Boletim Jurídico nº 58 – Abril de 2023.

ChatGPT: Qual o enquadramento legal para novas aplicações de inteligência artificial?

ChatGPT, Google Bard, Stable Diffusion e Dall-E são Modelos de Linguagem de Grande Porte (LLMs) uma subcategoria de modelos de linguagem existentes.

Os modelos de linguagem são programas de computador projetados para processar e gerar texto de maneira semelhante a um ser humano.

Elas incluem, por exemplo, reconhecimento de fala, tradução automática, conversão de texto em fala e geração de conteúdo. Os LLMs são maiores e mais complexos do que os modelos tradicionais.

Eles são treinados em grandes conjuntos de textos, às vezes compostos por milhões de páginas, e usam arquiteturas de redes neurais profundas para aprender a processar a linguagem.

Um mestrado em Direito (LLM) pode, portanto, fornecer uma infinidade de conteúdo sob demanda, seja um poema, um roteiro de filme, um código de programação de computador ou uma composição musical.

No entanto, a informação não está atualizada: o ChatGPT foi treinado utilizando informações disponíveis na internet até 2021.

Portanto, é inútil pedir-lhe uma atualização sobre as transferências de dados para os Estados Unidos ou um comentário sobre a mais recente sanção da CNIL.

Os mestrados em Direito (LLMs) levantam muitas questões legais e éticas, particularmente no que diz respeito a direitos autorais, proteção de dados, desinformação e discriminação.

Nas últimas semanas, muitos órgãos reguladores começaram a reagir. A autoridade italiana de proteção de dados está na liderança.

Em 31 de março, este último emitiu uma ordem contra a OpenAI, bloqueando o ChatGPT na Itália porque 

• devido à falta de transparência no processo de candidatura,
• devido à ausência de uma razão legítima para o processamento,
• devido à falha em garantir a precisão dos dados processados,
• a falta de verificação de idade e
• da violação generalizada do princípio da "privacidade desde a concepção".

Logo em seguida veio a Alemanha, que começou a examinar a conformidade do ChatGPT com o GDPR: o estado de Schleswig-Holstein enviou à OpenAI um questionário que deveria ser respondido até 11 de junho.

O Conselho Europeu de Proteção de Dados seguiu o exemplo dos seus membros nacionais e criou um grupo de trabalho sobre o assunto, e a Organização Europeia dos Consumidores (BEUC) escreveu à rede de autoridades de proteção do consumidor e à rede de autoridades de segurança do consumidor (redes CPC e CSN) pedindo-lhes que investigassem as LLMs.

Do outro lado do Atlântico, a Comissão Federal de Comércio (FTC) também indica que as leis setoriais existentes nos EUA abrangem a IA generativa, ao mesmo tempo que alerta as empresas para que levem em consideração os interesses dos consumidores e os riscos associados às implementações em andamento.

Na sequência dessas investigações, a OpenAI tomou certas medidas:

• Implementação do direito de oposição ao processamento de dados;
• Ampliação e melhoria da visibilidade da política de privacidade, com informações sobre as atualizações realizadas;
• Implementação de mecanismos para eliminar informações imprecisas;
• Adicionamos formulários que permitem a qualquer usuário europeu filtrar seus chats e o histórico de dados usados para treinar e aprimorar os algoritmos de treinamento.
• Adicionada a capacidade de exportar dados e verificar informações armazenadas.

Embora o ChatGPT esteja novamente acessível na Itália, muitas perguntas permanecem sem resposta.

As salvaguardas fornecidas pela OpenAI permitem que os usuários do aplicativo corrijam ou excluam seus próprios dados, mas não têm impacto no processamento de dados de todos aqueles que não usam o aplicativo, o que levanta sérias preocupações de reputação.

 Recentemente, o ChatGPT acusou um professor de direito de assédio sexual, alegando como fonte um artigo que nunca foi escrito.

Preconceitos raciais ou étnicos também são possíveis. O ChatGPT foi treinado com dados da internet e, portanto, provavelmente reflete e perpetua preconceitos sociais existentes na web.

Um algoritmo preditivo usado para tomada de decisões médicas, portanto, tomou decisões tendenciosas contra pacientes negros.

Embora os criadores do algoritmo tenham excluído a raça como critério de avaliação ao executar o sistema, o algoritmo continuou a perpetuar preconceitos contra pacientes negros ao levar em consideração certos fatores econômicos e custos de saúde.

