos no ecossistema regulatório de IA é incipiente e preliminar, merecendo um olhar atento do mercado a cada etapa e avanço da regulação e da adoção prática desses instrumentos. O que é indiscutível, entretanto, é a necessidade de desenvolvimento sadio, respeitoso e ético dessa regulação - sempre em consonância com os direitos fundamentais de privacidade já garantidos ao cidadão brasileiro.

----------