Dos riscos jurídicos na LGPD com a nova funcionalidade da IA Google Gemini

Quais os potenciais riscos jurídicos relacionados à Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil, decorrentes da nova funcionalidade da IA do Google Gemini. A capacidade do Gemini de acessar e interagir com dados de aplicativos de terceiros, como o WhatsApp, levanta preocupações significativas sobre a privacidade e o tratamento de dados pessoais.

Spacca

A LGPD (Lei nº 13.709/2018) estabelece um arcabouço legal para a proteção de dados pessoais no Brasil, visando a proteger os direitos fundamentais de liberdade e de privacidade. Qualquer tratamento de dados não conforme com seus princípios e com as bases legais pode acarretar sérias sanções administrativas, danos à reputação e ações judiciais.

Nova funcionalidade da IA Google Gemini e a privacidade

A notícia da Forbes destaca que o Google Gemini poderá acessar aplicativos de terceiros nos celulares, incluindo apps de mensagens. Embora o Google afirme que os dados não serão usados para treinamento da IA, a visualização e a interação com mensagens, imagens e notificações do WhatsApp, mesmo que mediante solicitação do usuário, gera um cenário de fronteiras nebulosas para a privacidade.

Marc Rivero, da Kaspersky, alerta que o acesso padrão do Gemini aos apps de terceiros levanta sérias bandeiras vermelhas em relação à privacidade, pois aplicativos de mensagens contêm conversas íntimas, dados pessoais e informações confidenciais. Conceder a uma ferramenta de IA acesso automático a essas mensagens, sem consentimento claro e explícito, mina fundamentalmente a confiança do usuário titular de dados pessoais.

Mesmo que o usuário precise pedir ao Gemini para acessar o WhatsApp, o fato da IA não ser impedida de acessar o aplicativo, representa um risco. A responsabilidade de desativar essa funcionalidade recai sobre o usuário, que precisa vasculhar as configurações para optar pela exclusão, o que não é o ideal em termos de proteção de dados e privacidade por design. Além disso, infringe artigos do CDC (Lei nº 8.078/90), como 4º, 6º e 14.

Princípios da LGPD e a nova funcionalidade da IA do Gemini

A LGPD é fundamentada em 10 princípios que devem ser observados em todas as operações de tratamento de dados pessoais. A nova funcionalidade da IA do Google Gemini, ao acessar dados de aplicativos de mensagens, pode potencialmente violar alguns desses princípios. Os mais relevantes para esta análise são:

• Finalidade: Tratamento de dados para propósitos legítimos, específicos, explícitos e informados ao titular. Qualquer uso secundário pode ser uma violação.
• Adequação: Compatibilidade do tratamento com as finalidades informadas. Acesso a todo o conteúdo de mensagens pode ser excessivo.
• Necessidade: Limitação do tratamento ao mínimo necessário para suas finalidades. Acesso irrestrito a mensagens e mídias pode ir além do estritamente necessário.
• Livre acesso: Garantia de consulta facilitada e gratuita sobre o tratamento. A complexidade para desativar dificulta o controle do usuário.
• Transparência: Informações claras, precisas e acessíveis sobre o tratamento. Falta de clareza e dificuldade de desativação comprometem a transparência.
• Segurança: Medidas técnicas e administrativas para proteger dados pessoais. Acesso da IA a dados sensíveis aumenta o risco de incidentes.
• Prevenção: Adoção de medidas para prevenir danos. A funcionalidade introduz um novo vetor de risco à privacidade.
• Não discriminação: Impossibilidade de tratamento para fins discriminatórios. Uso de dados de mensagens para perfilamento pode levar a discriminação.
• Responsabilização e prestação de contas: Demonstração da adoção de medidas eficazes para proteção de dados. A complexidade da funcionalidade dificulta essa demonstração.

Comparativo: Google Gemini e a decisão da Senacon sobre o Meta WhatsApp

A situação da IA do Google Gemini e o acesso aos dados de aplicativos de mensagens guardam semelhanças com a decisão da Senacon que impediu o Meta de tratar dados pessoais do WhatsApp no Brasil. Em 2021, Senacon, ANPD, Cade e MPF atuaram para questionar e para limitar a política de privacidade do WhatsApp que previa o compartilhamento de dados com outras empresas do grupo Meta.

Os principais critérios jurídicos utilizados pela Senacon e pelos demais órgãos foram:

• Consentimento insuficiente: Consentimento não claro, livre e informado para compartilhamento de dados. Recusa impedia uso do aplicativo, prática abusiva e violação ao princípio do livre consentimento da LGPD.
• Tratamento excessivo e desnecessário: Compartilhamento de dados excessivo e desnecessário para o serviço de mensagens, violando princípios da necessidade e da adequação da LGPD.
• Falta de transparência: Compartilhamento e finalidades não suficientemente claras, comprometendo a transparência.
• Violação dos direitos do consumidor: Imposição do compartilhamento como condição para uso do serviço, prática abusiva, ferindo direito à informação e liberdade de escolha.

Paralelos com a IA do Google Gemini

Ao comparar a situação da IA do Google Gemini com a decisão da Senacon sobre o Meta/WhatsApp, observam-se paralelos preocupantes:

Assim como no caso do Meta, a preocupação central com o Google Gemini reside na potencial violação dos princípios da LGPD, especialmente consentimento, necessidade, adequação e transparência. A capacidade de uma IA acessar comunicações privadas, mesmo que mediante solicitação, sem controle granular e fácil acesso, representa risco significativo à privacidade e à autodeterminação informativa.

A experiência da Senacon com o Meta serve como precedente, indicando que autoridades brasileiras estão atentas e dispostas a intervir em casos de tratamento de dados que violem a legislação de proteção de dados e direitos do consumidor.

Riscos jurídicos e sanções da LGPD

A violação dos princípios e das regras da LGPD podem acarretar diversas sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), além de outras consequências jurídicas e reputacionais. As principais sanções administrativas previstas no artigo 52 da LGPD incluem:

• Advertência: Com prazo para medidas corretivas.
• Multa simples: Até 2% do faturamento (máximo de R$ 50 milhões) por infração.
• Multa diária: Observado o limite total da multa simples.
• Publicização da infração: Após apuração e confirmação.
• Bloqueio dos dados pessoais: Até a regularização.
• Eliminação dos dados pessoais: Referente à infração.
• Suspensão parcial do funcionamento do banco de dados: Máximo de 6 meses, prorrogável.
• Suspensão do exercício da atividade de tratamento: Máximo de 6 meses, prorrogável.
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

No contexto do Google Gemini, os riscos jurídicos se materializam da seguinte forma:

1. Falta de consentimento explícito e informado: A LGPD exige consentimento livre, informado e inequívoco. Acesso do Gemini sem o consentimento claro e explícito é uma violação direta.
   
2. Tratamento excessivo de dados pessoais: Acesso e visualização de todo o conteúdo de mensagens pode ser excessivo e desnecessário para a finalidade de “auxiliar o usuário”.
3. Vazamento de dados e incidentes de segurança: Acesso da IA aos dados sensíveis aumenta a superfície de ataque. Incidentes sujeitam o Google a sanções e a notificação da ANPD.
4. Dificuldade no exercício dos direitos dos titulares: Complexidade na desativação dificulta o exercício do direito de oposição e de eliminação dos dados.
5. Responsabilidade do controlador: O Google, como controlador, deve demonstrar conformidade. A complexidade e a falta de transparência dificultam essa demonstração.
6. Danos reputacionais e ações judiciais: Violação da LGPD gera impacto negativo na reputação e ações judiciais por danos morais e materiais.

Conclusão

A nova funcionalidade da IA do Google Gemini, que permite acesso a dados de aplicativos de mensagens, representa um desafio para a conformidade com a LGPD. Embora o Google afirme que os dados não serão utilizados para treinamento da IA, a visualização e a interação com as informações sensíveis levantam preocupações sobre privacidade, sobre a necessidade e sobre a transparência.

Para mitigar os riscos, o Google precisa garantir o consentimento explícito e inequívoco, além de implementar mecanismos que garantam a minimização da coleta e do tratamento estritamente necessário. A facilidade de controle e de desativação é crucial para o cumprimento dos direitos dos titulares.

Caso contrário, a empresa estará sujeita a sanções administrativas da LGPD, incluindo multas elevadas, bloqueio/eliminação de dados, e publicização da infração, além de ações judiciais e danos à reputação. A proteção da privacidade deve ser prioridade no desenvolvimento de novas tecnologias de IA que deverão acontecer sempre em conformidade com a lei brasileira.

_______________________________

Referências

Forbes Brasil. A IA do Google Pode Ler Todas as Suas Mensagens; Veja Como Impedir. Disponível aqui.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível aqui.

BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Código de Proteção e Defesa do Consumidor (CDC). Disponível aqui.

GOV.BR. Senacon questiona Meta sobre uso de dados de brasileiros para treinar a IA. Disponível aqui.

GOV.BR. Cade, ANPD, MPF e Senacon concluem análise de adequação da política de privacidade do WhatsApp. Disponível aqui.