EDPB Publica Opinião sobre Privacidade em Modelos de IA
Na quarta-feira, o Comitê Europeu de Proteção de Dados (EDPB) divulgou uma opinião que explora como os desenvolvedores de IA podem utilizar dados pessoais para criar e implementar modelos de IA, como modelos de linguagem grandes (LLMs), sem infringir as leis de privacidade do bloco. O Comitê desempenha um papel crucial na aplicação dessas leis, emitindo diretrizes que apoiam a execução regulatória, o que torna suas visões bastante significativas.
Questões abordadas pela opinião do EDPB
A opinião abrange áreas como se os modelos de IA podem ser considerados anônimos (o que significaria que as leis de privacidade não se aplicariam); se uma “base de interesses legítimos” pode ser usada para processar dados pessoais de forma legal para o desenvolvimento e a implementação de modelos de IA (o que indicaria que o consentimento dos indivíduos não seria necessário); e se modelos de IA que foram desenvolvidos com dados processados ilegalmente poderiam ser implementados legalmente posteriormente.
A questão de qual base legal poderia ser apropriada para os modelos de IA, garantindo sua conformidade com o Regulamento Geral sobre a Proteção de Dados (GDPR), continua a ser um tema polêmico e aberto. Já vimos o ChatGPT da OpenAI enfrentando problemas por aqui. Ignorar as regras de privacidade pode resultar em penalidades de até 4% do faturamento global anual e/ou ordens para mudar como as ferramentas de IA funcionam.
Precedentes e Queixas
Quase um ano atrás, a autoridade de proteção de dados da Itália emitiu uma conclusão preliminar de que o chatbot da OpenAI infringia o GDPR. Desde então, outras queixas foram registradas contra a tecnologia, incluindo na Polônia e na Áustria, abordando aspectos como a base legal para o processamento de dados, a tendência de inventar informações e a incapacidade de corrigir declarações errôneas sobre indivíduos.
O GDPR contém regras sobre como os dados pessoais podem ser processados legalmente e uma série de direitos de acesso a dados para indivíduos — como o direito de solicitar uma cópia de dados mantidos sobre eles; ter dados excluídos; e corrigir informações incorretas. No entanto, para chatbots de IA que confabulam (ou “alucinam”, como a indústria define), esses pedidos não são triviais.
Regulamentação e Ação dos Autoridades de Proteção de Dados
Apesar de ferramentas de IA generativas enfrentarem queixas no âmbito do GDPR rapidamente, houve uma aplicação da regulamentação em um ritmo bem mais lento. As autoridades de proteção de dados da UE estão claramente lutando para aplicar regras de proteção de dados há muito estabelecidas em uma tecnologia que requer grandes quantidades de dados para treinamento. A opinião do EDPB visa auxiliar os órgãos de supervisão em sua tomada de decisões.
Em uma declaração, a Comissão de Proteção de Dados da Irlanda (DPC), que iniciou o pedido de opiniões sobre as áreas abordadas, sugeriu que a opinião do EDPB “permitirá uma regulamentação proativa, eficaz e consistente” dos modelos de IA em toda a região. Dale Sunderland, comissário da DPC, acrescentou que ajudará o engajamento com empresas desenvolvedoras de novos modelos de IA antes de seus lançamentos no mercado da UE, além de lidar com as muitas reclamações relacionadas à IA já submetidas à DPC.
Pontos Chave para Desenvolvedores e Reguladores
Além de orientar os reguladores sobre como abordar a IA generativa, a opinião oferece diretrizes para os desenvolvedores sobre como os reguladores de privacidade podem decidir questões cruciais, como a legalidade. No entanto, a mensagem principal que devem levar é que não haverá uma solução única para a incerteza legal que enfrentam.
Anonimato dos Modelos de IA
Sobre a questão do anonimato dos modelos — definido como um modelo de IA que não deve “provavelmente” identificar indivíduos cujos dados foram utilizados — a opinião enfatiza que essa avaliação deve ser realizada “caso a caso”. O documento apresenta uma lista não prescritiva de métodos que os desenvolvedores podem usar para demonstrar anonimato, como a seleção de fontes para dados de treinamento que evitem ou limitem a coleta de dados pessoais, minimização e filtragem de dados durante a preparação, e a aplicação de técnicas que garantam a privacidade.
Interesses Legítimos e Modelos de IA
A opinião também questiona se uma base de interesses legítimos pode ser utilizada para o desenvolvimento e a implementação de IA. Isso é fundamental, pois poucas bases legais disponíveis no GDPR são adequadas para IA. Os interesses legítimos provavelmente serão a escolha favorita dos desenvolvedores, pois não requer consentimento de cada indivíduo cujos dados estão sendo processados.
Conforme a avaliação das necessidades e direitos individuais é necessária, o EDPB permite que é possível que modelos de IA atendam aos critérios para se basear em uma base de interesses legítimos, sugerindo, por exemplo, serviços que assistem os usuários.
Abordagem para Modelos Treinados Ilegalmente
A opinião também analisa a questão de como os reguladores devem abordar modelos de IA que foram treinados com dados processados de maneira ilegal. A recomendação é que os reguladores considerem “as circunstâncias de cada caso individual”. Embora a opinião ofereça uma espécie de cláusula de escape para modelos que podem ter sido construídos em fundações legais instáveis, se tomarem medidas para garantir que quaisquer dados pessoais sejam anonimados antes da fase de implantação.
Considerações Finais
Lukasz Olejnik, consultor independente, comentou que deve haver cuidado para não permitir esquemas de uso sistemático incorreto. “Focando apenas no estado final (anonimização), o EDPB pode, sem querer, legitimar a coleta de dados da web sem bases legais adequadas, o que potencialmente compromete o princípio fundamental do GDPR de que os dados pessoais devem ser processados legalmente em todas as etapas”.