L’IA dans tous ses états.

IA em todas as suas formas

Legal Watch nº 52 – Outubro de 2022

Em 17 de outubro de 2022, a CNIL confirmou, ao sancionar a empresa Clearview AI no valor de 20 milhões de euros, a sua competência como reguladora no domínio da inteligência artificial.

Essa sanção ocorre após uma notificação formal que permaneceu sem resposta e pela falta de cooperação da empresa durante o procedimento de inspeção.

Tomada na sequência de um processo de consulta a nível europeu, junta-se às sanções pronunciadas por várias das suas congéneres contra esta mesma empresa.

  • A CNIL observa a ausência de uma base legal para a coleta sistemática e generalizada de vinte bilhões de imagens de rostos publicamente acessíveis em milhões de sites, imagens comercializadas pela empresa, em especial, para as autoridades policiais.
  • A CNIL considera que, dada a sua natureza particularmente intrusiva e a natureza biométrica dos dados, a recolha deveria ter sido sujeita ao consentimento prévio das pessoas em causa.
  • Observa também que a empresa não respeita os direitos de acesso e exclusão das pessoas envolvidas.

Esta decisão surge num contexto de supervisão cada vez mais precisa da inteligência artificial a nível nacional e internacional.

O Conselho de Estado adotou assim dois documentos no final do verão em que se pronuncia sobre a governação da futura regulamentação europeia sobre IA:

Em seu documento de 30 de agosto de 2022, o Conselho de Estado aborda a questão da qualidade do serviço público e estabelece as bases para uma estratégia francesa para a IA.

Entre outras coisas, incentiva o fortalecimento dos poderes da CNIL e torna-a formalmente responsável pela regulamentação dos sistemas de IA.

Ele recomenda, portanto, uma transformação da CNIL, que se tornaria "a autoridade nacional de supervisão responsável pela regulamentação dos sistemas de IA, particularmente os públicos, para incorporar e internalizar o duplo desafio de proteger os direitos e liberdades fundamentais, por um lado, e a inovação e o desempenho público, por outro".

Em 27 de setembro, o Conselho de Estado também publicou um estudo sobre a supervisão das redes sociais no contexto do desenvolvimento da IA, no qual faz 17 recomendações para reequilibrar as forças a favor dos usuários, equipar as autoridades públicas em seu papel de reguladoras e pensar nas redes sociais do amanhã.

Por sua vez, Parlamento está investigando a questão da vigilância por vídeo e do reconhecimento facial: uma missão de investigação foi lançada em 13 de setembro pela Comissão de Direito da Assembleia Nacional e confiada a Philippe Latombe, deputado e membro do colégio da CNIL.

Os parlamentares terão que entender "os desafios do uso de imagens de segurança de domínio público para combater a insegurança" e analisarão em particular o reconhecimento facial.

Isso envolverá fazer um balanço de dispositivos recentemente autorizados, como câmeras corporais e drones, e considerar possíveis desenvolvimentos, como câmeras aumentadas, com o objetivo de produzir uma proposta legislativa.

Refira-se ainda a abertura de negociações para uma convenção da Conselho da Europa sobre inteligência artificial, direitos humanos, democracia e estado de direito.

Seria o primeiro instrumento internacional juridicamente vinculativo sobre inteligência artificial.

Esta convenção complementaria a regulamentação sobre inteligência artificial proposta pela Comissão Europeia, reforçando a proteção dos direitos fundamentais dos indivíduos.

O Autoridade Europeia para a Proteção de Dados acolheu favoravelmente esta iniciativa, recordando ao mesmo tempo os sistemas de IA que, segundo ele, apresentam riscos inaceitáveis e devem ser proibidos, nomeadamente:

  • Pontuação social,
  • Identificação biométrica em espaços públicos,
  • Categorização de indivíduos com base em dados biométricos
  • A categorização de indivíduos com base em suas emoções percebidas.

Vale lembrar que a regulamentação da IA proposta pela Comissão Europeia apoia essa abordagem ao proibir as técnicas de IA mais intrusivas, como aquelas que manipulam indivíduos ou permitem pontuação social.

Ainda insuficiente para os defensores das liberdades e excessivo para seus detratores.

