Aplicação do GDPR: Como os Reguladores da UE Estão Moldando a Governança da IA
A rápida implementação de sistemas de inteligência artificial (IA) na União Europeia (UE) trouxe a legislação de proteção de dados para o centro da governança da IA. Como muitos sistemas de IA dependem do processamento em larga escala de dados pessoais, o Regulamento Geral sobre a Proteção de Dados (GDPR) tem atuado, na prática, como o primeiro quadro de aplicação efetivo e horizontalmente aplicável para a IA, muito antes da entrada em vigor da Lei de Inteligência Artificial da UE.
Mais de sete anos após a entrada em vigor do GDPR, as autoridades nacionais de proteção de dados (DPAs) estão aplicando regras de proteção de dados de forma concreta a práticas relacionadas à IA. Em toda a UE, as DPAs iniciaram investigações, adotaram medidas corretivas e, em alguns casos, impuseram multas significativas em relação a uma ampla gama de tecnologias habilitadas por IA, como identificação biométrica, reconhecimento facial, tomada de decisão automatizada e perfilamento, além do treinamento e implantação de modelos de IA. Essa atividade reflete o papel crescente das DPAs na proteção dos direitos fundamentais dos indivíduos.
Ao mesmo tempo, a aplicação permanece desigual em toda a UE. Diferenças em recursos, expertise técnica e prioridades nacionais resultaram em níveis variados de escrutínio e intervenção, contribuindo para uma aplicação fragmentada do GDPR em contextos relacionados à IA. A crescente complexidade técnica dos sistemas de IA tem ainda testado os limites de um quadro neutro em relação à tecnologia, projetado para operações de processamento diversas.
Como as DPAs da UE Estão Aplicando o GDPR em Casos de IA
As DPAs construíram experiência para abordar questões relacionadas à IA por meio de diretrizes, melhores práticas e ações de aplicação concretas em níveis nacional e internacional. Múltiplas ações em toda a UE mostram o GDPR funcionando como um quadro de aplicação de fato para a IA.
Especificamente, o Conselho Europeu de Proteção de Dados (EDPB) reconheceu em uma declaração que as DPAs devem ter um papel proeminente na aplicação relacionada à IA. O EDPB incentivou os Estados-membros a designar as DPAs como autoridades de supervisão de mercado para certos sistemas de IA de alto risco, enfatizando sua experiência na supervisão baseada em direitos fundamentais. Isso posiciona as DPAs como interlocutores naturais para sistemas de IA que envolvem dados pessoais, reforçando a continuidade entre a supervisão do GDPR e a supervisão futura da Lei de IA.
As tecnologias biométricas habilitadas por IA enfrentaram uma aplicação rigorosa por parte das DPAs. Sistemas de reconhecimento facial baseados na coleta em larga escala de imagens de sites públicos e redes sociais foram considerados como infringindo princípios fundamentais do GDPR, incluindo a falta de uma base legal válida e o processamento ilegal de categorias especiais de dados.
Apesar da crescente atividade, a aplicação do GDPR em contextos relacionados à IA permanece desigual em toda a UE. Algumas DPAs adotam estratégias proativas que combinam investigações, decisões formais e orientações públicas, enquanto outras intervêm de forma mais seletiva, frequentemente baseadas em reclamações.
Orientações de Autoridades da UE sobre o Desenvolvimento e Uso de Sistemas de IA
No nível da UE, o EDPB esclareceu que modelos de IA e sistemas de tomada de decisão automatizada permanecem sujeitos ao conjunto completo de princípios do GDPR. Assim, os controladores devem avaliar riscos ao longo do ciclo de vida da IA, desde a coleta e treinamento até a implantação e uso posterior.
Identificar uma base legal apropriada para o processamento relacionado à IA, especialmente para o treinamento de modelos, tornou-se uma questão central. O EDPB indicou que a dependência do interesse legítimo não está excluída, mas requer necessidade estrita e um teste de equilíbrio, apoiado por salvaguardas documentadas.
Da Aplicação do GDPR à Lei de IA: Uma Continuidade Limitada, mas Relevante
A Lei de IA não substitui o papel já desempenhado pelas DPAs na supervisão de sistemas impulsionados por IA que envolvem dados pessoais. Em vez disso, a Lei de IA atribui obrigações de supervisão às DPAs para certos tipos de aplicações de IA.
Enquanto certos sistemas de IA podem se enquadrar simultaneamente no escopo do GDPR e da Lei de IA, os legisladores da UE evitaram criar um regime de aplicação unificado. Em vez disso, a Lei de IA preserva um modelo descentralizado no qual as DPAs podem desempenhar um papel em usos de alto risco específicos, juntamente com outras autoridades nacionais.
Competitividade, Aplicação e Simplificação Regulamentar
A atividade de aplicação do GDPR está inserida em um debate político mais amplo sobre a competitividade europeia e o ônus regulatório. A questão não é a legitimidade da aplicação do GDPR, mas o efeito cumulativo das obrigações sobrepostas para operadores que desenvolvem e implantam IA em larga escala.
A proposta de simplificação digital da Comissão Europeia visa recalibrar a implementação da legislação digital da UE, incluindo a Lei de IA e, indiretamente, aspectos da aplicação da proteção de dados. As propostas incluem ajustes direcionados a conceitos e procedimentos centrais do GDPR, reconhecendo que o quadro atual de aplicação do GDPR, embora a base de supervisão primária para IA, requer adaptação para continuar operacional e proporcional.
