Flowers
Flowers

Conteúdo

Content

Voltar

ARTIGOS

Dados pessoais, treinamento de modelos de IA e bases legais - uma análise do caso belga DOS-2019-05837

Beatriz Haikal, Daniel Becker, Gabriela Sotomayor

Com o avanço da tecnologia, a inteligência artificial (IA) emergiu como uma ferramenta poderosa, permitindo análises de dados em tempo real e a criação de modelos preditivos altamente precisos, levando a uma personalização mais refinada e eficiente dos serviços.

Por outro lado, como o uso de IA para treinar esses modelos envolve o tratamento de dados pessoais, são levantadas questões importantes sobre privacidade e proteção de dados, como a legalidade e a legitimidade do uso desses dados, a base legal apta a justificar o tratamento dos dados pessoais e o direito de oposição dos titulares em relação a esse tratamento.

Recentemente, a Autoridade de Proteção de Dados da Bélgica (APD/GBA) analisou o caso DOS-2019-05837, que pode representar um norte na atribuição da base legal adequada ao tratamento de dados para treinamento de IA. A APD/GBA rejeitou uma reclamação de titular relacionada ao tratamento de dados pessoais para a construção e formação de modelos destinados a entender perfis de consumo e oferecer descontos personalizados, destacando que essa prática poderia ser considerada interesse legítimo do agente responsável pelo tratamento.

Conforme se extrai da decisão, uma instituição financeira utilizou dados pessoais de seus clientes, incluindo o conteúdo das transações de pagamento, para construir modelos de IA que oferecessem descontos personalizados. Um dos clientes opôs-se à utilização dos seus dados para essa finalidade e apesar de ter o seu direito atendido, o titular apresentou, em seguida, uma reclamação formal à APD/GBA em janeiro de 2020.

Em sua defesa, o banco esclareceu haver, no contexto, duas operações distintas de tratamento de dados: o serviço de descontos personalizados e a construção de modelos com uso de IA para oferecer os descontos. A primeira delas seria pautada no consentimento, ou seja, os descontos personalizados somente seriam oferecidos após a confirmação de interesse do cliente pelo serviço, havendo espaço para que ele revogasse o consentimento dado anteriormente. Quanto à construção dos modelos, o banco invocou o interesse legítimo, esclarecendo que o procedimento constituía um tratamento adicional, que estaria sujeito ao direito de oposição do titular.

O titular, por sua vez, argumentou que o tratamento de dados pessoais para o treinamento de modelos ocorre para um propósito completamente diferente daquele para o qual os dados foram inicialmente coletados, especificamente para a execução do contrato que a instituição financeira tem com seus clientes envolvendo transações bancárias. A APD/GBA concordou com essa alegação, afirmando que não era razoável para o titular esperar que o banco utilizasse os mesmos dados para o treinamento de modelos de IA visando a personalização de produtos com base na execução do contrato.

Além disso, a Autoridade discordou que a construção dos modelos de dados poderia ser equiparado a um tratamento com propósito científico, histórico ou estatístico como objetivo final, conforme defendido pelo banco com base no artigo 5.1, b, do GDPR, já que claramente os modelos são construídos exclusivamente para um propósito comercial.

De acordo com a APD/GBA, portanto, não haveria um tratamento adicional compatível, de modo que seria necessária uma base legal diferente para permitir a construção de modelos de dados com o propósito de oferecer produtos ou serviços de terceiros. A partir desse ponto, a APD/GBA passou a analisar se o legítimo interesse, tal como proposto pelo banco, poderia ser a base legal adequada para essa operação.

Em sua análise, a APD/GBA avaliou se estariam presentes cumulativamente as três condições já elencadas pelo Tribunal de Justiça da União Europeia (TJUE) no caso C-13/16: (i) a busca de um interesse legítimo pelo controlador, (ii) a necessidade do tratamento para atingir o interesse legítimo perseguido, e (iii) o equilíbrio levando em conta os interesses, direitos e liberdades dos titulares.

Essa abordagem da APD/GBA, reforça a necessidade da aplicação de um teste de ponderação antes do tratamento de dados pessoais. Nesse sentido, no que tange à finalidade, deve-se questionar o que se está tentando alcançar por meio do tratamento. Em relação à necessidade, há de se apurar se o tratamento é indispensável para aquele fim, considerando alternativas menos intrusivas. Quanto à proporcionalidade, é essencial analisar se os interesses individuais não são subjugados pelo propósito almejado.

No caso concreto, a APD/GBA considerou que a construção de modelos para oferecer descontos personalizados aos clientes pode ser realizada com base no interesse legítimo, nos termos do artigo 6.1, (f), do GDPR. Isso porque, o controlador buscou obter informações sobre os serviços dos seus clientes e, ao mesmo tempo, responder às evoluções e tendências sociais, como a digitalização, personalização e diversificação dos serviços.