Cabe destacar que os Estados Unidos enviaram um documento não oficial a diversas capitais e à Comissão Europeia no final de outubro, com o objetivo de convencê-las a limitar o escopo das futuras regulamentações e a ampliar suas exceções, a fim de manter mais flexibilidade nos possíveis usos da inteligência artificial.

Os Estados Unidos também estão preparando regulamentações de IA: em 4 de outubro, o presidente Joe Biden apresentou a “Declaração de Direitos da IA”, que descreve as cinco garantias das quais os americanos devem se beneficiar:

  • Sistemas seguros e eficientes,
  • Proteção contra discriminação algorítmica,
  • Confidencialidade dos dados,
  • Notificações e explicações sobre o funcionamento da IA,
  • Alternativas humanas para decisões automatizadas.

Por fim, importa referir que os reguladores da protecção de dados de mais de 120 países acordaram um enquadramento para a utilização do reconhecimento facial em 44ª Assembleia Mundial da Privacidade que foi realizada em Istambul no final de outubro.

A resolução exige que a entidade que utiliza a tecnologia

  • Estabelecer “o seu carácter razoável, necessário e proporcional”,
  • Avalia o respeito pelos direitos dos indivíduos
  • Garante o uso contínuo da tecnologia.

Mecanismos de responsabilização claros e eficazes também devem ser implementados.

E também

França:

Cibercrime: O Ministro Delegado para Assuntos Digitais e o Ministro da Saúde anunciaram um orçamento de 20 milhões de euros em benefício da ANSSI para fortalecer o apoio a estabelecimentos de saúde vítimas de ransomware.

A CNIL publica recursos educacionais em seu site para melhor proteger crianças de 8 a 10 anos na internet.

Esses recursos são destinados a pais, crianças, professores e educadores.

A CNIL também atualizou sua recomendação sobre autenticação de senha em 17 de outubro.

Num contexto de crescentes ameaças à segurança online, a CNIL está a desenvolver, em particular, a utilidade de soluções de autenticação forte ou multifatorial e de certificados eletrónicos.

Europa:

O Conselho Europeu para a Proteção de Dados (CEPD) adotou diretrizes atualizadas sobre notificação de violações de dados, aberto para consulta pública até 29/11/2022.

A seção atualizada diz respeito à notificação de uma violação de segurança por um gestor estabelecido fora da União Europeia.

O fato de esse gestor ter nomeado um representante em um dos países da UE não o isenta, segundo o CEPD, de obrigações abrangentes: o texto agora especifica que "a mera presença de um representante em um Estado-Membro não aciona o balcão único".

É por isso que a violação terá de ser notificada a cada autoridade em cujo território os titulares dos dados residem no seu Estado-Membro.

O Tribunal de Justiça da União Europeia decidiu, num acórdão de 20 de Outubro, que o tratamento posterior consistindo na criação, a partir de uma base de dados existente, de uma base de dados para realização de testes e correção de erros, é autorizada se

  1. existe “uma ligação concreta, lógica e suficientemente estreita entre as finalidades da recolha inicial e o tratamento subsequente”; e
  2. o processamento posterior não se desvie das expectativas legítimas dos assinantes.

No caso em questão, o Tribunal considerou que existe tal vínculo estreito. Recorda que os dados devem ser apagados uma vez satisfeita a finalidade (secundária) do tratamento.

Num acórdão de 27 de Outubro relativo à empresa belga Proximus, o Tribunal decide sobre as obrigações dos fornecedores de diretórios quando um assinante retira o seu consentimento para o tratamento dos seus dados.

O Tribunal considera que a autoridade de proteção de dados pode exigir que um fornecedor de listas telefônicas publicamente disponíveis, como controlador de dados, tome medidas apropriadas para informar outros controladores de dados (incluindo o fornecedor do serviço de telecomunicações do qual os dados foram comunicados) da retirada do consentimento do assinante.

O Regulamento Europeu dos Mercados Digitais (DMA) foi publicado em 12 de outubro de 2022.

Este texto, que visa "acabar com as práticas desleais de empresas que atuam como "gatekeepers" na economia das plataformas online", entrará em vigor a partir de 2 de maio de 2023.

Ela define grandes plataformas online como "guardiãs" e estabelece uma lista de proibições e obrigações destinadas a "garantir mercados digitais justos e abertos".

