Comuna de Trento: a primeira cidade a ser penalizada por violações de dados na era da inteligência artificial

A conscientização do uso das tecnologias para proporcionar bem-estar e qualidade no trafego dos dados dos indivíduos é um dos maiores desafios da Era Digital, contudo deve-se sempre respeitar diretrizes trazidas na GDPR, como por exemplo, na operacionalização de uma prestação de serviço as empresas devem utilizar o mínimo possível de dados pessoais, assim evitará o manuseio e processamento deles sem necessidade e finalidade específica.

A IA pode ser definida como a capacidade de um sistema ou máquina de realizar tarefas que normalmente exigiriam a inteligência humana. Essas tarefas incluem aprendizado, raciocínio, resolução de problemas, compreensão de linguagem natural, percepção visual e auditiva, entre outras. A IA é construída por meio de algoritmos e modelos computacionais que buscam imitar a maneira como os seres humanos pensam e resolvem problemas. Existem diferentes abordagens para desenvolver sistemas, incluindo aprendizado de máquina, redes neurais, lógica simbólica e algoritmos evolutivos.

Assim, a utilização da consciência artificial, como instrumento facilitador para tomadas de decisão, deve ser com cautela e harmonia, seguindo as regulamentações e interpretações trazidas pelas Autoridades Supervisoras de Privacidade na Europa. Como pode ser visto, as empresas localizadas no território europeu veem sofrendo penalizações por infrações aos artigos e princípios aduzidos na GDPR, demonstrando consistência e certa rigidez, para gerar certo engajamento e consciência na importância de respeitar o Compliance Digital.

A Autoridade Supervisora espanhola, após investigação a empresa que se encontra em anonimato, sancionou multa administrativa com o intuito de conscientizá-la, tendo em vista que foi acusada de não terem cooperado com a Autoridade dentro do prazo esperado, descumprindo o artigo 58 (1) da GDPR, como pode ser visto na parte da decisão:

"La multa que se imponga deberá ser, en cada caso individual, efectiva, proporcionada y disuasoria, conforme a lo establecido en el artículo 83.1 del RGPD. En consecuencia, se deberá graduar la sanción a imponer de acuerdo con los criterios que establece el artículo 83.2 del RGPD, y con lo dispuesto en el artículo 76 de la LOPDGDD, respecto al apartado k) del citado artículo 83.2 RGPD. ("Expediente N.º: EXP202308921 - Agencia Española Protección Datos")

Nota-se que a prática de multas, como forma de mudança de paradigma e conscientizar os agentes de tratamento, já é uma realidade no território europeu. Nesse contexto, na última semana, mais precisamente no dia 26 de janeiro de 2024, a comuna italiana sofreu uma sanção por uso indevido de informações pessoais no gerenciamento de uma plataforma de IA.

A Comuna de Trento entrou para a história como a primeira cidade italiana a receber uma multa por uso inadequado da IA. A sanção foi imposta pelo Garante per la Protezione dei Dati Personali, que identificou violações das normativas de proteção de dados em dois projetos de pesquisa científica que envolviam câmeras, microfones e redes sociais, que tinham o objetivo de aprimoramento da segurança pública.

Conforme comunicado oficial da autoridade de proteção de dados pessoais, a Comuna de Trento foi multado em aproximadamente 50.000 ? devido ao uso inadequado da IA. Embora a autoridade reconheça que a administração agiu de boa-fé, observou-se a falta de precauções adequadas na gestão dos dados coletados, que não eram suficientemente anônimos e não foram compartilhados corretamente com terceiros. Ou seja, percebe-se que a sanção era evitável, caso a Comuna comprovasse que estivesse em adequação as diretrizes da GDPR.

A Comuna deveria comprovar diante a Autoridade Supervisora certas obrigações legais, que poderiam mitigar a probabilidade da incidência da multa, como por exemplo: (i) a realização de Data Mapping, comprovando a finalidade do uso e manuseio das informações coletadas em cada fluxo de dados (ii) análise dos riscos na transferência dos dados com terceiros dentro e fora do território europeu ("Transfer Impact Assessment"), (iii) atualização dos contratos com os stakeholders com cláusulas de proteção de dados, limitando as responsabilidades do Controlador ("Controller") e do Operador ("Processor"), (iv) criação e atualização das Políticas de Privacidade e de Cookies, (v) treinamentos constantes, (vi) Canal de atendimento ao titular de dados, (vii) realização de Relatório de Impacto à Proteção de Dados, (viii) Testes de Legítimo Interesse, (ix) a realização de auditorias internas e externas.

Entretanto, em resposta à multa, a Comuna de Trento está avaliando a possibilidade de contestar a decisão, alegam-se que as ações do regulador destacam a falta de legislação adequada para regular o uso da IA na análise de grandes volumes de dados e para aprimorar a segurança das cidades.

Em contrapartida, a Itália tem se mostrado ativa na supervisão e regulamentação da IA. As iniciativas italianas incluem uma investigação sobre as práticas de segurança de sites para prevenir a coleta de dados por meio da IA.

O governo italiano anunciou que abordará a regulamentação como uma das principais prioridades, especialmente durante sua presidência do G7 que se iniciará em junho. Isso destaca o reconhecimento crescente da importância de estabelecer normas claras para garantir o uso responsável e seguro da IA na Itália e no mundo.

Por fim, a importância das pessoas jurídicas de natureza pública e privada em se adequarem aos princípios e regulamentações de privacidade e proteção de dados para evitar quaisquer interpretações de descumprimento por parte da Autoridade Competente, que poderá acarretar em sanção imprevista e que poderia ser evitada. Além de estimular a consciência na Governança de dados.