GDPR e decisões automatizadas: Limites a um "Direito à explicação"



O Regulamento Geral de Proteção de Dados da União Europeia, ou “GDPR”, sigla derivativa do termo em inglês General Data Protection Regulation, que entrou em vigor em 25 de maio de 2018, tem como objetivo reforçar e unificar a proteção dos dados pessoais no âmbito da União Europeia (UE), inserindo-se em um contexto global em que a coleta e o tratamento desses dados se faz cada vez mais presente no dia a dia em sociedade.

Desde a sua aprovação em abril de 2016, tem sido amplamente alegado que o GDPR impõe um “direito à explicação” de todas as decisões automatizadas feitas por sistemas de inteligência artificial, como forma de promover a transparência e a responsabilidade (“accountability”), princípios norteadores do Regulamento. Entretanto, diante da inexistência de menção expressa a tal direito no texto principal do GDPR, bem como da linguagem ambígua adotada em muitos de seus artigos, configura-se, atualmente, um cenário de incerteza acerca de sua aplicação e abrangência.

Ao contrário do que tem sido comumente afirmado tanto pela mídia quanto pelo meio acadêmico[1], o direito à explicação previsto no Regulamento estaria limitado a uma explicação relativa à funcionalidade do sistema, isto é, à lógica geral de seu funcionamento e suas consequências previstas, fornecendo, assim, uma explicação ex ante à tomada de decisão. O direito à explicação de decisões específicas, por outro lado, que englobaria as razões e circunstâncias individuais de determinada decisão automatizada, possibilitando também uma explicação ex post, não faria parte do escopo de aplicação do Regulamento[2].

Por que um direito à explicação?

Cada vez mais, empresas e governos têm feito uso de sistemas de machine learning, ou aprendizado de máquina, para tomar ou dar suporte a decisões que possuem um impacto crucial na vida de indivíduos, variando desde o preço e disponibilidade de bens e serviços online, elegibilidade para obtenção de crédito ou benefícios previdenciários, até decisões relativas à reincidência criminal e liberação sob fiança[3].

Ocorre que, como tais algoritmos são treinados a partir de dados já existentes, há o risco de que eles repliquem ou até mesmo exacerbem padrões históricos indesejados de inequidade ou discriminação, ainda que não intencionalmente. Por exemplo, um sistema de análise e filtragem de currículos que se baseie apenas nas taxas de sucesso anteriores dos candidatos muito provavelmente reproduzirá vieses exibidos em modelos tradicionais e não automatizados de contratação, compreendendo a ausência de mulheres ou negros no passado como um padrão a ser replicado.

Um sério obstáculo ao desafio de tais sistemas consiste no fato de que seus outputs, ou resultados, que se traduzem com ou sem intervenção humana em uma decisão, não são realizados por humanos ou até mesmo por regras legíveis a humanos, mas por técnicas matemáticas menos escrutáveis. Nesse sentido, imagine-se um solicitante de empréstimo que tem seu crédito negado por um desses sistemas - ele não poderá compreender facilmente se seus dados foram erroneamente inseridos, o que ele pode fazer para ter maiores chances de aceitação no futuro, ou principalmente provar que o sistema é discriminatório (com base em sua raça ou gênero, por exemplo)[4]. É justamente em virtude dessa opacidade que o funcionamento de tais algoritmos é comparado ao de uma “caixa preta” (“the AI black box”, no original em inglês)[5].

Nesse contexto, a transparência no formato de um direito à explicação tem emergido como uma solução atrativa, uma vez que intuitivamente promete a abertura dessa “caixa preta” algorítmica e o consequente empoderamento dos titulares de dados. Da forma como é popularmente interpretado, ele envolveria explicações acerca de decisões automatizadas específicas, depois que as mesmas foram tomadas. Entretanto, a análise atenta dos dispositivos do GDPR que fornecem a sua base legal revela não se tratar de um remédio tão simples e eficaz quanto aparenta.

Os fundamentos legais do direito à explicação no GDPR

No Regulamento Geral, o direito à explicação é comumente derivado de algum dos seguintes dispositivos:

  1. das salvaguardas contra a tomada de decisões automatizadas, conforme exigido pelo Artigo 22(3) do Regulamento e comentado pelo seu Considerando 71;

  2. dos deveres de notificação previstos nos Artigos 13-14 e comentados pelos Considerandos 60-62; ou

  3. do direito de acesso previsto pelo Artigo 15, e comentado pelo Considerando 63[6].

Na primeira dessas hipóteses, que diz respeito ao direito do titular de dados a não ser submetido a decisões tomadas exclusivamente com base no tratamento automatizado, tem-se que o Artigo 22(3) estabelece que

Nos casos a que se referem o n.º 2, alíneas a) [para a celebração ou a execução de um contrato] e c) [for baseada no consentimento explícito], o responsável pelo tratamento aplica as medidas adequadas para salvaguardar os direitos e liberdades e legítimos interesses do titular dos dados, designadamente o direito de, pelo menos, obter intervenção humana por parte do responsável, manifestar o seu ponto de vista e contestar a decisão.

