Ferramentas de inteligência artificial gerativa, como o ChatGPT, desenvolvidas pela OpenAI, dependem de uma vasta quantidade de dados, alguns dos quais podem ser pessoais, para gerar conteúdo original. O uso de dados pela OpenAI, provenientes de conversas com o ChatGPT ou interações com a empresa, incluindo contas da OpenAI em redes sociais como Instagram, Facebook, Medium, Twitter, YouTube e LinkedIn, é regido por sua política de privacidade. Esta política delineia as circunstâncias sob as quais a OpenAI pode utilizar tais dados, incluindo para aprimoramento de produtos e serviços, novos desenvolvimentos, pesquisa, comunicação direta com usuários, conformidade legal e prevenção de fraude e abuso.
Apesar das capacidades das ferramentas de IA para analisar e responder a consultas de usuários, há uma distinção clara no entendimento dos documentos que processam. Borja Adsuara, um especialista em direito digital, enfatiza que essas ferramentas não entendem realmente os documentos que recebem. Esta falta de entendimento levanta preocupações sobre a precisão e confiabilidade das informações fornecidas por essas ferramentas.
O manejo de dados pessoais por empresas como OpenAI, Microsoft e Google está sujeito a regulamentações como o Regulamento Geral sobre a Proteção de Dados (GDPR). O GDPR proíbe estritamente o uso de dados pessoais para fins outros que não os explicitamente declarados, com potenciais penalidades incluindo multas de até 4% do faturamento anual global de uma empresa. O uso de dados pessoais é limitado a propósitos de interesse público conforme permitido por lei, como arquivamento, pesquisa histórica, estatística ou científica, ou seguindo um julgamento de compatibilidade.
No Brasil, as ferramentas de IA gerativas recebem um tráfego substancial, com centenas de milhões de visitas por ano. Essas ferramentas estão ganhando popularidade, mas vêm com o conselho para os usuários terem cautela com as informações pessoais que compartilham. Os usuários são incentivados a evitar fornecer dados de registro desnecessários, buscar clareza sobre como seus dados serão usados e garantir que possam retirar o consentimento a qualquer momento. Além disso, a transferência de dados para países sem proteções adequadas de privacidade deve ser evitada.
Especialistas aconselham consistentemente contra o compartilhamento de informações pessoais com ferramentas de IA. O próprio ChatGPT adverte os usuários a terem cautela se compartilharem informações pessoais, sensíveis ou confidenciais durante as conversas. Os riscos associados ao compartilhamento dessas informações incluem danos emocionais, desinformação ou ser enganado.
Em casos onde dados pessoais já foram compartilhados com uma ferramenta de IA, há etapas para tentar a remoção deles. A OpenAI fornece um formulário em seu site para que os usuários solicitem a exclusão de seus dados. No entanto, a empresa não garante a remoção de dados de usuários dos resultados do ChatGPT. O formulário exige que os usuários forneçam detalhes pessoais precisos e afirmem a veracidade de sua solicitação. A Microsoft também oferece um painel de privacidade para acessar e excluir dados pessoais.
Ações legais estão disponíveis para usuários que acreditam que seus dados pessoais foram processados de forma ilegal ou inadequada. Isso inclui o direito à exclusão, desinscrição e retirada de consentimento. As empresas são obrigadas a excluir todas as informações relevantes mediante tais solicitações. O direito à portabilidade também é destacado, permitindo que os usuários baixem todo o seu histórico e o transfiram em um formato compatível. A anonimização de dados pessoais é recomendada, convertendo dados pessoais em uma forma que não possa identificar nenhum indivíduo.
A futura lei europeia sobre inteligência artificial imporá novos requisitos às empresas que gerenciam dados pessoais. Elas precisarão divulgar como seus algoritmos funcionam e o conteúdo que geram em um registro europeu. Embora não seja obrigatório, mecanismos de supervisão humana são aconselhados. Modelos de linguagem de grande escala (LLMs) terão que implementar sistemas de segurança, e os desenvolvedores precisarão ser transparentes sobre o material protegido por direitos autorais que usam.
O novo regulamento é projetado para ser compatível com o GDPR. Sistemas que processam dados pessoais ou os geram no futuro devem cumprir o GDPR, particularmente sistemas de alto risco. Esses sistemas são obrigados a implementar um modelo de governança de dados e manter registros operacionais e de uso para garantir a rastreabilidade.
O futuro da IA envolve o conceito de reservatórios de dados pessoais, como proposto por Borja Adsuara. Este conceito prevê um cenário onde indivíduos mantêm um repositório de documentos com dados pessoais que não alimentam sistemas universais de IA gerativa. Esta abordagem visa manter dados pessoais dentro de um ambiente controlado, reduzindo o risco de uso indevido e garantindo uma melhor privacidade de dados.
