A NSA (Agência de Segurança Nacional dos EUA) percebeu que, se cinco grandes empresas americanas detêm quase todos os dados do mundo, seria esforço em vão espionar as pessoas individualmente. "Bastaria se conectar a esses conglomerados e obter os dados de todo mundo", diz Max Schrems, 36, o fundador do Centro Europeu de Direitos Digitais, conhecido como Noyb (um acrônimo para "none of your business", ou "não é da sua conta", em inglês).
Schrems ganhou projeção na Europa em 2013 por causa de uma reclamação contra falhas de segurança na transmissão de dados de europeus para fora do velho continente. O documento foi protocolado junto ao regulador de proteção de dados da Irlanda —onde estão instaladas a maioria das big techs na Europa. A principal fonte da petição foram os vazamentos do WikiLeaks.
O caso foi levado em 2017 à Corte de Justiça da União Europeia (CJUE), que, em 2020, decidiu a favor do advogado austríaco e invalidou o protocolo de transmissão de dados de território europeu para americano.
"Nos EUA, é a Quarta Emenda que protege a privacidade das pessoas contra a espionagem do governo", diz Schrems. Esse trecho da Constituição americana limita o poder do Estado no cumprimento de mandados de busca e apreensão, em nome da privacidade do lar —o que depois foi generalizado para redes telefônicas e de internet. "O grande problema é que a Quarta Emenda se aplica apenas aos cidadãos americanos."
O fundador do Noyb está no Brasil para o encontro latino-americano da entidade CPDP (Computadores, Privacidade e Proteção de Dados). Ele participa da plenária final, transmitida no YouTube, às 16h30. Em debate, estarão a gestão de dados na América Latina e privacidade em tempos de inteligência artificial.
O sr. pode me dizer o que o motivou a processar o regulador europeu no caso sobre o risco de espionagem americana?
Temos todas essas leis de proteção de dados, mas as grandes empresas de tecnologia americanas, especialmente, parecem seguir nenhuma delas. Basicamente, esses conglomerados as ignoram.
O problema tem a ver com vigilância estatal. Não é só o Google, o Facebook ou a Apple. Os americanos estão espionando. As revelações de Snowden em 2013 mostraram que NSA percebeu que, se as quatro ou cinco grandes empresas americanas detêm quase todos os dados do mundo, não era mais necessário espionar individualmente cada um. Bastava contatar alguma dessas grandes empresas e conseguir os dados de todo mundo.
Essa foi a litigação mais proeminente que fizemos. Durante os casos "Schrems I" [contra Facebook na autoridade irlandesa] e "Schrems II" [contra autoridade irlandesa na CJUE], nós conseguimos que a Corte de Justiça da União Europeia dissesse: ‘Você não pode simplesmente transferir dados para os EUA se soubermos que eles acabam nos sistemas de vigilância dos EUA.’
Essa questão está definida?
Isso agora é uma batalha entre o tribunal dizendo não e a Comissão Europeia passando o mesmo acordo de novo e de novo. Em suma, o tribunal diz não e o governo então devolve o mesmo acordo feito com os americanos por pressão política.
Agora, estamos na terceira rodada porque temos esse jogo de pingue-pongue. Eles mudam algumas linhas e dizem ‘oh, agora é um novo acordo’ e o tribunal não apreciou o novo acordo.
Eles poderiam espionar as pessoas porque não somos protegidos pela Constituição deles, certo?
Exatamente. É realmente interessante que concordamos em privacidade quando se trata de governança entre a UE [União Europeia] e os EUA [o mesmo ocorreria no Brasil, em que a proteção de dados é direito constitucional]. Nos EUA, é a Quarta Emenda que protege a privacidade das pessoas contra a espionagem do governo, mas o grande problema é que a Quarta Emenda se aplica apenas aos cidadãos americanos. Concordamos no nível de proteção, apenas discordamos que deveria se aplicar a todos.
Por que essa diferença?
Na Europa, é algo histórico. Também tínhamos direitos dos cidadãos até a Segunda Guerra Mundial. Passamos, então, para os direitos humanos, que se aplicam a qualquer humano, não importa sua cidadania ou status e assim por diante. E os EUA ainda estão historicamente no antigo sistema de direitos dos cidadãos apenas. Isso é problemático quando falamos de uma internet global e de uma rede global. Assim, cerca de 200 outros países ficam desprotegidos em relação ao destino dos dados.
Deve ser confuso ter muitas autoridades de privacidade pela Europa. Já vi casos em que há divergência entre os países, por exemplo no que diz respeito ao uso de dados pessoais para treinar inteligências artificiais.
Na Europa, a Irlanda, que é a autoridade reguladora principal, disse que está tudo bem. Agora temos um histórico de dez casos em que a Irlanda sempre disse que está tudo bem e depois as outras autoridades europeias os anularam. A Irlanda sempre diz que está tudo bem e as big techs ficam muito felizes em ouvir isso.
