Tomada de Decisão Automatizada e Controle pela LGPD

foto inteligencia artificial lgpd automatizada

Introdução

A série de ficção científica Black Mirror retrata, no episódio “queda livre” (T3E1), uma sociedade cujo poder aquisitivo e patamar social são totalmente ditados pela pontuação que cada indivíduo tem nas redes sociais. Lacie, personagem principal da história, gostaria muito de comprar a casa dos sonhos, mas a transação foi negada pelo sistema uma vez que ela só tinha a pontuação de 4.2, e é necessário ter pontuação mínima de 4.5 para que a compra possa ser aprovada. A partir disso, a trama se desenrola em torno da tentativa da personagem de aumentar sua pontuação para então passar pelo critério do sistema de compra daquele imóvel.

A situação, apesar de fictícia, nos remete a uma prática já muito presente na vida moderna: a tomada de decisão automatizada, feita por inteligência artificial. Caitlin Mulholland (2020) explica que, por meio do tratamento em massa de dados pessoais, viabiliza-se a autoaprendizagem de programas ou sistemas de computador, que por sua vez permite a obtenção de determinado resultado independentemente de qualquer mediação por um ser humano. 

Um exemplo prático e atual disso é o profiling, que é um processo de coleta, mineração e correlação de dados pessoais de um titular, que permite detectar um perfil de um indivíduo qualificado e categorizado a partir de dados de navegação da pessoa, como histórico de visitas, likes, dislikes, registro de buscas etc [1]. Tendo em vista que trata-se de uma prática que trata dados pessoais, o presente texto busca elucidar melhor a aplicabilidade deste recurso, e como a nova Lei Geral de Proteção de Dados (LGPD) regula a decisão automatizada e tutela os direitos dos titulares neste contexto.

Aplicações Práticas das Decisões Automatizadas e Problemática

O processamento de dados pessoais em massa para desenvolver o aprendizado de uma máquina pode ser usado, por exemplo, para definir o perfil de um usuário, decidir se uma pessoa é confiável o suficiente para receber determinada quantia de crédito ou para dar sugestões de filmes. Nesse processo, o algoritmo se desenvolve e cria padrões de ação que muitas vezes impossibilita determinar quais são os padrões adotados para o processamento dos dados. Com isso, temos a chamada “caixa preta” dos algoritmos, pois o programa adquire uma complexidade tão alta que se torna difícil demais entender seu funcionamento por completo e explicá-lo.

A partir disso, é possível começar a perceber os riscos que o uso de tais sistemas traz. No caso do profiling, por exemplo, o fato de os titulares não conhecerem os critérios e análises usadas para classificá-los em perfis faz com que eles fiquem em posição de extrema desvantagem em relação ao controlador de dados [2]. Schermer [3] identifica esse risco como uma assimetria informacional entre titular e controlador, reforçada pelo fato de que este último também é proprietário dos algoritmos usados no processo e de seus resultados, e por isso também tem seus segredos comerciais protegidos. 

Essa assimetria também é evidenciada pelo fato de que, ao mesmo tempo que o tratamento de grandes bases de dados para o treinamento de um sistema atinge os interesses comerciais de determinada empresa, por outro retira a capacidade de autonomia do indivíduo e o seu direito de acesso ao consumo de bens e serviços [4]. Além disso, como bem apontam Martins e Hosni, estabelecer perfis por meio de algoritmos pode aprofundar padrões discriminatórios já existentes (como aqueles ligados à etnia, gênero, orientação sexual, orientação política ou religiosa), ou mesmo criar novos focos discriminatórios [5]. Isso porque esses tipos de dados são coletados e usados para as análises estatísticas que possibilitam detectar padrões de comportamento e, consequentemente, construir perfis.

Portanto, quando se fala no tratamento de dados com a finalidade de proporcionar análises probabilísticas e estatísticas dos titulares para então estabelecer um processo de tomada de decisão automatizada, tem-se um conflito entre titular e controlador. Resta sempre analisar nesses casos se, com o seu sistema, ele está ou não discriminando os titulares ou negando a eles os seus direitos fundamentais à autodeterminação informacional, à liberdade e à proteção de dados. 

