No início deste mês, um dos assuntos que ganhou repercussão midiática significativa foi a Medida Preventiva proferida em 02/07/2024 pela ANPD (Autoridade Nacional de Proteção de Dados) que determinou a suspensão imediata, no Brasil, da vigência da nova política de privacidade da empresa Meta, que autorizava o uso de dados pessoais publicados em suas plataformas (Facebook, Instagram entre outras) para fins de treinamento de sistemas de inteligência artificial (IA). Em caso de descumprimento da decisão, ficou estabelecida multa de R$ 50 mil por dia de descumprimento.
Importante destacar que se trata de uma medida técnica e não política, e que possui natureza cautelar, ou seja, embasada em uma análise preliminar do caso e não definitiva, mas que tem o objetivo produzir efeitos imediatos para evitar a ocorrência de danos graves e irreparáveis ou de difícil reparação para os titulares de dados pessoais enquanto o processo fiscalizatório não é finalizado.
O embasamento técnico desta decisão passa por quatro pontos principais: (i) uso de hipótese legal inadequada para o tratamento de dados pessoais (previstas no artigo 7° e 11° da LGPD); (ii) falta de divulgação de informações claras, precisas e facilmente acessíveis sobre a alteração da política de privacidade e sobre o tratamento realizado; (iii) limitações excessivas ao exercício dos direitos dos titulares; e (iv) tratamento de dados pessoais de crianças e adolescentes sem as devidas salvaguardas.
Nesta análise preliminar, argumentou-se que a hipótese legal utilizada para justificar o tratamento de dados pessoais – legítimo interesse da empresa – (a) não pode ser utilizada para o tratamento de dados pessoais sensíveis (isto é, com maior risco discriminatório) e que (b) não estaria presente um requisito essencial para uso desta hipótese legal que é a presença da legítima expectativa do titular dos dados em observância dos princípios da finalidade e da necessidade.
Isso porque a ANPD considerou que as informações disponíveis nas plataformas da Meta são, em geral, compartilhadas pelos titulares para relacionamento com amigos, comunidade próxima ou empresas de interesse, e que não haveria necessariamente a expectativa de que todas essas informações – inclusive as compartilhadas muitos anos atrás – fossem utilizadas para treinar sistemas de IA, que sequer estavam implementados quando as informações foram compartilhadas.
Além disso, a decisão da ANPD também trouxe o que pode ter sido o primeiro precedente de decisão administrativa no Brasil com uma argumentação sobre padrões obscuros – também conhecido como “dark patterns” –.
De acordo com a decisão “a opção de opt-out fornecida aos usuários, que permtiria aos titulares se opor ao tratamento de seus dados pessoais, não é disposta de maneira evidente, e a complexidade para exercício dessa opção assemelha-se a um padrão obscuro de mascaramento de informações. Os usuários precisam realizar diversas ações para que possam, se este for o seu interesse, informar à empresa quanto a sua oposição na utilização de seus dados e para o exercício dos direitos previstos no art. 18 da LGPD. Ou seja, o número elevado de ações que o usuário precisa realizar para expressar a sua oposição em relação ao tratamento de seus dados pode levá-lo a tomar decisões que seriam contrárias à sua vontade”
Verificou-se também que dados pessoais de crianças e adolescentes, como fotos, vídeos e postagens, também poderiam ser coletados e utilizados para treinar os sistemas de IA da Meta e, segundo a LGPD, o tratamento de dados de crianças e de adolescentes deve ser sempre realizado em seu melhor interesse, com a adoção de salvaguardas e medidas de mitigação de risco, o que não foi verificado no âmbito da análise preliminar.
Em suma, a decisão da ANPD reflete uma ação necessária e urgente para assegurar a proteção dos dados pessoais dos cidadãos brasileiros, especialmente diante do avanço tecnológico e do uso crescente de sistemas de inteligência artificial. Esta medida preventiva evidencia a importância de uma regulamentação rigorosa e de uma fiscalização eficaz para garantir que as empresas respeitem os princípios da Lei Geral de Proteção de Dados (LGPD).
Ao tomar essa decisão, a ANPD não só protege os direitos dos titulares de dados, mas também estabelece um precedente significativo para a governança de dados no Brasil, incentivando práticas mais transparentes e responsáveis por parte das empresas. É um passo crucial para assegurar que a inovação tecnológica não venha às custas da privacidade e dos direitos fundamentais dos indivíduos.
Advogado. Pós-graduado em Direito Empresarial pela FGV São Paulo. Alumni do Data Privacy. Associado ao International Association of Privacy Professionals (IAPP). Membro da Comissão do Novo Advogado do Instituto dos Advogados de São Paulo (IASP).