Opinião de Cláudia Fernandes Martins, advogada sénior da Macedo Vitorino & Associados, especializada em Direito Societário e Comercial.
Para muitos até pode ter passado despercebido, mas a verdade é que o Regulamento Geral de Proteção de Dados (RGPD) aparece indissociavelmente ligado ao tema da “Inteligência Artificial”. E tanto assim éque não foi coincidência que na data em que se assinalou o “Dia da Proteção de Dados” – dia 28 de janeiro de 2019 –, o Conselho da Europa, através do Comité Consultivo da Convenção para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados (Convenção 108), tenha publicado um conjunto de Orientações sobre Inteligência Artificial e Proteção de Dados.
Quando falamos de Inteligência Artificial estamos a referir-nos predominantemente a dados, ou melhor,a conjuntos de dados (de dados pessoais, mas não só), que são usados para “ensinar” os algoritmos, pelo que grande parte do sucesso dos sistemas de Inteligência Artificial ficará a dever-se aos dados objeto de tratamento.
Se é verdade que a utilização de aplicações com recurso ao uso da Inteligência Artificial poderá ser uma mais-valia pense-se, por exemplo, na sua utilização no setor da indústria, da investigação científica e tecnológica, da saúde, ao nível do controlo e prevenção de fraudes e da evasão fiscal, entre outros. Por outro lado, não é menos verdade que o uso da Inteligência Artificial poderá afectar os direitos de privacidade e de proteção de dados pessoais e que, neste âmbito, há medidas a adotar e riscos que devem ser acautelados.
Assim, e a pensar também no recurso a sistemas de Inteligência Artificial (que se diga, já são hoje em dia uma realidade como, por exemplo, na definição de perfis para efeitos de publicidade comportamental, nas práticas de recrutamento eletrónico sem qualquer intervenção humana, e, em algumas utilizações, no âmbito do diagnóstico médico) e na sua evolução tecnológica, o RGPD prevê que qualquer pessoa tem direito a aceder aos seus dados pessoais e de exercer esse direito (de acesso e informação) com facilidade e a intervalos razoáveis, a fim de conhecer e verificar a ilicitude do tratamento.
Isto significa que cada pessoa deverá ter o direito de conhecer e ser informada, nomeadamente, das finalidades para as quais os seus dados pessoais são tratados, do período durante o qual os dados são tratados (se possível), da identidade dos destinatários dos dados pessoais, da lógica subjacente ao tratamento automático dos seus dados pessoais e, pelo menos quando tiver por base a definição de perfis, das respetivas consequências.
Mais, cada pessoa deverá ter o direito de não ficar sujeita a uma decisão, que poderá incluir uma medida que, avaliando os seus aspetos pessoais, se baseie exclusivamente num tratamento automatizado. De entre as formas de tratamento automatizado encontra-se, por excelência, a definição de perfis, pelo que cada pessoa deverá ter o direito a não ficar sujeito a um tratamento que avalie os seus aspetos pessoais, como, por exemplo, a sua situação económica, estado de saúde, preferências ou interesses pessoais, comportamento, localização ou deslocações, quando essa análise vise a produção de determinados efeitos jurídicos ou a afetem significativamente.
Pense-se, por exemplo, na recusa automática de um pedido de crédito por via eletrónica a partir de uma avaliação automatizada da situação económica de uma pessoa, ou da recusa de um contrato de seguro, em função do quadro genético dessa pessoa, ou ainda, no âmbito de um processo de recrutamento, na escolha de um determinado candidato em detrimento de um outro a partir de um recrutamento automatizado sem qualquer intervenção humana. Este último exemplo não é, aliás, uma hipótese meramente teórica ou remota. Em 2014, a Amazon criou um sistema baseado em Inteligência Artificial para a contratação de colaboradores. Sucede, no entanto, que o algoritmo utilizado, o qual foi construído a partir de perfis de ex-candidatos, discriminava, de forma sistemática, os candidatos do sexo feminino, especialmente para funções com um perfil mais técnico ou de desenvolvimento de software.
O tratamento automatizados de dados, incluindo a decisão e definição de perfis automatizada, com recurso a Inteligência Artificial fica, portanto, sujeita às regras do RGPD que regem o tratamento de dados pessoais, entre outros, o fundamento jurídico do tratamento e os princípios da proteção de dados, incluindo os princípios da transparência e da responsabilidade («accountability»).
No atual contexto do RGPD, caberá às empresas – fabricantes, programadores, vendedores, prestadores de serviços – adotarem medidas técnicas e organizativas que garantam, entre outros aspetos, que fatores que introduzam imprecisões nos dados pessoais sejam corrigidos e que seja minimizado o risco de erros, bem como medidas de proteção para acautelar os potenciais riscos para os interesses e direitos dos indivíduos e de forma a prevenir efeitos discriminatórios, como aconteceu no exemplo da Amazon.
Como alerta o Comité Consultivo, nas suas recentes orientações, a consulta de grupos independentes de especialistas em várias áreas que possam dar os seus contributos na criação de sistemas de Inteligência Artificial com respeito pelos direitos humanos e orientados para questões éticas e sociais, bem como a adoção de códigos de conduta e mecanismos de certificação poderão ter um papel relevante.
É igualmente importante estabelecer, de forma clara, expressa e inequívoca, o papel e obrigações de cada um dos diferentes intervenientes em relação a todo o ciclo de vida dos sistemas de Inteligência Artificial, e que permita, em caso de falha, imputar a respetiva responsabilidade a quem de direito. Claro que antes, seria aconselhável que o legislador define-se o regime de responsabilidade para esses casos, mas isso é outra história…
Leia também: “A era digital trouxe a economia dos dados e está a mudar os consumidores”