Alerta Jurídico nº 77 – Novembro de 2024. 

Inteligência artificial como ferramenta de trabalho: que tipo de estrutura é necessária?

O uso da IA no ambiente de trabalho está explodindo hoje em dia, muitas vezes sem planejamento prévio e sem que o empregador saiba exatamente como seus funcionários estão utilizando as novas ferramentas à sua disposição.

Sejam modelos de linguagem já clássicos como o ChatGPT, ou ferramentas que permitem criar designs gráficos (Canva), extrair dados da web (Browse AI) ou tomar notas automaticamente durante uma reunião (Fireflies), as possibilidades são inúmeras.

Segundo um estudo do IFOP para a Learnthings, datado de dezembro de 2023, quase um em cada quatro funcionários já utilizou uma ferramenta de inteligência artificial em um contexto profissional e, entre eles, mais da metade (55 %) o fez sem informar seu gerente.

No entanto, compreender como essas ferramentas são usadas internamente é essencial para garantir a conformidade com o quadro legal aplicável, em particular com o regulamento europeu sobre IA e o RGPD.

Diversas autoridades, incluindo a ANSSI e a CNIL, publicaram recomendações com o objetivo de conscientizar os usuários profissionais. Aqui estão os principais pontos:

Implementando uma carta de IA dentro da empresa, a fim de

• Liste as ferramentas permitidas;
• Mapear essas ferramentas de acordo com os riscos, em conformidade com o regulamento de IA;
• Regular sistemas de alto risco (por exemplo, formação profissional e recrutamento de recursos humanos, onde a utilização de IA acarreta o risco de gerar "automatização da discriminação").

Organize um diálogo socialConsulte o CSE e altere as normas internas de trabalho para que estas normas sejam aplicáveis internamente.

Garantir a segurança dos dados Fornecer dados pessoais a um sistema de IA (por exemplo, dados de clientes ou funcionários), ou documentação sensível ou estratégica, pode ter consequências significativas em termos de confidencialidade.

Além disso, a utilização de tal sistema pode afetar a integridade do sistema de informação ao qual está conectado.

A CNIL recomenda priorizar a implementação de soluções "no local" que limitem os riscos de extração de dados por terceiros.

Embora possa ser mais econômico usar um sistema hospedado na nuvem, será necessário ter um contrato de subcontratação especificando as diferentes responsabilidades e o acesso autorizado aos dados processados. 

Neste caso, recomenda-se limitar o fornecimento de dados pessoais ao sistema de IA.

Treinar e conscientizar Os usuários finais devem seguir estas boas práticas:

• Forneça apenas os dados que você está autorizado a compartilhar, excluindo, em princípio, quaisquer dados confidenciais;
• Verificar a exatidão e a qualidade dos dados gerados pelo sistema, a ausência de plágio e o risco de discriminação;
• Para manter uma perspectiva crítica, não reproduza as saídas do sistema exatamente como são.

Garantir a transparência no processamento., em particular aquelas que geram decisões automatizadas relativas a funcionários e terceiros fora da empresa.

Estabelecer governança Designar o DPO, um comitê ou um responsável (incluindo o CISO) para oferecer aos usuários finais um ponto de contato para levantar questões ou dificuldades éticas e verificar a conformidade com as regras.

Além das sanções previstas pelo RGPD e pelo regulamento da IA, a adoção de um quadro claro representa também uma questão social e ética, do interesse tanto de pessoas externas como internas à empresa.

 

        

A CNIL publica um plano de ação para apoiar os intervenientes na Economia Prateada, um setor dedicado a atividades que beneficiam os idosos.

Ela destaca que os idosos representarão aproximadamente 24 milhões de pessoas na França até 2060 e que "a natureza dos dados processados e a segmentação com base na idade levantam questões significativas em relação à proteção de dados".

A entidade pretende atualizar seu pacote de conformidade (fichas informativas, recomendações, etc.) e propõe um novo "ambiente de testes" para apoiar três projetos inovadores neste setor.

Em 18 de novembro, a CNIL e a DGCCRF anunciaram a assinatura de um novo protocolo de cooperação que atualiza o acordo de 2011.

As duas autoridades estão a reforçar a sua colaboração e a desenvolver novas vias de partilha de informação, de forma a adaptarem-se às mudanças na legislação e aos desafios económicos da era digital.

