O órgão de proteção de dados da União Europeia analisou questões emergentes relativas à legalidade da IA GenAI. O conselho explorou brechas que os desenvolvedores de IA podem explorar para processar dados pessoais sem infringir a legislação vigente.
O Conselho Europeu de Proteção de Dados levantou questões sobre a base legal para os desenvolvedores de IA processarem dados pessoais de usuários. Em um parecer publicado em 17 de dezembro, o Conselho abordou várias questões de aplicação geral em conformidade com o Artigo 64(2) do RGPD.
O Conselho Europeu de Proteção de Dados analisa questões relacionadas à proteção de dados e à implementação de IA
O Conselho Europeu de Proteção de Dados (EDPB) emitiu o parecer a pedido da autoridade supervisora irlandesa. O Conselho observou que tinha um mandato legal, ao abrigo do Regulamento Geral sobre a Proteção de Dados (RGPD), para emitir pareceres sobre assuntos que afetam mais de um Estado-Membro da União Europeia.
A agência destacou as solicitações apresentadas pela entidade irlandesa relacionadas ao processamento de dados pessoais durante as fases de desenvolvimento e implementação da Inteligência Artificial (IA). A sua opinião restringiu-se a quatro questões relacionadas com a proteção de dados na União Europeia.
As questões abordadas incluíram quando e como um modelo de IA pode ser considerado anônimo e como os controladores podem demonstrar a necessidade de interesse legítimo na implementação. O conselho também explorou as consequências do processamento ilegal de dados durante a fase de desenvolvimento de um modelo de IA sobre a operação subsequente desse modelo.
Em relação à questão de quando e como o anonimato de um modelo de IA pode ser determinado, o órgão declarou que uma autoridade local competente deve fazer essa determinação caso a caso. O conselho expressou que não considera todos os modelos de IA treinados com dados pessoais como anônimos.
O órgão recomendou que as autoridades nacionais de supervisão avaliem a documentação relevante fornecida pelo controlador para determinar o anonimato do modelo. Acrescentou ainda que os controladores devem tomar as medidas adequadas para limitar a coleta de dados pessoais durante o treinamento e mitigar possíveis ataques.
Em relação à questão do interesse legítimo como base legal apropriada para o processamento de dados pessoais durante a implementação de modelos de IA, o conselho deixou a cargo dos controladores a determinação da base legal apropriada para o processamento de tais dados.
O CEPD enfatizou o teste de três etapas para determinar o interesse legítimo dos órgãos de supervisão. As etapas incluemdento interesse legítimo real e analisar sua necessidade. Os controladores também devem avaliar se o interesse legítimo é compatível com os direitos e liberdades dos titulares dos dados.
Ao avaliar as consequências, o órgão remeteu a decisão às autoridades de supervisão dos respectivos estados. Acrescentou que as autoridades de supervisão devem escolher as consequências adequadas, dependendo dos factos de cada cenário.
A Comissão de Proteção de Dados da Irlanda comenta o parecer do CEPD sobre a regulamentação de modelos de IA
A Comissão de Proteção de Dados da Irlanda respondeu em comunicado, observando que o parecer promoveria uma regulamentação eficaz e consistente dos modelos de IA na UE. O Comissário Dale Sunderland comentou:
Isso também apoiará o envolvimento da DPC com empresas que desenvolvem novos modelos de IA antes de seu lançamento no mercado da UE, bem como o tratamento das muitas reclamações relacionadas à IA que foram submetidas à DPC.
Dale Sunderland
Nos últimos meses, surgiram relatos de reclamações contra a OpenAI, criadora do ChatGPT. A Autoridade Polonesa de Proteção de Dados questionou, no ano passado, a conformidade da desenvolvedora de IA com o GDPR.
A autoridade alegou que a OpenAI ignorou requisitos como a consulta prévia aos reguladores em casos de risco de violação de dados pessoais. O regulador observou que a OpenAI lançou o ChatGPT sem consultar os reguladores locais, em violação das diretrizes do RGPD (Regulamento Geral sobre a Proteção de Dados).
A Autoridade Italiana ) também ordenou que a OpenAI cessasse o processamento de dados pessoais em 2023, antes mesmo de solucionar os problemas que haviadentna plataforma da empresa. A Garante destacou que a empresa, sediada em São Francisco, não possuía medidas para impedir o acesso de menores à tecnologia, conforme exigido por lei.
A autoridade reguladora alertou que o não cumprimento das diretrizestracpenalidades, incluindo uma multa de quatro por cento do faturamento anual ou vinte milhões de euros, o que fosse maior.
