Recentemente, a plataforma de mídia social X causou alvoroço por usar dados de usuários da UE para treinar seu chatbot de inteligência artificial Grok sem o consentimento do usuário. A Comissão Irlandesa de Proteção de Dados (DPC) expressou “surpresa” com a ação de X e lançou uma investigação. Este incidente destacou a contradição entre o desenvolvimento da inteligência artificial e a proteção da privacidade de dados e mais uma vez colocou o Regulamento Geral de Proteção de Dados (RGPD) da UE em primeiro plano. Nove países da UE apresentaram queixas contra X, acusando-o de violar o GDPR e de processar os dados de cerca de 60 milhões de usuários da UE sem consentimento.
Recentemente, plataforma de mídia social Apenas no final do mês passado, internautas atentos descobriram que o X havia discretamente adicionado uma opção nas configurações, indicando que havia começado a processar dados de postagens de usuários da UE para treinamento em IA. Isto atraiu a atenção da Comissão de Proteção de Dados da Irlanda (DPC), que expressou “surpresa”.
De acordo com o Regulamento Geral de Proteção de Dados (GDPR) da UE, se as empresas quiserem utilizar dados pessoais, devem ter uma base legal, caso contrário poderão enfrentar multas de até 4% do volume de negócios anual global. Houve nove reclamações da Áustria, Bélgica, França, Grécia, Irlanda, Itália, Países Baixos, Polónia e Espanha, alegando que X processou os dados de aproximadamente 60 milhões de utilizadores da UE para construir modelos de IA sem o seu consentimento.
Max Schrems, presidente da instituição de caridade de privacidade noyb, disse em um comunicado: “A eficiência de aplicação do DPC tem sido decepcionante nos últimos anos. Queremos garantir que o Twitter cumpra a legislação da UE, pelo menos neste caso, pedindo aos usuários Concordo.” Na verdade, o DPC iniciou uma ação legal contra o processamento de dados de treinamento de IA por X, buscando uma liminar obrigatória exigindo que ele interrompa esse comportamento. No entanto, noyb considera que as medidas da DPC não são suficientes porque os utilizadores não podem solicitar a eliminação dos dados já tratados. Para este fim, a noyb apresentou queixas ao GDPR na Irlanda e em sete outros países.
A reclamação afirma que X não tem base legal para processar esses dados do usuário. Embora a plataforma alegue usar “interesses legítimos” como base para o processamento de dados relacionados à IA, especialistas em privacidade dizem que X deve obter o consentimento do usuário. Schrems mencionou: “As empresas que interagem diretamente com os usuários só precisam exibir um prompt sim/não antes de usar seus dados, o que já é feito em muitos outros cenários, por isso também é totalmente viável no treinamento de IA”.
Antes disso, a Meta também havia suspendido planos semelhantes devido a reclamações da noyb e à intervenção de agências reguladoras. No entanto, a abordagem de X pareceu permitir que isto passasse despercebido durante semanas. Segundo a DPC, X processou os dados dos utilizadores da UE entre 7 de maio e 1 de agosto. Embora uma nova opção tenha sido adicionada à versão online do X no final de julho para permitir que os usuários cancelassem o processamento de dados, antes disso os usuários não tinham como saber da existência dessa informação.
Isto é importante porque o objetivo do GDPR é proteger os usuários da UE contra o uso desinformado de dados. No debate sobre a base jurídica da Além disso, noyb também destacou que muitos sistemas de IA generativos alegam frequentemente ser incapazes de cumprir outros requisitos essenciais do GDPR, como o direito ao esquecimento ou o direito de obter dados pessoais.
As ações de X levantaram preocupações sobre a privacidade de dados na União Europeia e dispararam alarmes para outras empresas. Numa era de rápido desenvolvimento da inteligência artificial, como equilibrar a inovação tecnológica e a protecção da privacidade dos utilizadores tornar-se-á um desafio constante. No futuro, incidentes semelhantes poderão ocorrer com mais frequência, o que exige que as empresas e as agências reguladoras trabalhem em conjunto para estabelecer um mecanismo de protecção de dados mais completo.