Inteligência Artificial e Proteção de Dados: Desafios e Debates – Parte 2

foto computadores indicando profiling por uso de inteligencia artificial e protecao d edados

1. Introdução

Analisaremos a relação entre inteligência artificial e proteção de dados no que se refere ao profiling. Conforme visto anteriormente, na parte 1 de nosso estudo, os dados inferidos são considerados novos dados pessoais sujeitos à aplicação do Regulamento Geral sobre Proteção de dados da União Europeia.

De acordo com o artigo anterior, o nosso objetivo é analisar a relação entre a inteligência artificial e a proteção de dados em diversas perspectivas, sendo que utilizaremos como base de nossas reflexões o estudo desenvolvido pelo Painel para o Futuro da Ciência e da Tecnologia do Parlamento Europeu sobre o impacto do Regulamento Geral sobre Proteção de Dados da União Europeia (GDPR) nas questões relativas à inteligência artificial.

Ao se falar em “profiling”, estamos mencionando a questão de concernente a dados inferidos, pois se estabelece um perfil do indivíduo a partir de dados pessoais que são conectados e geram conclusões acerca do titular dos dados pessoais.

Diante do exposto, neste artigo, buscaremos analisar o que é “profiling”, se os dados resultantes do “profiling” são dados pessoais e o que deve ser protegido ao se elaborar um algoritmo para elaborar o perfil de alguém. Adicionalmente, deve-se ressaltar que o conceito empregado será o mesmo apresentado pelo  Grupo de Trabalho do artigo 29 (hoje, intitulado Comitê Europeu para a Proteção de Dados (CEPD) ).

2. Inteligência Artificial e Proteção de Dados: O que é “profiling”?

A definição de perfis, geralmente, é conectada com a temática concernente à inteligência artificial, pois, por meio do emprego de dados existentes, é possível realizar conexões e estabelecer padrões para gerar informações e conclusões acerca de de um indivíduo.

inteligência artificial e proteção de dados
inteligencia_artificial_protecao_de_dados_profiling

Desse modo, cumpre-se mencionar o conceito apresentado pelo Regulamento Geral sobre Proteção de Dados (GDPR) em seu artigo 4(4):

«Definição de perfis», qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;

Além disso, conforme a Opinião 216/679 revisada em 2018, a definição de perfis (“profiling”) é composta por três elementos:

a) A automatização é a forma de processamento;

b) Deve ser realizada por meio de dados pessoais;

c) Deve visar a avaliar aspectos pessoais de pessoas naturais.

O “profiling” envolve uma série de previsões estatísticas, sendo que, conforme o artigo 4(4) da GDPR, é possível realizar a definição de perfis por qualquer forma automatizada de processamento dos dados, logo, se houver participação humana, não haverá a descaracterização do conceito.

O termo “avaliar” utilizado pelo artigo 4(4) da GDPR faz com que compreendamos que há um certo julgamento sobre os aspectos pessoais de uma pessoa singular.

Diante do exposto, o fato de se classificar clientes de uma empresa conforme gênero, idade, altura etc não significa que está sendo estabelecida uma definição de perfil, pois é necessário utilizar esta classificação para realizar previsões ou parar elaborar determinadas conclusões por meio de uma avaliação dos dados pessoais coletados e classificados.

Em decorrência do que fora acima articulado, uma empresa, ao utilizar classificações de seus clientes, não estará definindo perfis se for apenas para fins estatísticos ou para possuir uma visão geral em relação aos seus compradores.

A GDPR inspirou-se na definição de “profiling” realizada pelo Conselho Europeu na Recomendação CM/Rec (2010); contudo, não é idêntica, uma vez que, na Recomendação do Conselho Europeu, é excluído da definição de “profiling” todos os resultados que não são decorrentes de uma inferência.

1.e. Profiling: significa uma técnica de processamento de dados automatizado que consiste na aplicação de uma definição de perfil individual para tomar decisões concernentes a preferências pessoais dela ou dele, comportamentos ou atitudes.

Em suma, segundo a Recomendação CM/Rec(2010), o “profiling” passa por três estágios: coleta de dados, análise automatizada para definir padrões e aplicar os padrões aos indivíduos para identificar características presentes e futuras da pessoa.

Consequentemente, pode-se observar que a definição de perfil implica em uma análise em relação aos dados que passam por determinada classificação, relacionando-se; portanto, com a idea de julgamento após o processamento automatizado dos dados.

2.1. Profiling, Inteligência Artificial e Proteção de Dados

As máquinas de aprendizado (machine learning) exigem um elevado fluxo de dados para que haja o treinamento das máquinas, sendo que, à medida que são realizados os treinamentos, padrões são estabelecidos.

Desse modo, ao se treinar uma máquina com diversos dados de indivíduos e ao se aplicar, posteriormente, a novos casos para a previsão de comportamentos, por exemplo, serão gerados novos dados pessoais.

As previsões possíveis ao se utilizar machine learning podem impactar na vida dos indivíduos de variadas formas, sendo este o motivo de ser relevante refletir acerca dos impactos possíveis advindos pela ampla aplicação da inteligência artificial e delinear os limites de seu emprego.

Assim, pensemos no seguinte exemplo: é possível prever a probabilidade de uma pessoa ter um ataque cardíaco com base nos seguintes dados pessoais: alimentação, hábitos de exercício, passagens no médico, familiares com problemas cardíacos etc. A partir da previsão, estabelece-se o valor do seguro, ou seja, haverá um elevado impacto deste indivíduo que deverá pagar mais ou menos em razão do seu “profiling”.

