A NSA (Agência de Segurança Nacional dos EUA) descobriu que, se cinco grandes empresas americanas detêm quase todos os dados do mundo, seria esforço em vão espionar as pessoas individualmente. “Bastaria se conectar a esses conglomerados e obter os dados de todo o mundo”, diz Max Schrems, 36 anos, o fundador do Centro Europeu de Direitos Digitais, conhecido como Noyb (um acrônimo para “none of your business”, ou “não é da sua conta”, em inglês).
Schrems ganhou projeção na Europa em 2013 por causa de uma permissão contra falhas de segurança na transmissão de dados de europeus para fóruns do velho continente. O documento foi protocolado junto ao regulador de proteção de dados da Irlanda —onde estão instalados na maioria das big techs na Europa. A principal fonte da petição foi os vazamentos do WikiLeaks.
O caso foi levado em 2017 à Corte de Justiça da União Europeia (CJUE), que, em 2020, decidiu a favor do advogado austríaco e invalidou o protocolo de transmissão de dados de território europeu para americano.
“Nos EUA, é a Quarta Emenda que protege a privacidade das pessoas contra a espionagem do governo”, diz Schrems. Esse trecho da Constituição americana limita o poder do Estado no cumprimento de mandatos de busca e apreensão, em nome da privacidade do lar —o que depois foi generalizado para redes telefônicas e de internet. “O grande problema é que a Quarta Emenda se aplica apenas aos cidadãos americanos.”
O fundador do Noyb está no Brasil para o encontro latino-americano da entidade CPDP (Computadores, Privacidade e Proteção de Dados). Ele participa da plenária final, transferido para o YouTube, às 16h30. Em debate, dependerá da gestão de dados na América Latina e da privacidade em tempos de inteligência artificial.
Ó Sr. pode me dizer o que motivou o processamento do regulador europeu no caso do risco de espionagem americana?
Temos todas essas leis de proteção de dados, mas as grandes empresas de tecnologia americanas, especialmente, parecem seguir nenhuma delas. Basicamente, esses conglomerados são ignorantes.
O problema tem a ver com vigilância estatal. Não é só o Googleo Facebook você é uma Apple. Os americanos estão espionando. As revelações de Snowden em 2013 mostraram que a NSA descobriu que, se as quatro ou cinco grandes empresas americanas detêm quase todos os dados do mundo, não era mais necessário espionar individualmente cada um. Bastava entrar em contato com algumas dessas grandes empresas e obter os dados de todo o mundo.
Essa foi a litigação mais proeminente do que fizemos. Durante os casos “Schrems I” [contra Facebook na autoridade irlandesa] e “Schrems II” [contra autoridade irlandesa na CJUE]conseguimos que o Corte de Justiça da União Europeia dissesse: ‘Você não pode simplesmente transferir dados para os EUA se descobrirmos que eles acabam nos sistemas de vigilância dos EUA.’
Essa questão é definida?
Isso agora é uma batalha entre o tribunal, dizendo que a Comissão Europeia não passa pelo mesmo acordo de novo e de novo. Em suma, o tribunal diz que não e o governo então devolve o mesmo acordo feito com os americanos por pressão política.
Agora, estamos na terceira rodada porque temos esse jogo de pingue-pongue. Eles mudaram algumas linhas e disseram ‘oh, agora é um novo acordo’ e o tribunal não apreciou o novo acordo.
Eles poderiam espionar as pessoas porque não somos protegidos pela Constituição deles, certo?
Exatamente. É realmente interessante que concordamos em privacidade quando se trata de governança entre a UE [União Europeia] e os EUA [o mesmo ocorreria no Brasil, em que a proteção de dados é direito constitucional]. Nos EUA, é a Quarta Emenda que protege a privacidade das pessoas contra a espionagem do governo, mas o grande problema é que a Quarta Emenda se aplica apenas aos cidadãos americanos. Concordamos sem nível de proteção, apenas discordamos do que deveria ser aplicado a todos.
Por que essa diferença?
Na Europa, é algo histórico. Também temos direitos dos cidadãos até a Segunda Guerra Mundial. Passamos, então, para os direitos humanos, que se aplicam a qualquer humano, não importa sua cidadania ou status e assim por diante. E os EUA ainda estão historicamente no antigo sistema de direitos dos cidadãos apenas. Isso é problemático quando falamos de uma Internet global e de uma rede global. Assim, cerca de 200 outros países ficam desprotegidos em relação ao destino dos dados.
Deve ser confuso com muitas autoridades de privacidade pela Europa. Já vimos casos em que há divergências entre os países, por exemplo, não há respeito ao uso de dados pessoais para treinar inteligências artificiais.
Na Europa, na Irlanda, que é a autoridade reguladora principal, disse que está tudo bem. Agora temos um histórico de dez casos em que a Irlanda sempre disse que está tudo bem e depois que outras autoridades europeias os anularam. A Irlanda sempre diz que está tudo bem e as big techs ficam muito felizes em ouvir isso.
