A NSA (Filial de Segurança Vernáculo dos EUA) percebeu que, se cinco grandes empresas americanas detêm quase todos os dados do mundo, seria esforço em vão espionar as pessoas individualmente. “Bastaria se conectar a esses conglomerados e obter os dados de todo mundo”, diz Max Schrems, 36, o fundador do Meio Europeu de Direitos Digitais, publicado uma vez que Noyb (um acrônimo para “none of your business”, ou “não é da sua conta”, em inglês).
Schrems ganhou projeção na Europa em 2013 por pretexto de uma reclamação contra falhas de segurança na transmissão de dados de europeus para fora do velho continente. O documento foi protocolado junto ao regulador de proteção de dados da Irlanda —onde estão instaladas a maioria das big techs na Europa. A principal manadeira da petição foram os vazamentos do WikiLeaks.
O caso foi levado em 2017 à Golpe de Justiça da União Europeia (CJUE), que, em 2020, decidiu em prol do legista austríaco e invalidou o protocolo de transmissão de dados de território europeu para americano.
“Nos EUA, é a Quarta Emenda que protege a privacidade das pessoas contra a espionagem do governo”, diz Schrems. Esse trecho da Constituição americana limita o poder do Estado no cumprimento de mandados de procura e consumição, em nome da privacidade do lar —o que depois foi generalizado para redes telefônicas e de internet. “O grande problema é que a Quarta Emenda se aplica exclusivamente aos cidadãos americanos.”
O fundador do Noyb está no Brasil para o encontro latino-americano da entidade CPDP (Computadores, Privacidade e Proteção de Dados). Ele participa da plenária final, transmitida no YouTube, às 16h30. Em debate, estarão a gestão de dados na América Latina e privacidade em tempos de lucidez sintético.
O sr. pode me expressar o que o motivou a processar o regulador europeu no caso sobre o risco de espionagem americana?
Temos todas essas leis de proteção de dados, mas as grandes empresas de tecnologia americanas, principalmente, parecem seguir nenhuma delas. Basicamente, esses conglomerados as ignoram.
O problema tem a ver com vigilância estatal. Não é só o Google, o Facebook ou a Apple. Os americanos estão espionando. As revelações de Snowden em 2013 mostraram que NSA percebeu que, se as quatro ou cinco grandes empresas americanas detêm quase todos os dados do mundo, não era mais necessário espionar individualmente cada um. Bastava contatar alguma dessas grandes empresas e conseguir os dados de todo mundo.
Essa foi a litigação mais proeminente que fizemos. Durante os casos “Schrems I” [contra Facebook na autoridade irlandesa] e “Schrems II” [contra autoridade irlandesa na CJUE], nós conseguimos que a Golpe de Justiça da União Europeia dissesse: ‘Você não pode simplesmente transferir dados para os EUA se soubermos que eles acabam nos sistemas de vigilância dos EUA.’
Essa questão está definida?
Isso agora é uma guerra entre o tribunal dizendo não e a Percentagem Europeia passando o mesmo conciliação de novo e de novo. Em suma, o tribunal diz não e o governo logo devolve o mesmo conciliação feito com os americanos por pressão política.
Agora, estamos na terceira rodada porque temos esse jogo de pingue-pongue. Eles mudam algumas linhas e dizem ‘oh, agora é um novo conciliação’ e o tribunal não apreciou o novo conciliação.
Eles poderiam espionar as pessoas porque não somos protegidos pela Constituição deles, perceptível?
Exatamente. É realmente interessante que concordamos em privacidade quando se trata de governança entre a UE [União Europeia] e os EUA [o mesmo ocorreria no Brasil, em que a proteção de dados é direito constitucional]. Nos EUA, é a Quarta Emenda que protege a privacidade das pessoas contra a espionagem do governo, mas o grande problema é que a Quarta Emenda se aplica exclusivamente aos cidadãos americanos. Concordamos no nível de proteção, exclusivamente discordamos que deveria se utilizar a todos.
Por que essa diferença?
Na Europa, é um tanto histórico. Também tínhamos direitos dos cidadãos até a Segunda Guerra Mundial. Passamos, logo, para os direitos humanos, que se aplicam a qualquer humano, não importa sua cidadania ou status e assim por diante. E os EUA ainda estão historicamente no macróbio sistema de direitos dos cidadãos exclusivamente. Isso é problemático quando falamos de uma internet global e de uma rede global. Assim, tapume de 200 outros países ficam desprotegidos em relação ao direcção dos dados.
Deve ser confuso ter muitas autoridades de privacidade pela Europa. Já vi casos em que há divergência entre os países, por exemplo no que diz reverência ao uso de dados pessoais para treinar inteligências artificiais.
Na Europa, a Irlanda, que é a domínio reguladora principal, disse que está tudo muito. Agora temos um histórico de dez casos em que a Irlanda sempre disse que está tudo muito e depois as outras autoridades europeias os anularam. A Irlanda sempre diz que está tudo muito e as big techs ficam muito felizes em ouvir isso.
