Coexistência entre as novas plataformas digitais e a proteção dos dados pessoais

Por Marcela Joelsons e Danyella Marques, advogadas de Souto Correa na área de Proteção de Dados

A era do Big Data elevou a importância dos dados pessoais dos indivíduos a níveis nunca vistos antes. As atividades envolvendo dados pessoais, especialmente em meios eletrônicos, precisaram ser regulamentadas, visando a proteção da privacidade dos titulares de dados.

Para tanto, no Brasil, houve a promulgação da chamada Lei Geral de Proteção de Dados (Lei nº 13.709/2018, “LGPD”), a qual trouxe princípios e regras que visam a proteção do tratamento de dados pessoais.

Com o surgimento de novas plataformas digitais que se utilizam de inteligência artificial, como os metaversos e os grandes modelos de linguagem, a era do Big Data dá um novo salto: são inúmeros os avanços, mas também maiores os riscos diante da exposição de um volume muito maior de dados pessoais e dados sensíveis de seus usuários.

Os grandes modelos de linguagem, também chamados de LLMs, como o ChatGPT, o Bert, o DALL-E e o Midjourney, são algoritmos de deep learning, tecnologias desenvolvidas para produzirem conteúdo a partir de bases de dados não rotulados e aprendizado não supervisionado – ou seja, esses programas inferem conexões pela massa dos exemplos que são oferecidos, dispondo assim de bilhões de parâmetros decidir sobre os comandos de seus usuários. Enquanto o ChatGPT[1] e o Bert geram uma espécie de diálogo com o usuário, o DALL-E[2] e o Midjourney criam imagens e artes realistas a partir de uma descrição.

Por outro lado, o Decentraland, o The Sandbox e o Meta são exemplos de metaversos, que consistem em ambientes virtuais que utilizam tecnologia de realidade virtual e realidade aumentada, onde os usuários podem executar tarefas cotidianas em um ambiente 3D.

Como se vê, para que seja possível utilizar estas plataformas digitais de metaversos, é necessário que se captem e tratem dados pessoais, inclusive sensíveis, seja para desenvolver um diálogo ou imagens e artes realistas, seja para criar avatares, que representarão virtualmente os indivíduos. A ideia é recriar um ambiente digital do mundo real, portanto, quanto mais dados fidedignos se tiver, melhor será a representação.

Ainda que estas funções representem um grande avanço no tema da realidade virtual e processamento de linguagem natural, como tradução, chatbots e assistentes de AI, diversos riscos aos usuários podem ser alavancados. O uso de dados pessoais nas novas plataformas digitais superará – em muito – as atividades desenvolvidas na internet e, certamente, conforme explica Bárbara de Oliveira Iszlaji, um novo desafio à luz da proteção de dados pessoais, é, justamente, “o eventual compartilhamento indiscriminado destes dados com diferentes prestadores de serviço e desenvolvedores, para a perfilização perfeita dos usuários e atividades de marketing”[3].

Isso porque, além de coletar todos os dados fornecidos pelos usuários, as plataformas digitais de metaversos poderão compreender como os indivíduos se comportam mediante uma determinada situação e, dessa forma, coletar dados relacionados à linguagem corporal, às respostas fisiológicas dos usuários, e às suas preferências.

Tais ações podem levar à manipulação e à influência indevida do cidadão em seus processos decisórios – como ocorreu no evento do Cambridge Analytica, que afetou as eleições presidenciais dos Estados Unidos, e a saída do Reino Unido da União Europeia, no movimento chamado Brexit.

Além disso, os usuários enfrentam riscos como falsificações, roubos de identidade de avatares e os chamados “deepfakes”[4] – oriundos de técnica que, a partir do uso da inteligência artificial, substitui rostos em vídeos e imagens[5].

Já em relação aos grandes modelos de linguagem, também podem aprender a partir de dados que contêm informações pessoais, seja através de scrapping ou inferências de múltiplas fontes. Além disso, quando um usuário solicita que a ferramenta responda a perguntas ou execute tarefas, poderá inadvertidamente entregar informações confidenciais e colocá-las em domínio público.

Com isso, será de extrema importância que não só as empresas, mas que os próprios indivíduos prezem pela proteção de privacidade e dos dados pessoais que circularem nas plataformas digitais.

Nesta perspectiva, frisa-se que a proteção de referidos direitos não significa não poder compartilhar ou coletar dados pessoais. Pelo contrário. O compartilhamento de dados pessoais é inerente à dos usuários nas plataformas digitais, mas entende-se que tais inciativas devem se dar de forma cautelosa e segura, em atenção à LGPD, incidindo, portanto, seus princípios e a obrigação de respeito aos direitos dos titulares de dados pessoais.

