Entrevista. Sebastião de Barros Vale: “Importa continuar a investir na literacia digital da população para que todos saibam identificar quando estão a ser alvo de uma fraude”
Sebastião de Barros Vale é jurista da Unidade ‘Policy & Consultation’ na Autoridade Europeia para a Proteção de Dados (EDPS) e, pelas suas próprias palavras, “é a autoridade europeia que controla o cumprimento das regras de proteção de dados pelas próprias instituições europeias. Portanto, verificamos se a Comissão Europeia ou o Parlamento, o Conselho e as agências da União Europeia, ou outras instituições como o Banco Central Europeu, por exemplo, cumprem, elas mesmas, as regras de proteção de dados“, explicou à Comunidade Cultura e Arte (CCA) previamente à entrevista. Além dos desafios de um mundo tecnológico em constante evolução, o que pode dificultar o trabalho do legislador, reforça que “a proteção de dados continua a desempenhar um papel fulcral na proteção das pessoas numa era de digitalização acelerada. Obviamente deve continuar a ter um papel central na regulação do mundo digital“, reforça.
Nota que o legislador europeu está cada vez mais consciencializado sobre o tema da protecção de dados, mas ainda há recomendações da EDPS a integrar. Como Sebastião de Barros Vale refere, por exemplo, quanto à legislação da Inteligência Artificial (IA), há a seguinte preocupação: “Outra coisa que nos preocupa neste AI Act é a possibilidade de os chamados desenvolvedores destes sistemas [de Inteligência Artificial] poderem dispensar-se do cumprimento do regulamento se entenderem, eles mesmos, que os sistemas que desenvolvem não representam um risco significativo de danos para a saúde, segurança e direitos fundamentais das pessoas“, revelou. Desde a Inteligência Artificial até ao alargamento da troca automática de dados, até ao regulamento de empresas como a Google, Meta e Twitter, Sebastião de Barros Vale explicou à CCA as vantagens e os desafios das políticas de proteção de dados dentro da União Europeia (UE).
Em Novembro de 2023, saiu a notícia de que a União Europeia vai alargar a troca automática de dados, imagens faciais e registos policiais. Até que ponto uma maior segurança pode justificar um maior controlo de dados e, acima de tudo, dados biométricos?
Na pergunta está a referir-se ao Regulamento Prüm II, no âmbito do qual os legisladores da União Europeia decidiram, para fins de cooperação policial entre forças policiais da União Europeia, alargar os tipos de dados que podiam ser trocados, entre aspas, entre as autoridades policiais, para efeitos de investigação criminal. A troca de dados em contexto de investigação criminal transfronteiriça é indispensável. Só assim, muitas vezes, é que se pode identificar as pessoas que cometeram determinados crimes noutros países, principalmente num espaço de livre de circulação em que as pessoas podem estar, hoje, num país e, amanhã, noutro da União Europeia: entre Estados-Membros da UE não há qualquer tipo de controlo de fronteiras.
Ao mesmo tempo, medidas que impliquem o aumento da partilha de dados pessoais, nomeadamente, quando se trata de dados particularmente sensíveis, como dados biométricos e dados genéticos, ambos dentro do escopo da proposta, têm de respeitar determinados princípios de direitos fundamentais, tanto ao abrigo da Constituição, como da Carta dos Direitos Fundamentais da União Europeia. Aqui, estamos a falar do princípio da necessidade e proporcionalidade, ou seja, até que ponto uma intrusão desta natureza, na proteção de dados e da privacidade das pessoas, está justificada por necessidade de prevenção e de investigação criminal, tendo em conta que estamos a falar, neste caso, não só de suspeitos ou indivíduos condenados, mas também de potenciais vítimas ou testemunhas de crimes. Há aqui, portanto, um conjunto alargado de pessoas em relação às quais esta troca de dados pode dizer respeito.
Agora, qual foi, desde cedo, a posição da Autoridade Europeia de Proteção de Dados, o EDPS, para a qual eu trabalho? A proposta inicial da Comissão Europeia, em 2022, carecia de elementos essenciais para garantir a necessidade e proporcionalidade desta troca de dados sensíveis para fins de investigação criminal. A própria proposta não especificava os tipos de crimes que podiam justificar a consulta das bases de dados pela polícia e, também, as categorias de pessoas afetadas. Como referi, podem ser tanto suspeitos, como potenciais vítimas, portanto, isso não estava especificado. A consulta automatizada de perfis da ADN, por exemplo, que estão no escopo da proposta, e imagens faciais, entendemos, nós, que só deveria ser possível no contexto de investigações individuais, de crimes especialmente graves, ou seja, não de qualquer infração penal. Existe, já, uma jurisprudência do Tribunal de Justiça da União Europeia sobre isto.
A versão final do Regulamento Prüm II foi aprovada há pouco tempo e introduziu algumas das melhorias identificadas ou sugeridas nas recomendações do EDPS, nomeadamente a especificação que, só tendo em conta a gravidade dos crimes, é que podem ser tratadas as imagens faciais e outros dados mais sensíveis. A questão central é a sensibilidade dos dados em causa versus a gravidade do crime que está a ser investigado: essa é a maior consideração em termos de proporcionalidade da interferência com os direitos fundamentais à privacidade e proteção de dados que está em causa.
“Em Portugal, especificamente, temos uma lei do cibercrime que é bastante robusta, até foi alterada em 2021, tem vários tipos de crime e que, portanto, é bastante protetora das pessoas. Mas a lei no papel tem de ser reforçada com competências e recursos adequados às autoridades de investigação para garantir uma proteção adequada às pessoas.”
Uma empresa de comunicação deve disponibilizar dados de um cliente, por motivos de segurança ou crime? A cada passo vemos esse dilema com operadoras de telemóveis, por exemplo.
Aqui, trata-se de uma questão um bocadinho diferente, já que estamos a falar do tratamento de dados por operadoras de telecomunicações. A este respeito, tenho acompanhado com interesse a saga que se seguiu à invalidação pelo Tribunal Constitucional da chamada “lei dos metadados”. Após o acórdão do TC, o Governo e os outros partidos na Assembleia passaram muito tempo a debater sobre como deveriam substituir as normas invalidadas, por outras que cumprissem os requisitos constitucionais. Mas Portugal não é o único país, de todo, a passar por esta dificuldade.
Devo lembrar que a “lei dos metadados” portuguesa transpõe uma diretiva europeia que obrigava as operadoras a reter determinados dados sobre as comunicações das pessoas: por exemplo, quem é que efetua a chamada ou quem é que manda a mensagem, quem é que a recebeu, a que horas e onde. Essa diretiva europeia foi, ela mesma, invalidada pelo Tribunal de Justiça da União Europeia em 2014. A partir daí, as leis que tinham transposto a diretiva para o plano nacional foram sendo, também elas, contestadas perante tribunais nacionais por toda a Europa. Esta decisão do Tribunal Constitucional é uma entre várias que os tribunais constitucionais foram pronunciando ao longo dos anos, invalidando regras que obrigavam a esta conservação generalizada dos metadados das comunicações das pessoas pelas operadoras. Pelo facto de a garantia de confidencialidade das comunicações ser essencial para o funcionamento de uma sociedade moderna e democrática, em que as pessoas têm, no fundo, confiança de que não estão a ser espiadas, a lei estabelece uma forte restrição em relação à gravação do conteúdo das comunicações das pessoas. Significa que o conteúdo das mensagens ou chamadas não pode ser gravado.
Outra questão diferente são os chamados metadados, são os dados sobre as comunicações que não revelam o conteúdo da comunicação, mas revelam informações muito importantes: quem são as pessoas envolvidas, quando é que mandaram a mensagem, onde estavam. Em relação a estes metadados, o desafio é encontrar o justo equilíbrio entre o interesse de combater a criminalidade grave e os direitos fundamentais das pessoas, cujas informações sobre as suas comunicações que estão a ser retidas. Trata-se de uma questão, obviamente, extremamente complexa que o legislador nacional, a Assembleia, tem tido dificuldade em resolver. Mas se lermos, atentamente, tanto o acórdão do Tribunal de Justiça, como o acórdão do Tribunal Constitucional, é possível obrigar empresas, dentro de determinados limites, a conservar determinados metadados de forma, obviamente, não generalizada, em linha com os direitos fundamentais que estamos a referir. Para tanto, os tipos de dados a conservar devem ser circunscritos, e devem estabelecer-se garantias adequadas relativamente ao acesso a esses mesmos dados pelas autoridades competentes.
