Investigação de uso de dados pessoais para treinar IA da Meta pode levar mais de um ano, diz ANPD

De acordo com a ANPD, a Meta já recebeu a notificação da medida cautelar imposta à empresa referente ao uso de dados pessoais de usuários de suas plataformas para o treinamento de inteligência artificial generativa e o produto Meta AI. A empresa tem cinco dias para apresentar documentos que comprovem a interrupção do tratamento de dados e a mudança em sua política de privacidade. Caso deseje, tem dez dias corridos para apresentar recurso. Em coletiva à imprensa nesta terça-feira, Fabrício Lopes, coordenador geral de fiscalização da ANPD, informou que a autoridade iniciou as investigações e que pode levar até “mais de um ano”, a depender de possíveis recursos, tempo de resposta da empresa, dentre outras circunstâncias. A acusação é de que a Meta estaria usando dados pessoais sensíveis de brasileiros para treinar sistemas de IA.

“A ideia é entender em profundidade o que está acontecendo e sem a devida pressa para a gente entender os limites do que é possível e do que não é possível no que a Meta se propôs a fazer. Isso leva tempo, pode demorar mais de um ano em função da profundidade de detalhes”, disse o coordenador.

“O tempo vai depender da postura da empresa, das informações que ela apresentar. Pode levar 15 dias, seis meses e, nesse tempo, podem acontecer mudanças na sua política de privacidade. São várias possibilidades”, explicou Miriam Wimmer, diretora da ANPD e relatora da matéria no Conselho Diretor da ANPD.

A diretora deixou claro na coletiva que a atitude da ANPD não foi uma reação à notificação do Idec. O processo já corria na autoridade e no Conselho Diretor antes de o Idec notificar a Autoridade Nacional de Proteção de Dados, Senacon e Cade para investigar a Meta.

“A atuação se baseou nas informações que chegaram até nós, inclusive por meio de veículos jornalísticos. Então, são ações independentes embora tenham o foco no mesmo objeto. A nossa atuação se deu de ofício”, explicou a diretora.

Reflexo de investigação na União Europeia?

O treinamento dos sistemas de inteligência artificial da Meta e o lançamento do produto Meta AI, um assistente virtual nos moldes do ChatGPT, também são alvo de investigação na Europa.

Em meados de junho, a Meta precisou interromper a coleta de dados para alimentar sua inteligência artificial na União Europeia a pedido do órgão regulador irlandês, a Comissão de Proteção de Dados (DPC, na sigla em inglês), que iniciou uma investigação.

Vale lembrar que Meta AI deve chegar em breve no Brasil.

“De fato, os dilemas enfrentados na União Europeia são muito semelhantes aos que nós temos aqui. Existe um diálogo global que vai tratar de temas como regulação econômica de plataformas, combate à desinformação, proteção de crianças e adolescentes no ambiente digital e proteção de dados pessoais. E é natural que exista uma influência, uma observância do que acontece em outras jurisdições para que a gente também possa avaliar as melhores medidas”, explicou Wimmer.

“Do ponto de vista da ANPD é razoável dizer que eventuais irregularidades que tenham sido vislumbradas na Europa potencialmente também são irregularidades na legislação brasileira simplesmente porque a Lei Geral de Proteção de Dados brasileira é muito semelhante ao regulamento da proteção de dados europeu. E existem outras iniciativas em debate no Congresso Nacional voltados a outros temas que eu acho que poderão também se beneficiar da experiência não só da União Europeia, mas eventualmente de outras jurisdições”, complementou.

A diretora da ANPD também prevê que outras empresas sejam alvos de investigações no Brasil sobre tratamento indevido de dados pessoais.

“É claro que sabemos que existe um problema mais generalizado associado ao uso de dados pessoais para o treinamento de modelos de IA. Vislumbro a possibilidade de que no futuro nós tenhamos ações envolvendo outras empresas. Mas, no momento, o caso concreto é o da Meta”, esclareceu.

Entenda o caso

A análise preliminar da ANPD fez com que a autoridade emitisse a cautelar. A ideia agora é investigar se já houve dados tratados ou prejuízos para titulares brasileiros.

A ANPD verificou indícios de descumprimento da LGPD com relação a quatro pontos. São eles:

Hipótese legal: legítimo interesse

– A Meta informou em sua política de privacidade que, para treinar seus sistemas de IA com dados pessoais de usuários de suas plataformas, a empresa se basearia na hipótese legal do legítimo interesse. Neste caso, trata-se de hipótese em que uma organização pode tratar dados pessoais para atingir seus legítimos interesses, desde que o tratamento não viole e nem coloque em risco os direitos individuais.

No entanto, para usar esta hipótese, a empresa deve fazer um teste de balanceamento para verificar se os legítimos interesses da empresa não estariam de alguma maneira violando ou colocando em risco direitos fundamentais ou violando as legítimas expectativas dos titulares – o que não foi feito.

Tratamento de dados pessoais sensíveis

Ao usar a hipótese de legítimo interesse, a Meta deveria oferecer o direito de recusa ao tratamento, o que não acontece. Há também indícios de que a empresa estaria tratando dados pessoais sensíveis de brasileiros, o que não é permitido.

“Dados como origem étnica, racial, vinculação política, dados de saúde, religião, orientação sexual não podem ser tratados com base no legítimo interesse do controlador porque o risco é maior. Para esse tipo de dado tem um conjunto muito mais restrito de hipóteses legais que incluem o consentimento, políticas públicas, obrigação legal. E o que verificamos é que a empresa estava tratando todos os dados, inclusive os sensíveis, com base nessa ideia do legítimo interesse”, explicou Wimmer.

Falta de transparência

O terceiro ponto verificado pela ANPD é a falta de transparência da empresa. Ainda que a hipótese de legítimo interesse pudesse ser uma base legal apropriada, verificou-se que Meta estabeleceu obstáculos para o usuário se opor ao tratamento.

“Na Internet você vai, inclusive, encontrar tutoriais para se opor ao tratamento. É um mecanismo que pareceu complexo, com muitas etapas com informações que não são fáceis de serem encontradas. E o usuário não foi comunicado. Havia, então, uma dificultação do exercício dos direitos dos titulares”, explicou a diretora da ANPD.

Tratamento de dados de crianças e adolescentes

O quarto ponto verificado é que, além de tratar dados sensíveis, a Meta trata também dados de crianças e adolescentes, o que é contra a LGPD, a Constituição e o Estatuto da Criança e do Adolescente.

Neste caso, “os cuidados precisam ser redobrados, especialmente quando a organização resolve usar a hipótese de legítimo interesse. E deve prevalecer o melhor interesse da criança e do adolescente. Não verificamos as salvaguardas que seriam necessárias para tratar os dados pessoais desse público”, afirma Wimmer.

O futuro da investigação

A partir de agora, durante as análises investigativas, a Meta poderá apresentar documentos e será ouvida. Caberá à ANPD e à empresa, juntas, trabalharem para encontrar saídas para uma resolução. O opt-in para este caso poderia ser uma delas, mas a ANPD prefere não determinar de antemão o que deve ou não ser feito para reverter a situação.

A Meta foi novamente procurada por este noticiário, mas não se manifestou até o fechamento desta matéria. O espaço continua aberto para a empresa.

Foto: Miriam Wimmer, diretora da ANPD durante entrevista coletiva online desta terça-feira, 2. Imagem: reprodução de vídeo