Proteção dos Titulares e Direito à Explicação na LGPD

Em seu artigo 20 a LGPD determina o chamado “direito à explicação”, que se traduz como o direito do titular de dados de solicitar a revisão de decisões tomadas unicamente com base no tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Alguns pontos de atenção sobre este artigo são: 

  • A decisão é considerada automatizada quando ocorre sem qualquer interferência humana que seja capaz de alterar seu resultado final;
  • O titular pode exercer seu direito à explicação quando a decisão automatizada viola seus direitos fundamentais ou deixa de os prover eficácia;
  • É exemplificativo o rol dos possíveis objetivos de uma decisão automatizada elencados pela Lei.

Ana Frazão [6] aponta ainda que decorrem deste dispositivo legal alguns direitos, como: (i) o direito de acesso e informação a respeito dos critérios e procedimentos utilizados pelo programa, (ii) o direito de se opor ao tratamento de seus dados para a tomada de uma decisão automatizada, (iii) o direito de revisão da decisão automatizada por uma pessoa natural e (iv) o direito de pedir uma auditoria à autoridade nacional, caso o controlador não preste as informações.

Como Efetivar o Direito À Explicação Perante a LGPD?

Mas o que é, concretamente, o direito à explicação? Como pode o titular exigi-lo e como podem as empresas atendê-lo? Esta seção trata portanto (i) da extensão da explicação sobre o funcionamento do algoritmo; (ii) do momento no qual poderá o titular exigir tal direito, se antes ou depois da tomada de decisão automatizada; (iii) dos pontos a serem considerados para identificar a violação dos direitos do titular; e (iv) das formas de tutela do direito. 

Em primeiro lugar, em resposta a uma solicitação, o controlador deve fornecer informações claras a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, podendo se resguardar na resposta quanto a pontos que são segredos comerciais e industriais. A ideia aqui é “abrir” a caixa preta do algoritmo e explicar ao titular o porquê de o sistema ter tomado certa decisão. A recusa é, porém, um ponto de atenção, visto que nesse caso a Autoridade Nacional poderá realizar auditoria para verificar se o tratamento automatizado funciona de maneira discriminatória (art. 20, §2º LGPD).

As explicações podem, aliás, referir-se não apenas às informações sobre o sistema ou sobre as razões que motivaram a tomada de decisão, mas também ao momento em que o pedido de explicação é feito: antes ou depois dela [7]. Como é possível observar a partir dos pontos nucleares do texto legal, não é necessário que haja algum efeito jurídico ou um dano decorrente da decisão. Assim, havendo suspeita de que o uso de um algoritmo para categorizar o titular possa lhe trazer alguma consequência, a LGPD torna possível a tutela preventiva por parte do titular de seu direito à explicação, antes mesmo de se caracterizar um dano efetivo [8].

Por outro lado, se a lei fala que o requisito para se exercer o direito à explicação é a ineficácia ou violação de seus direitos fundamentais, importa analisar o que seria essa negação ou violação. Nesse sentido, cabem muito bem os ensinamentos de Mulholland:

Em casos envolvendo decisões automatizadas que irão conceder ou negar determinado bem jurídico, é essencial avaliar a natureza de tal bem. Caso este bem vá realizar funções sociais constitucionalmente asseguradas (tais como a concessão de financiamento de crédito estudantil ou a obtenção de crédito para aquisição de moradia), concretizando direitos essenciais, a compreensão e o exercício de um direito à explicação serão primordiais.

MULHOLLAND, Caitlin; FRAJHOF, Isabella Z. Op. Cit.

Além do conflito entre as finalidade de um tratamento e os direitos fundamentais dos titulares, também é preciso analisar se há um fundo discriminatório por trás do funcionamento do algoritmo. E aqui, conforme o artigo 6º, IX da LGPD, o princípio da discriminação veda o tratamento de dados para discriminar ou promover abusos contra os titulares. Essa é a razão, inclusive, pela qual a Lei faz uma distinção entre dados pessoais e dados pessoais sensíveis, que se justifica pelo fato de que estes últimos envolvem outros valores dignos de tutela além da privacidade, como a dignidade da pessoa humana, a igualdade material e a liberdade [9]. 