Os direitos listados no artigo em análise não constituem um rol exaustivo de salvaguardas, mas sim uma lista de requisitos mínimos, levantando a questão de quais outros direitos poderiam ser invocados pelo titular de dados de forma a beneficiá-lo dentro do contexto previsto pelo dispositivo - o direito de receber uma explicação para uma decisão automatizada específica depois de sua realização parece o mais óbvio deles[7]. Contudo, a menção expressa deste direito ocorre apenas no Considerando 71, que estabelece que o

(...) tratamento deverá ser acompanhado das garantias adequadas, que deverão incluir a informação específica ao titular dos dados e o direito de obter a intervenção humana, de manifestar o seu ponto de vista, de obter uma explicação sobre a decisão tomada na sequência dessa avaliação e de contestar a decisão.

Um Considerando por si só, entretanto, não possui efeito vinculante, fornecendo apenas orientações sobre como os artigos devem ser interpretados. Se vinculante, tal disposição exigiria uma explicação ex post de decisões específicas, uma vez que o Considerando 71 trata das salvaguardas a serem aplicadas quando uma decisão for tomada. A análise dos esboços prévios do GDPR e comentários das negociações entre a Comissão, o Parlamento e o Conselho Europeu revela, porém, não ter sido essa a intenção dos legisladores, considerando que salvaguardas mais rigorosas no que tange à tomada de decisões automatizadas e perfilamento, incluindo-se um direito à explicação juridicamente vinculante, foram retirados do texto principal adotado em 2016[8].

Os Artigos 13 e 14 do GDPR, por sua vez, impõem deveres de notificação para os controladores de dados quando do processamento de dados coletados diretamente de seu titular ou de terceiros, respectivamente. Dentre as informações necessárias para garantir um processamento justo e transparente, inclui-se a informação acerca da existência de decisões automatizadas (das quais o Artigo 22(1) e (4) trata), e, “pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular de dados”.

Tais disposições são melhor compreendidas como abrangendo apenas o fornecimento de informações ex ante à tomada de decisão. Isso porque a notificação deve ocorrer, segundo o Artigo 13(2), no momento em que os dados pessoais são coletados para processamento. O mesmo é válido nos casos em que os dados são coletados de terceiros, na medida em que o responsável pelo seu tratamento só precisa notificar o seu titular dentro do prazo de 30 dias após a ocorrência da coleta – e apenas uma explicação da funcionalidade do sistema é logicamente possível antes da tomada de decisão[9].

Finalmente, é possível encontrar fundamento para um direito à explicação no direito de acesso previsto no Artigo 15 do GDPR. Enquanto os Artigos 13 e 14 previamente analisados impõem deveres de notificação aos controladores de dados, o Artigo 15 estabelece, em contrapartida, um direito de acesso ao titular desses dados, que deve ser por ele invocado. Juntos, esses artigos constituem uma unidade, visto que fornecem ao titular de dados acesso a informações idênticas e utilizam a mesma linguagem.

Inobstante a redação idêntica dos Artigos 15(1)h, 13(2)f e 14(2)g, o direito de acesso não se limitaria, a princípio, a uma explicação ex ante da funcionalidade do sistema. Por depender de uma solicitação por parte do titular de dados que pode ser feita a qualquer tempo, é possível que a informação seja por ele requerida após a tomada de uma decisão automatizada específica, envolvendo uma explicação da mesma.

Existem, porém, razões suficientes para duvidar que o direito de acesso represente um direito a explicações ex post de decisões específicas. Primeiro, o termo “consequências previstas” (“envisaged consequences”) possui orientação futura, exigindo dos controladores de dados a antecipação das possíveis consequências de seus métodos automatizados de tomada de decisão, antes que ela seja realizada. Aplicar-se-ia, assim, a mesma restrição temporal dos Artigos 13 e 14, que permite apenas uma explicação acerca da funcionalidade do sistema[10].

Ainda, a análise da implementação do direito de acesso pelos Estados-Membros da União Europeia sob a vigência da Diretiva 95/48/CE[11], instrumento normativo de proteção de dados que deu lugar ao GDPR, revela inúmeros interesses e exceções que limitaram significativamente tanto o seu escopo de aplicação quanto o conteúdo da explicação oferecida (como segredos industriais e direitos de propriedade intelectual). Em geral, os titulares de dados têm direito a receber algumas informações sobre a funcionalidade geral de um sistema autônomo de tomada de decisão, mas pouca ou nenhuma informação sobre as razões ou circunstâncias de uma decisão específica[12].

Se a interpretação do GDPR seguir a precedência histórica, portanto, muito provavelmente um direito à explicação não apresentará a solução definitiva para o problema da opacidade, mas será igualmente limitado à funcionalidade de sistemas de tomada de decisão automatizados – apenas um “direito a ser informado” (“right to be informed”)[13].

