1. Introdução: Inteligência Artificial e Proteção de Dados
Na última década, a aplicação da inteligência artificial despontou-se como um futuro próximo que gerará um elevado acréscimo no PIB mundial na sociedade, havendo uma perspectiva de um aumento crescente no que se refere ao seu emprego em diversos setores econômicos. Neste sentido, surge questionamentos acerca como garantir os avanços da inteligência artificial sem existirem violações às regras relativas à proteção de dados.
Diversas pesquisas são financiadas para o desenvolvimento de diversas aplicações da inteligência artificial. Ademais, deve-se mencionar o destaque dado nos últimos para o aprendizado de máquina (machine learning) para predições.
O aprendizado de máquina depende de um elevado volume de dados para que sejam estabelecidas conexões que o cérebro humano encontraria dificuldade de realizar e para resultados cada vez mais precisos.
Em contrapartida, muito se discute acerca dos desdobramentos negativos possíveis decorrentes do emprego da inteligência artificial, como: desemprego, discriminação. Manipulação por fake news, vigilância estatal excessiva, enfraquecimento da democracia etc.
Desse modo, hoje, falaremos sobre o estudo, realizado Pelo Painel para o Futuro da Ciência e da Tecnologia do Parlamento Europeu, sobre o Impacto do Regulamento Geral Europeu (GDPR) nas questões concernentes à inteligência artificial.
Em termos gerais, verificaremos que é necessário um diálogo entre as empresas, os controladores e a sociedade civil para estabelecer um guia de conduta para regular a aplicação da inteligência artificial sem violar a proteção de dados pessoais dos cidadãos
2. Inteligência Artificial e Dados Pessoais
Primeiramente, cumpre-se mencionar que para existir predições por meio das máquinas de aprendizado, é necessário existir as variáveis independentes que são conhecidas sobre determinado caso e relacioná-las com variáveis dependentes que não são conhecidas. Assim, é possível estabelecer padrões por meio de modelos que capturam aspectos gerais do caso analisado e conectando estes modelos às variáveis independentes e dependentes.
Existem duas possibilidades quanto ao desenvolvimento de máquinas de aprendizado: a) seres humanos desenvolvem um determinado modelo e aplicação deste modelo, conectando com as variáveis determinadas e indeterminadas, é delegada pela máquina e b) a elaboração do modelo também é realizada pelas máquinas.
Dessa maneira, para automatizar decisões, é preciso alimentar as máquinas com muitos dados e estes tornaram-se o elemento central para o desenvolvimento de novas aplicações de inteligência artificial.
O processo de digitalização do mundo também contribuiu para que a inteligência artificial fosse empregada em diversos setores da economia. Além disso, o processamento de dados conectado à infraestrutura, permite o estabelecimento de uma ponte entre o mundo on-line e off-line.
Consequentemente, verificamos diversas câmeras de segurança, smartphones, máquinas industriais, computadores etc ligados entre si e conectados à internet; potencializando o desenvolvimento de novas aplicações de inteligência artificial.
Diante do exposto, para participar da corrida para garantir o acréscimo ao PIB em decorrência da aplicação da inteligência artificial (IA), surge um pseudo-dilema: deve-se garantir a proteção de dados ou permitir o desenvolvimento da tecnologia?
Por outro lado, será possível notar que é viável conciliar o desenvolvimento de aplicações de IA e a proteção de dados; contudo, é necessária uma articulação entre os diversos setores da sociedade envolvidos para que os dados sejam utilizados de forma eficiente.
Em razão do que fora mencionado, serão analisados neste artigo dois desafios a serem enfrentados pela Inteligência Artificial no que tange à proteção de dados, necessitando, consequentemente, de uma atuação articuladas entre diversos setores da sociedade civil e do Estado: a reidentificação de dados anonimizados e a inferência de novas informações pessoais por meio de dados pessoais já disponibilizados.
2.1.1. Reidentificação e Inteligência Artificial
A Inteligência Artificial e os métodos estatísticos computacionais auxiliam a reidentificação de dados anonimizados ou pseudonimizados. Dessa maneira, é possível identificar o titular de dados, mesmo quando estes não são públicos e passaram por um processo de anonimização.
Adicionalmente, deve-se ressaltar que anonimização é definida pela Lei Geral de Proteção de Dados do Brasil, em seu art. 5º, inc. XI, da seguinte maneira:
Diante do exposto, nota-se que a Inteligência Artificial aumenta a capacidade de reidentificação dos titulares de dados pessoais, exigindo reflexões acerca desta situação. É importante destacar diversos casos em que ocorreu a reidentificação dos titulares de dados pessoais, como, por exemplo: caso AOL, Netflix, Governador de Massachusetts etc. Caso você queira saber mais acerca destes casos, recomendamos a leitura do texto de Paul Ohm, intitulado: . Broken promises of privacy: responding to the surprising failure of anonymization, de 2010.
