A Inteligência Artificial (IA) é um tema em alta na discussão do desenvolvimento tecnológico, tanto pela necessidade de compreensão de seu funcionamento, quanto em razão das implicações de seu uso no dia a dia. Uma das aplicações recorrentes da IA é quanto à realização de “decisões automatizadas”, que consistem em um processo decisório realizado exclusivamente por meio de algoritmos, sem envolvimento ou interferência humana. Essas decisões podem ser de diversas naturezas, incluindo: avaliação preliminar de currículos, elegibilidade de empréstimo, prevenção à fraude de sistemas bancários pela análise comportamental do usuário etc. 

A vasta aplicabilidade da IA, naturalmente, acarreta riscos de diferentes naturezas, a depender do caso concreto. Na Europa, o General Data Protection Regulation (GDPR) autoriza aos Estados Membros da União Europeia implementar regras específicas a nível nacional para regular a aplicação da IA às decisões automatizadas, com o objetivo de proteger indivíduos de tratamentos de dados que potencialmente sejam atentatórios aos seus direitos. Na Hungria e na França, dois países que aprovaram leis nacionais especificando normas sobre o uso de IA e de decisões automatizadas, dois eventos recentes chamam a atenção. 

Na Hungria, a Nemzeti Adatvédelmi és Információszabadság Hatóság (Autoridade) sancionou um banco no Processo NAIH-85-3/2022 pela utilização de Inteligência Artificial na análise de conversas de clientes para identificar indicadores de insatisfação e pré-determinar quais clientes deveriam ter prioridade em receber uma ligação de follow-up. A utilização de decisões automatizadas na Hungria necessita de autorização expressa do titular de dados, com particular dever de cuidado em relação à criação de perfis. Refletindo o disposto no GDPR, a lei húngara estabelece que as decisões automatizadas que tenham impacto significativo ou sejam prejudiciais para o indivíduo podem ser consideradas relevantes. 

Para as decisões de impacto significativo ou prejudiciais ao titular, a Hungria segue o GDPR garantindo ao titular o direito de contestar a decisão automatizada e obter uma revisão humana da decisão adotada pelo algoritmo. A extensão do que seria “significativo” não é abordada nos termos da lei, mas define que o tratamento de dados a) não poderá violar requisitos de igualdade de tratamento; b) deve ser informado aos titulares, inclusive indicando critérios das decisões automatizadas; e c) não utilizará dados sensíveis, a não ser para cumprimento de obrigações legais. 

No caso do banco, a IA em questão utilizou-se de indicadores como velocidade de fala, volume de voz e tom de voz para classificar o nível de satisfação dos clientes que ligavam para o atendimento telefônico do banco. Após a análise automática da IA, as informações eram enviadas para funcionários junto com um pré-julgamento de quais clientes deveriam ter prioridade em receber uma ligação de follow-up, com o objetivo de otimizar o trabalho dos cerca de 20 (vinte) funcionários responsáveis pelo monitoramento da qualidade das ligações. As características consideradas podem ser alteradas periodicamente, e garantem uma maior retenção de clientes. Agravando a situação, contudo, o aviso de privacidade ofertado indicava apenas que as conversas poderiam ser gravadas, não avisando do software de análise de voz utilizado pela empresa.

Em razão da ausência de autorização expressa dos titulares (que sequer sabiam do uso do software), a autoridade húngara reconheceu uma violação aos direitos daqueles indivíduos, sancionando o banco em EUR 634 mil. Na determinação da sanção, a Autoridade considerou, entre outros fatores, a concorrência de violações (tratamento automatizado sem autorização, falta de transparência, duração da violação, entre outros), bem como a existência de algum grau de intervenção humana no processo. A Autoridade destacou, ainda, que a análise de emoções humanas por meio de Inteligência Artificial é particularmente alarmante, conforme a própria autoridade húngara e o Comitê Europeu de Proteção de Dados já expressaram anteriormente.

Já na França, a Commission Nationale Informatique & Libertés (CNIL) tem adotado a produção de opiniões não vinculativas sobre os cuidados e as boas práticas para um uso responsável da Inteligência Artificial na Europa. Junto a outras autoridades europeias, a CNIL manifestou-se positivamente em relação ao IA Act, inclusive destacando a necessidade de harmonizar a disciplina dos dados pessoais com a da Inteligência Artificial.

De acordo com a autoridade francesa, há a necessidade de definir limites à aplicação da IA, incluindo o banimento do uso de biometria para classificar etnia, orientação política, orientação sexual, gênero e emoções. Apesar disso, a CNIL reconhece expressamente a necessidade de apoiar o desenvolvimento de aplicações de IA que sejam alinhadas aos valores e princípios que classifica como “europeus”. 