A lei que foi aprovada pela Assembleia da República na última segunda-feira [5 de Fevereiro] tenta corrigir esses problemas que foram identificados pelo TC na lei dos metadados. A nova versão da lei estabelece condições para a retenção dos chamados dados de tráfego e de localização que são, obviamente, mais sensíveis do que apenas dados que identificam os clientes — portanto, as pessoas que comunicam. Esses dados apenas podem ser objeto de conservação pelas operadoras se houver uma autorização judicial fundada na investigação, deteção e repressão de determinados crimes graves. Se atentarmos àquilo que tem sido a jurisprudência dos tribunais, trata-se de uma evolução positiva. Agora, se isso será suficiente para cumprir com as exigências da Constituição e da Carta de Direitos Fundamentais da União Europeia, seria necessária uma análise mais aprofundada. Mas, em teoria, é possível impor conservação de determinados metadados (diferentes, relembro, dos dados de conteúdo das comunicações) de forma generalizada, mas de forma a que se cumpram os requisitos da Constituição.
A linha Internet Segura, da Associação Portuguesa de Apoio à Vítima, registou, no ano passado, 1522 processos, 731 dos quais relativos a pedidos de apoio por parte de vítimas de cibercrime e outras formas de violência digital. Ou seja, estes números que aqui disse, agora, representam um aumento significativo face ao ano anterior. Pode comentar estes dados? Ou seja, o porquê deste aumento, e o porquê do aumento do cibercrime? E, também, se a legislação em vigor serve para combater estes cibercrimes, uma vez que estão a aumentar.
Há várias questões: a questão dos motivos pelos quais há um aumento do cibercrime, a questão da lei existente e proposta para fazer face a esse aumento, e a questão de outras medidas que podem ser tomadas combater esse crime. Os motivos são patentes: o facto de vivermos, cada vez mais, as nossas vidas ligadas ao online e, portanto, estarmos cada vez mais expostos a novas formas de crime cibernético. Um exemplo muito claro é a enorme quantidade de casos de phishing, em que um terceiro procura obter as nossas informações pessoais, credenciais de acesso a determinadas contas, ou outros tipos de elementos para se fazerem passar por nós: usurparem a nossa identidade, aceder às nossas contas ou para outros fins.
Em Portugal, especificamente, temos uma lei do cibercrime que é bastante robusta, até foi alterada em 2021, tem vários tipos de crime e que, portanto, é bastante protetora das pessoas. Mas a lei no papel tem de ser reforçada com competências e recursos adequados às autoridades de investigação para garantir uma proteção adequada às pessoas. Para além disso, importa continuar a investir na literacia digital da população para que todos saibam identificar quando estão a ser alvo de uma fraude ou outro esquema. Quanto às regras existentes, a nível europeu e da proteção de dados, a União Europeia tem vindo a investir na prevenção deste tipo de cibercrime. Aprovou, nomeadamente, diretivas, nos últimos 10 a 15 anos, contra a exploração sexual de crianças em linha, circulação de pornografia infantil, ataques contra sistemas de informação, combate à fraude de meios de pagamento: isto são alguns exemplos. Mas como tenho vindo a dizer, a luta contra a criminalidade não pode ser feita através do sacrifício absoluto da privacidade de toda a população.
Vou dar um exemplo: em 2022, a Comissão Europeia propôs novas regras para combater a circulação de conteúdos relativos a abuso sexual de menores em linha. Embora o EDPS nunca tenha negado a necessidade de uma proteção eficaz das crianças contra este crime tão bárbaro — porque, no fundo, tem havido um aumento significativo de pornografia infantil a circular online — também chamou a atenção para o facto de as soluções que eram propostas por parte da Comissão serem em grande parte ineficazes e constituirem ingerências inaceitáveis na confidencialidade das comunicações de todos os cidadãos europeus, suspeitos ou não. Neste caso, estamos a falar de medidas para deteção de material desconhecido sobre abuso sexual e de aliciamento de crianças, em serviços de comunicação interpessoal — falamos em WhatsApp e outros serviços encriptados — que, no nosso entendimento, violariam o princípio da necessidade e da proporcionalidade, outra vez, porque teriam um caráter demasiado intrusivo, enormes taxas de erro associadas e, no fundo, afetavam toda a gente, fosse ou não suspeita da prática destes crimes.
