A desnecessidade de alteração da LGPD para inclusão da expressão decisão automatizada
por Christina Aires Correa Lima
EDIÇÃO 8 - OUTUBRO 2019
I – OBJETO
1- Trata-se de análise jurídica do Projeto de Lei nº 4.496/2019 (de autoria do senador Styvenson Valentim - Podemos/RN), que pretende alterar a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD) para inserir o seguinte conceito no art. 5º:
XX – decisão automatizada: processo de escolha, de classificação, de aprovação ou rejeição, de atribuição de nota, medida, pontuação ou escore, de cálculo de risco ou de probabilidade, ou outro semelhante, realizado pelo tratamento de dados pessoais utilizando regras, cálculos, instruções, algoritmos, análises estatísticas, inteligência artificial, aprendizado de máquina, ou outra técnica computacional.
2- Entende o autor da proposta que a falta de definição de decisão automatizada deixaria uma lacuna capaz de comprometer a pretensão pretendida, pois segundo ele
Há diversas formas de se tomar decisões automatizadas. Algumas são facilmente compreensíveis, como as baseadas em regras ou em algoritmos pré-definidos. Outras, mais sofisticadas e geralmente menos explícitas, aplicam técnicas de aprendizado de máquina (machine learning) ou de inteligência artificial.
A inclusão dessas técnicas avançadas no conceito de “decisão automatizada” é essencial, em particular, para garantir o chamado “direito à explicação”, previsto no § 1º do citado art. 20. Trata-se do direito do cidadão a “informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada”.
Embora, em geral, os responsáveis pelo tratamento de dados não se neguem a prestar informações sobre decisões automatizadas baseadas em algoritmos tradicionais, na maioria dos casos, eles não fornecem esclarecimentos apropriados para decisões baseadas em técnicas de inteligência artificial ou outras igualmente complexas.
II – ANÁLISE
3- A CNI não deve emprestar apoio a proposta, pois a regra do art. 20 já é suficientemente clara e ampla para abarcar qualquer processo automatizado de tomada de decisões, conforme se verifica da simples leitura do seu caput:
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.
4- Ora, a regra, pela sua abrangência semântica, já abarca todos os tratamentos automatizado de dados previstos na proposta.
5- Ademais, a não especificação da técnica de tratamento automatizado de dados permite que todas as técnicas atuais, bem como as que vierem a ser criadas pelo incremento da tecnologia, possam ser enquadradas no conceito legal.
6- Assim a proposta revela-se contrária à pretensão declarada na justificativa do seu autor e totalmente desnecessária.
7- Tanto isso é verdade que a norma europeia similar também traz o termo genérico de “tratamento automatizado de dados” (art. 4º, item 4, da GDPR), “decisões automatizadas” (art. 13º, item 1, letra f; art. 14º, item 2, letra g; e art. 15º, item 1, letra h), “decisões individuais automatizadas” (art. 22º da GDPR), sem que, em todos os anos de utilização de tal conceituação ampla pelos países da União Europeia, tenha havido qualquer dúvida.
8- A maior preocupação que se pode ter com a proposta, além da limitação do que possa ser considerado com a decisão automatizada, é que está focada nas técnicas atuais de decisões automatizadas, e não na finalidade do art. 20, que é, independentemente da técnica utilizada, proteger os interesses dos titulares dos dados, em especial para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.
9- Portanto, a Lei atual não tem o objetivo de restringir a utilização de qualquer técnica de decisão automatizada de dados existentes ou que possa vir a existir. O contrário pode ocorrer, caso aprovada a proposta, que tenta limitar as decisões automatizadas às técnicas atualmente existentes.
10- O que é vedado pela Lei, e deve ser mantido assim, é que, independentemente da técnica utilizada, as decisões automatizadas sejam tomadas sob bases discriminatórias que prejudiquem os titulares. Portanto, o foco não deve ser a técnica e sim a finalidade, como já consta da LGPD, que segue o modelo da GDPR. Com isso, facilita-se a verificação da conformidade da legislação brasileira com a norma europeia, para fins do seu reconhecimento por aquela comunidade estrangeira na transferência internacional de dados.
III – CONCLUSÃO
11- Ante o exposto, não é conveniente que a legislação brasileira seja alterada para nela se incluir um conceito que, na contramão da razão do autor do projeto, poderá prejudicar sua interpretação, atualização e conformidade com a legislação estrangeira.
12- Pelo não apoio da CNI à proposta.
-------
Christina Aires Correa Lima é advogada da CNI