Senado tenta mudar a LGPD para incluir a definição de decisão automatizada

A Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática do Senado já analisa o PLS 4496/2019, de autoria do senador Styvenson Valentim (PODEMOS/RN), para inclusão no texto da Lei Geral de Proteção de dados (LGPD) da definição da expressão "decisão automatizada" entre os incisos do artigo 5º.

A proposta de redação diz que "decisão automatizada" é processo de escolha, de classificação, de aprovação ou rejeição, de atribuição de nota, medida, pontuação ou escore, de cálculo de risco ou de probabilidade, ou outro semelhante, realizado pelo tratamento de dados pessoais utilizando regras, cálculos, instruções, algoritmos, análises estatísticas, inteligência artificial, aprendizado de máquina, ou outra técnica computacional.

Texto que, provavelmente, ainda sofrerá mudanças.

Na justificativa, o senador Valentim diz que, "apesar dos inquestionáveis avanços trazidos pela LGPD, a questão do tratamento de dados para decisões automatizadas, abordada no artigo 20, carece de aperfeiçoamentos para dar ao comando legal a efetividade necessária. Na sua opinião, a falta de definição do conceito de "decisão automatizada" deixando uma lacuna capaz de comprometer a proteção pretendida.

O próprio autor reconhece serem diversas as formas de se tomar decisões automatizadas. "Algumas são facilmente compreensíveis, como as baseadas em regras ou em algoritmos pré-definidos. Outras, mais sofisticadas e geralmente menos explícitas, aplicam técnicas de aprendizado de Machine Learning e outros tipos de Inteligência Artificial. E afirma que a inclusão dessas técnicas avançadas no conceito de "decisão automatizada" é essencial, em particular, para garantir o chamado "direito à explicação", previsto no § 1º do citado artigo 20.

O direito à explicação é o direito do cidadão a ter "informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada".

Faria melhor o senador se tivesse proposto uma forma de voltar a incluir no texto a possibilidade de revisão humana para as decisões automatizadas em casos extremos.

As primeiras reações do mercado ao PLS proposto por Styvenson Valentim foram negativas.

"Nessa ânsia de definir, ficou sem distinção entre decisão autônoma e suporte a decisão. E o pior de tudo é que se a intenção foi a de tornar transparente a regra de processamento para sistemas autônomos, lei não resolve", opina Claudio Lucena, mestre em Direito Internacional pela Universidade Livre de Bruxelas, professor e ex-Diretor da Faculdade de Direito da Universidade Estadual da Paraíba.

"Essa definição é realmente necessária?", questiona o advogado Marco Tulio Castro, do escritório WCW Advogados. "A definição proposta é redundante em relação ao texto do caput do artigo 20, que diz que o titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. Portanto, a LGPDF já inclui o profiling expressamente", diz ele.

Campanha por derrubada dos vetos
O Congresso realiza hoje a sessão destinada a apreciar os vetos presidenciais 15 a 28 de 2019. Entre eles estão os vetos que alteraram a LGPD.

A Coalizão Direitos na Rede, rede independente de organizações da sociedade civil com mais de 30 entidades iniciou uma campanha para a derrubada dos nove vetos que, na opinião dessas entidades desrespeitam todo o debate realizado entre parlamentares, setor empresarial e sociedade civil nos últimos dois anos.

Em especial, o veto à possibilidade de revisão de decisões automatizadas por pessoa natural (veto do parágrafo 3º do artigo 20).

Na opinião das entidades, "as decisões aplicadas por tecnologias automatizadas, controladas por algoritmos ou inteligência artificial podem cometer erros, tanto pela falha de análise de dados, bem como por falhas na arquitetura dos sistemas. Estão presentes nos algoritmos que classificam os cidadãos a partir do perfil psicológico, do perfil de consumo, dos hábitos de lazer e a partir do seu local de moradia, entre outros. Essas classificações são utilizadas para definir, por exemplo, acesso a crédito ou a vagas de emprego. Daí que se mostra fundamental a possibilidade de solicitação de revisão dessas classificações por uma pessoa natural, ou seja, por um ser humano, a fim de evitar discriminações ou erros introduzidos nos modelos automatizados de análise. Importante mencionar que a intenção de garantir ao titular dos dados o direito de ter a revisão de decisões tomadas com base em tratamentos automatizados de dados pessoais realizada por uma pessoa natural havia sido objeto de ao menos 13 emendas na Comissão especial Mista que avaliou a Medida Provisória 869/2018.

A revisão de decisões automatizadas é prevista em diversos regulamentos de proteção de dados adotados em outros países, como na lei europeia, a General Data Protection Regulation (GDPR) e nos Estados Unidos, onde a cidade de Nova Iorque, desde 2017, instituiu uma comissão para analisar as decisões automatizadas que utilizam inteligência artificial no setor público.

A ideia de garantir a revisão por pessoa natural de decisão automatizada gira em torno de corrigir eventuais discriminações decorrentes de processos algorítmicos e conferir mais transparência e accountability a processos de perfilamento dos cidadãos em perfis de consumo, profissionais ou de crédito. Em resumo, uma máquina não deveria ficar responsável por revisar uma decisão tomada por outra máquina. Desta maneira, o veto dado pela Presidência da República ao artigo da LGDP que visava garantir a revisão por pessoa natural, além de suprimir a possibilidade desse direito do cidadão, consequentemente também reduz a integralidade do acesso à justiça."

Os outros dois pontos também são considerados primordiais: a derrubata dos vetos à proteção aos dados pessoais de requerentes da Lei de Acesso à Informação (inciso IV do artigo 23) e às sanções aos agentes de tratamento de dados, no caso de infrações (incisos X, XI e XII, e parágrafos 3° e 6°, do artigo 52).

A ver.