Em publicação datada de 19 de novembro, a CNIL reitera também os princípios de proteção de dados aplicáveis à utilização de câmaras de realidade aumentada no habitáculo dos veículos de transporte de mercadorias e insiste que o empregador deve tomar todas as medidas necessárias para garantir a conformidade dessas câmaras antes da sua instalação.

Em 25 de novembro, a CNIL publicou uma série de dicas para proteger seus dados ao interagir com um assistente de voz.

O funcionário que executa ordens que violam o RGPD fica sujeito a responsabilidade criminal, mesmo que esteja agindo sob instruções do empregador.

No tribunal criminal de Nantes, o Ministério Público acaba de solicitar uma multa de 6.000 euros, dos quais 3.000 euros estão suspensos, contra um funcionário de uma empresa de subcontratação de TI, por ter instalado um dispositivo de espionagem nas instalações de seus clientes a mando de seu chefe.

O promotor está solicitando uma pena de prisão suspensa de 9 meses e uma multa de € 30.000 para o chefe.

Em acórdão proferido em 21 de novembro de 2024, o Tribunal de Recurso de Paris confirmou a sentença proferida em 23 de julho de 2021 pelo Tribunal Industrial de Meaux: uma conversa privada no Messenger, inicialmente não destinada a ser tornada pública, não pode ser considerada uma violação das obrigações contratuais de um funcionário e a demissão disciplinar com base nesse fundamento não pode ser legitimamente justificada.

O Tribunal baseia-se numa decisão do Tribunal de Cassação de 22 de dezembro de 2023 sobre a mesma matéria.

Esse raciocínio se aplica mesmo que, como no presente caso, o empregador não tenha buscado acessar essa informação: durante a ausência da funcionária, ele solicitou que ela transmitisse seus dados de identificação para permitir que seus colegas acessassem seus documentos profissionais, e as mensagens apareceram quando a conversa foi aberta automaticamente na tela.

 

Instituições e órgãos europeus

O Conselho Europeu de Proteção de Dados (EDPB) está lançando uma consulta pública sobre suas diretrizes relativas ao Artigo 48 do RGPD.

As diretrizes dizem respeito a pedidos de cooperação direta entre uma autoridade pública de um país terceiro (como reguladores bancários, autoridades fiscais, autoridades policiais ou de segurança nacional) e uma entidade privada da União Europeia (UE).

Os comentários podem ser enviados até 27 de janeiro de 2025.

O CEPD também adotou, no início de dezembro, uma declaração relativa ao segundo relatório da Comissão Europeia sobre a aplicação do RGPD, na qual sublinha a importância da coerência entre a legislação digital e o RGPD.

O CEPD intensificará a produção de conteúdo para não especialistas, incluindo pequenas e médias empresas, e destaca a necessidade de recursos financeiros e humanos adicionais para ajudar as autoridades de proteção de dados (APD) a lidar com desafios cada vez mais complexos e a adquirir competências adicionais, inclusive em IA.

A vitória do candidato da oposição anti-UE no primeiro turno das eleições presidenciais romenas, em 24 de novembro, tem repercussões a nível europeu.

Embora o Tribunal Constitucional do país tenha acabado de anular esta primeira rodada após a desclassificação de documentos da inteligência nacional que revelavam uma operação em larga escala no TikTok em favor deste candidato, a Comissão Europeia lançou, em 29 de novembro, um pedido oficial de informações à empresa ao abrigo da Lei dos Serviços Digitais (DSA).

Em 28 de novembro, o Comitê de IA do Conselho da Europa adotou uma metodologia (HUDERIA) para avaliar os riscos e impactos dos sistemas de IA na perspectiva dos direitos humanos, da democracia e do Estado de Direito.

Essa metodologia pode ser utilizada por entidades públicas e privadas para ajudar a identificar e lidar com esses riscos e impactos ao longo do ciclo de vida dos sistemas de IA.

Em meados de novembro, o Fundo para a Liberdade Digital publicou, como parte do projeto digiRISE, uma base de dados abrangente sobre reparação coletiva na Europa, concebida para promover a ação coletiva na defesa dos direitos digitais ao abrigo da Carta dos Direitos Fundamentais da UE.

O documento inclui recursos sobre como dez Estados-Membros da UE implementaram mecanismos de reparação coletiva: estão disponíveis relatórios nacionais, um relatório comparativo e uma ferramenta comparativa para identificar convergências e diferenças entre as jurisdições estudadas.

