Mestrado em Bioética / Bioética & Inovação

Que respostas dá e não dá a Nova

LGPD aos desafios e ameaças da IA?
23 de outubro de 2020

Prof. Manuel David Masseno

1
 Que respostas dá e não dá a Nova LGPD

1 – um par de pré-entendimentos
 a “Inteligência Artificial é o conjunto de ferramentas estatísticas e algoritmos que geram
softwares inteligentes especializados em determinada atividade. Trata-se de tecnologia
especialmente útil para classificação de dados, identificação de padrões e realização de predições.”
 junto com a “Big Data Analytics. Tratamentos de dados pautados em Big Data apresentam dados
tão amplos em volume, tão diversos em variedade ou trafegando em considerável velocidade
(3V), a ponto de diferenciar-se de qualquer técnica anteriormente existente nesse ramo. Tal
metodologia gera o denominado “efeito mosaico”, baseado na capacidade de integração entre uma
infinidade de dados e de identificação de informações, mesmo que os dados não estejam mais
vinculados às suas fontes originais. Tal efeito possibilita uma “personalização perfeita” na prestação
de serviços, compra e venda de produtos, procura por emprego ou mera busca de informações.
Contudo, a personalização de decisões abre a possibilidade para discriminações diversas e
pode apresentar resultados enviesados, como as chamadas “filter bubbles”, ou bolhas de
informação, geradas pela especialização na busca de informações a partir das preferências dos
indivíduos.”
 Estratégia Brasileira para a Transformação Digital – E-Digital, instituída pelo
Decreto n.º 9.319, de 21 março de 2018
2
 Que respostas dá e não dá a Nova LGPD

2 – a consideração da IA na LGPD
 diferentemente do ocorrido com o Regulamento (UE) 2016/679, do Parlamento
Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas
singulares [físicas] no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados (Regulamento Geral sobre a Proteção de Dados), o
RGPD, Lei n.º 13.709, de 14 de agosto de 2018, dispõe sobre a proteção de dados
pessoais (Lei Geral sobre Proteção de Dados - LGPD), não mostra uma especial
preocupação com as ameaças decorrentes da utilização da Inteligência
Artificial (IA) pelas Organizações, públicas ou privadas, para os Direitos
Fundamentais
 imediatamente antes, a antes referida Estratégia E-Digital, embora abordando ambas
as questões não as enfrentara em conjunto, como ocorreu na União Europeia,
designadamente com a Comunicação da Comissão Para uma economia dos dados
próspera (COM(2014) 442 final, de 2 de julho de 2014)

3
 Que respostas dá e não dá a Nova LGPD

3 – o acesso a massas de dados

 antes de tudo, perante a Big Data / Megadados é fundamental limitar aos
máximo a acumulação de dados irrestrita e por tempo indeterminado
 efetivamente, a LGPD limita o acesso dos sistema de IA às massas de dados,
pela ação de “princípios” e, bem assim, dos direitos dos titulares e dos deveres
dos controladores:
 nos Princípios da “finalidade”, “adequação”, “transparência”, bem como e
sobretudo nos da “não discriminação” e da “necessidade” , (Art. 6º I, II, VI, IX e III)
 também com expressão quanto aos “Requisitos para o Tratamento de Dados
Pessoais” (Art. 7º), na observância “desde a fase de concepção do produto ou do
serviço até a sua execução” das “medidas de segurança, técnicas e administrativas
aptas a proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma
de tratamento inadequado ou ilícito” (Art. 46 §2º e caput)

4
 Que respostas dá e não dá a Nova LGPD
 assim como, no direito à “anonimização, bloqueio ou eliminação de dados
desnecessários, excessivos ou tratados em desconformidade com o disposto
nesta Lei” (Art. 18 IV) e, ainda, na “Responsabilidade e do Ressarcimento de
Danos” por parte do controlador e do operador (Art.s 42 a 45)
 adicionalmente, importam o direito à “portabilidade dos dados a outro fornecedor
de serviço ou produto, mediante requisição expressa [e desde que…] de acordo com
a regulamentação da autoridade nacional, observados os segredos comercial e
industrial” (Art.s 18 V e 40) e, mais ainda, as regras relativas ao “Término do
Tratamento de Dados” (Art. 15), ainda que com limitações, mormente atendendo haja
em vista o regime aplicável aos dados anonimizados (Art. 16), embora a Autoridade
Nacional de Proteção de Dados possa “dispor sobre tempo de guarda dos registros,
tendo em vista especialmente a necessidade” (Art. 40), além de o poder fazer
casuisticamente, ocorrendo violação da LGPD (Art. 15 IV)
 mas estando ausente a previsão de um explícito “direito ao esquecimento”, ou à
“desindexação”, salvo em caso de revogação legítima do consentimento e sendo este a
base do tratamento (Art.s 7º § 5º e 15 III) ou quando o mesmo for nulo (Art. 9º § 1º)
5
 Que respostas dá e não dá a Nova LGPD

