ANPD aplica sanção e reforça sua intenção de se firmar como órgão regulador de IA no Brasil

No dia 02/07, a Autoridade Nacional de Proteção de Dados (ANPD) publicou sua primeira decisão administrativa envolvendo um caso prático de Inteligência Artificial (IA), através do Despacho Decisório Nº 20/2024/PR/ANPD, proferido contra uma das maiores empresas de tecnologia do mundo.

A decisão da ANPD determinou a suspensão, no Brasil, da vigência da política de privacidade da Bigtech, no que toca à parte relativa ao uso de dados pessoais para fins de treinamento de sistemas de IA generativa; e a suspensão do tratamento de dados pessoais dos titulares para essa finalidade, inclusive de pessoas não usuárias de suas plataformas. Caso a empresa não cumpra com a determinação administrativa, estará sujeita a multa diária de R$ 50.000,00 (cinquenta mil reais), em virtude do risco iminente de dano grave e irreparável ou de difícil reparação aos direitos fundamentais dos titulares afetados

Segundo nota oficial publicada pela ANPD, a Autoridade decidiu instaurar processo de fiscalização por conta própria ao ter conhecimento do caso em função de indícios de violações à Lei Geral de Proteção de Dados Pessoais (LGPD). Durante a análise preliminar, a Autoridade identificou riscos de dano grave e de difícil reparação aos usuários,  determinando a suspensão cautelar da política de privacidade e da operação de tratamento de dados pessoais.

Deste modo, a Autoridade entendeu estarem presentes as seguintes constatações preliminares suficientes para expedição da Medida Preventiva:

 

1. uso de hipótese legal inadequada para o tratamento de dados pessoais;

2. falta de divulgação de informações claras, precisas e facilmente acessíveis sobre a alteração da política de privacidade e sobre o tratamento realizado;

3. limitações excessivas ao exercício dos direitos dos titulares; e

4. de dados pessoais de crianças e adolescentes sem as devidas salvaguardas.

 

A ANPD avaliou ainda que a empresa não forneceu informações adequadas e necessárias para que os titulares tivessem ciência sobre as possíveis consequências do tratamento de seus dados pessoais para o desenvolvimento de modelos de IA generativa, identificando também obstáculos excessivos e não justificados ao acesso às informações e ao exercício dos direitos dos titulares de dados.

Ainda, o legítimo interesse, base legal eleita pela empresa para justificar o tratamento de dados, seria inadequado,  visto que tal hipótese não pode ser usada quando houver tratamento de dados pessoais sensíveis, já que não consta no rol do Art. 11 da LGPD, que estabelece as hipóteses legais para tratamento de dados pessoais sensíveis.

Além disso, para utilizar a referida base legal como justificativa, é necessário balancear as legítimas expectativas dos titulares em relação aos interesses do Controlador, além da observância dos princípios da finalidade e da necessidade. Neste caso, esse balanceamento não teria ocorrido, uma vez que a ANPD considerou que as informações disponíveis nas plataformas da empresa são, em geral, compartilhadas pelos titulares para relacionamento com amigos, comunidade próxima ou empresas de interesse, não havendo necessariamente a expectativa de que todas essas informações fossem utilizadas para treinar sistemas de IA, que sequer estavam implementados quando as informações foram compartilhadas.

A empresa também estaria violando a LGPD ao coletar dados pessoais de crianças e adolescentes, como fotos, vídeos e postagens, para treinar os sistemas de IA da empresa. Isso porque, nos termos da LGPD, e de acordo com o Enunciado nº 1/2023 da ANPD sobre o tema, o tratamento de dados de crianças e de adolescentes deve ser sempre realizado em seu melhor interesse, com a adoção de salvaguardas e medidas de mitigação de risco, o que não foi verificado no âmbito da análise preliminar.

 

Agora, a BigTech tem o prazo de 5 (cinco) dias para apresentar à ANPD:

 

(a) documentação que ateste a adequação da Política de Privacidade, mediante a exclusão do trecho correspondente ao tratamento de dados pessoais para fins de treinamento de IA generativa; e

(b) declaração assinada pelo encarregado de dados, por membro do corpo diretivo ou representante legalmente constituído, atestando a suspensão do tratamento de dados pessoais para fins de treinamento de IA generativa no Brasil.

A decisão demonstra um grande avanço para a Privacidade e Proteção de Dados no país, considerando ser uma das primeiras sanções aplicadas a entes privados, por descumprimento da legislação. Além disso, a sanção gera um precedente para que as empresas que desenvolvem e utilizam IA garantam a devida transparência aos titulares de dados pessoais, com capacidade de fornecer informações claras sobre o uso da plataforma, seus resultados e riscos.

Ademais, a sanção reforça a posição da Autoridade como órgão coordenador do Sistema Nacional de Regulação e Governança de Inteligência Artificial no Brasil (SIA), conforme nomeação realizada no último dia 18 de junho, em parecer do senador Eduardo Gomes (PL/TO), sobre o PL nº 2338/23, que dispõe sobre o uso da inteligência artificial no Brasil.