Na área de ações coletivas, a ONG NOyB indica que agora está aprovada como uma "entidade qualificada" para apresentar ações coletivas perante os tribunais da UE.

Tal ação ao abrigo da Diretiva (UE) 2020/1828 pode ser uma "medida cautelar" ou uma medida "reparadora".

Essas leis permitem que milhares de usuários sejam representados e reivindiquem, por exemplo, indenizações por danos morais quando seus dados pessoais forem processados ilegalmente.

Diferentemente das ações coletivas americanas, a legislação europeia exige que essas ações sejam movidas sem fins lucrativos.

A Meta está mais uma vez revendo seus planos para a distribuição de anúncios personalizados na União Europeia.

Essa mudança decorre da posição dos reguladores da UE, que consideraram que o sistema de publicidade "consentimento ou pagamento" oferecido aos usuários europeus do Facebook e do Instagram violava o RGPD (Regulamento Geral sobre a Proteção de Dados) e o Regulamento dos Mercados Digitais (RMD).

A nova oferta inclui uma assinatura sem anúncios a um custo reduzido e também apresenta um modelo gratuito caracterizado pela exibição de "anúncios menos personalizados" mediante consentimento.

Max Schrems, que iniciou diversas ações contra a Meta, afirmou que "no geral, isto parece ser mais uma tentativa de ignorar a legislação europeia (...) os utilizadores devem ter uma escolha real entre anúncios que utilizam os seus dados pessoais e aqueles que não o fazem."

 

Notícias dos países membros da União Europeia.

Na Alemanha, o Tribunal Federal de Justiça (Bundesgerichtshof, BGH) anulou parcialmente uma decisão do Tribunal Regional Superior de Colônia, que considerou insuficientemente fundamentada uma ação de indenização por danos morais.

O caso envolveu uma violação de dados: em abril de 2021, os dados de aproximadamente 533 milhões de usuários do Facebook foram divulgados na internet.

O BGH salientou que, de acordo com a jurisprudência do Tribunal de Justiça da UE, mesmo uma perda única e temporária de controlo sobre os dados pode constituir um dano não pecuniário ao abrigo do artigo 82.º, n.º 1, do RGPD.

A pessoa em questão não precisa demonstrar um uso indevido concreto de seus dados pessoais.

Um tribunal austríaco decidiu que um advogado de divórcio poderia justificar o envio de material de vídeo mostrando o caso extraconjugal da pessoa ao advogado da parte contrária por e-mail com base no interesse legítimo, de acordo com o Artigo 6(1)(f) e 9(2)(f) do RGPD.

Outro tribunal, no entanto, considerou que o interesse de um dos cônjuges em não ser gravado durante disputas conjugais em sua casa prevalecia sobre o interesse do outro cônjuge em usar essas gravações em processos de divórcio.

Na Bélgica, a APD (Autoridade de Proteção de Dados) sancionou o uso de carteiras de identidade como cartões de fidelidade em 28 de novembro: constatou que a empresa Freedelity, especializada na coleta de dados por meio de carteiras de identidade eletrônicas (eID), violou diversos artigos do RGPD (Regulamento Geral sobre a Proteção de Dados) relativos à validade do consentimento, à minimização da coleta e ao período de retenção de dados.

A Freedelity coleta dados de identificação eletrônica, principalmente por meio de terminais instalados em lojas parceiras.

Esses dados são então compartilhados e sincronizados com as lojas que utilizam seus serviços em caso de atualização.

Na Espanha, a empresa The Phone House SL foi multada em 6.500.000 euros pela APD por adotar medidas de segurança inadequadas que permitiram um ataque de ransomware.

O ataque afetou aproximadamente 13 milhões de clientes, expondo endereços, números de telefone, documentos de identidade e dados bancários.

A Posti, empresa postal finlandesa, foi multada em 2.400.000 euros no dia 13 de novembro por atribuir contas de e-mail a seus clientes sem o seu consentimento explícito.

Os clientes que solicitavam serviços como o encaminhamento de correspondência recebiam automaticamente uma conta de e-mail, sem opção de cancelamento.

A Autoridade Italiana de Proteção de Dados (APD) adotou uma decisão em 27 de novembro relativa a um acordo de licenciamento entre a OpenAI e a editora GEDI.