 por outro lado, no que se refere à re-personalização de “dados anonimizados”

[i.e., “dado[s] relativo[s] a titular que não possa ser identificado, considerando a
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”, Art.
5º III] a LGPD exclui a responsabilidade do controlador relativamente a riscos de
desenvolvimento, pois “Os dados anonimizados não serão considerados dados
pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual
foram submetidos for revertido, utilizando exclusivamente meios próprios [i.e., não
de ou por terceiros], ou quando, com esforços razoáveis, puder ser revertido.” (Art.
12 caput)
 apesar de que “Poderão ser igualmente considerados como dados pessoais, para
os fins desta Lei, aqueles utilizados para formação do perfil comportamental de
determinada pessoa natural, se identificada” (Art. 12 § 2º), não bastando ser
apenas potencial, i.e., uma pessoa natural “identificável” (Art.º 5º I)

6
 Que respostas dá e não dá a Nova LGPD

4 – o Profiling
 a LGPD, em vez de se referir ao “perfilamento”, se centra no “uso compartilhado
de dados”, ainda que não exclusivamente, isto é:
 na “comunicação, difusão, transferência internacional, interconexão de dados
pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e
entidades públicos no cumprimento de suas competências legais, ou entre esses e
entes privados, reciprocamente, com autorização específica, para uma ou mais
modalidades de tratamento permitidas por esses entes públicos, ou entre entes
privados” (Art. 5º XVI)
 no que refere ao regime, antes de mais, não prevê um direito reforçado à
informação quanto a tais tratamentos, em termos gerais (Art. 9º), salvo quanto à
“informação das entidades públicas e privadas com as quais o controlador
realizou uso compartilhado de dados” (Art. 18 VII) ou, sempre a posteriori, no
caso de uma “decisão automatizada” (Art. 20§1º), a qual pode nem existir…
7
 Que respostas dá e não dá a Nova LGPD

 a LGPD também não exige um “relatório de impacto à proteção de dados

pessoais” [“documentação do controlador que contém a descrição dos processos
de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos
direitos fundamentais, bem como medidas, salvaguardas e mecanismos de
mitigação de risco”, Art. 5 XVII], o qual surge desligado dos grandes riscos
tecnológicos, como os inerentes à utilização da IA, e sujeita a determinação da
“autoridade nacional” (Art.s 38 caput e 55-J XII), podendo também ser solicitado
ao controlador “quando o tratamento tiver como fundamento seu interesse
legítimo” (Art. 10 II § 3º), apenas
 e se, no Setor Privado, o controlador “deverá obter consentimento específico
do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento
previstas nesta Lei” (Art. 7º§5º), depois de facultar ao titular informações
específicas (Art. 9º V)

8
 Que respostas dá e não dá a Nova LGPD
 embora resulte que “A comunicação ou o uso compartilhado [inclusive] de
dados pessoais sensíveis entre controladores com objetivo de obter vantagem
econômica poderá ser objeto de vedação ou de regulamentação por parte da
autoridade nacional”, pelo que, a contrario sensu, em princípio é permitida (Art.
11§3º), incluindo as “hipóteses relativas a prestação de serviços de saúde, de
assistência farmacêutica e de assistência à saúde” (Art. 11§4º), já
 no Setor Público Administrativo um tal compartilhamento é de regra, ainda
que deva “atender a finalidades específicas de execução de políticas públicas
e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os
princípios de proteção de dados pessoais elencados no art. 6º desta Lei” (Art. 26)
 no entanto, “para o tratamento e uso compartilhado de dados necessários à
execução de [tais] políticas públicas previstas em leis e regulamentos ou
respaldadas em contratos, convênios ou instrumentos congêneres” nem é
necessário o consentimento dos titulares dos dados (Art. 7º III), inclusive para o
tratamento de “dados sensíveis” (Art. 11 II b)
9
 Que respostas dá e não dá a Nova LGPD

