A lucidez sintético chinesa DeepSeek, apesar de se sobresair por respostas detalhadas e eficientes, enfrenta problemas com falhas de segurança e leis de privacidade mundo afora.
Na semana passada, a mesma em que o app chinês se tornou o mais baixado na loja de aplicativos da Apple em diversos países, pesquisadores descobriram um vazamento de informações de usuários, identificaram vulnerabilidades que podem fazer a tecnologia ajudar no cometimento de crimes e criticaram a coleta excessiva de dados por secção da plataforma.
Na sexta-feira (31), o regulador italiano de proteção de dados proibiu a atuação da startup chinesa no país, em seguida permanecer sem respostas para preocupações que levantou sobre a tecnologia.
Procurada pela Folha por meio do email indigitado em caso de dúvidas sobre a política de privacidade da DeepSeek, a empresa não respondeu até a publicação desta reportagem. Nem indicou em seu site um contato para informação com a prensa.
A plataforma chinesa coleta, além dos comandos que recebe e de informações usadas para veicular anúncios, dados de identificação porquê endereço de IP (“endereço” virtual do aparelho), o dispositivo e o linguagem usados pelos usuários e também o ritmo de digitação. Oriente oferecido, considerado sensível por ter potencial de servir porquê biometria, pode ser usado para identificar se quem está teclando é uma pessoa ou um robô.
Segundo o professor da FGV Recta Rio Luca Belli, dados biométricos só podem ser usados por legítimo interesse do usuário em casos de segurança. A startup não detalha, em sua política de privacidade, qual a finalidade do tratamento dessa informação.
Aliás, a Lei Universal de Proteção de Dados brasileira (LGPD) determina que o usuário possa subtrair todos os dados pessoais que forem coletados por uma plataforma e ainda possa revogar o consentimento, pedindo a exclusão das informações coletadas. A DeepSeek não disponibiliza um mecanismo direto para nenhuma dessas opções, informa exclusivamente um email de contato, para o qual se pode enviar uma solicitação.
Outro problema é que a empresa não indica um responsável pelo tratamento dos dados, o que é exigido pela legislação brasileira.
Segundo o documento de privacidade da startup, os dados coletados ficam armazenados em servidores chineses. Legalmente, não há diferença se as informações ficam na China ou nos Estados Unidos, afirmam os advogados consultados.
A Mando Vernáculo de Proteção de Dados (ANPD) permite a transferência internacional das informações, contanto que as normas brasileiras sejam respeitadas durante o tratamento.
“Independentemente de tratar os dados nos Estados Unidos ou na China, as empresas e organizações devem asseverar que os dados estejam protegidos conforme as exigências da LGPD e em atenção às hipóteses legais que autorizam a transferência internacional de dados”, afirma a advogada Juliana Abrusio, sócia do escritório Machado Meyer.
A empresa também pode ser responsabilizada em caso de ocorrência de vazamento de dados que prejudique o usuário.
Na última quarta-feira (29), a startup israelense de cibersegurança Wiz identificou uma base de dados de usuários exposta no site da DeepSeek. O registo, que podia ser obtido sem a urgência de senha, expunha as informações coletadas durante milhões de acessos à plataforma.
A DeepSeek fechou a porta para os dados sensíveis em seguida receber um alerta dos pesquisadores. Gal Nagli, o responsável do relatório de alerta, afirma que teve dificuldades para contatar a empresa. “Tive de fazer um disparo em tamanho a todos os emails e perfis no LinkedIn relacionados à DeepSeek que eu encontrei”, disse à Folha.
A startup chinesa não se pronunciou publicamente sobre o caso. Os episódios deram à comunidade internacional a sentimento de que o rápido desenvolvimento do protótipo de lucidez sintético DeepSeek-R1 não foi escoltado de defesas cibernéticas sólidas.
O regulador italiano, chamado Garante, vetou o funcionamento da plataforma no país, em seguida considerar insuficiente a resposta da DeepSeek sobre quais dados coleta, com qual finalidade e sob qual base jurídica. Uma vez que acontece no Brasil, a empresa não indicou um responsável pelo tratamento dos dados.
O ChatGPT passou pelo escrutínio da Garante e de outras autoridades europeias em 2023 e, desde portanto, teve de fazer adaptações para se adequar à legislação de privacidade europeia, GDPR.
Belli, da FGV, afirma que os modelos, em universal, continuam a desrespeitar a legislação de proteção de dados, uma vez que são desenvolvidos a partir de raspagem de páginas da internet, que incluem informações pessoais. “Fazem isso sem base permitido alguma.”
De harmonia com o docente, a situação é agravada pela falta de transparência. Nenhuma das empresas divulga exatamente quais dados foram usados durante a geração das IAs generativas.
Em item publicado na sexta, a empresa de cibersegurança Cisco mostrou ainda que a DeepSeek tem a pior resguardo entre as principais IAs generativas contra uma categoria de ataque manipulativo chamada “jailbreak”.
Trata-se de uma estratégia para fazer o protótipo desrespeitar as próprias normas, usando frases-chave. Assim, as plataformas podem ensinar os usuários a fabricar armas caseiras, produzir narrativas difamatórias contra figuras públicas ou dar informações sobre a compra de drogas ilícitas. A Cisco testou 50 combinações já registradas e teve sucesso em 100% dos ataques.
“Em vez de focar exclusivamente no desempenho a grave dispêndio, devemos entender se o DeepSeek mostra compromisso com segurança e proteção”, afirmou a empresa em item.
