Controvérsias sobre direito à explicação e à oposição diante de decisões automatizadas

Série analisa as repercussões para a atividade empresarial

Como se procurou demonstrar no artigo anterior, os direitos previstos no art. 20 da LGPD, que correspondem aos previstos no art. 22 do GDPR, têm por base a ideia de que ninguém pode ficar sujeito, de forma irrestrita e sem garantias, aos julgamentos decorrentes de decisões totalmente automatizadas. Sob essa perspectiva, os direitos ali previstos não incidem propriamente sobre a coleta de dados, mas especialmente sobre a sua utilização e sobre o controle dos seus resultados.

Também se procurou demonstrar que as garantias ora discutidas abrangem, em primeiro lugar, o próprio direito de não ser sujeito ao processamento automático de dados, salvo nos casos específicos autorizados pela lei. Por essa razão, Axel von dem Bussche e Paul Voigt1 mostram que, apesar das controvérsias, o propósito da legislação europeia sobre o tema deve ser o de prevenir que pessoas naturais fiquem sujeitas a decisões que, tomadas exclusivamente por máquinas, podem influenciar suas vidas, motivo pelo qual o art. 22 do GDPR deve ser visto como vedação ou ao menos como restrição a esse tipo de processamento de dados.

Ao contrário do GDPR, a lei brasileira não define especificamente as hipóteses em que o processamento totalmente automatizado de dados pode ocorrer, motivo pelo qual há que se aplicar as regras gerais de utilização e tratamento de dados, especialmente aquelas previstas nos arts. 7 e 11 da LGPD.

Mesmo nas hipóteses em que é autorizado o tratamento de dados para efeitos de decisões automatizadas e formação de perfis, ambos os diplomas preveem uma gama de direitos, que vão desde o direito de pedir explicações aos agentes de tratamento, ao direito de impugnar a decisão automatizada e expressar o seu próprio ponto de vista e ao direito de obter a intervenção de pessoa natural, seja para efeitos de rever a decisão automatizada, seja ao menos para explicar porque ela é adequada e deve ser mantida para os propósitos por ela pretendidos.

É importante ressaltar que nem o GDPR nem a LGPD definem, de forma clara e objetiva, alguns dos pressupostos básicos para a compreensão dos direitos ora discutidos: (i) o que vem a ser uma decisão totalmente automatizada, (ii) que tipos de decisão automatizada afetam a esfera jurídica dos titulares de dados e (iii) qual é o grau de transparência e explicação que será exigível em situações assim. Logo, é compreensível que existam muitas dificuldades interpretativas em torno desses direitos.

No que diz respeito à primeira questão, a doutrina sobre o GDPR vem procurando mostrar que a mera existência de intervenção de pessoa natural no processo decisório não é suficiente para afastar as determinações do art. 22, até porque, se assim fosse, as previsões legais seriam facilmente suscetíveis de neutralização ou mesmo de burla com a mera introdução pro forma de pessoa natural que simplesmente chancelasse os resultados do tratamento automatizado. Daí a ideia de que o GDPR, nesse ponto, apenas pode ser afastado se a participação humana no processo decisório for realmente ativa e capaz de reverter o resultado automatizado2.

Vale ressaltar que, em outubro de 2017, o Data Protection Working Party(A29WP) publicou as Guidelines on Automated Individual Decision Making and Profiling3, que, por mais que não sejam vinculantes, são referências interpretativas fundamentais do GDPR. Uma das advertências do guia é precisamente a de que não se pode afastar a aplicação do GDPR por meio do que chama de “fabricação de intervenção humana mínima no processo decisório”, ou seja, a aparência de intervenção humana que, na prática, não se mostra realmente ativa e eficaz. Vale ressaltar que o mesmo alerta é encontrado no guia da ICO britânica4.

De toda sorte, mesmo com as balizas já mencionadas, pode ser bem complicado definir, nos casos concretos, qual é o nível de intervenção da pessoa natural que pode ser considerado ativo, a ponto de afastar a aplicação dos direitos previstos no art. 22 do GDPR ou no art. 20 da LGPD.

Já no que diz respeito às situações que podem afetar a esfera jurídica e os interesses dos titulares de dados pessoais, as Guidelines on Automated Individual Decision Making and Profiling5 descrevem importantes exemplos, dentre os quais (i) avaliações ou scorings, (ii) decisões automatizadas com efeitos jurídicos ou similares, (iii) monitoramento sistemático, (iv) tratamento de dados sensíveis, (v) dados processados em larga escala, (vi) datasets que forem combinados ou misturados, (vii) processamentos que impedem titulares de dados de exercerem direitos, de usarem determinado serviço ou de celebrarem determinados contratos.