Como já disse, também, o Tribunal de Justiça da UE várias vezes afirmou que o acesso de forma generalizada ao conteúdo das comunicações privadas — algo que estava a ser proposto pela Comissão, é suscetível de afetar a própria essência dos direitos fundamentais à privacidade e proteção de dados. Estamos, portanto, a falar de uma medida que é, claramente, excessiva para fazer face a um crime que, obviamente, todos queremos combater, mas ao mesmo tempo não podemos impor soluções demasiado intrusivas para efeitos de combater criminalidade grave.
Mas também estamos em constante evolução, principalmente na Internet. A cada dia surgem novas plataformas, novos desenvolvimentos, avanços na tecnologia, portanto. Também acaba por ser um desafio criarem-se leis ou uma legislatura que acompanhe toda esta evolução?
Sem dúvida. Existe a vantagem de o Regulamento Geral sobre a Proteção de Dados (RGPD) ser tecnologicamente neutro, baseado num conjunto de princípios e numa abordagem baseada no risco que se aplica naturalmente a tecnologias emergentes, desde que haja tratamento de dados pessoais.
Contudo, é verdade que o legislador e as autoridades de controlo estão a enfrentar um cenário tecnológico e jurídico em rápida evolução. Isto poderia colocar a centralidade do RGPD em causa neste crescente panorama regulatório europeu aplicável a um espaço digital em transformação. Tecnologias como a Inteligência Artificial, tecnologias imersivas — fala-se muito do metaverso e realidade aumentada, virtual — nas próprias moedas digitais, têm o potencial de abalar as premissas de certas regras de proteção de dados (por exemplo, os princípios da transparência e minimização dos dados).
Também na proliferação de novas regras ao nível europeu vimos, no último mandato da Comissão Europeia, leis como o Regulamento dos Mercados Digitais, Regulamento dos Serviços Digitais, o Regulamento sobre os Dados, já para não falar do Regulamento sobre Inteligência Artificial, nota-se uma certa tensão com as regras de proteção de dados.
É mais importante que nunca, portanto, para as autoridades de proteção de dados e aqueles que querem saber do nível da proteção dos dados pessoais na União Europeia falarem e tentarem garantir uma aplicação coerente de todo este panorama normativo. A proteção de dados continua a desempenhar um papel fulcral na proteção das pessoas numa era de digitalização acelerada. Obviamente deve continuar a ter um papel central na regulação do mundo digital.
“A privacidade é um bocado como o rock and roll. Há muitos anos que dizem que está morta, mas é precisamente o contrário. Está viva e recomenda-se. A meu ver existe, com a crescente digitalização da sociedade, um consenso social e político sobre a necessidade de regular o tratamento de dados pessoais para proteger as pessoas dos riscos que essa digitalização acarreta.”
Relativamente às moedas digitais, quais são os principais desafios?
Sobre as moedas digitais, devo referir que as autoridades europeias de proteção de dados emitiram um parecer no ano passado sobre a recente proposta da Comissão Europeia sobre o euro digital. No fundo, há aqui, como em relação a outras moedas digitais que são propostas pelos bancos centrais um pouco por todo o mundo, uma grande retórica mediática de que se trata de um de um projeto de vigilância massiva da população, porque o Banco Central vai poder ver aquilo em que as pessoas andam a gastar e vai poder influenciar, no fundo, os gastos da população.
Mas, na verdade, a proposta da Comissão, ela própria, já tinha elementos que evitavam, em grande medida, a centralização da informação sobre transações pelo Banco Central Europeu e pelos bancos centrais nacionais. Contudo, havendo riscos de maior centralização do tratamento de algumas informações, as autoridades de proteção de dados recomendam ao legislador europeu a adoção de medidas que garantam a maior descentralização possível, nomeadamente ao nível dos bancos que vão distribuir o Euro digital, e não ao nível do Banco Central Europeu. Isto também para garantir que este projeto, importante para a União Europeia do ponto de vista da soberania digital, não seja minado pela desconfiança generalizada da população.
