Em 30 de março, a autoridade de proteção de dados pessoais da Itália (Garante per la protezione dei dati personali – “Garante”, ou “Autoridade”) impôs uma limitação temporária ao tratamento de dados pessoais de italianos ao ChatGPT, chatbot baseado em inteligência artificial (IA) generativa da empresa estadunidense OpenAI. Em nota, a Autoridade pontua que a decisão foi tomada após o relato, em 20 de março, de um incidente de violação de dados pessoais na plataforma, afetando conversas de usuários e informações sobre pagamentos de assinantes do serviço. A decisão foi tomada em regime de urgência, de forma que ainda se aguarda a instauração de inquérito para apuração dos fatos e a tomada de uma decisão definitiva. A decisão proíbe o uso de dados pessoais de cidadãos italianos, o que, se não é um banimento de jure, é um banimento temporário de facto, pois, em primeiro lugar, não há como usar o sistema sem se logar, o que já implica tratamento de dados pessoais, e, em segundo lugar, não há como separar dados usados no treinamento, que eventualmente contenham dados pessoais de cidadãos italianos, do seu modelo de linguagem já formado após o treinamento.

Tomada a decisão, a OpenAI agora dispõe de vinte dias para fornecer informações relativas à suposta violação de dados pessoais, bem como comunicar as iniciativas adotadas para adequar a ferramenta à decisão da Autoridade, a qual apresentou cinco motivações principais:

1. A OpenAI não prestaria qualquer informação aos usuários (ou titulares de dados) com relação aos dados pessoais tratados pelo ChatGPT.
2. O tratamento de dados careceria de base legal adequada para tratamento de dados pessoais para o treinamento dos algoritmos subjacentes ao ChatGPT.
3. Haveria tratamento de dados pessoais inexatos, uma vez que as informações prestadas pelo ChatGPT nem sempre correspondem à realidade.
4. Faltaria qualquer verificação da idade dos usuários do ChatGPT, que, nos termos publicados pela OpenAI, é reservado a maiores de 13 anos.
5. Haveria exposição potencial dos menores de 13 anos a respostas inadequadas da plataforma.

Embora seja o primeiro país ocidental a restringir o ChatGPT, a Itália possui um histórico de atuação conservadora e restritiva. Em fevereiro desse ano, a Garante aplicou medida semelhante ao banir temporariamente o Replika, chatbot baseado em IA da empresa estadunidense Luka Inc. que oferece um “amigo virtual” usando interfaces de texto e vídeo, mas que foi acusado de gerar conteúdo sexual e inapropriado. Ainda que um caso potencialmente mais sensível (vista a interação direta de crianças e demais vulneráveis com um produto que se pretende um “amigo virtual”), a motivação de ambas as decisões é similar.

Essa postura em relação à proteção das crianças perante a tecnologia também motivou a Garante a limitar o tratamento de dados de usuários cujas idades não fossem determináveis pelo Tik Tok, após a morte de uma criança que tentou realizar um desafio da rede social em Palermo. Além da IA generativa, a Garante também já impôs freios ao reconhecimento facial, aplicando uma multa de 20 milhões de euros, além de outras sanções, à Clearview AI Inc., por violações ao Regulamento Geral de Proteção de Dados europeu (Regulamento nº 2016/679 – GDPR), incluindo ausência de base legal adequada para o tratamento de dados biométricos e de geolocalização.

No Brasil, apesar de ainda não se haver enfrentado a questão de tecnologias como o ChatGPT, elas também devem observar a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD). Assim como o GDPR, que baseia as decisões da Garante, a LGPD impõe obrigações de transparência, cuidados no tratamento de dados de crianças e proibição de tratamento sem base legal adequada.

Além da legislação em vigor, tramita no Senado o Projeto de Lei nº 21/2020 (PL 21/20), que estabelece fundamentos, princípios e diretrizes para o desenvolvimento e a aplicação da IA no Brasil. O Substitutivo do PL 21/20 em tramitação no Senado propõe uma série de obrigações procedimentais para que os fornecedores e operadores de sistemas de IA mitiguem riscos trazidos pela tecnologia, dentre elas: gestão de dados para controle de privacidade e tratamento adequado de dados pessoais, realização de testes de confiabilidade, mitigação e prevenção de vieses discriminatórios, e medidas de transparência sobre o modelo empregado.

Nesse sentido, embora não disponhamos de decisões da Autoridade Nacional de Proteção de Dados brasileira com relação ao ChatGPT ou IAs semelhantes, é justificada a expectativa de que parâmetros de segurança, transparência e privacidade sejam observados consistentemente a fim de disponibilizar ao público tecnologias aptas ao funcionamento “no mundo real”. Mesmo na ausência de uma norma específica para a regulamentação da IA, as normas vigentes no Brasil já estabelecem a necessidade de observar os riscos impostos pela tecnologia e de garantir proteção especial às crianças e adolescentes, inclusive no tratamento de dados pessoais.

Ainda que medidas de conformidade possam ser cobradas por esses reguladores àqueles que lançam mão de tecnologias como a inteligência artificial, é necessário que decisões como a da Garante não deixem de considerar os riscos de limitação às novas tecnologias e, de maneira mais ampla, à inovação. Assim, medidas como bloqueios à tecnologia devem ser cuidadosamente ponderadas, dado o risco de serem excessivas. O caso prático da Garante em relação ao ChatGPT demandará, ainda, o aprofundamento quanto aos fatos que justificaram a suspensão imposta pela Autoridade e, vista a evidência recente dada à IA generativa, deverá ser acompanhado de perto por reguladores e empresas ao redor do mundo.