Segundo o sistema europeu, a domínio principal que fiscaliza a empresa é aquela do próprio país que sedia o negócio. No caso de Meta, Google e Apple, a Irlanda é a domínio, porque essas empresas escolheram se sediar lá. Depois, todas as outras autoridades podem anular as decisões irlandesas e isso também teria efeitos sobre a Irlanda.
Isso ocorreu também no caso sobre uso de dados de contas do Facebook e do Instagram para treinar IAs generativas?
Sim, isso aconteceu neste caso também. Até onde sabemos, a Meta foi para os irlandeses, que disseram sim. Depois as outras autoridades dos outros países disseram de jeito nenhum, e, logo, os irlandeses recuaram, e a Meta recuou na Europa. O comissário do Reino Uno, que agora não faz mais segmento da União Europeia, também obteve um conciliação nessa direção e depois a Suíça também, porque eles têm uma lei muito semelhante à da União Europeia.
Já é verosímil saber o que ocorre com os dados pessoais durante o treinamento de modelos de IA?
Antes de qualquer coisa, somos muito em prol de novas tecnologias. Em universal, acho que a IA faz muito sentido. Haverá altos e baixos uma vez que com qualquer novidade tecnologia. Nosso ponto de partida é: vamos fazer isso, mas vamos fazer do jeito perceptível e da maneira legítimo.
Quando se trata de dados de treinamento, ainda não há uma verdade definitiva, na medida em que há esse interesse legítimo do titular de dados nos ganhos com a tecnologia. Existe esse teste de estabilidade para fazer. Mas temos que considerar que na União Europeia [e também no Brasil] a proteção de dados é um recta fundamental, uma vez que a liberdade de sentença.
Ainda não há uma decisão sobre zero disso, precisaremos de dois ou três anos até termos uma decisão da Golpe Europeia e termos uma visão clara do que é isso.
Quando as empresas usam dados obviamente não pessoais, uma vez que artigos da Wikipedia, isso geralmente não é um problema porque está revelado pela lei de proteção. Há situações em que pode ter “dados sujos”, uma vez que artigos de jornal em que um nome ou informação sensível estão presentes —são dados pessoais, mas o desenvolvedor não está procurando por dados pessoais. É uma ingestão fortuito.
Isso é dissemelhante do que a Meta fez porque o conglomerado basicamente disse que usa dados de redes sociais, que por definição são todos pessoais. Seria recomendável também evitar usar dados do Twitter [agora, X], que também está referto de dados pessoais.
Eu ouvi de técnicos que, quando esses modelos são treinados, os dados são muito fragmentados no processo de tokenização. Se o padrão repetir o que os dados estavam dizendo antes, qual é a diferença entre fragmentar ou não?
Do ponto de vista legítimo, esse argumento faz muito pouco sentido. Outrossim, toda a notícia contemporânea é dividida em pequenos pedaços de dados, enviados pela internet e reagrupados em nossos computadores. Isso também é fragmentado e nunca diríamos que não são dados pessoais. Esse argumento costuma ressurgir com o vinda de novas tecnologias.
A lei brasileira, assim uma vez que a lei europeia, tem uma abordagem neutra em relação à tecnologia. Por isso, a legislação não regula tecnologia específica, exclusivamente trata dos riscos de quando existem dados sensíveis que permitem a identificação da pessoa. Porquê as empresas armazenam isso realmente não importa. Já tivemos essa mesma discussão sobre blockchain.
Porquê alguém de fora da espaço da tecnologia, posso falar de produtos que temos agora. Fizemos, por exemplo, uma reclamação sobre a OpenAI [criadora do ChatGPT]: qualquer um pode digitar quem é Max Schrems no ChatGPT, e ter chegada a informações sobre mim. Portanto, essa informação deve estar lá. Não importa se está fragmentada ou não se for recuperável. Isso ainda pode manar em meio à desinformação, minha data de promanação, por exemplo, apareceu com um erro, e não tenho uma vez que pedir correção.
Sobre essas empresas serem transparentes, a Meta, de um lado, reclamou que foi punida por ser transparentes. A OpenAI, de outro, afirma que ainda é uma startup em desenvolvimento.
Porquê você mencionou, é pior ainda quando as empresas não são transparentes. Ao mesmo tempo, a indústria, quando se trata de regulamentação, sempre quer ter transparência em vez de regras rígidas. Eles só querem um sistema em que precisem colocar todos os detalhes em qualquer lugar no rótulo de trás para não ter uma proibição, e sim transparência. Uma vez que a transparência os atinge, eles vêm com o argumento: “Somente porque somos transparentes”. É um pouco desonesta essa mudança de postura. Se você está nesse negócio há 12 anos, uma vez que eu, ouve todas essas narrativas repetidamente e elas ficam um pouco absurdas.
RAIO-X – MAX SCHREMS, 36
Fundou em 2017 o Meio Europeu para Direitos Digitais, que adota o acrônimo Noyb (não é da sua conta, em inglês). Schrems ganhou projeção uma vez que ativista de proteção de dados e legista em seguida uma saga judicial para evitar que big techs armazenassem dados de cidadãos europeus nos Estados Unidos. Tudo começou em 2013, com uma reclamação junto à domínio irlandesa de proteção de dados. O caso chegou à Golpe de Justiça da União Europeia em 2020.