Como forma de capacitar entes regulados na França, a CNIL produziu dois materiais essenciais àqueles que desenvolvam, apliquem, ou, de qualquer forma, se beneficiem do uso da Inteligência Artificial em sua atividade econômica. O primeiro material é um guia voltado à observância do GDPR sob a perspectiva da IA. Em resumo, a cartilha aborda diferentes tópicos sob um viés principiológico, seguido da aplicação prática do conceito, e endereça desde a definição da finalidade da IA até aspectos como minimização de dados, supervisão constante, e cuidados com discriminação algorítmica. O segundo material é uma série de fascículos de self assessment que permitem ao agente regulado identificar passo a passo como desenvolver uma IA adequada à regulação europeia.

Uma das razões para a minúcia da CNIL é a forma pela qual a França incorporou o GDPR em sua legislação nacional. Conforme a lei francesa, qualquer decisão automatizada (independentemente de grau de impacto) deve respeitar o regulamento de proteção de dados francês, o que inclui não ser submetido a decisões exclusivamente tomadas de forma automática, nos termos do artigo 22 do GDPR. Ressalvados segredos protegidos por lei, o titular deve ser informado sobre como o tratamento de dados é realizado em cada atividade. 

Uma diferença com o GDPR, contudo, é a classificação que a lei francesa dá às diferentes aplicações da IA e seus respectivos graus de proteção: a) decisões judiciais automatizadas são consideradas mais críticas, enquanto b) decisões administrativas automatizadas, ou semiautomatizadas são classificadas como de criticidade média e c) decisões de âmbito privado são tidas como de mais baixa criticidade. Assim, decisões judiciais não podem se apoiar em decisões automatizadas para avaliar aspectos da personalidade de um indivíduo, bem como a administração não pode adotar decisões totalmente automatizadas para recursos administrativos; mas, nesse último caso, decisões semiautomatizadas (automação com revisão humana, por exemplo) já poderão ser aceitas.. 

A possibilidade de semiautomatização também existe para a) tratamentos sem dados sensíveis, b) que respeitem o processo administrativo conforme o “Código das Relações entre o Público e a Administração”, c) titulares explicitamente informados sobre o tratamento automatizado, d) atividades com transparência para os titulares envolvidos quanto às regras de tratamento aplicadas, e) caso haja explicabilidade do tratamento.

Comparando ambas as experiências internacionais à aplicação da LGPD no Brasil, há paralelos e diferenças interessantes que podemos traçar com os casos húngaro e francês. 

Para o primeiro cenário, a LGPD (assim como o GDPR) reconhece o direito ao titular de dados de solicitar a revisão de decisões tomadas unicamente com base em decisões automatizadas. Diferentemente do caso da Hungria, contudo, não há qualquer menção à necessidade de consentimento específico para o uso desse tipo de mecanismo no tratamento de informações, o que poderia levar a ANPD a uma conclusão diversa da autoridade húngara. O cerne da questão nesse caso parece ser se o tratamento automatizado da voz dos clientes deve ou não ser classificado como tratamento de dados biométricos, à luz da diferença entre detecção de características vocais e identificação da biometria vocal de pessoas.

Se por um lado há padrões automáticos de análise sobre questões personalíssimas da voz de cada indivíduo, o algoritmo se propõe apenas a classificar as pessoas em diferentes grupos, sem usar os dados vocais para identificação do cliente, por exemplo. A definição quanto ao tipo de dado tratado poderia, então, influenciar a decisão por condenar ou não uma empresa que se utilize de sistema similar no Brasil. Em relação à falta de transparência quanto à coleta dos dados de voz e seu uso, a legislação brasileira dispõe de elementos para fundamentar uma condenação. 

No segundo cenário, as distinções determinadas pela lei francesa não se refletem automaticamente no Brasil, mas podem servir de inspiração para a metodologia de análise da ANPD em relação a diferentes tipos de tratamento de dados. O Substitutivo proposto pela Comissão de Juristas em relação ao Projeto de Lei de Inteligência Artificial também trabalha com diferentes nuances conforme a aplicação de cada sistema de IA e suas potenciais consequências. No caso da França, contudo, há uma pré-classificação de casos nos quais se presume uma afetação inaceitável dos direitos dos titulares, em caso de submissão a uma decisão automatizada. Citadas as diferenças, o desenvolvimento de materiais orientativos por parte da CNIL pode ajudar agentes e autoridades brasileiras na regulação da IA no país.

A dificuldade de se definir critérios objetivos para abordar decisões automatizadas baseadas em dados pessoais é recorrente, o que justifica a existências de experiências regulatórias que partem de diferentes premissas ao redor do mundo, como: solicitar consentimento em todos os casos, adotar parâmetros conceituais para a caracterização dos limites da aplicação da IA, ou usar a classificação de condutas per se como permitidas ou proibidas por lei. Assim, é natural que diferentes países lancem mão de formas diferentes de regulamento dessa questão, que certamente continuará a ser debatida em fóruns globais enquanto acompanhamos paralelamente o crescimento constante das capacidades e aplicações da inteligência artificial.