Artigo escrito por Isabel Gottlieb. Exibido primeiro no Terminal Bloomberg.
A tensão entre o apetite voraz da IA generativa por dados e as limitações da lei de privacidade da União Europeia sobre a coleta de informações é uma das questões mais críticas para os formuladores de políticas, disse uma das principais autoridades de privacidade do bloco.
“O maior desafio é conhecer e entender as finalidades para as quais os dados são coletados” e como eles serão transferidos entre as entidades, disse Wojciech Wiewiórowski, Supervisor Europeu de Proteção de Dados.
Ele apontou os conceitos de limitação de propósitos e minimização de dados — que exigem que os dados sejam coletados apenas para fins específicos e apenas quando necessários para esses fins — como cruciais para avaliar as implicações de privacidade da IA.
Wiewiórowski — que supervisiona a proteção de dados dentro de órgãos e instituições da União Europeia e aconselha os legisladores sobre as implicações de privacidade da política da União Europeia — conversou com a Bloomberg Law em uma entrevista pré-gravada que foi ao ar na quarta-feira.
Implicações de privacidade da IA generativa
As plataformas de IA generativas consomem grandes quantidades de dados para serem treinadas. Não está claro como ou se esse modelo entrará em conflito com a lei de privacidade da União Europeia, que considera a privacidade como um direito fundamental e impõe limites sobre como os dados pessoais são usados.
A tecnologia já foi alvo de certo escrutínio por parte dos reguladores de privacidade na União Europeia.
O ChatGPT foi bloqueado na Itália no início deste ano, quando a autoridade de proteção de dados do país investigou a plataforma, embora o acesso tenha sido restaurado desde então.
As empresas que desenvolvem e utilizam a tecnologia devem conduzir uma autoavaliação sobre como estão usando os dados, em vez de os reguladores proibirem muitos usos da tecnologia, disse Wiewiórowski. As autoridades europeias de proteção de dados apoiam a proibição da IA aplicada ao reconhecimento facial e às tecnologias biométricas remotas, ele acrescentou.
“O mais importante é o que meu cliente saiba o que é feito com seus dados, com as informações pessoais. Prefiro insistir que as empresas, entidades ou cientistas façam essas perguntas a si mesmos, e que possam respondê-las e registrar suas respostas”, disse ele.
A União Europeia está negociando uma Lei de Inteligência Artificial, que busca permitir um escrutínio mais intenso para usos de maior risco da IA — como a avaliação de crédito para empréstimos ou a aplicação da lei. Mas a Lei de IA não fará muito para abordar as questões de privacidade, disse Wiewiórowski.
De acordo com sua impressão inicial, uma Lei de IA da União Europeia “não altera nada do ponto de vista de proteção de dados, pois a maioria das perguntas de proteção de dados já está respondida no GDPR e em outras regulamentações”. Mas um novo esboço da lei, com sua estrutura baseada em riscos, pode facilitar a autoavaliação por parte das empresas e o monitoramento do mercado, segundo ele.
No entanto, ele afirmou que os reguladores já têm uma “caixa de ferramentas” para lidar com a IA.
“É claro que esta caixa de ferramentas pode ser melhorada”, acrescentou. “Mas isso não significa que estamos indefesos no momento”.
Aplicação centralizada do GDPR
Os reguladores europeus de privacidade também estão considerando reformas no GDPR, concentrando-se em tornar a aplicação da lei mais branda além das fronteiras, disse Wiewiórowski.
Uma revisão será iniciada no próximo ano, estabelecendo as bases para que o Parlamento Europeu e a Comissão Europeia proponham mudanças em 2025, comentou Wiewiórowski. Não serão feitas alterações materiais na lei europeia de proteção de dados no curto prazo, ele acrescentou.
Os procedimentos para a aplicação do Regulamento Geral sobre a Proteção de Dados, a lei de privacidade da União Europeia, que entrou em vigor em 2018, podem ficar aquém quando houver queixas de vários Estados-membros, disse Wiewiórowski.
“Você recebe as queixas, que partem de 29 países, e o 30º país é aquele onde o procedimento é aplicado”, disse ele.
O GDPR permite que os indivíduos apresentem queixas às suas autoridades nacionais de proteção de dados sobre como seus dados pessoais têm sido tratados.
As respostas a perguntas como quão rápido ou robusto é o processo podem diferir de país para país ou ao lidar com grandes empresas de tecnologia, ele acrescentou.
Wiewiórowski pediu que a aplicação do GDPR fosse mais centralizada para remediar as abordagens desiguais nessa área.
“Não estou falando de um órgão central ou de uma autoridade central de proteção de dados, mas sim do papel do EDPB, o Comitê Europeu para a Proteção de Dados, pois este é o órgão que está conectando todos os comissários de proteção de dados na Europa”, disse ele.
Convergência entre os EUA e a União Europeia?
A falta de uma lei federal de privacidade nos EUA não é necessariamente um grande entrave para o alinhamento com a União Europeia, disse Wiewiórowski. Alguns países sem leis abrangentes de proteção de dados são aceitáveis para a União Europeia, enquanto outros — como a China e a Rússia — têm leis abrangentes de privacidade, mas não são reconhecidoUnião Europeiacomo favoráveis à privacidade de acordo com a União Europeia, ele acrescentou.
“Quais são as principais diferenças? Bom, alguém disse anos atrás que a definição de uma lei de privacidade dos infernos seria a lei europeia combinada com a aplicação das leis nos EUA”, disse ele. “Na minha opinião, essa seria uma boa solução”. Os europeus são bons em criar bases legais para a proteção da privacidade, e os EUA são bons na aplicação individual, ele acrescentou.
“Portanto, não vamos nos ater muito às diferenças. Nós as conhecemos. Sabemos que elas existem”, disse ele. “Vamos tentar falar sobre as formas de construirmos pontes e cooperarmos juntos, o que é possível”.