 além de o compartilhamento ser facilitado tecnicamente, pois esses “dados

deverão ser mantidos em formato interoperável e estruturado” (Art. 25),
apenas sendo “vedado ao Poder Público transferir a entidades privadas dados
pessoais constantes de bases de dados a que tenha acesso”, mas com uma
multiplicidade de exceções (Art. 26 §1º), ainda que deva ser “informado à
autoridade nacional e dependerá de consentimento do titular”, também com
várias exceções dispensando o consentimento (Art. 27)
 além disso, “A autoridade nacional poderá estabelecer normas
complementares para as atividades de comunicação e de uso compartilhado
de dados pessoais” (Art. 30)
 é bom recordar que o compartilhamento de dados na Administração Pública
brasileira, com vista a uma maior eficiência no planejamento e execução de
Políticas Públicas, não é uma questão nova, já constando do Decreto nº 8.789, de
29 de junho de 2016, no que se refere à Administração Pública Federal

10
 Que respostas dá e não dá a Nova LGPD
 porém, a LGPD veio legitimar este estado de coisas e permitiu a sua
regulamentação pelo Decreto nº 10.046, de 9 de outubro de 2019, dispõe sobre
a governança no compartilhamento de dados no âmbito da administração pública
federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de
Dados, com referência expressa à LGPD, tornando viável a criação de perfis
detalhados de cada cidadão, inclusive para fins preditivos
 o que é preocupante para a qualidade da Democracia no Brasil, inclusive ao ser
“a Autoridade Nacional de Proteção de Dados (ANPD) [um] órgão da
administração pública federal, integrante da Presidência da República”… (Art.
55-A) e não um regulador independente, como na União Europeia, e apenas “É
assegurada autonomia técnica e decisória à ANPD” (Art. 55-B), agora regulada
pelo Decreto nº 10.474, de 24 de agosto de 2020
 e nem a possibilidade de transformação “em entidade da administração
pública federal indireta, submetida a regime autárquico especial e vinculada à
Presidência da República” (Art. 55-A §§ 1º e 2º) acrescentará…
11
 Que respostas dá e não dá a Nova LGPD

5 – as decisões automatizadas
 como enuncia a LGPD, o “perfilamento” está diretamente, ainda que não
necessariamente, ligado às “decisões tomadas unicamente com base em
tratamento automatizado de dados pessoais”, ao incluírem estas as “decisões
destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou
os aspectos de sua personalidade” (Art. 20 caput)
 sendo cominado ao controlador o dever de “fornecer, sempre que solicitadas,
informações claras e adequadas a respeito dos critérios e dos procedimentos
utilizados para a decisão automatizada, observados os segredos comercial e
industrial” (Art.º 20 §1º), o que não abrangerá a “transparência algorítmica”,
embora legitime a ANPD para, querendo, “realizar auditoria para verificação
de aspectos discriminatórios em tratamento automatizado de dados pessoais”
(Art. 20 § 2º)

12
 Que respostas dá e não dá a Nova LGPD

 também neste caso, a LGPD não exige a realização prévia de um “relatório de

impacto”, embora a “autoridade nacional” o possa determinar (Art.s 38 caput )
 porém, se “O titular dos dados tem direito a solicitar a revisão de [tais]”
(Ibidem), caiu a exigência de essa “revisão” ser “por pessoa natural”, em
resultado da Lei nº 13.853, de 8 de julho de 2019, por conversão da Medida
Provisória nº 869, de 27 de dezembro de 2018, em sequência do Veto Presidencial
constante da Mensagem nº 288, de 8 de julho 2019
 aliás, esta regra está em clara em contramão relativamente aos Princípios da
OCDE sobre Inteligência Artificial, constantes da Recomendação do Conselho da
OCDE sobre Inteligência Artificial (C/MIN(2019)3/FINAL), de 22 de maio de 2019,
também subscrita pelo Brasil, mas essa antinomia será enfrentada por mim na
próxima semana…

13