Nesta linha, visando a conter o tratamento indiscriminado de dados pessoais, é importante que a coleta de dados nas plataformas digitais se limite apenas aos dados necessários ao desenvolvimento da atividade que se busca realizar naquele ambiente, observando-se o princípio da necessidade, disposto no artigo 6º, III, da LGPD. O princípio da necessidade, diretamente relacionado aos princípios da finalidade e da adequação, tem como objetivo a limitação do tratamento de dados ao mínimo necessário para atingir a finalidade a qual se pretende[6]. Para tanto, necessário que se realize a avaliação de quais dados são, de fato, pertinentes e não excessivos[7].

Outras precauções também precisam ser tomadas, no sentido de adequação das bases legais, ou seja, dos fundamentos que autorizam o tratamento de dados pessoais, a serem utilizadas.

Prevê-se uma grande utilização da base legal do legítimo interesse, previsto dentre as hipóteses do artigo 7º, da LGPD. Há, contudo, uma limitação no enquadramento de base legal para tratamento dos dados sensíveis, vedando-se as hipóteses de execução de contrato com base em legítimo interesse e proteção de crédito, de modo geral.

De fato, o tratamento de dados sensíveis exige que se realizem controles mais rigorosos, pois, se tais dados permanecerem desprotegidos, corre-se o risco de violar a privacidade mediante engenharia social ou outros ataques cibernéticos. Assim, mostra-se essencial para o adequado tratamento de dados pessoais nas plataformas digitais que se crie mecanismo de coleta de consentimento do usuário sobre o compartilhamento de seus dados pessoais, no qual a vontade seja expressa de forma específica, destacada, livre, informada e inequívoca.

Da mesma forma, é preciso criar mecanismos para que os direitos dos titulares de dados de revogação do consentimento, acesso aos dados tratados e correção deste sejam exercidos. Não menos importante é a existência de políticas de privacidade que tragam a devida transparência as práticas adotadas pela plataforma em relação ao uso de dados de seus usuários. De forma geral, estão incluídas informações sobre a forma de tratamento dos dados pessoais, a sua finalidade, bem como eventuais compartilhamentos realizados pelo controlador, além dos direitos dos titulares.

E mais, é essencial que as empresas tenham um olhar especial para a segurança da informação. Desse modo, serão necessários maiores esforços para garantir que não ocorram vazamento de dados ou ataques cibernéticos, por exemplo. É dizer: as plataformas digitais precisarão construir “estruturas de segurança da informação robustas, que sejam frequentemente avaliadas mediante testes de penetração e varreduras por vulnerabilidades, que acompanhem as melhores práticas de mercado e sejam constantemente atualizadas, e que sejam reforçadas tão logo quaisquer problemas sejam evidenciados”[8].

Não obstante, como os metaversos e os grandes modelos de linguagem ainda são uma novidade, certamente dependerão de novas regulamentações e interpretações às leis, diante de suas peculiaridades. De qualquer forma, a consciência sobre a segurança da informação, privacidade e proteção de dados, em atenção à legislação já existente da LGPD, é importante aliada nesse processo, que, inclusive, poderá contar com a atuação da Autoridade Nacional de Proteção de Dados para orientar e fiscalizar os tratamentos de dados realizados pelos agentes no âmbito dessa nova realidade virtual.

Referências bibliográficas

[1] Disponível em: https://openai.com/blog/chatgpt. Acesso em: 29/05/2023.

[2] Disponível em: https://openai.com/product/dall-e-2. Acesso em: 29/05/2023.

[3] ISZLAJI, Bárbara de Oliveira. Metaverso, Proteção de Dados e Governança Digital. In: PALHARES, Felipe (org.). O Direito no Metaverso. São Paulo: Revista dos Tribunais, 2022.

[4] ISZLAJI, Bárbara de Oliveira. Metaverso, Proteção de Dados e Governança Digital. In: PALHARES, Felipe (org.). O Direito no Metaverso. São Paulo: Revista dos Tribunais, 2022.

[5] LIMA, Ramalho. Deepfake: o que é e como funciona? 2020. Disponível em: https://www.tecmundo.com.br/internet/206706-deepfake-funciona.htm. Acesso em: 31 out. 2022.

[6] VAINZOF, Roni. Disposições Preliminares. In: MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato. (coord.) LGPD: Lei Geral de Proteção de Dados comentada. 4. ed. São Paulo: Thomson Reuters Brasil, 2022.

[7] VAINZOF, Roni. Disposições Preliminares. In: MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato. (coord.) LGPD: Lei Geral de Proteção de Dados comentada. 4. ed. São Paulo: Thomson Reuters Brasil, 2022.

[8] PALHARES, Felipe. O Dia Depois de Amanhã: Privacidade e Proteção de Dados no Metaverso. In: PALHARES, Felipe (org.). O Direito no Metaverso. São Paulo: Revista dos Tribunais, 2022.