Alternativas a um direito à explicação

Ainda que um direito geral e irrestrito à explicação fosse de fato imposto pelo Regulamento europeu, os tipos de informações algorítmicas que seriam oferecidas aos titulares de dados não resultariam no seu imediato empoderamento, uma vez que eles não possuem o tempo, recurso ou a expertise necessária para fazer uso significativo desse direito – resultando naquilo que Veale e Edwards denominaram “falácia da transparência”: a mera ilusão de um remédio em vez de algo substancialmente útil, de forma similar à amplamente discutida falácia do consentimento[14]. Pelo contrário, a abordagem tradicionalmente individualista de questões relacionadas à privacidade e à proteção de dados pode resultar em um verdadeiro fardo, recaindo sobre um único sujeito a tarefa de obter informações sobre o sistema, interpretá-las e contestá-las.

Justamente por isso, questiona-se, atualmente, se o foco excessivo apenas em um direito à explicação não pode ser prejudicial, por não levar em conta outros mecanismos existentes – e talvez até mais eficientes – capazes de promover os interesses dos titulares de dados sem sobrecarregá-los com o ônus de terem que tentar compreender informações sobre um sistema que às vezes não são claras nem mesmo para aqueles que o criaram.

Nesse sentido, citam-se os mecanismos capazes de serem escrutinados durante todo o processo de construção do sistema, e não somente após a ocorrência de danos, como as avaliações de impacto sobre a proteção de dados, a criação de esquemas de certificação ou selos, e a promoção de princípios de “privacy by design”. Além disso, o fardo carregado por sujeitos de dados que sofreram algum dano em virtude de decisões automatizadas injustas ou discriminatórios poderia ser diminuído fazendo uso das previsões do GDPR quanto à representação e ações coletivas por entidades não-governamentais.

Tais mecanismos requerem, ainda, uma investigação mais aprofundada de como se dará sua implantação, porém, acredita-se que, juntamente com o direito a ser informado previsto no GDPR, eles fornecerão um importante arcabouço protetivo aos titulares de dados pessoais.

*Trabalho originalmente apresentado no I Congresso de Ciência, Tecnologia e Inovação: Políticas e Leis.

Referências

[1] GOODMAN, Bryce; FLAXMAN, Seth. EU Regulations on Algorithmic Decision-Making and a “Right to Explanation”. AI Magazine, v. 38, n. 03, 2016, p. 1-10.

[2] FLORIDI, Luciano; MITTELSTADT, Brent; WACHTER, Sandra. Why a right to explanation of automated decision-making does not exist in the General Data Protection Regulation. International Data Privacy Law, 2017, p. 1-47. Disponível em: <https://ssrn.com/abstract=2903469>. Acesso em: 24/09/18.

[3] YONG, Ed. A Popular Algorithm Is No Better at Predicting Crimes Than Random People. The Atlantic, jan. 2018. Disponível em: <https://www.theatlantic.com/technology/archive/2018/01/equivant-compas-algorithm/550646>. Acesso em: 08/09/18; ANGWIN, Julia; LARSON, Jeff; MATTU, Surya; KIRCHNE, Lauren. Machine Bias. ProPublica, maio 2018. Disponível em: <https://www.propublica.org/article/machine-bias-risk-assessments-in-criminal-sentencing>. Acesso em: 18/09/18.

[4] EDWARDS, Lilian; VEALE; Michael. Enslaving the Algorithm: From a ‘Right to an Explanation’ to a ‘Right to Better Decisions’? IEEE Security & Privacy, v. 16, n. 3, 2018, p. 46-54. Disponível em: <https://ssrn.com/abstract=3052831>. Acesso em: 04/10/18.

[5] PASQUALE, Frank. The Black Box Society: The secret algorithms that control money and information. Cambridge: Harvard University Press, 2015.

[6] UNIÃO EUROPEIA. Regulamento (UE) nº 2016/679 do Parlamento Europeu e do Conselho (Regulamento Geral sobre a Proteção de Dados). Estrasburgo, 04/05/2016.

[7] MENDOZA, Isak; BYGRAVE, Lee A. The Right not to be Subject to Automated Decisions based on Profiling. University of Oslo Faculty of Law Research Paper, n. 20, 2017, p. 01-23. Disponível em: <https://ssrn.com/abstract=2964855>. Acesso em: 10/10/18.

[8] FLORIDI et. al, op. cit., p. 11.

[9] Ibid., p. 15.

[10] Ibid., p. 17-18.

[11] UNIÃO EUROPEIA. Diretiva 95/46/CE do Parlamento Europeu e do Conselho. Estrasburgo, 24/10/1995.

[12] FLORIDI et. al, op. cit., p. 21.

[13] Ibid., p. 5.

[14] EDWARDS, Lilian; VEALE; Michael. Slave to the Algorithm? Why a ‘right to an explanation’ is probably not the remedy you are looking for. Duke Law & Technology Review, v. 16, n. 01, 2017, p. 67. Disponível em: <https://ssrn.com/abstract=2972855>. Acesso em: 01/09/18.

#GDPR #Direitoàexplicação

Centro DTIBR - Direito, Tecnologia e Inovação

Avenida João Pinheiro, 146, 10º andar, Lourdes

Belo Horizonte/MG, Brasil

CEP 30.130-927

CNPJ 32.727.924/0001-80

Clique aqui para nossa localização