Marco Zorzi (*)
A Autoridade italiana de privacidade (GDPD) trouxe uma medida provisória de restrição, com efeito imediato, após um incidente de segurança ocorrido na empresa OpenAI (proprietária da plataforma ChatGPT) em 20 de março de 2023, que expôs parcialmente as conversas e alguns dados pessoais dos usuários italianos, incluindo endereços de e-mail e os últimos quatro dígitos de seus cartões de crédito.
É fundamental entender que, ainda que a plataforma ChatGPT tenha sido o objeto de discussões do ponto de vista político, sociológico e tecnológico, os motivos desta decisão estão baseados no Regulamento Geral de Proteção de Dados europeu (GDPR) de 2016 e no Código italiano da privacidade.
Portanto, não estamos analisando uma decisão com um teor, prima facie, político, mas sim uma deliberação que é o resultado de uma instrução “típica” de uma autoridade de proteção de dados. Dito isso, é preciso tecer alguns breves comentários sobre os motivos mais relevantes da decisão e as violações levantadas pela autoridade italiana.
Primeiro, a transparência destaca-se, mais uma vez, como um princípio fundamental das regulamentações de privacidade, a nível global. É com base neste princípio que a decisão evidencia que nenhuma informação foi fornecida aos usuários, nem aos interessados cujos dados são coletados pelo OpenAI, L.L.C. e tratados através do serviço ChatGPT.
Além disso, a autoridade evidencia a ausência de uma base legal que justifique a coleta e o armazenamento em massa de dados pessoais com o objetivo de “treinar” os algoritmos subjacentes à operação da plataforma. A crítica à adequação das bases legais definidas pela OpenAI representa, provavelmente, a questão mais sensível, uma vez que deve se aplicar a muitos sistemas de machine learning, não apenas à IA generativa.
Além disso, o uso potencialmente ilimitado de dispositivos eletrônicos e da Internet torna as crianças e adolescentes merecedores de maior proteção. Neste sentido, a autoridade italiana evidencia a ausência de qualquer verificação da idade dos usuários em relação ao serviço ChatGPT, “expondo-os a respostas totalmente inadequadas em relação ao seu grau de desenvolvimento e autoconsciência”.
Restrição de idade em redes sociais
Já com relação à restrição por idade, a maioria das plataformas de mídia social, incluindo TikTok, Instagram e Facebook, permitem que os usuários criem contas se tiverem pelo menos 13 anos de idade (em algumas jurisdições, este limite de idade pode ser superior). O debate, do ponto de vista sociológico, sobre a utilidade deste critério é atual e rico de contributos.
Ora, focando na perspectiva da proteção de dados, o desafio maior para as empresas com um público de menores de idade é criar mecanismos eficazes de verificação. Isso talvez não exclua a possibilidade de uma criança ou um adolescente criar uma conta de forma ilegal, certamente. Contudo, terá a vantagem de limitar o uso e a fruição inapropriados das plataformas.
O fato de a autoridade italiana evidenciar, na decisão, a falta de sistemas de verificação no ChatGPT ressalta, mais uma vez, a necessidade de uma conversa eficaz e estratégica entre os responsáveis pela criação do produto e os advisors jurídicos da empresa.
Em outras palavras, é fundamental que as empresas, desde a fase de implementação e antes de lançar novos produtos ou serviços no ar, integrem mecanismos técnicos que garantam o respeito dos requisitos estabelecidos pelas leis de privacidade aplicáveis. A mencionada medida de restrição provisória afeta o uso da plataforma pelos usuários italianos, pois foi emitida por uma autoridade nacional, e não europeia ou internacional.
Contudo, as analogias principiológicas apresentadas por algumas regulamentações globais de privacidade – por exemplo, a GDPR e a LGPD – me levam a pensar que a decisão possa vir a ter uma repercussão global e servir de base para decisões similares ou alterações nas regulamentações de policymakers.
Por enquanto, a OpenAI, empresa com sede em São Francisco, tem um prazo para responder ao pedido, respaldada pela ameaça de penalidades se ela não cumprir.
(*) – É advogado italiano e consultor da Andersen Ballão Advocacia para a área de proteção de dados (www.andersenballao.com.br).