A proposta de regulamento europeu sobre abuso sexual de crianças (CSAR) é alvo de muitas críticas da sociedade civil e do lançamento de uma campanha “parem de me escanear”.

De acordo com as ONGs envolvidas, a proposta, apesar de seus objetivos louváveis, ameaça "comprometer fundamentalmente a comunicação online segura e tornar a internet menos segura para todos".

As autoridades policiais planejam usar a varredura online automatizada de comunicações privadas para direcionar conteúdo relacionado ao abuso sexual infantil.

No entanto, uma investigação do Conselho Irlandês para as Liberdades Civis (ICCL) revela que a polícia irlandesa retém dados pessoais – e-mail, nome de tela, endereço IP – mesmo para alertas falsos.

O grande número de falsos positivos — acredita-se que menos de 10 relatórios % sejam utilizáveis — também pode impedir a polícia de lidar com a essência do problema.

Autoridade Italiana de Proteção de Dados abre investigação sobre aplicativo que gera vozes artificiais (“deep fake”).

A autoridade abriu uma investigação sobre o aplicativo Fakeyou, que supostamente converte arquivos de texto em vozes que imitam as de pessoas famosas, especialmente italianas.

Além disso, a autoridade italiana de proteção ao consumidor decidiu que uma placa representando uma câmera estilizada era insuficiente para fornecer informações sobre o uso de câmeras de vigilância por vídeo e impôs uma multa de 2.000 euros ao controlador.

autoridade irlandesa A Autoridade de Proteção de Dados (APD) disponibilizou em seu site uma compilação de mais de 30 estudos de caso específicos que abordou e que não estão incluídos em seus relatórios anuais. A publicação oferece uma melhor compreensão da abordagem da APD a tópicos como monitoramento de funcionários, vigilância por vídeo, o conceito de interesse legítimo e a compatibilidade das finalidades de processamento.

Tribunal de Apelação Holandês em Arnhem-Leeuwarden manteve uma liminar que determinava que um regulador de direitos autorais não poderia obrigar um provedor de serviços de internet a enviar cartas de advertência a suspeitos de violação de direitos autorais: o provedor de serviços de internet não tem base legal para processar dados pessoais relacionados a condenações e infrações criminais.

Autoridade de Proteção de Dados do Reino Unido (ICO) comunica sobre tecnologias biométricas, como tecnologias de análise de emoções, que, segundo ela, são imaturas e correm o risco de levar à discriminação.

Entre os riscos identificados estão o monitoramento da saúde física dos trabalhadores usando ferramentas portáteis de triagem e a observação visual e comportamental, incluindo postura corporal, fala, movimentos dos olhos e movimentos da cabeça, para registrar os alunos para os exames.

O ICO também publica rascunhos de diretrizes sobre monitoramento de funcionários.

A Comissão destaca, em particular, a tendência crescente de "trabalhar em casa" e o problema do monitoramento da produtividade, já que as expectativas de privacidade dos trabalhadores provavelmente são maiores em casa do que no trabalho.

O ICO também observa que "o monitoramento de digitação é classificado como dado biométrico comportamental quando um trabalhador é identificável com base em seu padrão e ritmo únicos de digitação". O rascunho está aberto para consulta até 11 de janeiro de 2023.

Internacional:

Transferências de dados para os Estados Unidos:Um marco importante foi alcançado em 7 de outubro com a assinatura pelo presidente Biden da Ordem Executiva sobre o Aprimoramento das Salvaguardas para Atividades de Inteligência de Sinais dos Estados Unidos.

Este decreto visa permitir a implementação de uma nova estrutura de proteção de dados entre a União Europeia e os Estados Unidos após a decisão Schrems II do TJUE, que tornou o Escudo de Privacidade obsoleto.

O acordo poderá ser finalizado no início de 2023, após o parecer do Conselho Europeu de Proteção de Dados (EDPB) e a adoção de uma decisão de adequação pela Comissão Europeia.

A incerteza em torno do acordo diz respeito à extensão dos poderes de vigilância das autoridades dos EUA e aos recursos disponíveis aos cidadãos europeus contra medidas dos EUA tomadas contra eles.

Acrescente-se que, por não ter força de lei, esse decreto pode ser revogado, o que aumenta a insegurança jurídica.

Descubra Viqtor®
pt_PTPT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL pt_PTPT