Constituição, Empresa e Mercado

Nova LGPD

O direito à explicação e à oposição diante de decisões totalmente automatizadas

Série analisa as repercussões para a atividade empresarial

Imagem: Pixabay

Além dos direitos constantes dos arts. 18 e 19, a LGPD prevê, em seu art. 20, os direitos assim descritos:

“Art. 20.  O titular dos dados tem direito a solicitar revisão, por pessoa natural, de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.”

Como é intuitivo, o referido artigo resulta das preocupações decorrentes da crescente utilização de algoritmos para realização de julgamentos, prognoses, inferências e avaliações sobre as pessoas, dos quais dependerá o acesso delas a uma série de bens, serviços ou mesmo direitos ou expectativas de vidas[1]. O problema agrava-se quando se sabe que as decisões algorítmicas são caracterizadas por grande opacidade, sendo verdadeiras black boxes, sem transparência ou accountability[2]. Dessa maneira, nada assegura que decisões totalmente automatizadas possam ter a objetividade que delas se espera; na verdade, tais decisões podem ser bastante enviesadas e ainda refletirem diversos tipos de preconceitos.

Uma das principais utilizações dos algoritmos para a compreensão dos usuários se dá por meio da formação de perfis. Entretanto, o alcance da LGPD é maior do que tais casos, já que tais direitos se aplicam a qualquer decisão que possa afetar os interesses dos usuários ou que diga respeito à compreensão ou à inferência sobre aspectos da sua personalidade. É o que também ocorre em relação ao GDPR, cujo Considerando 71 expressamente se refere, dentre as consequências preocupantes das decisões automatizadas, à recusa automática de pedido de crédito por via eletrônica, práticas de recrutamento eletrônico sem qualquer intervenção humana, bem como a qualquer tratamento de dados que avalie aspectos pessoais relativos a uma pessoa singular, especialmente relacionados a desempenho profissional, situação econômica, saúde, preferências ou interesses pessoais, confiabilidade ou comportamento, localização ou deslocamentos.

É no contexto dos desafios inerentes à nova economia que o art. 20 da LGPD pretende criar uma espécie de devido processo legal para proteger os cidadãos contra a “tirania” dos julgamentos automatizados. Para tal fim, foi criado um verdadeiro bloco de direitos, cujos principais desdobramentos são os seguintes: (i) o direito de acesso e informação em relação a respeito dos critérios e procedimentos utilizados para a decisão automatizada, (ii) o direito de oposição quanto à decisão automatizada e de manifestar o seu ponto de vista, (iii) o direito de obtenção da revisão da decisão automatizada por uma pessoa natural e (iv) o direito de petição à autoridade nacional para a realização de auditoria, em caso da não prestação das informações.

Como se pode observar, tais direitos decorrem não apenas da autodeterminação informacional do cidadão e do controle que a lei lhe atribui sobre os seus dados pessoais, como também de importantes princípios da LGPD, dentre os quais (i) o livre acesso (art. 6º, IV), (ii) a qualidade e a clareza dos dados (art. 6º, V), (iii) a transparência dos dados, o que requer “informações claras, precisas e facilmente acessíveis” (art. 6º, VI), (iv) a prevenção de danos (art. 6º, VII) já que, como se verá adiante, o tratamento totalmente automatizado envolve sérios riscos para os titulares, (v) a não discriminação (art. 6º, IX) e (vi) a responsabilização e prestação de contas (art. 6º, X).

Em face dos princípios norteadores da LGPD, é fácil concluir que, embora o art. 20 da LGPD não mencione expressamente, é uma decorrência necessária dos direitos ali previstos o direito de resposta ao usuário, especialmente quando a decisão automatizada for mantida pela pessoa natural que analisará a sua inconformidade. O Considerando 71 do GDPR é claro nesse sentido, ao afirmar que o direito em referência envolve, além da possibilidade de obter a intervenção humana e manifestar seu ponto de vista, o direito de obter uma explicação sobre a decisão automatizada e de contestar a decisão.

Apesar da sua importância, os direitos previstos no art. 20 da LGPD estão sujeitos a grandes controvérsias, o que se reforça, no caso brasileiro, pelo fato de estarem subordinados à conciliação com o segredo comercial ou industrial. É interessante notar que a própria LGPD, no § 2º do art. 20, admite a hipótese de o agente de tratamento não oferecer as informações necessárias, apontando como consequência a possibilidade de auditoria pela autoridade nacional.

Diante de tantas dúvidas, é importante verificar o tratamento que o GDPR conferiu à matéria. Nesse sentido, o art. 22 do GDPR afirma que o titular de dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos em sua esfera jurídica ou que o afete significativamente.

Ao contrário da LGPD, o GDPR deixa claro, no art. 22.2, que o direito ali previsto não se aplica se a decisão (i) for necessária para a celebração ou a execução de um contrato entre o titular de dados e o responsável pelo tratamento, (ii) for autorizada pela União ou Estado-membro por previsões que igualmente resguardem os direitos e legítimos interesses dos titulares de dados e (iii) for baseada no consentimento explícito do titular de dados. Entretanto, nas hipóteses (i) e (iii), o art. 22.3 deixa claro que o responsável pelo tratamento deve aplicar medidas para salvaguardar os direitos, liberdades e interesses legítimos dos titulares, incluindo o direito do titular de manifestar seu ponto de vista, contestar a decisão automatizada e solicitar a intervenção humana. Da mesma forma, o art. 22,4, deixa claro que as decisões do 22.2. não podem se basear, como regra, nos dados pessoais sensíveis descritos no art. 9.1.

Como se pode observar, o GDPR não se refere ao segredo comercial ou industrial e disciplina o tema de modo mais objetivo, mostrando as hipóteses em que poderá haver ou não o tratamento automatizado e, dentre estas últimas, os direitos que decorreriam para os titulares, os quais não se diferenciam essencialmente dos direitos previstos pela LGPD.

Apesar das controvérsias, o Considerando 71 deixa claro que a finalidade do direito é assegurar um tratamento equitativo e transparente para o titular de dados, o que exige igualmente a idoneidade da técnica escolhida para o tratamento automatizado. Daí a ideia de que “o responsável pelo tratamento deverá utilizar procedimentos matemáticos e estatísticos adequados à definição de perfis, aplicar medidas técnicas e organizativas que garantam designadamente que os fatores que introduzem imprecisões nos dados pessoais são corrigidos e que o risco de erros é minimizado, e proteger os dados pessoais de modo a que sejam tidos em conta os potenciais riscos para os interesses e direitos do titular para o fim de prevenir efeitos discriminatórios em razão de origem racial ou étnica, opinião política, religião ou convicções, filiação sindical, estado genético ou de saúde ou orientação sexual”.

Entretanto, verifica-se que, também no contexto europeu, não é fácil delimitar o grau exato de transparência e cuidado que se espera dos agentes de tratamento, bem como os demais aspectos relacionados à delimitação do direito.

Tais dificuldades serão retomadas no próximo artigo, para o fim de se tentar delinear, com mais precisão, o alcance dos direitos previstos no art. 20 da LGPD.

 

————————————–

[1] Ver, sobre o tema, a coluna “Data-driven economy e seus impactos sobre os direitos de personalidade Indo além da privacidade e do controle aos dados pessoais” publicada no JOTA em 18.07.2018.

[2] Ver, sobre o tema, a coluna, “Dados, estatísticas e algoritmos Perspectivas e riscos da sua crescente utilização”, publicada no JOTA em 28.06.2017.


Você leu 1 de 3 matérias a que tem direito no mês.

Login

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito