Nenhuma das plataformas de inteligência artificial generativa mais populares do mercado cumpre os requisitos mínimos da Lei Geral de Proteção de Dados, indica um estudo da FGV (Fundação Getúlio Vargas). Essa norma visa proteger usuários brasileiros de práticas de vigilância e de distorções em relações comerciais.
Os pesquisadores do Centro de Tecnologia e Sociedade, da FGV Direito no Rio de Janeiro, avaliaram as políticas de privacidade das seis plataformas de IA mais acessadas na internet, de acordo com dados do site App Magic. Acrescentaram ao grupo a Meta AI, que fica integrada a serviços populares e de acesso subsidiado, como o WhatsApp, o Facebook e o Instagram.
A chinesa DeepSeek (5 de 14 itens) e o Grok (6 de 14), de Elon Musk, descumprem mais da metade dos critérios elencados no Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, publicado pela ANPD (Autoridade Nacional de Proteção de Dados) em 2021. Os pesquisadores escolheram essas recomendações, que não são vinculantes, como um referencial mínimo, já que o material foi produzido para negócios com poucos recursos.
Essas duas ferramentas, por exemplo, não têm uma versão da política de privacidade traduzida para português.
A DeepSeek nem sequer menciona informações de contato do encarregado pelo tratamento de dados, a pessoa ou entidade encarregada por receber solicitações dos usuários e se reportar ao regulador em nome da empresa.
O Grok, por sua vez, omite que envia os dados dos usuários a servidores no exterior. A ANPD permite a transferência internacional de dados, desde que a prática esteja adequada a um regulamento elaborado pela autoridade, diz a advogada Juliana Abrusio, do escritório Machado Meyer Advogados. A transparência é um dos requisitos cobrados pelo regulador.
De acordo com os pesquisadores da FGV, apenas o Claude usa um mecanismo de transferência internacional de dados aceito pelo regulador brasileiro. A ferramenta da Anthropic, entretanto, não especifica qual país recebe as informações.
O Claude fica ao lado de Gemini, do Google, e Meta AI no topo do ranking de ferramentas mais adequadas à legislação brasileira —as três cumprem 11 dos 14 critérios avaliados.
De acordo com o artigo, o Gemini e a Meta AI deslizam ao não embasar a transferência internacional de dados em um mecanismo aceito pela lei local e por não explicarem de forma ostensiva os direitos do usuário.
O popular ChatGPT, além disso, não indica a identidade do encarregado de dados nem o destino das informações dos titulares brasileiros.
Os autores do estudo afirmam que o tratamento abusivo dos dados pode ter até finalidades criminosas, quando não há regulação adequada.
Organizador da pesquisa, o professor de direito da FGV Luca Belli menciona como exemplos de crimes praticados por meio de dados pessoais de terceiros as fraudes financeiras, a falsidade ideológica, entre outros.
Outra preocupação dos pesquisadores é a opacidade da informação de quais dados foram usados para treinar os modelos de inteligência artificial.
As áreas técnicas das empresas afirmam que orientam as IAs para que elas evitem o processamento de dados pessoais.
Porém, há exemplos de falha nessa prática, já aplicadas nas ferramentas de busca, em tecnologias do Google e da OpenAI, a criadora do ChatGPT.
Segundo a norma brasileira, as empresas têm a obrigação de garantir “informações claras, precisas e facilmente acessíveis” para que o tratamento de dados pessoais seja regular.