Por fim, os riscos de crimes cibernéticos, como a produção de e-mails de phishing mais convincentes ou o aprendizado de novas técnicas de ataque, aumentam, conforme destacado no relatório do Centro Nacional de Segurança Cibernética do Reino Unido e da FTC (Comissão Federal de Comércio) dos EUA.

Pode-se questionar por que os criadores do ChapGPT não integraram a proteção de dados desde a fase de projeto do aplicativo, mas sim caso a caso, com base nas reações dos órgãos reguladores.

A OpenAI não é uma novata: está em desenvolvimento desde 2016, liderada por cofundadores experientes, e já foi alvo de seis rodadas de financiamento.

Sua avaliação atual é de US$ 29 bilhões, e suas ferramentas baseadas em IA estão integradas a produtos não baseados em IA usados diariamente por milhões de pessoas por meio de uma parceria com a Microsoft.

Os princípios de "privacidade desde a concepção" não são apenas desejáveis nesse contexto, mas também parte integrante dos requisitos do RGPD (Regulamento Geral sobre a Proteção de Dados).

A sua implementação deverá ser ainda mais reforçada com a adoção do futuro regulamento europeu sobre IA, segundo o qual os sistemas que apresentem elevados riscos deverão cumprir um regime mais rigoroso, incluindo requisitos de gestão de riscos, transparência e governação de dados.

A versão mais recente do Regulamento discutida pelos eurodeputados exige ainda que todos os modelos de IA cumpram os princípios de supervisão, robustez técnica e segurança, proteção da privacidade, governação de dados, transparência, bem-estar social e ambiental, diversidade, não discriminação e equidade.

 

E também

URSSAF

Durante o fim de semana de 1º de maio, O Urssaf cometeu um erro de computador. o que levou à divulgação de dados de milhares de trabalhadores autônomos.

Alguns membros afirmam ter recebido documentos contendo os cronogramas de pagamento "de dezoito outras pessoas" ou, nos casos mais graves, "301 páginas de cronogramas de pagamento da Urssaf que não me dizem respeito".

Esses arquivos contêm informações pessoais sensíveis, como dados bancários, renda, endereços ou identidades completas. 

As pessoas afetadas por esses erros de transmissão, 10.640 no total, segundo as conclusões iniciais da investigação interna, deverão receber em breve uma mensagem alertando-as sobre o ocorrido.

A Urssaf reportou a violação de segurança à CNIL.

DRONE

Desde 19 de abril, Policiais e gendarmes estão autorizados a filmar aglomerações do céu.

Foi o que aconteceu no Stade de France, em Mayotte, em Le Havre e durante as manifestações do Dia do Trabalho em Paris.

Um decreto da Prefeitura de Polícia, datado de 28 de abril, autoriza o sobrevoo de manifestantes na capital por câmeras a bordo para prevenir "ataques à segurança de pessoas e bens" e "para manter ou restabelecer a ordem pública".

Esta é uma das primeiras autorizações emitidas ao abrigo de um decreto recente do Ministério do Interior, no âmbito da nova lei relativa à responsabilidade penal e à segurança interna.

A CNIL emitiu dois pareceres (em janeiro e julho de 2021) sobre essas novas disposições legais e, nessa ocasião, defendeu uma regulamentação rigorosa do uso de drones, dados os riscos de violação das liberdades públicas e da privacidade dos indivíduos.

CIBERSEGURANÇA

A lei de 3 de março de 2022, que entrará em vigor em 1º de outubro de 2023, introduz uma Certificação de cibersegurança para plataformas digitais destinadas ao público em geral.

Os operadores de plataformas online e os fornecedores de serviços de comunicação interpessoal não baseados em números terão de realizar uma auditoria de cibersegurança que abranja a segurança e a localização dos dados que alojam, bem como a sua própria segurança.

De acordo com a minuta do decreto que implementa o sistema de avaliação de segurança cibernética, os procedimentos de auditoria incluirão o uso da estrutura de referência SecNumCloud para exposição de dados à legislação extraterritorial, a localização europeia das infraestruturas de hospedagem e a nacionalidade dos subcontratados.

CNIL

A CNIL publicou em 3 de abril um nova versão do seu guia sobre a segurança de dados pessoais.

A nova versão leva em consideração, principalmente, as recomendações mais recentes da CNIL (Comissão Nacional de Informática e Liberdades) em relação a senhas e registro de dados.

 

Instituições e órgãos europeus

PARLAMENTO EUROPEU

• Transferências de dados entre a UE e os Estados Unidos A Resolução adotada em 13 de abril pelos membros da Comissão das Liberdades Cívicas considera que o quadro de proteção de dados proposto pela UE e pelos Estados Unidos representa uma "melhoria", mas que o progresso não é "suficiente" para justificar uma decisão de adequação sobre as transferências de dados pessoais.