Mas é importante, aqui, que se comunique muito bem que a privacidade das pessoas é garantida, porque se trata de um dos fatores maiores de um potencial sucesso deste projeto do euro digital. Adicionalmente, as autoridades terão um papel a desempenhar através de uma supervisão atenta de como o projeto garante os direitos fundamentais dos utilizadores do euro digital.
A Threads, da Meta, acabou por ser lançada mais tarde na União Europeia devido ao regulamento da privacidade. Agora já está disponível, mas, a cada passo, vemos ameaças dos donos destas multinacionais que dizem que vão abandonar o espaço europeu devido a estas mesmas regras de proteção. Também temos a Google, que se trata de uma empresa aberta ao mundo, mas americana, não europeia. Ou seja, como é lidar com estas empresas e a sua segurança, uma vez que estão na União Europeia e são utilizadas em todo o mundo, mas não têm a sua base cá? Consegue-se estar atento e, de alguma forma, monitorizá-las.
Vamos esclarecer primeiro uma coisa: qualquer empresa que faça negócio na União Europeia ou que vise o mercado europeu está abrangida e deve cumprir com o RGPD. As empresas têm consciência disso hoje e estão sujeitas ao controlo das autoridades de supervisão nacionais. Quando se trata de empresas multinacionais, são as autoridades do país onde elas têm o chamado estabelecimento principal que são competentes para supervisionar essas empresas.
O que acontece é que muitas dessas empresas tratam dados de pessoas que se encontram em vários países da União Europeia. Nessa situação, a autoridade de controlo principal deve consultar as outras autoridades da União Europeia onde as pessoas são afetadas durante a sua investigação e e chegar a um consenso com as mesmas sobre como o RGPD deve ser aplicado no caso concreto. Já aconteceu várias vezes, nomeadamente em casos que envolvem essas empresas multinacionais que referiu, haver uma discórdia em relação àquilo que a autoridade principal ia decidir e, portanto, foi imposta uma solução mais exigente pelas autoridades dos outros países.
Esse mecanismo de consistência já levou, nomeadamente nos últimos dois anos, a que tenham sido impostas coimas muito severas por incumprimentos do RGPD a estas empresas, na ordem das centenas de milhões de euros, uma delas até acima de um bilião de euros. Tais infrações diziam respeito, nomeadamente, à transferência de dados pessoais para fora da União Europeia (neste caso, para os Estados Unidos), e a utilização de dados pessoais para fins de publicidade comportamental online. Sabendo as empresas que têm de cumprir com o RGPD, é também nalgumas dessas plataformas que referiu que se jogam as batalhas mais importantes pelo respeito de democracia e dos direitos fundamentais. Isto principalmente num ano que quebra todos os recordes em número de eleições, um pouco por todo o mundo.
Via num artigo, no outro dia, que o número de eleições na maioria das democracias do mundo, este ano, é soberba: nos Estados Unidos, na Índia, no Parlamento Europeu, em Portugal. Há aqui, portanto, também, um papel nestas plataformas que têm de assegurar, tendo em conta as suas responsabilidades, um debate livre, não manipulador, para assegurar, não só o direito à proteção de dados mas, também, direitos relacionados com a proteção de dados e que são, no fundo, suportados por este.
Refiro-me aos direitos à liberdade de expressão, de pensamento, de associação, que são muito importantes, hoje em dia, no contexto digital. Isso já era muito claro com o RGPD mas, no último mandato da Comissão Europeia, o legislador europeu revelou uma maior consciência desse facto e vemos regras, nomeadamente no Regulamento sobre Serviços Digitais e, também, no Regulamento sobre Transparência e Direcionamento da Propaganda Política que visam, especificamente, a regulação de práticas de publicidade direcionada, com base nos atributos mais sensíveis das pessoas, nomeadamente, as suas convicções políticas, filiações sindicais, orientação sexual.
O legislador europeu está atento a estas práticas e quer limitar os seus impactos na nossa democracia. Impactos esses que se podem repercutir na disseminação de desinformação, por exemplo, que pode ser direcionada para as pessoas mais propensas a acreditar: o que pode ter repercussão, também, no resultado das eleições deste ano.
