Inteligência Artificial e Livre Consentimento: Caso WhatsAPP/Facebook – Parte 3

inteligencia artificial e livre consentimento caso whatsapp e facebook

Introdução: Inteligência Artificial e Livre Consentimento

Neste artigo, discutiremos as principais questões referentes à inteligência artificial e livre consentimento no que se refere à legislação europeia de proteção de dados.

Além disso, demonstraremos como a compreensão do significado de livre consentimento é importante para enfrentarmos o atual caso do WhatsApp que exigirá de seus usuários brasileiros o aceite para o compartilhamento de dados com o Facebook, não dando outra alternativa a não ser o consentimento.

Como será observado, o consentimento é informado no que se refere ao caso do WhatsApp; contudo, não é livre, pois exigirá o aceite ou o aplicativo não funcionará mais a partir do dia 08 de fevereiro de 2021.

Diante do exposto, precisamos notar que a Lei Geral de Proteção de Dados (LGPD) pátria não possui dispositivo semelhante ao que verificamos no Considerando 42 do Regulamento Geral sobre a Proteção de Dados da União Europeia, dificultando o enquadramento do caso do WhatsApp como hipótese de ausência de livre consentimento.

Por fim, cumpre-se notar que a inteligência artificial (IA) demanda um elevado volume de dados, acarretando a busca intensiva por dados, exigindo a proteção de dados pessoais, devendo-se atentar ao sentido de consentimento livre e informado.

2. Consentimento

Conforme o artigo 4(11) do Regulamento Geral sobre a Proteção de dados da União Europeia (GDPR, sigla em inglês), a definição de consentimento é a seguinte:

«Consentimento» do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

Desse modo, observa-se que o consentimento deve ser uma manifestação de vontade livre, específica, informada e explícita. Além disso, cumpre-se ressaltar que todos os atributos da manifestação de vontade devem estar presentes.

O Considerando 32 da GDPR complementa ao conceito de consentimento o atributo da granularidade, ou seja, conforme o texto do mencionado considerando:

(…). O consentimento deverá abranger todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos, deverá ser dado um consentimento para todos esses fins.

Assim, o consentimento deve ser fornecido para todas as finalidades relacionadas às atividades de tratamento de dados.

No estudo realizado Pelo Painel para o Futuro da Ciência e da Tecnologia do Parlamento Europeu, sobre o Impacto do Regulamento Geral Europeu (GDPR) nas questões concernentes à inteligência artificial, são mencionadas duas crtíticas relativas ao consentimento e à proteção de dados:

  • Primeira Crítica: os titulares dos dados pessoais não possuem habilidades e conhecimento suficiente para fornecerem um consentimento livre, informado, específico e granular. Como se pode observar, os desafios relativos à inteligência artificial e ao consentimento no que tange à efetivação da lei de proteção de dados referem-se também ao conhecimento dos titulares dos dados pessoais para poderem manifestar a sua vontade de forma livre e informada;
  • Segunda Crítica: o consentimento não pode se referir ao futuro, sendo que, em algumas hipóteses, pode prejudicar o fornecimento de melhores serviços por meio do emprego da inteligência artificial.

Diante do exposto, notamos que é necessário garantir a proteção dos dados dos titulares de dados pessoais sem prejudicar o desempenho, cada vez melhor, na Inteligência Artificial.

Em suma, inteligência artificial (IA) e consentimento livre, informado, específico, explícito e granular devem se relacionar de forma harmônica para que possamos usufrir os benefícios advindos da IA.

2.1. Consentimento Livre

O termo liberdade deve ser compreendido como real poder de controle e escolha sobre os seus dados pessoais.

Conforme a Opinião 15/2011 do Grupo de Trabalho do artigo 29 (hoje, intitulado Comitê Europeu para a Proteção de Dados (CEPD) ), não é válido o consentimento quando o titular dos dados pessoais não puder denegar o consentimento sem receber determinadas consequências negativas ou sanções.

Dessa maneira, ao se buscar aprimorar máquinas de aprendizado, deve-se preocupar com o consentimento livre, ou seja, retomamos à questão referente à harmonização entre inteligência artificial e consentimento.

Assim, o livre consentimento e proteção de dados devem ser compreendidos como fundamentais para conseguirmos, realmente, proteger os direitos dos titulares de dados pessoais.

Se os termos e condições de uso de um site, por exemplo, não forem negociáveis, não teremos um livre consentimento de acordo com o entendimento exposto no Guia sobre Consentimento sob Regulamentação 2016/679 do Grupo de Trabalho do artigo 29.

