ANPD determina suspensão cautelar do tratamento de dados pessoais para treinamento da IA da Meta
Foi publicada recentemente, pela Autoridade Nacional de Proteção de Dados (ANPD), a medida preventiva que interrompe a vigência da nova política de privacidade da empresa Meta. O motivo alegado foi que a política autorizava o uso de dados pessoais publicados em suas plataformas para fins de treinamento de sistemas de inteligência artificial (IA) de maneira divergente às leis e regulamentos em torno da privacidade e proteção de dados no arcabouço normativo brasileiro.
Enfrentando diversas afirmações da inércia da Autoridade, foi estabelecida uma multa diária de R$ 50 mil por descumprimento. A análise da ANPD tocou em diversos pontos cruciais no tratamento de dados para o treinamento de IAs, como o uso inadequado do legítimo interesse para tratar dados sensíveis, a falta de transparência na utilização das bases de dados, a dificuldade em exercer o direito de exclusão dos dados (opt-out) – assumindo que o legítimo interesse seria a base legal mais adequada – por conta do uso de padrões enganosos e o risco do tratamento indevido de dados pessoais de crianças e adolescentes.
Em seu voto, a Diretora Miriam Wimmer destaca uma das constatações preliminares necessárias para a expedição da medida preventiva, que seriam os padrões enganosos. Não tão problematizados e conhecidos pelo termo em inglês “deceptive patterns”, esses padrões são elementos de design que influenciam visitantes de um site a fazerem escolhas não intencionais e potencialmente prejudiciais. Anteriormente eram conhecidos como “dark patterns”, mas o termo foi abandonado devido a preocupações com conotações racistas. Esses padrões podem aparecer em diversos tipos de sites, usando botões com títulos enganosos, opções difíceis de desfazer e elementos gráficos como cores e sombreamento para desviar a atenção dos usuários de opções potencialmente prejudiciais. Assim, coletam o consentimento ou adesão dos titulares de maneira suspeita.
No caso da empresa Meta, foi possível reconhecer essa prática na dificuldade na opção de opt-out para os usuários que desejam se opor ao tratamento de seus dados. A opção não é claramente apresentada, e o processo para exercê-la é complexo, semelhante a um padrão de mascaramento de informações, demandando a realização de várias ações para informar à empresa sobre sua oposição ao uso de seus dados e para exercer os direitos previstos no artigo 18 da LGPD. Isso pode levar os usuários a tomar decisões contrárias à sua vontade devido ao número elevado de etapas necessárias.
Mas além dessa preliminar, outros pontos foram suscitados, como a utilização de fundamentação jurídica inapropriada para o tratamento de dados pessoais; omissão na divulgação de informações límpidas, precisas e de fácil acessibilidade acerca das modificações na política de privacidade e no tratamento efetuado; restrições exacerbadas à efetivação dos direitos dos titulares; e processamento de dados pessoais de crianças e adolescentes desprovido das salvaguardas necessárias.
Dessa forma, devidamente fundamentada no caso em questão, a Medida Preventiva da ANPD apresenta-se como uma ferramenta usada pelos Diretores para garantir a proteção efetiva dos direitos dos titulares de dados, prevenindo danos graves ou irreparáveis. Em situações urgentes, como a apresentada, pode ser aplicada sem consulta prévia ao interessado e pode incluir multa diária por descumprimento das obrigações impostas. Nesse cenário, foi possível enxergar a atuação ativa da Autoridade em relação à intersecção dos temas de Proteção de Dados e Inteligência Artificial, evidenciada pela formalização da proposta da ANPD como órgão de coordenação do Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA) através da solicitação do senador Eduardo Gomes (PL/TO) em seu parecer sobre o PL 2338/23, referente ao Marco Legal da Inteligência Artificial no Brasil.
A atitude ativa da Autoridade evidencia a relevância cada vez maior da adequação de plataformas e empresas em relação aos princípios, regulações e leis sobre o tema. A adesão de um programa completo de privacidade torna-se uma parte essencial do desenvolvimento de grandes até pequenas empresas, com o intuito de protegê-las de possíveis sanções, que podem atingir diretamente sua imagem e confiança com seus colaboradores e clientes, permitir uma maior organização e segurança dos fluxos de informação, entre outros motivos que solidificam a importância do processo de adequação.