Inteligência artificial alinhada à lei e às questões sociais.

Legal Watch nº 34 – Abril de 2021

Inteligência artificial alinhada com a lei e as questões sociaisA inteligência artificial e a segurança estão hoje interligadas no discurso político e jurídico. Mas Até que ponto a adaptação do nosso quadro regulamentar a desafios como o terrorismo pode – ou deve – incorporar os mais recentes desenvolvimentos tecnológicos?

As controvérsias abundam no início da primavera, com a adoção da lei de vigilância global e as novas medidas da lei antiterrorismo.

Os limites da coleta generalizada de dados

No contexto actual, notamos a influência de vários intervenientes, entre os quais o Conselho de Estado, associações de liberdades civis e o Tribunal de Justiça da União Europeia.

Este último emitiu duas sentenças em 6 de outubro de 2020, que dizem respeito à França em relação à sua lei de inteligência e suas práticas de retenção de dados de conexão.

O Tribunal de Justiça recordou, de facto, a incumprimento dos direitos fundamentais da recolha generalizada e indiscriminada de dados de comunicações junto dos operadoresO Tribunal especifica a natureza excepcional que tal coleta deve ter, para objetivos de segurança nacional e por uma duração estritamente limitada.

Referido com base nestas decisões por associações, o Conselho de Estado realizou na sua decisão de 21 de abril um delicado exercício de conciliação entre o direito da União Europeia e os objetivos nacionais de luta contra o terrorismo e a criminalidade, solicitando ao governo que procedesse a alguns ajustamentos na sua política de vigilância generalizada (reexame periódico da ameaça que justifica a recolha de dados, efeito vinculativo e já não consultivo dos pareceres da Comissão Nacional de Controlo das Técnicas de Inteligência – CNCTR).

Essas conclusões são fortemente criticadas pelas associações, que destacam a inadequação dos ajustes necessários e a interpretação muito ampla, por parte do Conselho de Estado, da noção de "segurança nacional" para além da luta contra o terrorismo, incluindo, por exemplo, a espionagem econômica, o tráfico de drogas ou a organização de manifestações não declaradas, em violação ao direito europeu.

A Quadrature du Net e outras associações também encaminharam a questão da legalidade da lei de vigilância global ao Conselho Constitucional em 29 de abril, também com base na natureza desproporcional de muitas das medidas de vigilância previstas na lei. 

Os algoritmos da lei antiterrorismo

As discussões suscitadas pelo projeto de lei sobre prevenção de atos de terrorismo e inteligência se sobrepõem a esse debate e reavivam questões de proporcionalidade das medidas previstas.

Referimo-nos, em particular, a dois aspetos do projeto de lei que, numa versão inicialmente publicada, pretendiam perpetuar a utilização de algoritmos para monitorizar, nomeadamente, as ligações dos utilizadores da Internet com base nos sítios web visitados, e recolher dados generalizados de comunicações via satélite.

A versão do projeto publicada em 28 de abril na Assembleia Nacional não contém mais essas disposições, que devem ser adaptadas – para levar em conta os “ajustes” solicitados pelo Conselho de Estado – em uma carta corretiva esperada durante o mês de maio.

Note-se que o parecer da CNIL de 8 de abril sobre este projeto não foi publicado, nem o da Comissão Nacional de Controle de Técnicas de Inteligência.

Regulamentação futura mais clara da IA a nível europeu?

Paralelamente a estes desenvolvimentos nacionais, A Comissão Europeia publicou uma proposta para regulamentar a inteligência artificial em 21 de abril., que alguns já consideram muito restritiva, enquanto outros lamentam suas limitações.

A Comissão planeja proibir o uso de IA que viole os valores da UE e os direitos humanos, particularmente usos "inaceitáveis" destinados a influenciar comportamentos ou atingir vulnerabilidades individuais por meio de algoritmos preditivos.

A proposta, por exemplo, proíbe a "pontuação social". como visto na China com o desenvolvimento de aplicativos que permitem ao Estado avaliar o crédito social de cada indivíduo. A análise de risco (especialmente tratamentos identificados como de "alto risco") terá que ser realizada pelos desenvolvedores de projetos que utilizam IA.

Violações desses princípios podem, como no GDPR, dar origem a multas de até 4% de faturamento.

As medidas restritivas previstas na proposta não se aplicam, contudo, aos governos e às autoridades públicas da União Europeia que utilizam a IA para proteger a segurança pública.

Alguns, incluindo a Autoridade Europeia para a Proteção de Dados, lamentam a ausência de uma moratória sobre questões atuais, como o uso em tempo real de câmeras de vigilância biométricas pelo Estado.

Embora a proposta restrinja esse uso, ele continua possível, principalmente no contexto de ataques terroristas ou de busca de criminosos.

Outros apontam o ónus da responsabilidade transferido do Estado para os promotores privados, que terão de realizar a sua própria análise de conformidade dos sistemas que propõem, por exemplo em termos de policiamento preditivo, utilização de IA em procedimentos de asilo ou vigilância de trabalhadores.