Entretanto, persistem diversas controvérsias sobre a existência de impactos relevantes sobre os titulares de dados em algumas situações, tais como a utilização de decisões totalmente automatizadas para publicidade individualizada – targeting advertising – ou mesmo para recomendações de filmes ou programas de TV. Apesar de haver quem sustente que tais aplicações estariam fora do escopo do GDPR, há opiniões contrárias segundo as quais, a depender do grau de intrusão dos procedimentos e da forma como este afeta minorias, vulneráveis, crianças ou adolescentes, os impactos são sérios e precisam estar necessariamente sob as regras do art. 22 do GDPR.

Por fim, também é questionável o grau de explicação exigível dos agentes de tratamento, especialmente no caso brasileiro, em que a própria LGPD impõe o segredo comercial como um limitador para o alcance do art. 20.

Em recente artigo sobre o tema, Bryan Casey, Ashkon Farhangi e Roland Vogl6consideram que o GDPR não impõe uma completa e individualizada explicação. Procurando contextualizar historicamente o direito, os autores explicam que, desde o nascimento da computação com Turing, os homens atribuem certo tipo de perfeita objetividade aos algoritmos, postura que vem entrando em declínio nos últimos anos em razão de uma série de fatores, dentre os quais o potencial de produção de impactos em grupos vulneráveis. É sob tal perspectiva que o GDPR precisa ser entendido, diante da preocupação de assegurar um processo justo e transparente por meio de informações significativas a respeito da lógica envolvida nas decisões totalmente automatizadas.

Tal postura é compatível com as dificuldades naturais para a reconstituição passo a passo de decisões algorítmicas, objetivo que é visto por muitos inclusive como impossível ou inexequível, considerando a multiplicidade de passos que podem estar por trás de tais decisões, o que impediria uma reconstituição perfeita do processo decisório.

Entretanto, embora não se cogite de transparência absoluta, é inequívoco que tanto o GDPR como a LGPD exigem ao menos certo grau de transparência que torne a decisão inteligível e compreensível. Tal preocupação foi bem sintetizada pelas Guidelines on Automated Individual Decision Making and Profiling, quando afirmam que os agentes de tratamento precisam ofertar informações significativas sobre a lógica envolvida no tratamento automatizado, bem como as explicações sobre o significado dos resultados diante dos objetivos pretendidos pelo processamento.

Por essa razão, no caso específico dos perfis, as Guidelines afirmam também que os controladores precisam esclarecer as informações fundamentais que lastrearam a decisão, incluindo (i) as categorias de dados usados nos perfis, (ii) as fontes de tais informações, (iii) como os perfis são criados, incluindo as estatísticas utilizadas, (iv) a razão de o perfil ser relevante para a decisão automatizada e (v) como as informações foram utilizadas para a decisão que afetou determinado titular.

Logo, apesar de todas as controvérsias sobre o tema, é fácil observar que, por meio de soluções individuais, tanto o GDPR como a LGPD pretendem construir, ao final, uma solução geral de transparência mínima, a fim de que, como sustentam Bryce Goodman e Seth Flaxman7, os algoritmos sejam minimamente interpretáveis pelos homens, especialmente por aqueles que serão afetados por suas decisões.

Não há dúvidas de que se trata de missão complexa e espinhosa, especialmente à luz da LGPD brasileira, que admite que o segredo comercial possa ser um limitador aos direitos previstos no art. 20. Entretanto, é possível avançar em tais assuntos a partir de alguns parâmetros interpretativos, tais como os que foram expostos no presente artigo.

Ainda deve ser ressaltado que tanto o GDPR como a LGPD preveem uma série de soluções procedimentais que, ao reforçarem a accountability algorítmica e o controle de riscos, acabam dando importante suporte aos direitos ora analisados, como se verá melhor no próximo artigo da série.

——————————-

1The EU General Data Protection Regulation (GDPR). A Practical Guide.//link.springer.com/book/10.1007%2F978-3-319-57959-7

2 Ver Axel von dem Bussche e Paul Voigt, op.cit.

3 file:///D:/Users/User/Downloads/wp251rev01_enpdf.pdf

5 file:///D:/Users/User/Downloads/wp251rev01_enpdf.pdf

6 Rethinking explainable machines: the GDPR’s “right to explanation” debate and the rise of algorithmic audits in enterprise”. //papers.ssrn.com/sol3/papers.cfm?abstract_id=3143325

7 European Union regulation on algorithmic decision-making and a “right to explanation”. //arxiv.org/pdf/1606.08813.pdf.

Por Ana Frazão 

Fonte: //www.jota.info/opiniao-e-analise/colunas/constituicao-empresa-e-mercado/controversias-sobre-direito-a-explicacao-e-a-oposicao-diante-de-decisoes-automatizadas-12122018

 

Comentários

Comentários