A desigualdade de poder entre o titular dos dados e o responsável pelo tratamento dos dados é patente em certas situações, sendo que cumpre ressaltar o disposto no Considerando 43 da GDPR:

A fim de assegurar que o consentimento é dado de livre vontade, este não deverá constituir fundamento jurídico válido para o tratamento de dados pessoais em casos específicos em que exista um desequilíbrio manifesto entre o titular dos dados e o responsável pelo seu tratamento, nomeadamente quando o responsável pelo tratamento é uma autoridade pública pelo que é improvável que o consentimento tenha sido dado de livre vontade em todas as circunstâncias associadas à situação específica em causa. (…) (Destaque nosso)

Diante do exposto, pode-se ressaltar que a validade do consentimento depende do fato de ser livre, logo, deve-se fornecer escolha ao titular dos dados. Esse fato é relevante para analisarmos o caso WhatsApp e Facebook.

2.2. Consentimento Específico: Inteligência Artificial e Proteção de Dados

O consentimento deve ser específico para cada finalidade em relação ao seu tratamento, sendo que isso é muito importante, conforme vimos, anteriormente, em relação à inteligência artificial e profiling em que são gerados novos dados pessoais em determinadas circunstâncias, logo, necessitam do consentimento específico para o seu uso.

Desse modo, o uso dos dados pessoais coletados não podem ultrapassar os limites específicos e explícitos do consentimento, não sendo admitida a incompatibilidade para com a finalidade do uso dos dados que foi aceita pelo titular dos dados.

Neste sentido, cumpre-se asseverar que, conforme o Considerando 33 da GDPR, em caso de pesquisas científicas, não é necessário o consentimento específico para cada pesquisa a ser realizada, bastando o consentimento para determinando campo de pesquisa.

Por outro lado, de acordo com o Considerando 33 da GDPR, o titular dos dados pessoais deve possuir o direito de fornecer o consentimento ao uso de seus dados pessoais a apenas determinados domínios de investigação.

Assim, nota-se o equilíbrio entre os avanços advindos com o emprego da inteligência artificial e proteção de dados por meio da proteção de um consentimento livre e específico.

2.3. Consentimento Granular: Desafios enfrentados pela inteligência artificial e proteção de dados

A aplicação da inteligência artificial para finalidades variadas implica na necessidade de consentimento específico para cada uma delas, sendo importante a aquisição do consentimento de forma separada.

Desse modo, se o processamento dos dados e aplicação de inteligência artificial forem empregados para anúncios de produtos e para fins políticos, deve-se obter um consentimento específico para cada uma das finalidades, mesmo que o processamento dos dados seja conjunto e aplicável em múltiplas finalidades.

O consentimento granular é explicado no Considerando 43 da GDPR, sendo que impacta da seguinte forma no que tange à aplicação da inteligência artificial e da legislação de proteção de dados:

  1. O titular dos dados não deve ser obrigado a fornecer, de maneira conjunta, o consentimento para finalidades diversas (por exemplo, para fins econômicos e políticos). Assim, deve-se fornecer a possibilidade de consentimento em separado (o titular pode optar por aceitar o processamento de dados para fins econômicos, mas não para fins políticos);
  2. Para que seja possível a separação do consentimento do titular de dados pessoais para finalidades diversas, é preciso não ser imposta uma obrigatoriedade para o consentimento em cada uma das finalidades, ou seja, o titular de dados deve possuir o direito a escolha sem obstáculos ao acesso do serviço.

Em suma, nota-se que o consentimento granular está conectado com a ideia de consentimento livre, sendo muito relevante para analisarmos o caso whatsapp e facebook a seguir.

3. Caso WhatsApp e Facebook: Ausência de Livre Consentimento

Desde 06 de janeiro de 2021, os usuários de WhatsApp receberam notificações de que precisam fornecer o aceite para o compartilhamento de dados entre WhatsApp e Facebook para que o serviço continue sendo utilizado.

Os titulares de dados pessoais deverão dar o aceite até 08 de fevereiro de 2021 para continuarem utilizando o WhatsApp.

O objetivo é integrar o WhatsApp, Facebook e Instagram, permitindo que os anúncios sejam direcionados para o público personalizado de forma cada vez mais precisa.

Adicionalmente, deve-se lembrar de que a máquina de aprendizado é treinada por meio de dados e a quanto mais dados estiver exposta, mais precisos serão os resultados.

Diante desta obrigatoriedade imposta pelo WhatsApp, milhões de pessoas estão migrando para o Signal e para o Telegram, sendo que o motivo do descontentameno é, exatamente, a imposição realizada pelo WhatsApp para a continuidade ao acesso do serviço de mensagem.

Como se pode notar, o consentimento é informado, pois a pessoa precisa ler as novas regras da política de privacidade do WhatsApp e deve aceitá-las. O problema ocorre quando falamos em consentimento livre e granular, neste caso, notamos que não existem esses dois elementos nesta hipótese do caso whatsapp e facebook.

Ao analisarmos os tópicos anteriores deste artigo, notamos que na União Europeia o consentimento não será válido, pois é obrigatório para a continuidade do serviço.