Esses vários desenvolvimentos destacam a sensibilidade de um debate que deve levar em consideração tanto questões de segurança nacional, a preservação dos Estados, quanto aspectos da ordem econômica e direitos fundamentais especificados por uma ordem jurídica europeia que lhes é imposta.

A proposta europeia prevê a criação de um Comité Europeu da IA, composto pelos vários Estados-Membros da UE, pela Comissão Europeia e pela Autoridade Europeia para a Proteção de Dados. Este Comité será responsável por decidir sobre desenvolvimentos não autorizados ou de alto risco na área da IA.

O começo de uma solução?

E também

França:

A ANSSI continua seu trabalho de conscientização sobre os riscos de segurança, com uma guia para proteger sites.

O guia especifica os parâmetros a serem especificados ao desenvolver e integrar um site ou aplicativo web, a fim de garantir sua segurança.

A CNIL publica uma lista de perguntas e respostas sobre testes de saliva em escolas, usado no contexto da triagem da Covid-19.

No seu oitavo caderno de Inovação e Prospectiva, a CNIL desenvolve os motivos que levam um indivíduo a apresentar queixa por desrespeito dos seus direitosEla menciona quatro razões principais:

• “Quando as reputações dos indivíduos são ameaçadas por informações disponíveis online (quase um terço das reclamações);
• Quando são vítimas de intrusão na sua esfera privada por prospecção comercial (cerca de 20% das denúncias);
• Em caso de vigilância no seu local de trabalho (10 a 15 reclamações %); e finalmente
• Quando são registrados em arquivos nacionais (acidentes bancários, antecedentes criminais).

Europa:

União Europeia: O projeto do passaporte de saúde é objeto de debate a nível europeu.

Após o parecer conjunto do Comité e da Autoridade Europeia para a Proteção de Dados, é agora a vez do Parlamento Europeu analisar a questão.

Foi assim destacado,

• A necessidade de integrar a “Privacidade desde a concepção” no sistema de processamento de dados,
• A garantia da ausência de base de dados centralizada,
• Uma identificação clara dos responsáveis pelo tratamento de dados,
• Informações das pessoas envolvidas e
• Um período limitado de retenção de dados.

Conselho da Europa: Em 28 de abril, o Comitê de Ministros adotou uma Declaração sobre a proteção da privacidade das crianças no ambiente digital.

Esta declaração visa reforçar a proteção das crianças no que representa uma parte crescente das suas vidas, seja na escola, com os seus amigos ou no contexto de atividades culturais ou desportivas, com um impacto particular atual devido à pandemia da Covid-19 (atividades online que levam a mais riscos, incluindo o de exclusão digital).

Países Baixos :O Tribunal Distrital de Limburg considerou o múltiplos procedimentos de direito de acesso iniciados por um indivíduo com o objetivo de obter indenização por danos aos controladores de dados que demoraram a responder.

Sempre no Países Baixos, o Tribunal Distrital de Amsterdã ordenou que a Uber restabelecesse seis motoristas dispensados com base em decisões automatizadasA empresa foi condenada a pagar € 5.000 em multas por dia de atraso e mais de € 100.000 em danos.

Segundo informações publicadas em meados de abril, a operadora Huawei supostamente obteve acesso à rede de telecomunicações holandesa KPN, permitindo acesso às comunicações de clientes, incluindo muitos dos tomadores de decisões políticas do país.

Espanha: O Ministério da Defesa foi avisado pela autoridade de proteção de dados.

A razão para isso é a gravação feita por câmeras instaladas ao redor dos escritórios do ministério – sem necessidade comprovada – de imagens de vagas de estacionamento pertencentes a casas vizinhas (agradecimentos ao wiki GDPRhub por seu inventário de decisões). 

Alemanha : A autoridade de supervisão do estado de Hamburgo anunciou em 13 de abril que estava lançando uma processo administrativo contra o Facebook sobre mudança de política do WhatsApp sobre a coleta de dados pessoais.

A validade do consentimento dos usuários está sendo questionada, o que justifica o congelamento da coleta de dados pela autoridade supervisora por três meses, enquanto a investigação estiver em andamento.

Internacional:

ESTADOS UNIDOS : O reconhecimento facial está se desenvolvendo nos bancos, que usam câmeras inteligentes para identificar seus clientes, funcionários e até mesmo os “moradores de rua” que podem estar perto dos distribuidores. 

Embora o uso de inteligência artificial no contexto de vigilância por vídeo não seja regulamentado de forma semelhante em todos os estados americanos, a FTC (Federal Trade Commission) continua sendo competente para verificar as condições de uso dessa tecnologia e sancionar seu uso para fins discriminatórios.

Ana Cristina Lacoste

Sócia da Olivier Weber Avocat, Anne Christine Lacoste é advogada especializada em direito de dados; foi chefe de relações internacionais da Autoridade Europeia para a Proteção de Dados e trabalhou na implementação do RGPD na União Europeia.