A APD opõe-se à utilização do interesse legítimo como fundamento jurídico para o tratamento de dados pessoais para fins de formação em IA, independentemente de o tratamento envolver ou não dados sensíveis.

Segundo a APD, os contratos de licenciamento relativos ao conteúdo editorial utilizado para o treinamento de IA devem garantir, na ausência de consentimento, a eliminação ou anonimização de todos os dados pessoais utilizados.

Esta decisão surge algumas semanas antes do parecer do CEPD sobre esta questão, previsto para o final de dezembro.

A Autoridade Italiana de Proteção de Dados (APD) também multou a empresa de entrega de comida Foodinho, subsidiária do grupo Glovo, em € 5.000.000 devido a numerosas e contínuas violações do RGPD relacionadas ao processamento dos dados de seus funcionários, incluindo o rastreamento contínuo de sua geolocalização e a atribuição automatizada de turnos.

Em 11 de novembro, a Autoridade Holandesa de Proteção de Dados (DPA) publicou um relatório concluindo que um algoritmo usado pela Agência Executiva de Educação para combater fraudes era discriminatório e ilegal.

A agência utilizou esse algoritmo para verificar se os estudantes estavam abusando da bolsa de estudos para não residentes.

Uma "pontuação de risco" foi atribuída aos alunos, levando em consideração o tipo de educação, a idade e a distância entre o endereço do aluno e o de seus pais.

Esses critérios não tinham justificativa objetiva e o Ministro da Educação, Cultura e Ciência responsável pela agência finalmente admitiu que o algoritmo era indiretamente discriminatório contra estudantes de origem imigrante.

Na Polônia, a APD multou um controlador de dados em 353.589 PLN (82.000 euros) por medidas de segurança insuficientes que permitiram um ataque de ransomware.

Os hackers criptografaram e tornaram inacessíveis os dados de aproximadamente 200 clientes e funcionários. Uma empresa subcontratada envolvida foi multada em 9.822 PLN (2.200 euros).

 

No final de novembro, o Senado australiano aprovou um projeto de lei que altera a legislação sobre privacidade, contendo diversas mudanças importantes:

• Introdução de um delito civil para violações graves de privacidade.
• A ampliação dos poderes de fiscalização e investigação disponíveis para o APD.
• O poder disso permite desenvolver um código de privacidade online para crianças.
• Uma nova oportunidade para o Governador-Geral estabelecer uma "lista branca" de países que oferecem proteção de dados adequada.
• A obrigação de as políticas de proteção de dados detalharem os sistemas automatizados de tomada de decisão que possam afetar os direitos ou interesses de um indivíduo.

Na Austrália, o parlamento também aprovou, em 29 de novembro, uma lei controversa que proíbe o acesso às redes sociais para crianças e adolescentes menores de 16 anos.

A lei não especifica como as plataformas deverão verificar a idade de seus visitantes.

A Agência de Proteção de Dados Pessoais (APD) do Brasil publica relatório sobre inteligência artificial generativa e proteção de dados.

Originalmente desenvolvido para dar suporte interno às equipes da APD, o documento aborda os conceitos de IA, sua relação com a proteção de dados, o contexto brasileiro e as perspectivas para a IA.

Em 3 de dezembro, a Comissão Federal de Comércio dos Estados Unidos (FTC) anunciou a conclusão de minutas de acordos destinados a proibir duas grandes corretoras de dados, Mobilewalla e Gravy Analytics, de vender dados de localização sensíveis, incluindo, por exemplo, a frequência a igrejas, bases militares, consultórios médicos ou bares LGBTQ+.

Essa medida surge na sequência de ações tomadas no início deste ano contra corretores de dados que se envolvem em práticas semelhantes.

Após a Câmara dos Deputados, o Senado mexicano aprovou, no final de novembro, um projeto de lei constitucional que prevê a eliminação de sete órgãos de controle, incluindo o INAI (Instituto Nacional de Administração da Informação e Comunicação).

Os poderes dessas autoridades seriam absorvidos por diferentes ministérios.

As atividades do INAI seriam absorvidas pelo Ministério do Combate à Corrupção e da Boa Governança.

Comentaristas acreditam que a ratificação do projeto de lei pela maioria das assembleias legislativas dos estados mexicanos deve ocorrer rapidamente, como já aconteceu com outras propostas de reforma nos últimos meses.