Neste sentido, ao se definir um perfil, pode-se saber a quais tipos de mensagens o indivíduo está mais propenso a agir de determinada maneira. Dessa forma, é possível empregar o “profiling” para a manipulação política, para o consumo de determinados produtos, para curtir certas publicações nas redes sociais etc. Alguns estímulos podem ser regulares, outros ilegais e outros anti-éticos, devendo-se atentar à conduta que se pretende com base em certo estímulo realizado por meio da definição do perfil de uma pessoa.

Em razão das diversas implicações possíveis decorrentes do uso de machine learning para a definição de perfis, é possível concluir que é necessário que o “profiling” também seja abarcado pelas regras protetivas dos dados pessoais.

2.2. Inferências como dados pessoais

De acordo com que se analisou até o momento e com o nosso artigo anterior, pode-se observar que a definição de perfil deve ser considerada como dado pessoal quando os padrões alcançados pela máquina de aprendizado sejam empregados para análise e tomada de decisões.

Assim, é possível asseverar que não basta empregar a inteligência artificial para realizar conexões e para treinar máquinas de aprendizado, classificando-se os indivíduos, é preciso analisar, aplicar os resultados e tomar decisões para que se possa dizer que o “profiling” é dado pessoa e deve ser regido pelas normas de proteção de dados.

Vejamos um exemplo para compreendermos melhor a supracitada afirmação:

Suponhamos que uma instituição financeira coleta dados acerca da renda de uma pessoa, sobre o local em que esta pessoa mora, em relação ao seu cadastro positivo etc para a concessão de empréstimo. Se esses dados forem utilizados para a definição de perfil, aplicando-se a inteligência artificial para avaliar o risco relativo ao fornecimento do empréstimo, estaremos diante de uma situação em que o “profiling” é um dado pessoal. Consequentemente, a descrição do cliente é formada por dados pessoais coletados pela instituição financeira e a avaliação do risco na concessão do empréstimo é um dado pessoal por inferência.

Diante do mencionado debate referente à inteligência artificial e proteção de dados no que tange à definição de perfis, cumpre-se notar que é necessário possuir alguns parâmetros para limitar o emprego de “profiling” na tomada de decisão ou a regulamentação para que sejam estabelecidas definições de perfis que não sejam desdobramentos de discriminações e condutas deletérias à sociedade.

Neste sentido, de acordo com o relatório da União Europeia analisado neste artigo, pode-se mencionar os seguintes critérios que devem ser seguidos para os dados inferidos constituidores da definição de perfil da pessoa natural:

a) Aceitabilidade: Os dados pessoais coletados para gerar os dados inferidos devem ser juridicamente aceitáveis para servirem como base para a definição de perfil (v.g., deve-se excluir a orientação sexual para a definição de perfil com certos propósitos, como, por exemplo, contratação de empregados);

b) Relevância: o dado inferido deve ser relevante para a tomada de decisão e aceitável juridicamente (por exemplo, a religião não é relevante para a concessão de empréstimos bancários);

c) Confiabilidade: a coleta de dados, os métodos de processamento de dados e o treinamento de máquinas devem ser confiáveis quanto à acurácia e quanto aos resultados estatísticos.

Por fim, torna-se relevante destacar que esses critérios e limitações quanto à definição de perfil por meio de dados inferidos deve ser utilizado quando decisões serão tomadas e impactarão na vida dos titulares dos dados pessoais; contudo, quando se referir a dados inferidos utilizados para fins científicos, não deve haver limitações, pois são apenas utilizados para estudos, não atingindo os titulares dos dados pessoais.

3. Conclusões

Foi possível observar, de forma sintética, a relação entre “profiling”, inteligência artificial e proteção de dados. Além disso, analisou-se o conceito de definição de perfil empregado pelo Regulamento Geral sobre Proteção de Dados da União Europeia.

A aplicação da legislação referente à proteção de dados é aplicável nas hipóteses em que a definição de perfil é empregada para a tomada de decisões, por exemplo. Assim, ao se impactar a vida dos titulares dos dados pessoais, estes devem possuir os respectivos direitos quanto aos seus dados e quanto aos dados inferidos.

Por fim, nota-se que este debate é relevante, já que o treinamento de máquinas é empregado em diversos setores da economia para a previsão de comportamentos ou para a tomada de decisões, logo, o “profiling” deve ser considerado como dado pessoal e ser protegido juridicamente.

+ posts

Advogada e Docente da Faculdade de Direito de Ribeirão Preto - USP. Pós-Doutora pela Université Paris I Panthéon-Sorbonne. Academic Visitor da Faculty of Law of the University of Oxford. Doutora e Graduada em Direito pela Faculdade de Direito da USP.

Website | + posts

Graduado e Doutor em Direito pela Faculdade de Direito da Universidade de São Paulo (USP) com estágio doutoral pela Université Paris – Panthéon Sorbonne. Ex-Diretor da Controladoria Geral da Administração (2010-2014). Advogado. Linhas de pesquisa: corrupção e transparência pública, proteção de dados públicos e tecnologia da informação.

Artigos relacionados

Dever de Notificação dos Incidentes de Segurança com Dados Pessoais – Parte 1

Neste artigo, você compreenderá o que são incidentes de segurança à proteção de dados e como se efetivam as notificações dos incidentes de segurança. Assim, você verá os principais aspectos do dever de notificação dos incidentes de segurança com dados pessoais. Além disso, serão analisados os principais dispositivos do ISO 29.134/2017.

Respostas