Em se tratando da tutela em juízo do direito dos titulares à explicação, o art. 22 LGPD já traz a possibilidade de utilizar instrumentos de tutela individual ou coletiva. Apesar da dupla possibilidade, aqui destaca-se a pertinência da ação coletiva, posto que os algoritmos de inteligência artificial são treinados e funcionam graças a um grande volume de dados de inúmeros indivíduos, pois é justamente isso que garante a acurácia do modelo preditivo. Nesse contexto, conforme Rouvroy [10], os dados de qualquer indivíduo são tão válidos e úteis quanto os de qualquer outro, ou em outras palavras – seus dados são tão bons quanto os de seu vizinho. 

Conclusão

O uso de tecnologias como o aprendizado de máquina para montar perfis, por exemplo, representa um grande risco para os titulares, tendo em vista que pode se tornar discriminatório. Sendo assim, a LGPD busca regular essas práticas, estabelecendo critérios, formas de exercício e ferramentas de tutela. 

Apesar de todas as regras, possibilidades e indefinições em torno do direito à explicação, a Lei estabeleceu nortes principiológicos que facilitam a regulação dos sistemas automatizados. Em suma, o ponto principal do direito à revisão das decisões previsto na LGPD é a efetivação do princípio da transparência, previsto no mesmo diploma legal como a garantia aos titulares de informações claras e precisas sobre o tratamento de seus dados, e previsto também no Marco Civil da Internet e no Código de Defesa do Consumidor, de forma intrinsecamente relacionada ao direito básico à informação. Além disso, também está presente na Lei o cerne do direito à explicação: a possibilidade de o controlador fornecer informações quanto às decisões automatizadas para que os titulares compreendam o seu funcionamento e tenham, com isso, outros de seus direitos fundamentais efetivados, como a igualdade, a liberdade e a dignidade.

Referências Bibliográficas

[1] LIMA, Cíntia Rosa Pereira de; RAMIRO, Lívia Froner Moreno. Direitos do Titular de Dados Pessoais. In: LIMA, Cíntia Rosa Pereira de. (coord.). Comentários à Lei Geral de Proteção de Dados: Lei n. 13.709/2018, com alteração da Lei n. 13.853/2019. São Paulo: Almedina, 2020.

[2] Hildebrandt, M. Defining Profiling: A New Type of Knowledge? In: Hildebrandt, M.; Gutwirth, S. (Eds.) Profiling the European Citizen: Cross-Disciplinary Perspectives. Cham/SWI: Springer Science, 2008, pp. 17-44.

[3] Schermer, B. The limits of privacy in automated profiling and data mining. Computer law & security review. 27, 2011, pp. 45-52.

[4] MULHOLLAND, Caitlin; FRAJHOF, Isabella Z. Inteligência Artificial e a Lei Geral de Proteção de Dados Pessoais: breves anotações sobre o direito à explicação perante a tomada de decisões por meio de machine learning. In: MULHOLLAND, Caitlin, FRAZÃO, Ana (coord.). Inteligência artificial e direito: ética, regulação e responsabilidade. 2. ed. São Paulo: Thomson Reuters Brasil, 2020.

[5] MARTINS, Pedro Bastos Lobo; HOSNI, David Salim Santos. Tomada de Decisão Automatizada e a Regulamentação da Proteção de Dados: Alternativas Coletivas Oferecidas pela Lei Geral de Proteção de Dados. Vol. 1, Nº. 2, Internet & Sociedade. Dezembro de 2020, p. 77 a 101.

[6] FRAZÃO, Ana. O direito à explicação e à oposição diante de decisões totalmente automatizadas.Revista JOTA, 05 de dezembro de 2018. Disponível em: <https://www.jota.info/paywall?redirect_to=//www.jota.info/opiniao-e-analise/colunas/constituicao-empresa-e-mercado/o-direito-a-explicacao-e-a-oposicao-diante-de-decisoes-totalmente-automatizadas-05122018>. Acesso em: 04.01.2021.

[7] MULHOLLAND, Caitlin; FRAJHOF, Isabella Z. Op. Cit.

[8] MARTINS, Pedro Bastos Lobo; HOSNI, David Salim Santos. Op. Cit.

[9] DONEDA, Danilo. Da Privacidade à Proteção de Dados Pessoais. Rio de Janeiro: Renovar, 2006.

[10] Rouvroy, A. (2016) “Of Data and Men”. Fundamental Rights and Freedoms in a World of Big Data. Council of Europe, Directorate General of Human Rights and Rule of Law. vol. T-PD-BUR (2015) 09 REV, 2016.

+ posts

Artigos relacionados

Respostas