Privacidade e ChatGPT: impactos relacionados a LGPD e ANPD

Carolina Margonari*

Sobre a AI ou IA

A Artificial Intelligence (AI) ou Inteligência Artificial (IA) é um tema recorrente, seja em razão do seu amplo desenvolvimento pelas empresas privadas, Big Techs ou pela corrida da sua regulamentação em alguns países, inclusive no Brasil.

No momento, a inteligência artificial em destaque é o ChatGPT, uma AI treinada pela Open IA, que no momento se encontra na versão de modelo de linguagem GPT-4.

Atualmente, a ferramenta não está disponível na China, Hong Kong, Irã, Rússia e em alguns países da África.

Além do ChatGPT, temos atualmente no mercado outras soluções utilizando o recurso da AI, como por exemplo, as assistentes digitais Alexa, Siri, Bia, e em outros diversos produtos da Apple, Facebook, Amazon e Microsoft. Importante esclarecer que o uso da IA é uma realidade nas vidas das pessoas.

No Brasil, temos uma atuação deste modelo de ferramenta dentro do judiciário, já que o STF utiliza o Victor desde 2017 e a Rafa, lançada em 2022.

Privacidade para o ChatGPT

Como o foco deste texto é o ChatGPT, nada melhor que perguntar para a solução sobre “como funciona a privacidade com você?” A ferramenta enviou a seguinte resposta:

“Como modelo de linguagem treinado pela OpenAI, eu sou projetado para manter a privacidade das informações e garantir a segurança dos dados dos usuários. Todas as conversas entre eu e os usuários são criptografadas para garantir que as informações trocadas sejam mantidas em sigilo. Além disso, as informações fornecidas pelos usuários são usadas apenas para responder às suas solicitações e não são compartilhadas com terceiros sem o consentimento dos usuários.

A OpenAI também segue as melhores práticas de segurança e privacidade de dados para garantir que as informações dos usuários sejam protegidas contra acesso não autorizado ou uso indevido.

Em resumo, a privacidade é uma preocupação fundamental na operação da OpenAI, e medidas são tomadas para garantir que as informações dos usuários sejam mantidas seguras e privadas.”

Será que de fato os usuários estão tendo os seus direitos respeitados quando utilizam o ChatGPT?

Garante, Privacy Commissioner do Canadá, CNIL, Comissário Federal de Proteção de Dados da Alemanha e Comissão de Proteção de Dados (DPC) da Irlanda

As autoridades de proteção de dados da Itália (Garante), Canadá (Privacy Commissioner), França (CNIL), Alemanha (Comissário Federal de Proteção de Dados da Alemanha) e Irlanda (Comissão de Proteção de Dados – DPC) sinalizaram que não estão seguras em relação aos pontos de privacidade da ferramenta.

Para a Garante, existe uma falta de transparência com os usuários. A autoridade indica que não existe a indicação da base legal para o processamento de dados massivos para treinar o chatbot, e tem uma falha de identificação da idade legal (a partir de 13 anos) do usuário, com a falta de verificação da idade por parte da ferramenta.

A autoridade canadense indicou o interesse em investigar a solução. Eles entendem que, de fato, não existe uma transparência sobre os dados que estão sendo utilizados para treinar a ferramenta. Por essa razão, uma investigação foi aberta contra a Open AI.

Para as duas autoridades, a falta de transparência é um ponto em comum, que precisa ser esclarecido pela Open AI.

Inclusive, a autoridade italiana baniu o ChatGPT de funcionar no país, dando um prazo de 20 dias para Open AI responder sobre os pontos obscuros, e apontar as correções necessárias.

A autoridade francesa, CNIL, anunciou que está investigando diversas denúncias contra a ferramenta, após o seu banimento na Itália. Já a autoridade alemã anunciou que está avaliando se irá tomar a mesma decisão de bloqueio realizada pela autoridade italiana.

As autoridades da Irlanda e Alemanha entraram em contato com a Garante, da Itália, buscando informações sobre os motivos do bloqueio.

AEPD e EDPB

Após as manifestações das autoridades de proteção de dados da União Europeia, a autoridade espanhola de proteção de dados (AEPD) solicitou ao European Data Protection Board (EDPB), que faça a inclusão em sua pauta nas próximas reuniões do compliance do ChatGPT com a GDPR.

A ideia é que o tema entre em discussão no plenário do European Data Protection Committee para que as próximas ações em relação à ferramenta, com foco na privacidade, estejam alinhadas entre os países da União Europeia.

