Autora: Giovana Figueiredo Peluso Lopes
Versão final da Lei após veto da Presidência retira a regra de que decisões tomadas de maneira automatizada deverão ser revistas por um humano.
No dia 9 de julho deste mês, foi publicada a Lei nº 13.853/2019, que aprovou, com alguns vetos presidenciais, o PLV nº 07/2019, colocando fim a um longo processo de intensa atividade legislativa rumo à criação de uma Lei Geral de Proteção de Dados no país.
Sancionada inicialmente em agosto de 2018 com vetos relativos à criação da Autoridade Nacional de Proteção de Dados Pessoais, a LGPD (Lei nº 13.709/2018) foi posteriormente alterada em dezembro do mesmo ano pela Medida Provisória nº 869/2018, permanecendo controvertidas as questões da Autoridade Nacional e do tratamento de dados pessoais pela Administração Pública.
Inúmeras emendas (mais de 170), audiências públicas e reuniões bilaterais depois, foi apresentado o já mencionado PLV nº 07/2019, com mudanças ao texto original da MP nº 869/2018, para apreciação pelo Presidente da República e subsequente aprovação.
Dentre as mudanças trazidas pela Lei nº 13.853/2019, têm recebido destaque as disposições concernentes à polêmica do funcionamento da Autoridade Nacional de Proteção de Dados Pessoais. Agora, a ANPD estará ligada à estrutura da Presidência da República, vinculando-se à administração pública direta por um período provisório de tempo. Desse modo, seus integrantes poderão advir de cargos já previstos na estrutura governamental, mas deverão passar por sabatina no Senado (como é o caso para as demais agências reguladoras, sujeitas à Lei nº 9.986/2000).
Além disso, assegura-se, ao menos em princípio, a autonomia decisória da ANPD e a não interferência no trabalho desempenhado pelo Conselho Diretor. Finalmente, após o interregno de dois anos, a Autoridade passará por um processo avaliatório, a fim de que o Poder Executivo averigue os custos e benefícios associados à sua transição para um modelo de autarquia federal (vinculada indiretamente à Administração Pública).
Embora não tenha recebido a mesma atenção ao longo da última semana, o veto presidencial ao §3º do art. 20 da LGPD traz consigo consequências relevantes no que diz respeito à proteção de dados pessoais no panorama brasileiro. Indo na contramão da legislação de outros países, em especial o General Data Protection Regulation (GDPR), retirou-se a exigência de que a revisão de decisões automatizadas deva ser feita por um humano, diminuindo o caráter protetivo da Lei Geral.
Decisões automatizadas são aquelas realizadas por algoritmos, sem que haja uma intervenção humana direta sobre o output por eles alcançado. Cita-se, como exemplos corriqueiros, a retirada de conteúdo de determinada rede social, ou então a concessão ou não de crédito a um requerente.
Em sua mensagem de veto, o presidente Jair Bolsonaro afirmou que a regra de revisão por um humano “contraria o interesse público”, uma vez que “inviabilizará os modelos atuais de planos de negócios de muitas empresas, notadamente das startups, bem como impacta na análise de risco de crédito e de novos modelos de negócios de instituições financeiras, gerando efeito negativo na oferta de crédito aos consumidores”.
Em consonância com a opinião do presidente está a advogada Rosana Muknicka, segundo a qual a revisão de análises feitas por algoritmos por humanos pode ser inviável para empresas pequenas, que teriam que contratar pessoal. Do mesmo modo, Lucas Ribeiro, sócio e diretor da ROIT Consultoria e Contabilidade, seria inviável para empresas com um enorme volume de usuários que decisões automatizadas fossem revisadas por pessoas – algo que somente aumentaria os custos, posteriormente repassados aos próprios clientes.
Na prática, o veto fará com que um pedido de revisão de uma decisão automatizada seja processado por um outro sistema também automatizado, ao invés de uma pessoa. Isto é problemático uma vez que reforça o padrão de opacidade desse tipo de sistema, de maneira anacrônica à discussão internacional vigente sobre proteção de dados e transparência de modelos negociais, sobretudo no que tange ao uso cada vez mais disseminado de inteligência artificial na coleta e tratamento de dados.
Para Renato Leite, do Data Privacy Brasil, “o titular dos dados perde porque se a vida da pessoa já é altamente impactada por algoritmos, então você pode ter um novo sistema para revisar o outro sistema – e todos eles serem pouco transparentes. Assim, o titular continua sendo sujeito a processos discriminatórios, e não terá possibilidade de auditar isso corretamente”.
Com efeito, a grande discussão envolvendo dados pessoais e decisões automatizadas – especialmente no âmbito de um direito à explicação e do agora vetado direito de revisão por um humano -, está no fato de que, conforme ressaltado por Will Knight, grande parte das vezes, o sistema é tão complicado que mesmo os engenheiros que o projetaram têm dificuldade em identificar o motivo por trás de uma ação isolada, inexistindo, atualmente, uma maneira óbvia de criar sistemas desse tipo capazes de sempre explicar o porquê de seus atos.
Restante, portanto, diante do cenário que se descortina, aguardar como a retirada da exigência de revisão por humanos da LGPD impactará a vida dos titulares de dados e repercutirá no âmbito internacional.
Fontes: