Apesar da conclusão dos procedimentos judiciais da Comissão Irlandesa de Proteção de Dados (DPC) contra a plataforma de mídia social X, ainda há dúvidas sobre suas práticas de dados de Inteligência Artificial (IA) e conformidade com as leis de proteção de dados da UE.
Os procedimentos judiciais do Irish DPC contra X terminaram em 4 de setembro, depois que a empresa concordou em parar permanentemente de processar alguns dados pessoais para treinar sua ferramenta de IA, Grok. A ferramenta, desenvolvido pela empresa xAI de Musk, é usada como um assistente de pesquisa para contas premium.
O DPC irlandês entrou com um processo no Tribunal Superior da Irlanda contra X por supostas violações do Regulamento Geral de Proteção de Dados (GDPR) da UE, buscando uma interrupção ou restrição no processamento de dados de usuários por X para treinamento de IA.
No entanto, o acordo não aborda totalmente como as medidas serão implementadas.
“O DPC não questionou realmente a questão central, que é pegar todos esses dados pessoais sem o consentimento do usuário”, disse Max Schrems, presidente da ONG Noyb, o Centro Europeu para Direitos Digitais. Noyb entrou com nove queixas de proteção de dados contra X em agosto, após um acordo provisório entre X e o DPC para interromper o processamento de alguns dados de usuários da UE.
O DPC informou à Euractiv que recebeu reclamações sobre X e que analisará sua conformidade com o GDPR, determinando ações corretivas, se necessário.
Um assessor de imprensa do Conselho Europeu de Proteção de Dados (EDPB) também confirmou à Euractiv na semana passada que eles haviam recebido o pedido de parecer do DPC irlandês.
X não respondeu às perguntas da Euractiv.
Controlador e processador de dados
Uma questão-chave é qual empresa está processando os dados e se o acordo da Twitter Unlimited International Company (TUIC), sediada na Irlanda, de não usar certos conjuntos de dados é suficiente. A outra entidade envolvida é a xAI Corp., sediada nos EUA, de acordo com os termos de serviço da Grok.
De acordo com o GDPR, as funções dos controladores e processadores de dados dependem de quem determina a finalidade e os meios do processamento de dados e quem o executa.
A TUIC, que foi a parte nos procedimentos legais com a DPC irlandesa, poderia ser a controladora se ela decidir como os dados são usados. Por outro lado, a xAI Corp. poderia ser a processadora se ela processar os dados para a TUIC. Se tanto a TUIC quanto a xAI Corp. tomarem decisões sobre os dados, elas poderiam ser controladoras conjuntas.
Se tanto a TUIC quanto a xAI Corp. forem controladoras de dados, interromper o processamento de dados somente pela TUIC não será eficaz, disse Danny Mekić, candidato a doutorado na Universidade de Leiden.
Mekić, que foi banido por X por expor as práticas de microsegmentação da Comissão Europeia e, mais tarde, ganho uma decisão judicial contra X por violações do GDPR e da Lei de Serviços Digitais (DSA), disse que os papéis de ambas as empresas devem ser abordados para garantir a conformidade total.
No entanto, a DPC declarou que “não era necessário que a DPC examinasse” esta questão.
A autoridade se concentrou na TIUC como controladora de dados para abordar riscos aos direitos dos titulares dos dados, em vez de punir a TIUC ou provar formalmente as violações, afirmou.
Excluindo dados
O X não esclareceu como interromperá o processamento dos dados, o que é desafiador devido à complexidade dos grandes modelos de linguagem.
O acordo envolve dados coletados entre 7 de maio e 1º de agosto de usuários da UE/EEE.
Os conjuntos de dados incluídos no compromisso foram excluídos e não podem mais ser processados, disse o DPC.
No entanto, “a eliminação dos dados não apaga a sua marca nos modelos de IA treinados”, escreveu Marco Scialdone, advogado e professor adjunto da Universidade Europeia de Roma, numa Postagem no LinkedIn.
Scialdone, que apresentou uma queixa GDPR antes do processo judicial do DPC contra X em nome de organizações de consumidores, argumentou por “desreembolso algorítmico”. Isso envolve retreinar ou excluir modelos de IA influenciados pelos dados excluídos.
Base jurídica
Este caso também levanta questões sobre a base legal do “interesse legítimo” do processamento de dados de X, semelhante ao treinamento de IA da Meta usando dados de usuários da UE.
A base legal de 'interesse legítimo' permite que empresas processem dados sem consentimento explícito, desde que isso não anule os direitos de privacidade do usuário. No entanto, sua adequação neste contexto permanece questionável.
Schrems disse paraO DPC não questionou a legalidade do processamento de dados em si; em vez disso, o foco estava em medidas de mitigação, como a interrupção do processamento de dados e a cooperação de X.
“O DPC parece agir nas bordas, mas se esquiva do problema central”, disse o ativista.
Théophane Hartmann contribuiu para a reportagem.
(Editado por Eliza Gkritsi/Martina Monti)
Leia mais com Euractiv