Quanto à necessidade do tratamento para atingir o propósito legítimo pretendido, a APD/GBA destacou que a análise dos dados das transações seria essencial para treinar modelos de descontos personalizados. A APD/GBA concluiu também que estaria dentro da expectativa normal do titular dos dados que o agente responsável pelo tratamento utilizasse os seus dados de transação para treinar modelos, somente os utilizando posteriormente para oferecer descontos personalizados após o consentimento dos titulares.

Nesse ponto, a APD/GBA levou em conta que os dados pessoais dos clientes não foram transmitidos a terceiros e que não houve tratamento de dados pessoais sensíveis pelos modelos. Assim, concluiu que o impacto foi extremamente reduzido para o titular e que o tratamento dos dados pessoais foi mínimo, já que somente daria origem à oferta de descontos personalizados com o consentimento do titular dos dados.

Adicionalmente, a APD/GBA destacou que o responsável pelo tratamento cumpriu a obrigação de transparência, atualizando a Política de Privacidade e informando diretamente os clientes sobre a possibilidade de exercer o direito de oposição. Nota-se que tais medidas mitigadoras estão em linha com o defendido por Bruno Bioni[1], que argumenta que, mesmo sem o consentimento explícito do titular, o uso do legítimo interesse deve ser transparente, possibilitando ao cidadão optar por não participar do tratamento de dados e adotando medidas para mitigar os riscos aos titulares, como a anonimização dos dados.

Com base no exposto acima, a Autoridade concluiu que o responsável pelo tratamento não cometeu qualquer violação do GDPR no que diz respeito à construção dos modelos de dados envolvendo IA.

Ainda que a análise do caso ofereça uma visão esclarecedora sobre os desafios e as oportunidades envolvendo o treinamento de modelos de IA e proteção de dados pessoais, isso não significa dizer que o legítimo interesse seria a única base cabível para todos os casos.

Nos casos em que o tratamento de dados pessoais por meio da tecnologia de IA torna-se necessário para a prestação dos serviços ofertados, a base legal da execução do contrato seria plenamente aplicável. Como exemplo prático pode-se considerar os inúmeros usuários de redes sociais que tem a expectativa de que os serviços sejam fornecidos conforme descrito nos Termos e Condições de Uso. Nesse ambiente, a IA desempenha um papel crucial, desde a personalização de conteúdo, que utiliza algoritmos para adaptar as recomendações aos interesses do usuário até o reforço da segurança por meio do monitoramento de comportamentos anômalos e detecção de spam.

Neste contexto, o treinamento de inteligência artificial e seu uso contínuo na plataforma tornam-se fundamentais para a oferta do serviço como prometido nos Termos e Condições de Uso. Importante destacar que a aplicação desta base legal requer uma demonstração clara de que o treinamento do sistema de IA — e não apenas seu uso após estar treinado — é estritamente necessário. As autoridades de proteção de dados interpretam essa necessidade de forma bastante restritiva, conforme indicado pelo Comitê Europeu para a Proteção de Dados (EDPB), que afirma que o principal objeto do contrato não pode ser cumprido se o tratamento dos dados pessoais envolvidos não ocorrer[2].

Em operações justificadas pela execução do contrato, é válido ressaltar que não haveria direito de oposição aplicável, já que a interrupção do tratamento de dados para fins de IA, inviabilizaria o fornecimento do serviço da forma contratada, restando ao titular suspender o uso da plataforma caso discorde do tratamento de seus dados pessoais para essa finalidade.

Claro que a discussão sobre a base legal adequada para tratamento de dados para treinamento de IA deve considerar cada caso concreto, avaliando a natureza dos dados pessoais tratados, a própria operação ao qual está relacionado e o tipo de inteligência artificial alvo da discussão. O que se mostra através da análise é que tanto o legítimo interesse, como a execução do contrato podem justificar o tratamento de dados pessoais para o treinamento de modelos de IA. Independentemente da base escolhida, é imperativo que as organizações se comprometam com a proteção da privacidade e dos direitos dos titulares dos dados, o que envolve assegurar total transparência em suas operações e adotar medidas de segurança robustas.

Ao equilibrar a inovação tecnológica com a privacidade, o tratamento de dados para treinamento de modelos de IA não apenas fomenta o desenvolvimento econômico e tecnológico, mas também garante que tal avanço ocorra em conformidade com elevados padrões éticos e regulatórios. Essa abordagem ponderada é fundamental para impulsionar a evolução contínua da IA e fortalecer a confiança no uso responsável da tecnologia, contribuindo para um futuro digital seguro e eficiente no qual se mantém o respeito pelo direito fundamental à privacidade.

A equipe de Proteção de Dados e Inteligência Artificial do BBL Advogados está disponível para esclarecer dúvidas e fornecer orientações sobre o uso responsável de dados pessoais em treinamentos de IA, garantindo conformidade com as bases legais.

[1]BIONI, Bruno Ricardo.Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.

[2]Generative AI: The Data Protection Implications, Confederation of Data Protection Organisations (CEDPO) AI Working Group 16 October 2023. Acesso em 21/08/2024.

dados pessoais , IA , Inteligência Artificial