A comissão observa que a estrutura ainda permite a coleta em massa de dados pessoais em certos casos e prevê um mecanismo de apelação que pode não ser independente (os juízes podem ser destituídos pelo presidente dos EUA, que também pode anular suas decisões).

Os cidadãos da UE também poderiam ser impedidos de exercer seus direitos de acesso e retificação de seus dados, uma vez que as decisões seriam mantidas em segredo.

Os eurodeputados instam a Comissão a "garantir que o futuro quadro regulamentar possa resistir a contestações judiciais e proporcione segurança jurídica aos cidadãos e às empresas da UE".

• Os membros do Parlamento Europeu superaram suas divergências em 27 de abril e chegaram a um acordo político provisório sobre o assunto. Regulamentação da IA.

O texto incluirá obrigações mais rigorosas em relação aos LLMs e ao software de identificação biométrica: inicialmente proibido em tempo real, esse software de reconhecimento só poderá ser usado posteriormente em casos de crimes graves e com autorização prévia.

O texto ainda poderá sofrer pequenos ajustes técnicos antes de uma votação crucial em comissão, agendada para 11 de maio, e espera-se que seja votado em sessão plenária em meados de junho.

• Em 20 de abril, os eurodeputados aprovaram o primeiro texto legislativo da UE para rastrear transferências de criptoativos tais como bitcoins e tokens de moeda eletrônica.

O texto – que foi aprovado provisoriamente pelos negociadores do Parlamento e do Conselho em junho de 2022 – visa garantir que as transferências de criptomoedas, assim como qualquer outra transação financeira, possam sempre ser rastreadas e as transações suspeitas bloqueadas.

O Parlamento Europeu e os Estados-Membros da UE estão atualmente a negociar o Lei de Resiliência Cibernética (CRA), um novo regulamento que visa reforçar a segurança digital dos dispositivos conectados na UE.

A ARC propõe requisitos de auditoria e certificação para fabricantes de software e hardware de dispositivos conectados e estabelece um período mínimo durante o qual eles devem fornecer atualizações de segurança de software para seus produtos.

 

EDPB

• O Conselho Europeu de Proteção de Dados (EDPB) publicou em 27 de abril um Um guia para PMEs, detalhando os princípios aplicáveis ao processamento de dados de funcionários, clientes e parceiros comerciais.

O guia também explica as regras de segurança essenciais a serem seguidas e como lidar com uma violação de dados pessoais.

• O CEPD publicou em 19 de abril um Relatório sobre os resultados do trabalho da força-tarefa referente às 101 queixas apresentadas pela ONG NOYB na sequência da decisão Schrems II do Tribunal de Justiça da União Europeia.

Essas reclamações dizem respeito às ferramentas "Google Analytics" e "Facebook Business Tools", e à transferência de dados pessoais para os Estados Unidos.

O relatório expõe as posições comuns da força-tarefa e contém informações sobre os resultados dos primeiros casos em questão.

Diversas autoridades de proteção de dados ordenaram que os operadores de sites interrompam as transferências de dados em questão. 

• Em 4 de abril, o CEPD publicou a versão final do seu documento. Diretrizes 9/2022 sobre a notificação de violações de dados pessoais.

 

CVRIA

• O Tribunal de Justiça da União Europeia decidiu, em acórdão de 4 de maio, que o direito de acesso do interessado implica o direito de obter documentos na íntegra, extratos de documentos ou extratos de bases de dados, se tal for essencial para permitir que o interessado exerça efetivamente o seu direito.

Neste caso específico, a CRIF, empresa especializada em informações comerciais, forneceu ao reclamante uma versão resumida de seus dados.

• O Tribunal de Justiça da União Europeia (TJUE) também se pronunciou, pela primeira vez, sobre a atribuição de indemnizações por danos morais ao abrigo do RGPD.

Embora o Tribunal confirme em sua sentença de 4 de maio que o RGPD não exige um "limiar" para reivindicar indenização, ele lembra, no entanto, que deve haver uma violação, danos e um nexo causal, e que não há reivindicação sem dano efetivo.

O caso teve origem quando o serviço postal austríaco gerou estatísticas sobre as prováveis tendências políticas de milhões de pessoas.

Ao reclamante foi atribuído um provável interesse em um partido de extrema-direita, mas não havia certeza de que essa informação tivesse sido divulgada a terceiros, pois seu nome constava em uma lista de exclusão de publicidade postal.

