Após uma investigação de meses pela Autoridade Italiana de Proteção de Dados sobre o chatbot ChatGPT da IA, a OpenAI foi acusada de violar as leis de privacidade da UE. As violações confirmadas no tratamento de dados pessoais podem levar a multas até 20 milhões de euros, ou até 4% do volume de negócios anual. A OpenAI tem 30 dias para responder às acusações.
Fonte da imagem: Pixabay
As autoridades italianas levantaram preocupações sobre a conformidade da OpenAI com o Regulamento Geral de Proteção de Dados (GDPR) no ano passado, levando à suspensão temporária do chatbot no mercado europeu. A DPA de Itália destacou no dia 30 de março, num chamado “registo de medidas”, a falta de uma base jurídica adequada para a recolha e tratamento de dados pessoais com a finalidade de treinar os algoritmos subjacentes ao ChatGPT, a propensão da ferramenta de IA para “alucinações” e possíveis preocupações com a segurança infantil. As autoridades acusaram a OpenAI de violar os artigos 5, 6, 8, 13 e 25 do GDPR.
As APD têm o poder de exigir alterações na forma como os dados são processados para impedir violações da privacidade dos cidadãos da UE. Assim, os reguladores poderiam forçar a OpenAI a mudar a sua abordagem ao processamento de dados pessoais ou forçar a empresa a deixar de oferecer os seus serviços na União Europeia.
Na primavera de 2023, a OpenAI conseguiu reativar o ChatGPT na Itália de forma relativamente rápida, após resolver uma série de violações identificadas pela DPA. No entanto, as autoridades italianas continuaram a sua investigação e chegaram a conclusões preliminares de que a ferramenta de IA da OpenAI viola a legislação da UE. As autoridades italianas ainda não publicaram uma lista de violações confirmadas do ChatGPT, mas a principal reclamação contra a OpenAI será muito provavelmente o próprio princípio de processamento de dados pessoais para formação de modelos de IA.
O ChatGPT foi desenvolvido utilizando uma riqueza de dados extraídos da Internet pública – informações que incluem dados pessoais de indivíduos. E o problema que a OpenAI enfrenta na UE é que requer uma base jurídica válida para processar os dados dos residentes da UE. O RGPD enumera seis fundamentos jurídicos possíveis, a maioria dos quais simplesmente não são relevantes neste contexto. Em abril passado, a DPA italiana deixou a OpenAI com apenas duas opções legais para treinar modelos de IA: “consentimento validado” ou “interesses legítimos”.
Dado que a OpenAI nunca tentou obter o consentimento de milhões (e possivelmente milhares de milhões) de utilizadores da Internet cujas informações recolheu e processou para construir modelos de IA, qualquer tentativa de reivindicar permissão dos europeus para processar os seus dados pessoais está fadada ao fracasso. A OpenAI fica, portanto, apenas com a opção de confiar na alegação de “interesses legítimos”. No entanto, este quadro também prevê o direito dos titulares dos dados de se oporem e solicitarem a cessação do tratamento das suas informações pessoais.
Fonte da imagem: OpenAI
Em teoria, todos os residentes da UE têm o direito de exigir que a OpenAI apreenda e destrua modelos treinados ilegalmente e retreine novos modelos sem utilizar os seus dados. Mas mesmo que assumissemos a possibilidade de identificar todos os dados tratados ilegalmente, teria de ser realizado um procedimento semelhante para cada cidadão da UE que se opusesse, o que é quase impossível de implementar na prática.
Há uma questão mais ampla sobre se a DPA reconhece, em última análise, que os “interesses legítimos” são uma base jurídica válida neste contexto. Tal decisão do regulador parece improvável. Afinal, os processadores de dados devem equilibrar os seus próprios interesses com os direitos e liberdades das pessoas cujos dados são processados, avaliar a possibilidade de lhes causar danos indevidos e também considerar se as pessoas esperavam que os seus dados fossem utilizados desta forma.
Notavelmente, numa situação semelhante, o Supremo Tribunal da UE considerou anteriormente que “interesses legítimos” eram uma base inadequada para a Meta✴ ao rastrear e traçar perfis de utilizadores com o propósito de direcionar publicidade nas suas redes sociais. Assim, existe um precedente legal negativo para a OpenAI que procura justificar o processamento de dados pessoais em grande escala para criar negócios comerciais de IA geradores – especialmente quando as ferramentas em questão criam todo o tipo de novos riscos para aqueles que são mencionados (desinformação, difamação, roubo de identidade e fraude). são apenas alguns deles). A OpenAI também está sob escrutínio quanto à conformidade com o GDPR na Polónia, onde foi lançada uma investigação separada sobre o assunto.
A OpenAI está a tentar mitigar potenciais riscos regulamentares na UE através da criação de uma organização separada na Irlanda, que no futuro deverá tornar-se um fornecedor de serviços de IA para utilizadores na UE. A OpenAI espera alcançar o chamado status de “estabelecimento principal” na Irlanda, o que lhe permitirá usar avaliações de conformidade com o GDPR apenas da Comissão Irlandesa de Proteção de Dados e operar na UE por meio de um mecanismo regulatório de janela única, evitando a supervisão de cada membro da UE autoridades da DPA do estado.
No entanto, a OpenAI ainda não alcançou este estatuto, pelo que o ChatGPT ainda pode enfrentar investigações por parte de DPAs noutros países da UE. E mesmo a obtenção do estatuto de “agência essencial” na Irlanda não impedirá a investigação e aplicação da lei já abertas em Itália.
A DPA italiana afirma que as autoridades de proteção de dados estão a tentar coordenar a supervisão do ChatGPT, estabelecendo um grupo de trabalho no âmbito do Conselho Europeu de Proteção de Dados. Esses esforços podem, em última análise, levar a resultados mais consistentes em investigações individuais da OpenAI. No entanto, por enquanto, as APD de cada membro da UE permanecem independentes e competentes para tomar decisões nos seus próprios mercados.