Segundo o sistema europeu, a autoridade principal que fiscaliza a empresa é aquela do próprio país que sedia o negócio. Nenhum caso de Meta, Google e Apple, a Irlanda é a autoridade, porque essas empresas escolheram sediar lá. Depois, todas as outras autoridades podem anular as decisões irlandesas e isso também teria efeitos sobre a Irlanda.
Isso também ocorreu no caso sobre uso de dados de contas do Facebook e do Instagram para treinar IAs generativas?
Sim, isso aconteceu neste caso também. Até onde sabemos, a Meta foi para os irlandeses, que disseram sim. Depois que outras autoridades de outros países disseram de jeito nenhum, e, então, os irlandeses recuaram, e a Meta recuou na Europa. O comissário do Reino Unido, que agora não faz mais parte da União Europeia, também obteve um acordo nessa direção e depois da Suíça também, porque eles têm uma lei muito semelhante à da União Europeia.
Já é possível saber o que ocorre com os dados pessoais durante o treinamento de modelos de IA?
Antes de qualquer coisa, somos muito a favor das novas tecnologias. Em geral, acho que IA faz muito sentido. Haverá altos e baixos como qualquer nova tecnologia. Nosso ponto de partida é: vamos fazer isso, mas vamos fazer do jeito certo e da maneira legal.
Quando se trata de dados de treinamento, ainda não há uma verdade definitiva, na medida em que há esse interesse legítimo do titular de dados nos ganhos com a tecnologia. Existe esse teste de equilíbrio para fazer. Mas temos que considerar que na União Europeia [e também no Brasil] a proteção de dados é um direito fundamental, como a liberdade de expressão.
Ainda não há uma decisão sobre nada disso, precisaremos de dois ou três anos até termos uma decisão da Corte Europeia e termos uma visão clara do que é isso.
Quando as empresas usam dados obviamente não pessoais, como artigos da Wikipedia, isso geralmente não é um problema porque é descoberto pela lei de proteção. Há situações em que pode haver “dados sujos”, como artigos de jornal em que um nome ou informação sensível são apresentados —são dados pessoais, mas o desenvolvedor não está procurando por dados pessoais. É uma ingestão acidental.
Isso é diferente do que a Meta fez porque o conglomerado basicamente disse que usa dados de redes sociais, que por definição são todos pessoais. Seria interessante também evitar o uso de dados do Twitter [agora, X]que também está cheio de dados pessoais.
Eu ouvi de técnicos que, quando esses modelos são treinados, os dados são muito fragmentados no processo de tokenização. Se o modelo repetir o que os dados foram relatados antes, qual é a diferença entre fragmentar ou não?
Do ponto de vista legal, esse argumento faz muito sentido. Além disso, toda a comunicação contemporânea é dividida em pequenos pedaços de dados, enviados pela internet e reagrupados em nossos computadores. Isso também é fragmentado e nunca diríamos que não são dados pessoais. Esse argumento costuma reaparecer com o advento das novas tecnologias.
A lei brasileira, assim como a lei europeia, tem uma abordagem neutra em relação à tecnologia. Por isso, a legislação não regula tecnologia específica, apenas trata dos riscos de quando existem dados sensíveis que permitem a identificação da pessoa. Como as empresas armazenam isso realmente não importa. Já tivemos essa mesma discussão sobre blockchain.
Como alguém de fora da área da tecnologia, posso falar sobre os produtos que temos agora. Fizemos, por exemplo, uma consulta sobre a OpenAI [criadora do ChatGPT]: qualquer um pode digitar quem é Max Schrems no ChatGPT, e ter acesso a informações sobre mim. Então, essa informação deve estar lá. Não importa se está fragmentado ou não é recuperável. Isso ainda pode aparecer em meio à desinformação, minha data de nascimento, por exemplo, apareceu com um erro, e não tenho como pedir correção.
Sobre essas empresas sendo transparentes, a Meta, de um lado, reclamou que foi punida por ser transparentes. A OpenAI, por outro lado, afirma que ainda é uma startup em desenvolvimento.
Como você sabe, é pior ainda quando as empresas não são transparentes. Ao mesmo tempo, a indústria, quando se trata de regulamentação, sempre quer ter transparência em vez de regras regulamentares. Eles só querem um sistema em que precisem colocar todos os detalhes em algum lugar no rótulo de trás para não ter uma concessão, e sim transparência. Uma vez que a transparência os atinge, eles vêm com o argumento: “Apenas porque somos transparentes”. É um pouco desonesta essa mudança de postura. Se você está nesse negócio há 12 anos, como eu, ouve todas essas narrativas repetidamente e elas ficam um pouco absurdas.
RAIO-X – MAX TELA, 36
Fundou em 2017 o Centro Europeu para Direitos Digitais, que adota o acrônimo Noyb (não é da sua conta, em inglês). Schrems ganhou uma projeção como ativista de proteção de dados e advogado após uma saga judicial para evitar que grandes tecnologias armazenem dados de cidadãos europeus nos Estados Unidos. Tudo começou em 2013, com uma permissão junto à autoridade irlandesa de proteção de dados. O caso chegou à Corte de Justiça da União Europeia em 2020.