No dia 1º de Novembro de 2023, o Conselho Europeu de Proteção de Dados (EDPB) divulgou uma opinião importante que aborda como os desenvolvedores de Inteligência Artificial (IA) podem utilizar dados pessoais para criar e implementar modelos de IA, como os grandes modelos de linguagem (LLMs), sem violar as legislações de privacidade da União Europeia. Esta análise é especialmente relevante em um contexto onde as leis de proteção de dados, como o Regulamento Geral de Proteção de Dados (GDPR), têm se mostrado cada vez mais rigorosas para lidar com as questões emergentes que essa nova tecnologia traz. A importância da opinião do EDPB é significativa, uma vez que orientações desse tipo são cruciais para a aplicação das legislações que já estão em vigor, oferecendo um suporte vital para as ações regulatórias e garantias legais.
Entre os temas contemplados na posição do EDPB, destacam-se pontos como: a possibilidade de os modelos de IA serem considerados anônimos — o que implicaria que as leis de privacidade não se aplicariam a eles, a utilização da base legal de “interesse legítimo” para permitir o processamento legal de dados pessoais com o fim de desenvolver e implementar modelos de IA, e as implicações de modelos de IA que foram criados a partir de dados processados de forma ilícita. Esses elementos são cruciais, pois definem a linha tênue entre inovação tecnológica e a proteção dos direitos individuais dos cidadãos da UE.
A questão da base legal apropriada para modelos de IA e sua conformidade com a GDPR continua a ser um tema quentíssimo e em aberto. O EDPB destaca que já observamos casos concretos de violação da GDPR, incluindo o famoso aplicativo ChatGPT da OpenAI, que enfrentou sanções por parte da Autoridade de Proteção de Dados da Itália devido a reclamações feitas por cidadãos. Essas sanções expõem os desafios sistêmicos que as empresas de tecnologia enfrentam ao tentar navegar por regulações tão rigorosas, e a falta de conformidade pode resultar em penalidades severas, abrangendo multas de até 4% da receita global anual ou ordens que obriguem mudanças significativas no funcionamento das ferramentas de IA.
Em um cenário onde as autoridades de proteção de dados da União Europeia enfrentam um dilema em como aplicar regras de proteção de dados bem estabelecidas a tecnologias que exigem grandes quantidades de dados para seu treinamento, a opinião do EDPB visa servir como um guia para esses órgãos na tomada de decisões complexas. O Comissário da Comissão de Proteção de Dados da Irlanda, Dale Sunderland, expressou que a opinião do EDPB “habilitará uma regulamentação proativa, eficaz e consistente dos modelos de IA em toda a região.”
Com relação à questão da anonimização, o EDPB afirma que é vital uma avaliação caso a caso para determinar se um modelo de IA pode ser considerado anônimo, o que significaria que há uma probabilidade muito baixa de que indivíduos cujos dados foram utilizados possam ser identificados. Neste contexto, o conselho sugere uma lista não prescritiva de métodos para garantir essa anonimidade, como a escolha criteriosa de fontes de dados durante a fase de treinamento, a minimização e filtragem dos dados durante a preparação antes do treinamento e a aplicação de técnicas de preservação de privacidade, como a privacidade diferencial. Essa abordagem não somente destaca as escolhas de design que os desenvolvedores fazem, mas também realça a necessidade de uma avaliação contínua de riscos associados ao processamento de dados pessoais.
Adicionalmente, a opinião do EDPB explora a possibilidade de utilizar a base legal de “interesse legítimo” na construção e implantação de modelos de IA. Essa questão é crucial, uma vez que há opções limitadas para bases legais sob as quais os dados pessoais podem ser processados conforme a GDPR. O conselho sugere que em certas circunstâncias, como o desenvolvimento de um modelo de IA para serviços de assistência ao usuário, pode ser possível atender aos critérios para o uso dessa base legal, desde que os objetivos sejam legítimos e a necessidade do processamento se prove adequada e proporcional.
Por outro lado, foi abordada também a delicada questão dos modelos de IA que foram treinados com dados processados de maneira ilícita, ressaltando que as respostas dos órgãos reguladores dependerão das circunstâncias de cada caso específico. No entanto, um ponto de alívio manifestado na opinião sugere que, desde que os desenvolvedores garantam que a operação subsequente do modelo não envolva o processamento de dados pessoais, a legalidade do treinamento inicial não impactará o funcionamento do modelo, abrindo portas para estratégias que promovam a anonimização.
Contudo, consultores e especialistas em direitos digitais expressam preocupações sobre essa interpretação, advertindo que osmoldações propostas podem descambar para uma permissividade indesejada, ao permitir práticas de extração de dados de maneira não regulamentada. A opinião do EDPB, ao focar apenas no resultado final de anonimização, poderia inadvertidamente legitimar a coleta de dados sem bases legais adequadas, desvirtuando assim o princípio central da GDPR, que preconiza a necessidade da legalidade no tratamento de dados pessoais em todas as suas etapas.
Em conclusão, à medida que as opiniões e diretrizes do EDPB refletem um reconhecimento da necessidade de se moldar às novas realidades trazidas pela Inteligência Artificial, elas também revelam a faceta complexa e multifacetada do equilíbrio entre inovação e proteção da privacidade. Os desafios são inegáveis, e as repercussões da aplicação dessas regras no desenvolvimento de tecnologias emergentes seguirão impactando tanto o setor de tecnologia quanto o cotidiano dos cidadãos na Europa. Com um cenário marcado pela constante evolução e adaptação, faz-se necessário acompanhar de perto as atualizações nas legislações e a resposta dos órgãos reguladores em todo o bloco europeu.