• Em um contexto semelhante, o Advogado-Geral do Tribunal de Justiça da União Europeia emitiu seu parecer em 27 de abril sobre a seguinte questão: a divulgação ilícita de dados pessoais detidos pela Agência Nacional de Receitas da Bulgária, na sequência de um ataque informático, pode dar origem a uma indemnização por danos morais a favor da pessoa em causa, simplesmente porque esta receia uma possível utilização indevida dos seus dados?

Segundo a Assembleia Geral, o dano moral, conforme definido no artigo 82.º do RGPD, não deve ser confundido com meros inconvenientes.

Os danos devem ser objetivamente comprováveis e não depender exclusivamente da declaração subjetiva do reclamante.

 

Notícias nacionais

• ITÁLIA: No dia 2 de março, a Autoridade Italiana de Proteção de Dados (APD) multou um responsável pelo tratamento de dados em 5.000 euros por enviar comunicações comerciais não solicitadas para endereços de e-mail criados por software através da combinação automática de dados coletados na internet.
• ÁUSTRIA: Na sequência de uma queixa apresentada pela noyb, a Autoridade Austríaca de Proteção de Dados (APD) declarou, em 29 de março, que um banner de cookies com a mensagem "aceitar ou pagar" no site de um jornal não estava em conformidade com o RGPD, tendo em conta os requisitos de granularidade do consentimento.
• PAÍSES BAIXOS: Em 4 de abril, um tribunal de apelações holandês ordenou que a Uber fornecesse aos motoristas acesso aos seus dados pessoais e explicações sobre a tomada de decisões automatizada. O tribunal também impôs uma multa de 4.000 euros por dia ao responsável pelo tratamento dos dados.
• ESPANHA: A autoridade catalã de proteção de dados considerou desproporcional o uso de sistemas de reconhecimento facial para prevenir fraudes em exames universitários online. Multou o responsável pelo tratamento de dados em € 20.000 por violação dos artigos 5.º, n.º 1, alínea a), e 9.º do RGPD.
• REINO UNIDO: Quase 50 parlamentares britânicos escreveram para a empresa proprietária das lojas House of Fraser e Sports Direct, condenando o uso de câmeras de reconhecimento facial nas lojas do grupo.

Descrevendo a tecnologia como "invasiva e discriminatória", os parlamentares instaram o grupo a pôr fim ao uso dessas câmeras em todo o país.

• Em 4 de abril, a Autoridade de Proteção de Dados do Reino Unido (DPA) abriu uma investigação contra o TikTok e aplicou uma multa de £ 12.700.000 por uso indevido de dados de crianças.
• O presidente da Signal, o aplicativo de mensagens criptografadas, expressou preocupação com a proposta do governo britânico sobre segurança online, que poderia enfraquecer a criptografia e obrigar as empresas a analisar mensagens criptografadas em busca de conteúdo ilegal.

Meredith Whittaker indica que o Signal poderia deixar o Reino Unido caso isso acontecesse. Preocupações semelhantes foram levantadas por outras empresas de mensagens, como o WhatsApp e o Element.

 

• VIETNÃ: Em 17 de abril de 2023, o governo vietnamita publicou o Decreto nº 13/2023/ND sobre a Proteção de Dados Pessoais (“PDPD”), que é o primeiro documento abrangente que regulamenta a proteção de dados pessoais no país.
• TANZÂNIA: A nova lei sobre a proteção de dados pessoais entrou em vigor em 1º de maio.
• CBPR: Em 17 de abril, o Reino Unido solicitou adesão ao grupo de países que seguem as Regras de Segurança Transfronteiriça (CBPR, na sigla em inglês), que atualmente inclui Austrália, Canadá, Japão, República da Coreia, México, Filipinas, Singapura, Taiwan e Estados Unidos. A CBPR, estabelecida pelo Departamento de Comércio dos EUA, permite que qualquer jurisdição solicite o status de membro associado e se beneficie da livre troca de dados com os países participantes, desde que possua leis que protejam informações pessoais e tenha "pelo menos uma agência pública responsável pela aplicação da(s) lei(s) e/ou regulamento(s)".
• IAPP:Um infográfico da Associação Internacional de Profissionais de Privacidade (IAPP) lista as jurisdições que conferem a uma Autoridade de Proteção de Dados (DPA) ou autoridade governamental o poder de designar outras jurisdições como tendo padrões de privacidade "adequados".

Será complementado por outro infográfico que detalhará os mecanismos e diretrizes que regulamentam as transferências de acordo com as jurisdições (cláusulas contratuais, consentimento, etc.).