ANPD

No Brasil, a Autoridade Nacional de Proteção de Dados (ANPD) até o presente momento não divulgou nenhuma nota, informando se pretende solicitar esclarecimentos a OpenAI sobre o ChatGPT. A pergunta que permanece é se a ANPD tem alguma justificativa legal para solicitar à OpenAI esclarecimentos com base na Lei Geral de Proteção de Dados (LGPD).

Para tentar entender melhor os pontos de privacidade adotados pela OpenAI, foi questionado para o ChatGPT onde está a sua política de privacidade. A solução respondeu:

“Como uma IA desenvolvida pela OpenAI, eu sou uma ferramenta de processamento de linguagem e não tenho uma política de privacidade própria. No entanto, a OpenAI é uma empresa preocupada com a privacidade dos usuários e possui sua própria política de privacidade que é aplicada em relação ao uso dos serviços e produtos oferecidos pela OpenAI, incluindo o uso do ChatGPT.”

“A política de privacidade da OpenAI pode ser encontrada em seu site oficial ou nas plataformas específicas onde o ChatGPT é integrado. É importante ler e entender a política de privacidade da OpenAI para compreender como os dados dos usuários são coletados, usados e protegidos durante o uso dos serviços e produtos da OpenAI, incluindo o ChatGPT. A política de privacidade da OpenAI pode fornecer informações sobre os tipos de dados coletados, como esses dados são usados, se e como são compartilhados com terceiros, e quais são os direitos e opções dos usuários em relação à privacidade e proteção de dados.”

Com essa resposta, surge o seguinte questionamento: será que uma ferramenta de processamento de linguagem não precisa ter a sua própria política de privacidade?

Documento da política de privacidade

Seguindo a orientação do ChatGPT, em sua versão gratuita, não existe um link direto para a política de privacidade mencionada. Para acessar o documento, é preciso entrar no site da OpenAI, mas o seu conteúdo está disponível exclusivamente em inglês. O link da política está localizado ao final da página.

O primeiro obstáculo para o titular de dados no Brasil é que o conteúdo do documento está disponível apenas em inglês. Com isso, o acesso a informações claras, precisas e facilmente acessíveis não é cumprida, ferindo o princípio da transparência descrito na legislação brasileira.

Superado este obstáculo, realizando uma leitura do documento, é possível perceber que o tom generalista predomina na maior parte do seu conteúdo, através das expressões “we may collect” e “we may use” para indicar o processamento dos dados pessoais dos usuários, principalmente, em situações que se tem claramente o tratamento de dados pessoais.

Outro ponto que demonstra ser contraditório é o fato da informação sobre a coleta dos dados pessoais de usuários abaixo dos 13 anos de idade. Consta a informação que “OpenAI does not knowingly collect Personal Information from children under the age of 13”. Torna-se preocupante o fato de que, em nenhum momento, a ferramenta faz o questionamento sobre a idade do usuário, seja em seu site ou para acessar o ChatGPT (versão gratuita).

Por isso, fica a dúvida sobre se existe qualquer tipo de controle neste sentido. Importante ressaltar que a responsabilidade do controle é da ferramenta e não do usuário. Não é ele que deve comunicar a OpenAI sobre o processamento de dados deste público, contrariando a indicação na política que solicita que os usuários informem quando houver este tipo de tratamento ao mencionar: “If you have reason to believe that a child under the age of 13 has provided Personal Information to OpenAI through the Service please email us at [email protected]”.

A LGPD tem um capítulo exclusivo sobre o tratamento de dados de crianças e adolescentes, e o processamento de dados realizado pela OpenAI para este público, aparentemente, demonstra não cumprir com as diretrizes da lei.

ChatGPT e LGPD

Em relação ao capítulo da política direcionado para os usuários internacionais, o Brasil é deixado de fora da listagem dos usuários, e a LGPD não é mencionada em nenhuma parte do documento. A Lei Geral de Proteção de Dados é fortemente reconhecida e mencionada internacionalmente, tendo um papel fundamental dentro da área de proteção de dados. Por isso, deve ser respeitada.

Com base nos apontamentos, a ANPD tem fortes argumentos para acompanhar as autoridades da União Europeia, solicitando transparência e respeito às diretrizes da LGPD por parte da OpenAI, quando se trata do processamento dos dados pessoais dos brasileiros e das brasileiras.

Importante acompanhar a movimentação na Europa e em outros países para verificar o que será exigido da OpenAI em relação ao respeito à privacidade e à proteção de dados de seus usuários. E aguardar se a ANPD pretende engrossar o movimento solicitando os devidos esclarecimentos sobre o ChatGPT.

Como boa titular de dados, fiz o meu papel entrando em contato com a OpenAI, através do e-mail indicado na política, com uma solicitação de informação com texto em português. Será que vou conseguir exercer os meus direitos?