A recente versão do ChatGPT lançada pela Open AI foi proibida pela Garante Privacy, autoridade de proteção de dados da Itália. Enquanto diversas autoridades e sociedade civil buscam compreender o alcance e os impactos deste tipo de tecnologia, a autoridade italiana, em regime de urgência e seguindo a tradição mais conservadora, deu o primeiro passo e determinou tal medida após identificar falha na proteção de dados pessoais de usuários, com a perda de dados relativos a conversas e informações de pagamento.
Além disso, a Garante também pontuou como razões para a proibição do ChatGPT a falta de transparência da plataforma acerca de como são tratados os dados pessoais dos titulares; ausência de controles voltados à verificação da idade dos usuários – o serviço é destinado a maiores de 13 anos – e, quando necessário, a coleta de consentimento dos representantes legais; e ausência de base legal para o treinamento dos algoritmos por meio de dados dos titulares italianos.
A decisão foi tomada no último dia 30/03 e foi estabelecido que a OpenAI teria até o dia 30 de abril para cumprir com algumas dessas medidas, como:
- Explicar os métodos e lógica do tratamento de dados realizados para o funcionamento do ChatGPT (princípio da transparência), apresentando aos usuários italianos tais informações previamente ao cadastro na ferramenta;
- Exigir a declaração de que os usuários são maiores de idade;
- Adotar base legal de consentimento e legítimo interesse para o tratamento de dados necessários ao treinamento dos algoritmos, descartando-se a base de execução de contrato até então sugerida pela Open AI;
- Adotar mecanismos que permitam o exercício de direitos por parte dos interessados, como acesso aos dados tratados e retificação.
As exigências da autoridade italiana não pararam nisso. A Open AI também deverá promover campanhas de conscientização nos canais de mídia italiano, como televisão, jornais e internet, informando os titulares de dados sobre como a Open AI utiliza dados para treinar os algoritmos. Outra medida necessária é a adoção de filtros e controles para verificação de idade dos usuários, como parte das ações voltadas à proteção de crianças
Ainda não está certo se ou quando o ChatGPT será liberado na Itália, e menos ainda se a autoridade prosseguirá com as investigações e possíveis penalidades. No Brasil, a Autoridade Nacional de Proteção de Dados detém poderes similares de suspensão e determinação de medidas corretivas em caráter de urgência. Porém, até o momento, não houve nenhuma divulgação de medidas por parte da autoridade brasileira.
A questão coloca frente a frente duas situações que, apesar de amplamente debatidas, são novas: IA generativa e proteção de dados, ao passo que no Brasil apenas o segundo tema possui regulamentação legal estabelecida, enquanto o primeiro tema está sob discussão no Senado, por meio do projeto de lei 21/2020.
Medidas e orientações envolvendo tais temáticas devem ser tomadas com cautela, para não gerar insegurança aos administrados, mas também para não impactar drasticamente negócios jurídicos sustentados em inovação. Obviamente, as autoridades devem balancear a inovação com eventuais riscos ou indícios de grave violação a direitos dos titulares. O caso italiano certamente servirá de aprendizagem, seja para a autoridade local, mas também para ANPD e empresas, sejam elas brasileiras ou estrangeiras.
Por outro lado, deixa expresso que as empresas, principalmente aquelas pautadas em tecnologia, devem buscar ao máximo fomentar a (prévia) transparência nos tratamentos de dados pretendidos, bem como buscar bases legais mais sólidas, que não se limitem a sustentar todo e qualquer tratamento de dados pretendido pela plataforma na execução do contrato/termo de uso que rege a plataforma.
As legislações europeia e brasileira são explícitas sobre a necessidade de se identificar bases legais para finalidades específicas, evitando-se fundamentos ou autorizações genéricas para tratamento de dados, de modo a obrigar os titulares a aceitar todo e qualquer tratamento de dados pretendido pela plataforma para acessá-la. A granularidade das finalidades e, eventualmente, dos consentimentos necessários, são aspectos mínimos, para não se dizer antigos, que devem ser respeitados pelos agentes de tratamento de dados pessoais.