“As pessoas tornaram-se mais conscientes dos seus direitos em relação aos seus dados pessoais as empresas e os organismos do Estado tomaram mais consciência das suas obrigações.”
Num pequeno artigo da RTP Ensina, que explica o que é o RGPD, vem o seguinte: que poucas empresas, no início, perceberam a implicação destas normas. Por exemplo, um estudo realizado na época revelava que apenas 8% das pequenas e médias empresas portuguesas estavam aptas a cumprir as novas regras, enquanto 62% delas admitiam desconhecer os detalhes da legislação. Ou seja, como olha para a evolução do RGPD, desde então, e a adaptação das empresas a esta norma?
Eu próprio estive envolvido em processos de compliance do RGPD, quando se tornou aplicável para as empresas. Sei bem, portanto, o esforço que muitas empresas tiveram de fazer para se alinharem com o RGPD, na altura. Mas a verdade é que, é um pouco difícil, senão impossível, obter números fidedignos sobre a taxa de cumprimento real do RGPD nas entidades públicas e privadas, porque isso implica, obviamente, investigações concretas, no caso-a-caso.
O que se pode fazer é uma avaliação qualitativa sobre o RGPD, dos primeiros cinco anos da aplicação, e a conclusão a que chegámos, enquanto autoridades de proteção de dados europeias, é que, efetivamente, o RGPD veio reforçar, modernizar e harmonizar as regras de proteção de dados dentro da União Europeia, porque havia uma grande dispersão de níveis de proteção, entre aspas, na União Europeia, nos vários países. As pessoas tornaram-se mais conscientes dos seus direitos em relação aos seus dados pessoais, as empresas e os organismos do Estado tomaram mais consciência das suas obrigações.
As autoridades de controlo estão a utilizar os seus poderes de investigação e, também, os corretivos, sempre que necessário para impor sanções e garantir o cumprimento das regras. Para além disso, o RGPD também teve impactos fora da União Europeia. Contribuiu para uma visibilidade global das regras de proteção de dados da União Europeia e tem influenciado países, fora da Europa, que estão a aprovar leis de proteção de dados e, no fundo, a imitar esse standard mais elevado de proteção de dados que transpõem, muitas vezes, para as suas próprias regras.
O conceito de privacidade tem-se modificado ao longo das décadas. Acha que as pessoas já não encaram a privacidade da mesma forma? Já não se pode encarar a privacidade da mesma forma?
Essa é uma questão engraçada. Pensei nesta analogia: a privacidade é um bocado como o rock and roll. Há muitos anos que dizem que está morta, mas é precisamente o contrário. Está viva e recomenda-se. A meu ver existe, com a crescente digitalização da sociedade, um consenso social e político sobre a necessidade de regular o tratamento de dados pessoais para proteger as pessoas dos riscos que essa digitalização acarreta. Falo, nomeadamente, de regras de proteção de dados que tomam nota da opacidade de certos processos de decisão algorítmica.
No fundo, estamos sujeitos àquilo que nos é apresentado no feed das nossas redes sociais, a decisões que são tomadas sobre conceder-nos ou não um empréstimo, conceder-nos acesso a benefícios sociais, muitas vezes influenciadas por algoritmos que não sabemos que estão a afetar o processo decisório. Nesse cenário, há regras de proteção de dados a cumprir pelas empresas e entidades públicas que são cada vez mais importantes. Do ponto de vista geoestratégico, ou olhando um pouco de forma mais global, há que notar que em 162 países do mundo — portanto, a maior parte dos países do mundo — já existia, em 2023, uma lei local de proteção de dados pessoais. Já não estamos a falar de um fenómeno exclusivamente europeu ou de uma preocupação exclusivamente Europeia. Inclusivamente a Índia, no ano passado — a maior democracia do mundo — aprovou uma lei de proteção de dados para proteger as pessoas neste contexto cada vez mais digital.
