Proteção de Dados e Privacidade no Brasil: Uma análise do PL 2338/2023

por Lorena Soares

A Inteligência Artificial nasceu com o objetivo de simular a inteligência humana e a capacidade de resolução de problemas. É o campo da ciência da computação que engloba o machine learning e o deep learning, de modo que é o resultado da combinação de variadas tecnologias, o que permite a realização autônoma das tarefas e, consequentemente, representa o crescente descarte da intervenção humana nos processos.

Apesar dos muitos avanços nesse campo, é a IA generativa que representa o ponto de virada na visão computacional. Isso porque ferramentas, como o ChatGPT, simbolizam um salto no processamento da linguagem natural (NLP). Ou seja, a inteligência artificial não mais se restringe a sintetizar a linguagem humana, mas também outros tipos de dados, como imagens, vídeos, códigos de software e até mesmo estruturas moleculares, de maneira a ampliar a sua utilidade no dia a dia do usuário.

Prova disso é que, segundo o estudo global Trust in Artificial Intelligence, realizado pela KPMG e pela Universidade de Queensland, 84% dos brasileiros entrevistados usam e confiam na aplicação da Inteligência Artificial no cotidiano. Em contrapartida, 66% desse público preocupa-se com questões relativas à segurança cibernética, o que alerta para a necessidade de criar diretrizes nacionais, as quais devem ser capazes de regular o funcionamento desses sistemas no Brasil.

Nesse sentido, em 2022, foram dados os primeiros passos para a regulamentação da Inteligência Artificial no Brasil. Em 07/12/2022, após discussões realizadas por uma comissão de juristas, o Ministro do STJ, Ricardo Cueva, entregou o anteprojeto do Marco Legal da IA ao Presidente do Senado. Em seguida, o referido documento culminou, em maio de 2023, no Projeto de Lei 2338/2023, elaborado pelo Senador Rodrigo Pacheco. Nele, a temática da proteção de dados pessoais é um dos pilares de desenvolvimento. Por isso, são definidas normas para a coleta, armazenamento e uso de dados relacionados à IA, com ênfase na proteção da privacidade e dos direitos dos indivíduos.

A seguir, discutiremos a abordagem dada à proteção de dados pessoais e à privacidade pelo PL 2338/2023. Assim como, traçaremos o comparativo com a Lei Geral de Proteção de Dados (LGPD), de modo a discutir a eficácia das medidas propostas.

Análise da Proteção de Dados Pessoais na PL 2338/2023 e intersecções com a LGPD

O PL 2238/2023 tem como objetivo principal a proteção dos direitos fundamentais e a garantia da implementação de sistemas seguros e confiáveis em benefício da pessoa humana, do regime democrático e do desenvolvimento científico e tecnológico. Isto posto, já em seu art. 2°, VIII, consagra-se o direito à privacidade, à proteção de dados e à autodeterminação informativa. Esses direitos são alguns dos pilares para a implementação e o uso dos sistemas de inteligência artificial no Brasil.

Nesse contexto, garante-se, às pessoas afetadas pelo uso de sistemas de IA, o direito à privacidade e à proteção de dados pessoais. Para isso, o dispositivo prevê que os agentes tecnológicos informarão, sempre de forma acessível, os procedimentos necessários para o exercício desses direitos. A iniciativa caminha de mãos dadas com a Lei Geral de Proteção de Dados (LGPD), que objetiva aliar a adoção de tecnologias disruptivas, como a inteligência artificial, à proteção dos direitos fundamentais da pessoa humana.

O “PL da Inteligência Artificial”, no que tange ao tratamento de dados, é norteado pelos princípios da minimização, isto é dizer que os dados coletados devem ser limitados ao estritamente necessário. Com vistas a zelar pela privacidade individual, busca-se que as informações coletadas e processadas por sistemas de IA sejam protegidas por padrões elevados de segurança, de modo a evitar vazamentos e acessos não autorizados.

O ponto principal de interação do PL 2338/2023 com a LGPD é o campo dos direitos das pessoas afetadas pelos sistemas de IA. Evidência disso é o art. 7° do PL 2338/2023, o qual, em correspondência com a referida lei, dispõe que esses sujeitos têm o direito de receber, previamente à contratação ou utilização do sistema, informações claras e adequadas quanto às categorias de dados pessoais utilizados no funcionamento do instrumento.

Logo, tanto o “PL da IA”, quanto a LGPD, são regulações garantidoras, já que têm como fim a transparência nas disposições acerca da privacidade. Exemplo disso, é que o usuário deve ter acesso aos critérios de tomada de decisão da ferramenta e também possui o direito de contestar decisões e, ou solicitar intervenção humana.

Outrossim, o PL 2338/2023 é inovativo quando categoriza alguns sistemas como de “alto risco”. Inclusive, compõem essa categoria os sistemas que existem com base na alta expectativa de confidencialidade. O mesmo acontece quando dispõe sobre a necessidade de medidas de gestão de dados adequados para a mitigação e prevenção de potenciais vieses discriminatórios.