Para ocorrer a reidentificação, não é necessária certeza absoluta quanto à identidade do titular dos dados pessoais, basta uma elevada probablidade de que o indivíduo seja o titular dos dados pessoais.
Como se pode notar, não há uma saída simples, uma vez que a capacidade computacional para se conectar diversos dados que levem à reidentificação é crescente. Em muitas situações, dados, que aparentemente não apresentam qualquer correlação, podem ser relacionados pelas máquinas de aprendizado que conseguem estabelecer determinados padrões não tão perceptíveis aos seres humanos.
Por conseguinte, pode-se observar que não existe uma solução simplista a este problema da reidentificação; contudo, são necessárias reflexões acerca das formas de se reduzir a possibilidade de reidentificação quer pelos dados anonimizados, quer pelas conexões com outros dados que permitam a reidentificação dos titulares de dados.
2.1.2. Dados Pessoais Inferidos
A inteligência artificial pode, por meio da aplicação de modelos algorítmicos, gerar novas informações pessoais com base nos dados pessoais existentes. Dessa forma, deve-se compreender a relação entre a inteligência artificial e a proteção de dados para enfrentar os desafios decorrentes dos dados pessoais inferidos.
Diante do exposto, cumpre-se mencionar que, conforme o entendimento do Tribunal de Justiça da União Europeia, as informações inderidas de dados pessoais geram novos dados pessoais do titular dos dados; distintos, consequentemente, dos dados que lhe deram origem.
Por conseguinte, mesmo automatizando a geração de novos dados, a aplicação do Regulamento Geral sobre a Proteção de Dados da União Europeia ocorre em toda a sua extensão, ou seja, no que concerne ao tratamento dos dados, por exemplo.
Em razão do que fora exposto, surgiram alguns questionamentos quanto ao que se deve considerar como novo dado pessoal em relação aos dados inferidos, notadamente, em procedimentos administrativos, como por exemplo, autorização de residência em um dos países da União Europeia.
Assim, serão analisados dois casos que discutiram o que se deve considerar como dado pessoal que exige o adequado tratamento no que se refere a informações e dados inferidos:
a) Casos C-141 e 372/12 (Processos Apensos): considerou-se como dado pessoal, todos os dados pessoais utilizados para a análise do pedido de autorização de permanência em uma país da União Europeia e o relatório final quanto à análise realizada ( deferindo ou denegando o pedido). Por outro lado, os argumentos utilizados e os processos intermediários utilizados para a conclusão não são considerados como dados pessoais objeto de proteção do Regulamento Geral de Proteção de Dados;
b) Caso C-434/16: trata-se de um caso relativo ao exercício do direito de proteção de dados em que se desejava retificar comentários realizados pelo avaliador em um exame. De acordo com o entendimento do Tribunal de Justiça da União Europeia, a legislação protetiva dos dados não possui como objetivo garantir a acuidade das decisões e dos processos administrativos em geral, logo, o titular dos dados pessoais possui o direito de acessar os dados relativos ao exame e à justificativa da decisão tomada; porém, não é detentor do direito de corrigir as inferências e os comentários realizados pelo examinador.
Por meio destes dois casos, pode-se observar que os dados inferidos dos dados pessoais existentes são distintos da sua origem, exigindo-se a proteção dos dados inferidos, considerados como dados pessoais novos. No entanto, o exercício do direito da proteção de dados possui limites, uma vez que o seu objetivo não é atingir a acuidade das decisões administrativas, por exemplo. Assim, argumentos , comentários e outras análises intermediárias não se enquadram como dados pessoais conforme entendimento do Tribunal de Justiça da União Europeia.
Por fim, cumpre-se mencionar que a Opinião 04 de 2007, emitida pelo Grupo de Trabalho do artigo 29 (hoje, intitulado Comitê Europeu para a Proteção de Dados (CEPD) ), ao buscar estabelecer o conceito de dado pessoal também incluiu dados inferidos como dados pessoais.
3. Conclusões
Nesta primeira parte de nosso artigo relacionado ao debate concernente à inteligência artificial e à proteção de dados, buscou-se discutir as questões referentes aos desafios decorrentes da reidentificação de dados anonimizados por meio do emprego da inteligência artificial e os contornos do conceito de dados inferidos como dados pessoais.
De acordo com o que fora acima articulado, nota-se que a inteligência artificial aumenta a capacidade de reidentificação de dados anonimizados e viabiliza um elevado leque de possibilidades quanto a dados e informações inferidas.
Não existem soluções simplistas; contudo, para que seja possível superar os desafios decorrentes da inteligência artificial, primeiramente, deve-se identificar os problemas existentes e quais entraves devem ser resolvidos, sendo esta a proposta do presente artigo.