Segundo o sistema europeu, a autoridade principal que fiscaliza a empresa é aquela do próprio país que sedia o negócio. No caso de Meta, Google e Apple, a Irlanda é a autoridade, porque essas empresas escolheram se sediar lá. Depois, todas as outras autoridades podem anular as decisões irlandesas e isso também teria efeitos sobre a Irlanda.
Isso ocorreu também no caso sobre uso de dados de contas do Facebook e do Instagram para treinar IAs generativas?
Sim, isso aconteceu neste caso também. Até onde sabemos, a Meta foi para os irlandeses, que disseram sim. Depois as outras autoridades dos outros países disseram de jeito nenhum, e, então, os irlandeses recuaram, e a Meta recuou na Europa. O comissário do Reino Unido, que agora não faz mais parte da União Europeia, também obteve um acordo nessa direção e depois a Suíça também, porque eles têm uma lei muito semelhante à da União Europeia.
Já é possível saber o que ocorre com os dados pessoais durante o treinamento de modelos de IA?
Antes de qualquer coisa, somos muito a favor de novas tecnologias. Em geral, acho que a IA faz muito sentido. Haverá altos e baixos como com qualquer nova tecnologia. Nosso ponto de partida é: vamos fazer isso, mas vamos fazer do jeito certo e da maneira legal.
Quando se trata de dados de treinamento, ainda não há uma verdade definitiva, na medida em que há esse interesse legítimo do titular de dados nos ganhos com a tecnologia. Existe esse teste de equilíbrio para fazer. Mas temos que considerar que na União Europeia [e também no Brasil] a proteção de dados é um direito fundamental, como a liberdade de expressão.
Ainda não há uma decisão sobre nada disso, precisaremos de dois ou três anos até termos uma decisão da Corte Europeia e termos uma visão clara do que é isso.
Quando as empresas usam dados obviamente não pessoais, como artigos da Wikipedia, isso geralmente não é um problema porque está descoberto pela lei de proteção. Há situações em que pode haver "dados sujos", como artigos de jornal em que um nome ou informação sensível estão presentes —são dados pessoais, mas o desenvolvedor não está procurando por dados pessoais. É uma ingestão acidental.
Isso é diferente do que a Meta fez porque o conglomerado basicamente disse que usa dados de redes sociais, que por definição são todos pessoais. Seria recomendável também evitar usar dados do Twitter [agora, X], que também está cheio de dados pessoais.
Eu ouvi de técnicos que, quando esses modelos são treinados, os dados são muito fragmentados no processo de tokenização. Se o modelo repetir o que os dados estavam dizendo antes, qual é a diferença entre fragmentar ou não?
Do ponto de vista legal, esse argumento faz muito pouco sentido. Além disso, toda a comunicação contemporânea é dividida em pequenos pedaços de dados, enviados pela internet e reagrupados em nossos computadores. Isso também é fragmentado e nunca diríamos que não são dados pessoais. Esse argumento costuma reaparecer com o advento de novas tecnologias.
A lei brasileira, assim como a lei europeia, tem uma abordagem neutra em relação à tecnologia. Por isso, a legislação não regula tecnologia específica, apenas trata dos riscos de quando existem dados sensíveis que permitem a identificação da pessoa. Como as empresas armazenam isso realmente não importa. Já tivemos essa mesma discussão sobre blockchain.
Como alguém de fora da área da tecnologia, posso falar de produtos que temos agora. Fizemos, por exemplo, uma reclamação sobre a OpenAI [criadora do ChatGPT]: qualquer um pode digitar quem é Max Schrems no ChatGPT, e ter acesso a informações sobre mim. Então, essa informação deve estar lá. Não importa se está fragmentada ou não se for recuperável. Isso ainda pode aparecer em meio à desinformação, minha data de nascimento, por exemplo, apareceu com um erro, e não tenho como pedir correção.
Sobre essas empresas serem transparentes, a Meta, de um lado, reclamou que foi punida por ser transparentes. A OpenAI, de outro, afirma que ainda é uma startup em desenvolvimento.
Como você mencionou, é pior ainda quando as empresas não são transparentes. Ao mesmo tempo, a indústria, quando se trata de regulamentação, sempre quer ter transparência em vez de regras rígidas. Eles só querem um sistema em que precisem colocar todos os detalhes em algum lugar no rótulo de trás para não ter uma proibição, e sim transparência. Uma vez que a transparência os atinge, eles vêm com o argumento: "Apenas porque somos transparentes". É um pouco desonesta essa mudança de postura. Se você está nesse negócio há 12 anos, como eu, ouve todas essas narrativas repetidamente e elas ficam um pouco absurdas.
RAIO-X - MAX SCHREMS, 36
Fundou em 2017 o Centro Europeu para Direitos Digitais, que adota o acrônimo Noyb (não é da sua conta, em inglês). Schrems ganhou projeção como ativista de proteção de dados e advogado após uma saga judicial para evitar que big techs armazenassem dados de cidadãos europeus nos Estados Unidos. Tudo começou em 2013, com uma reclamação junto à autoridade irlandesa de proteção de dados. O caso chegou à Corte de Justiça da União Europeia em 2020.
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.