Existe ainda a Avaliação de Impacto Algoritmo, que também é uma medida inovadora e consiste na elaboração de relatórios para avaliar a atividade do algoritmo e tudo que envolve o funcionamento da IA. O dispositivo ainda consolida o entendimento de que os dados devem ser um bem comum. Por isso, a circulação dessas informações deve ocorrer em prol do aprendizado das máquinas e do desenvolvimento de sistemas de inteligência artificial. Contudo, isso não implica em prejuízo aos titulares do direito à privacidade, que deve ser resguardado pelos agentes de tratamento.

Impactos práticos e desafios à implementação do PL 2338/2023

O Projeto de Lei 2338/2023 traz impactos significativos para variadas áreas. Dentre elas, destacam-se: a regulamentação dos riscos, a proteção de dados pessoais, os direitos dos usuários e as repercussões no ecossistema tecnológico.

● Regulamentação dos riscos: o PL classifica os sistemas por nível de risco. Aqueles que possuem um alto potencial danoso ou discriminatório, bem como são implementados em larga escala, podem ser considerados de alto risco. É o caso dos sistemas biométricos, por exemplo. Tal medida tem como fim a promoção de maior transparência e segurança ao usuário.

● Proteção de dados pessoais: o projeto de lei estabelece requisitos de proteção de dados alinhados à LGPD, especialmente, no que concerne ao tratamento de dados pessoais sensíveis. São exigidas medidas de segurança robustas, a fim de garantir a transparência nas decisões automatizadas. Isso implica na necessidade de explicabilidade dos algoritmos, para que os usuários possam entender como e por que certas decisões são tomadas, o que também oferece maior proteção contra vieses discriminatórios.

● Direito dos usuários: o PL 2338/2023 garante direitos específicos aos usuários, como o já mencionado direito à explicação, assim como o direito de contestar decisões automatizadas que os afetem significativamente. Ademais, no caso de prejuízo ao usuário, são estabelecidas medidas de responsabilização objetiva, independentemente de dolo ou culpa, para os operadores dos sistemas de IA.

● Repercussões no ecossistema tecnológico: as empresas que fazem uso de sistemas de inteligência artificial terão que se adequar aos novos padrões regulatórios, o que implica em custos, principalmente, com compliance. Ademais, embora exija-se a transparência, não há disposição sobre como equilibrar a transparência com questões de propriedade intelectual e o segredo comercial.

No que tange à dificuldade de implementação, o PL 2338/2023 enfrenta alguns desafios práticos, principalmente, em relação à transparência. Nos dias correntes, as ferramentas pautadas em inteligência artificial funcionam a partir de redes neurais profundas e no aprendizado de máquina. A busca por uma IA explicável (XAI) visa balancear a transparência com performance e segurança, mas, hoje, essa questão continua a ser um desafio técnico.

Por último, a fiscalização também é um ponto a ser discutido no Projeto de Lei 2338/2023. Isso porque não existe disposição clara acerca de qual órgão seria incumbido de cumprir a lei e aplicar as sanções cabíveis. Presume-se que tal atribuição ficaria com a Autoridade Nacional de Proteção de Dados (ANPD), que é responsável pela implementação e fiscalização da LGPD, mas o tema ainda está em aberto.

Conclusão

O PL 2338/2023 é uma tentativa robusta de criar um marco regulatório para uso da IA no Brasil, o que inclui diretrizes para a proteção de dados pessoais. Alinhado com a Lei Geral de Proteção de Dados (LGPD), o PL busca assegurar a segurança e a transparência dos sistemas de IA, especialmente no que se refere à software categorizados como de alto risco. No entanto, ainda existem barreiras técnicas a serem superadas no texto legal, como é o caso das disposições sobre a transparência dos sistemas e o esclarecimento acerca dos mecanismos de auditoria e supervisão.

Referências

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Análise preliminar do Projeto de Lei nº 2338/2023, que dispõe sobre o uso da Inteligência Artificial, 06 de julho de 2023. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/analise-preliminar-do-pl-2338_2023-formata do-ascom.pdf.

BRASIL. Projeto de Lei nº 2338, de 2023. Estabelece princípios, diretrizes e fundamentos para o desenvolvimento e a aplicação da inteligência artificial no Brasil. Senado Federal, 2023. Disponível em: https://www.camara.leg.br. Acesso em: 18 set. 2024. CORTIZ, Diogo. Inteligência Artificial: conceitos fundamentais. In: VAINZOF, Rony; GUTIERREZ, Andrei Guerrero (Orgs.). Inteligência Artificial: sociedade, economia e Estado. São Paulo: Thomson Reuters Brasil, 2021.E-book

DA SILVA MELO, Gustavo. Inteligência Artificial e responsabilidade civil: uma análise do anteprojeto do Marco Legal da Inteligência Artificial e do Projeto de Lei 2338/2023. Revista IBERC, v. 7, n. 1, p. 49-65, 2024.

GILLESPIE, Nicole et al. Trust in artificial intelligence: A global study. The University of Queensland and KPMG Australia, v. 10, 2023.