Mídia

Estadão – Decisões automatizadas e o direito à explicação

Estadão – Decisões automatizadas e o direito à explicação
19 de abril de 2022 | Notícias | admin | Tags: , , , , , ,

Imagem: iStock

Link original

No enfrentamento dos desafios trazidos ao exercermos o direito à explicação, é relevante esclarecermos que perfilar consiste na análise de aspectos da personalidade, comportamento, hábitos e interesses de um indivíduo com o objetivo de prever as suas decisões.

O art. 4 (4) do Regulamento Geral de Proteção de Dados – GDPR 1 – define o perfil como “qualquer forma de tratamento automatizado de dados pessoais que consista na utilização de dados pessoais para avaliar determinados aspectos pessoais relativos ao desempenho profissional, situação econômica, saúde, preferências pessoais, interesses, confiabilidade, localização ou movimentos.”

Cumpre registrar que a criação de um perfil pode utilizar algoritmos para encontrar correlações entre dados coletados de diferentes fontes.

Conforme a Information Commissioner’s Office – ICO 2 – estaremos diante da atividade de perfilhamento quando houver a coleta de dados pessoais em larga escala e com a utilização de algoritmos, Inteligência Artificial ou aprendizado de máquina, identificando associações para construção de ligações entre diferentes comportamentos, atributos e previsão de comportamentos dos indivíduos com base na atribuição dos seus perfis.

Para fins exemplificativos do tema que ora se traz ao debate, a criação de perfis é usada para alguns tratamentos médicos aplicando o aprendizado de máquina para prever a saúde dos pacientes ou a probabilidade de um tratamento ser bem-sucedido a partir de determinadas características do grupo e até mesmo, através de inferências de aspectos aparentemente não relacionados aos indivíduos.

O exame de postagens nas mídias sociais para fins de análise das personalidades dos indivíduos através do uso de um algoritmo representa, entre outros, uma das possibilidades de perfilar a partir de dados indiretos e que tem potencial de revelar aspectos da personalidade do indivíduo.

Já a tomada de decisão automatizada consiste no processo de decidir por meios automatizados e não necessariamente envolve a criação de perfis.

Inconteste que a criação de perfis proporciona valiosos benefícios para as organizações e para a sociedade, uma vez que tem potencial de alcançar decisões mais rápidas e consistentes.

Os riscos do uso das técnicas de criação de perfis, na maioria das vezes, residem na ausência de transparência por parte das empresas que realizam o tratamento dos dados pessoais do titular, de forma que a expectativa do indivíduo seja frustrada. O conhecimento por parte do titular sobre a forma como as suas informações serão tratadas e os possíveis impactos do processo em suas vidas são elementares para caracterização da licitude do tratamento.

Com relação às leis protetivas de dados pessoais, tanto o GDPR, em seu art. 22 3, e a Lei Geral de Proteção de Dados – LGPD, em seu art. 20 4, asseguram ao titular o direito de obter explicações em relação aos tratamentos exclusivamente automatizados e que envolvam dados pessoais.

Enfrentando especificamente o direito do titular, o controlador deverá noticiar às pessoas das quais está tratando os dados para processos de tomada de decisão exclusivamente automatizados e com possíveis efeitos legais significativos. Aplica-se este dever por parte do controlador inclusive aos dados dos indivíduos que tenham sido recebidos de outra fonte.

As informações prestadas devem incluir a lógica envolvida atrás do processo, as prováveis consequências para os indivíduos, a finalidade e os possíveis resultados do tratamento.

Não há dúvidas de que explicar processos complexos de uma forma didática aos envolvidos, no caso os titulares, é um dos grandes desafios por parte do controlador.

Nessa linha, a ICO esclarece que o fornecimento de informações relevantes sobre a lógica e o significado das consequências previstas de um processo devem ser claras, devendo descrever os seguintes pontos: i) o tipo de informação coletada ou usada na criação do perfil ou na tomada de decisão automatizada; ii) o motivo da informação ser considerada relevante; e, iii) prováveis impactos sobre o indivíduo.

Exemplos rotineiros são aqueles em que um estabelecimento utiliza processos automatizados para decidir se oferece ou não crédito para o titular, baseado em informações sobre o histórico de compras anteriores com o controlador e informações mantidas pelas agências de referência de crédito para fornecer um “score” de crédito do cliente.

Evoluindo a partir do exemplo acima, o controlador deverá explicar ao titular que o comportamento pregresso de compras e o histórico de transações indicam o “score” de crédito e influência nas condições de crédito oferecidas.

O princípio da transparência está intimamente ligado ao direito à explicação das decisões automatizadas pois pressupõe aos titulares as informações de maneira precisa e acessível com relação ao tratamento de seus dados pessoais.

*Martha Leal, advogada especialista em proteção de dados. Pós-graduada em Direito Digital pela Fundação Superior do Ministério Público do Rio Grande do Sul. Mestranda em Direito e Negócios Internacionais pela Universidad Internacional Iberoamericana Europea del Atlântico e pela Universidad UNINI México. Pós-graduanda em Direito Digital pela Universidade de Brasília -IDP. Data Protection Officer ECPB pela Maastricht University. Certificada como Data Protection Officer pela EXIN. Certificada como Data Protection Officer pela Fundação Getúlio Vargas do Rio de Janeiro- FGV. Fellow pelo Instituto Nacional de Proteção de Dados – INPD

Notas: 

  1. GENERAL DATA PROTECTION REGULATION – GPDR.  Acesso em: 14 abr. 2022.
  2. INFORMATION COMMISSIONER’S OFFICE – ICO. [Site institucional]. Acesso em 14 abr. 2022.
  3. GENERAL DATA PROTECTION REGULATION – GPDR.  Acesso em: 14 abr. 2022.
  4. BRASIL. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Acesso em: 14 abr. 2022.
  5. INFORMATION COMMISSIONER’S OFFICE – ICO. [Site institucional]. Acesso em 14 abr. 2022.

 

REFERÊNCIAS

BRASIL. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Acesso em: 14 abr. 2022.

GENERAL DATA PROTECTION REGULATION – GPDR.  Acesso em: 14 abr. 2022.

INFORMATION COMMISSIONER’S OFFICE – ICO. [Site institucional]. Acesso em 14 abr. 2022.

Compartilhe!

Categorias

Ultimas Notícias

Whatsapp