No entanto, se analisarmos a Lei Geral de Proteção de Dados (LGPD) do Brasil, não temos dispositivo expresso impeditivo e ainda não temos a regulamentação da Autoridade Nacional de Proteção de Dados (ANPD) para enfrentarmos a situação considerando inválido o consentimento.

Caso seja judicializado o caso whatsapp e facebook, pode-se invocar o art. 5º, inc. XII, da LGPD:

XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

Como no supracitado dispositivo legal, fala-se que o consentimento é manifestação livre; portanto, é possível defender que o consentimento será inválido porque faltará a liberdade na manifestação.

Além disso, poder-se-á mencionar o artigo 51, inc. I, do Código de Defesa do Consumidor (CDC):

Art. 51. São nulas de pleno direito, entre outras, as cláusulas contratuais relativas ao fornecimento de produtos e serviços que:

        I – impossibilitem, exonerem ou atenuem a responsabilidade do fornecedor por vícios de qualquer natureza dos produtos e serviços ou impliquem renúncia ou disposição de direitos. Nas relações de consumo entre o fornecedor e o consumidor pessoa jurídica, a indenização poderá ser limitada, em situações justificáveis;

Assim, pode-se buscar defender que se trata de uma relação de consumo e a cláusula presente na política de privacidade é abusiva, pois se exige que o consumidor renuncie ao direito de proteger seus dados, impondo o processamento dos dados pessoais do titular dos dados, eliminando a liberdade e a granularidade do consentimento.

Diante do exposto, no Brasil, é possível defender os titulares de dados contra esta obrigatoriedade imposta pelo WhatsApp; contudo, não se sabe como serão os desdobramentos caso haja judicialização.

Além disso, as pessoas que dependem do WhatsApp para trabalharem, fornecerão o aceite e mesmo existindo vitória judicial contra esta imposição do WhatsApp, os dados já terão sido compartilhados entre WhatsApp e Facebook e, consequentemente, processados.

Desse modo, ou se inicia um processo judicial o quanto antes, já que o prazo limite será dia 08 de fevereiro de 2021, ou o estrago já ocorrerá e os direitos à proteção de dados pessoais serão violados mesmo sob a vigência da LGPD.

Neste sentido, nota-se que é necessário lutar pelo consentimento livre, sendo que o consentimento informado não basta para a proteção de dados pessoais de seus titulares.

Consequentemente, devemos acompanhar este caso atentamente para compreendermos o quanto, realmente, se considera a proteção de dados pessoais um direito fundamental no Brasil.

4. Conclusão

Neste artigo, buscou-se analisar a relação entre inteligência artificial e livre consentimento, pois, para o processamento de dados pessoais para o aperfeiçoamento do aprendizado de máquinas, é necessário um consentimento livre, específico, explícito, informado e granular.

Assim, a inteligência artificial e proteção de dados relacionam-se e devem coexistir de forma harmônica para a aplicação de uma inteligência artificial confiável.

Por conseguinte, verifica-se, no caso whatsapp e facebook, que o consentimento será informado, mas não será livre, no que se refere ao compartilhamento de dados entre o serviço de mensagem e as redes sociais facebook e instagram.

O livre consentimento é essencial para a proteção dos dados pessoais dos usuários de serviços de mensagem, logo, é necessário agir rápido, antes do dia 08 de fevereiro de 2021, para que a decisão do STF, reconhecendo o direito à proteção de dados pessoais como um direito fundamental, seja concretizada e não se constitua como palavras sem efetivação.

Em suma, precisamos acompanhar este caso para sabermos como será enfrentada no Brasil a questão concernente ao livre consentimento e à proteção de dados.

+ posts

Advogada e Docente da Faculdade de Direito de Ribeirão Preto - USP. Pós-Doutora pela Université Paris I Panthéon-Sorbonne. Academic Visitor da Faculty of Law of the University of Oxford. Doutora e Graduada em Direito pela Faculdade de Direito da USP.

Website | + posts

Graduado e Doutor em Direito pela Faculdade de Direito da Universidade de São Paulo (USP) com estágio doutoral pela Université Paris – Panthéon Sorbonne. Ex-Diretor da Controladoria Geral da Administração (2010-2014). Advogado. Linhas de pesquisa: corrupção e transparência pública, proteção de dados públicos e tecnologia da informação.

Artigos relacionados

Dever de Notificação dos Incidentes de Segurança com Dados Pessoais – Parte 1

Neste artigo, você compreenderá o que são incidentes de segurança à proteção de dados e como se efetivam as notificações dos incidentes de segurança. Assim, você verá os principais aspectos do dever de notificação dos incidentes de segurança com dados pessoais. Além disso, serão analisados os principais dispositivos do ISO 29.134/2017.

Respostas