Olhando para os últimos dados do Eurobarómetro, podemos concluir que os europeus continuam a acreditar que ter uma lei de proteção de dados, bem como ferramentas e serviços que lhes permitam controlar os seus dados online, facilitam significativamente a utilização e a sua confiança em tecnologias digitais, no dia a dia. Dessas pessoas que responderam ao Eurobarómetro sobre a chamada década digital, 50% acredita que a União Europeia protege os seus direitos de forma eficaz no ambiente digital, o que mostra que 50% não concorda. Há, portanto, muito a fazer do lado dos reguladores para protegerem os cidadãos e, mais do que isso, fazê-los sentir que estão protegidos na esfera digital. Queria também falar um pouco sobre o paradoxo entre as pessoas que dizem que querem saber da proteção do dos seus dados, mas que aceitam todos os banners de cookies que lhes aparecem em cada site que visitam. Mas não nos podemos esquecer que exemplos recentes mostram como a culpa não é só, nem em primeira instância, das pessoas.
Muitas vezes, trata-se de design de interfaces que existe para manipular a vontade das pessoas quando consultam esses sites. Casos em que são feitas escolhas de design justas e que mostrem às pessoas, efetivamente, as opções que lhes são dadas em termos claros mostram, que as pessoas recusam dar de barato as suas informações para aceder a serviços digitais. Portanto, tem mais a ver com o facto de o web design ser manipulador ou claro do que com a sensibilidade das pessoas para a proteção dos seus dados.
“A publicidade está cada vez mais direcionada e, muitas vezes, contra as próprias regras de proteção de dados.”
A publicidade está muito evidenciada na Internet, nas redes sociais, nos banners que falou, ou seja, tudo é publicidade. As empresas precisam das nossas informações para, também, proporcionarem publicidade mais direcionada. Ou seja, quando estamos a navegar na Internet, também somos um produto.
Classificar as pessoas assim, como um produto, é duro. Mas essa é, de facto, a narrativa que vai passando: se não estás a pagar, és tu o produto. Não nos podemos esquecer, efetivamente, que muitos dos serviços online que consumimos – diria mesmo a maioria — são financiados através da publicidade online. Agora, se a essa publicidade online que, no fundo, se baseia no rastreamento da atividade das pessoas nos vários sites e aplicações de consulta online, para direcionar a publicidade aos seus mais íntimos interesses que revelam através dessa consulta, é legítima; em muitos casos, tendo em conta o lado intrusivo das técnicas utilizadas, essa publicidade direcionada pode violar normas da proteção de dados. Essa violação acontece se se tratarem de dados particularmente sensíveis, se não forem dadas escolhas às pessoas para recusarem ou, neste caso, em muitas situações, lhes for dada a opção de consentirem no tratamento desses dados para fins de publicidade. Em muitos casos, estamos a falar de técnicas que violam regras de proteção de dados.
Quanto ao argumento de o financiamento dos serviços se fazer através de publicidade, não o devemos ignorar. Mas existem outras formas de publicidade online que, também, são direcionadas, de certa forma, aos interesses demonstrados pelas pessoas e que não implicam um tratamento tão intensivo dos seus dados pessoais. Estamos a falar, por exemplo, de publicidade contextual que é, no fundo, apresentada, tendo em conta o conteúdo que o utilizador está a ver naquele momento. Existem técnicas que envolvem um menor tratamento de dados pessoais e que, de acordo com alguns estudos publicados, não são menos eficazes na captação de clientes.
A verdade é que o paradigma atual é de uma publicidade cada vez mais direcionada e, muitas vezes, contra as próprias regras de proteção de dados. Também aqui se nota a importância de reduzir a assimetria informativa entre as pessoas e as empresas que tratam os seus dados, a necessidade de aplicar as regras de proteção de dados a tempo e horas e de, para tanto, equipar as autoridades de proteção de dados com os recursos adequados (o que não é o caso, infelizmente, em muitos países europeus).
Acha que as propostas da Comissão Europeia quanto ao Regulamento da Inteligência Artificial são adequadas? Como olha para estas propostas?
A Inteligência Artificial trata-se de um passo muito importante na evolução das tecnologias e na forma como interagimos com elas. Tem sido, também, útil para nos ajudar a enfrentar alguns dos nossos maiores desafios em muitas áreas, desde a saúde, à mobilidade, à educação.
