O órgão de privacidade da União Europeia se manifestou sobre questões emergentes relacionadas à legalidade do GenAI. O comitê explorou brechas que os desenvolvedores de IA podem explorar para processar dados pessoais sem infringir a legislação atual.
O Comitê Europeu de Proteção de Dados levantou questões sobre a base legal para os desenvolvedores de IA processarem dados pessoais dos usuários. Em um parecer publicado em 17 de dezembro, o comitê abordou várias questões de aplicação geral em conformidade com o Artigo 64(2) do GDPR.
O órgão de privacidade da União Europeia se manifesta sobre questões na proteção de dados e na implantação de IA
O Comitê Europeu de Proteção de Dados (EDPB) emitiu o parecer a pedido da autoridade supervisora irlandesa. O comitê observou que tinha um mandato estatutário sob o Regulamento Geral de Proteção de Dados (GDPR) para emitir um parecer sobre questões que afetam mais de um estado-membro da União Europeia.
A agência apontou os pedidos apresentados pelo órgão irlandês relacionados ao processamento de dados pessoais durante as fases de desenvolvimento e implantação da Inteligência Artificial (IA). Resumiu o parecer em quatro questões relacionadas à proteção de dados dentro da União Europeia.
As questões incluíam quando e como um modelo de IA pode ser considerado anônimo e como os controladores podem ilustrar a necessidade de interesse legítimo na implantação. O comitê também explorou as consequências do processamento ilegal de dados durante a fase de desenvolvimento de um modelo de IA sobre a operação subsequente do modelo de IA.
Quanto à questão de quando e como a anonimidade de um modelo de IA pode ser determinada, o órgão declarou que uma autoridade local competente deve fazer tal determinação caso a caso. O comitê expressou que não considerou todos os modelos de IA treinados com dados pessoais como anônimos.
O órgão recomendou que as autoridades supervisora nacionais avaliassem a documentação relevante que o controlador fornece para determinar a anonimidade de um modelo. Adicionou que os controladores também devem tomar as medidas relevantes para limitar a coleta de dados pessoais durante o treinamento e mitigar possíveis ataques.
Sobre a questão do interesse legítimo como base legal apropriada para o processamento de dados pessoais durante a implementação de modelos de IA, o comitê deixou aos controladores a determinação da base legal apropriada para o processamento desses dados.
O EDPB enfatizou o teste de três etapas para determinar o interesse legítimo por parte dos órgãos supervisores. As etapas incluíam identificar o interesse legítimo real e analisar sua necessidade. Os controladores também devem avaliar se o interesse legítimo equilibra os direitos e liberdades dos titulares de dados.
Ao avaliar as consequências, o órgão se referiu à discrição das autoridades supervisores nos respectivos estados. Acrescentou que as autoridades devem escolher as consequências apropriadas dependendo dos fatos de cada cenário.
Comissão de Proteção de Dados da Irlanda comenta sobre o parecer do EDPB sobre a regulamentação de modelos de IA
A Comissão de Proteção de Dados da Irlanda respondeu em um comunicado observando que o parecer promoveria uma regulamentação eficaz e consistente dos modelos de IA na UE. O comissário Dale Sunderland comentou:
Isso também apoiará o engajamento do DPC com empresas que desenvolvem novos modelos de IA antes de lançá-los no mercado da UE, bem como o manejo das inúmeras reclamações relacionadas à IA que foram apresentadas ao DPC.
Dale Sunderland
Reclamações sobre o criador do ChatGPT, OpenAI, foram supostamente colocadas em pauta nos últimos meses. A Autoridade de Proteção de Dados da Polônia levantou questões no ano passado sobre a conformidade do desenvolvedor de IA com o GDPR.
A autoridade alegou que a OpenAI ignorou requisitos como consulta prévia com reguladores onde havia risco de violação de dados pessoais. O regulador observou que a OpenAI lançou o ChatGPT sem consultar reguladores locais em contrariedade às diretrizes do GDPR.
O Garante da Itália também ordenou que a OpenAI cessasse o processamento de dados pessoais em 2023 antes de abordar questões que havia identificado com a plataforma da empresa. Destacou que a empresa com sede em São Francisco carecia de medidas para impedir que menores acessassem a tecnologia, conforme exigido por lei.
A autoridade reguladora advertiu que a falta de conformidade com as diretrizes atrairia penalidades, incluindo quatro por cento do faturamento anual ou vinte milhões de euros, o que fosse maior.
Conquiste um Emprego Bem-Pago em Web3 em 90 Dias: O Roteiro Definitivo