Apesar deste potencial, o legislador europeu tomou consciência de que o desenvolvimento e utilização desses sistemas não está isento de riscos, isto porque os sistemas de IA são capazes de gerar conteúdos – como temos visto agora, no caso da inteligência artificial generativa, como o ChatGPT —, de fazer previsões, tomar decisões de forma automatizada, através de técnicas de aprendizagem automática. Essas técnicas nem sempre são claras para nós, o que nos impedem, muitas vezes, de ter uma interpretação causal dos resultados que que os sistemas de IA produzem.
Ou seja, as noções de transparência, controlo humano e responsabilização pelos resultados ficam seriamente postas em causa quando a IA é utilizada. Porque é que isto é relevante para o mundo da proteção de dados? Os dados, nomeadamente os dados pessoais, são frequentemente o combustível da Inteligência Artificial. No fundo, são utilizados para desenvolver, treinar esses sistemas mas, também, funcionam como inputs para os sistemas de Inteligência Artificial produzirem determinados resultados. Os sistemas de IA afetam pessoas em várias áreas da sua vida, como falámos há pouco, no acesso ao emprego, aos seguros, habitação: nomeadamente, quando esses sistemas são utilizados para filtrar e escolher as pessoas que têm acesso a esses direitos.
A proposta da Comissão Europeia foi apresentada em 2021 e, agora, o texto final do AI Act já foi aprovado pelo Conselho da UE e vai ser aprovado pelo Parlamento, em princípio, na próxima semana [de 13 a 17 de Fevereiro]. Em conjunto com o Comité Europeu da Proteção de Dados, o EDPS fez determinadas recomendações ao legislador para garantir que os direitos fundamentais das pessoas teriam um lugar adequado na regulação que estava a ser proposta. Propusemos que a lista de sistemas de Inteligência Artificial proibidos — portanto, contrários aos valores e princípios europeus — fosse alargada na versão final do texto, o que acabou por acontecer. Foram incluídos, nomeadamente, sistemas de controlo por vigilância biométrica em espaços acessíveis ao público para fins de investigação criminal, e sistemas de social scoring, em que pessoas são categorizadas, automaticamente, de acordo com os seus interesses, para fins de avaliar a sua viabilidade social, digamos.
Mas ainda houve alguns sistemas de Inteligência Artificial no texto final que, a nosso ver, estão em conflito direto com os nossos valores essenciais e que afetam a nossa dignidade humana, mas que vão continuar a ser permitidos, ainda que sujeitos a certos limites: estamos a falar de sistemas de reconhecimento emocional, que avaliam o estado emocional das pessoas através dos sinais que revelam — tanto corporais, como na sua atividade online —, e cuja viabilidade científica ainda não foi demonstrada. Há outros exemplos que incluem sistemas de policiamento preventivo, para prever se algum indivíduo vai cometer algum crime ou voltar a cometer algum crime, e o uso de polígrafos. Existem muitas dúvidas relativamente à fiabilidade e eficácia desses sistemas e, portanto, violam a dignidade humana. Outra coisa que nos preocupa neste AI Act é a possibilidade de os chamados desenvolvedores destes sistemas poderem dispensar-se do cumprimento do regulamento se entenderem, eles mesmos, que os sistemas que desenvolvem não representam um risco significativo de danos para a saúde, segurança e direitos fundamentais das pessoas.
Ora, quem desenvolve um sistema que seria, em princípio, classificado como de alto risco, terá todo o interesse em autodispensar-se do cumprimento deste regulamento, alegando que o seu sistema não acarreta os riscos que referi. No fundo, vai poupar muito dinheiro no cumprimento da legislação e não vai estar exposto ao escrutínio regulatório das autoridades de controlo. Trata-se, aqui, de um possível comprometimento significativo da aplicação das garantias previstas para esses sistemas de alto risco e, portanto, manifestámos em sede própria e momento próprio a nossa oposição a esta exceção, na aplicação do regulamento. Contudo, também aqui, não tivemos sucesso. Em consequência, estamos perante aquilo que pode ser uma lacuna bastante grave na aplicação das garantias que estão previstas no regulamento, nos casos mais sensíveis, volto a repetir, de proteção dos direitos fundamentais das pessoas.