ChatGPT: Há riscos reais para privacidade?
Recentemente, um artigo no site ARS Technica chamou atenção para os riscos de privacidade do ChatGPT, um modelo de linguagem de inteligência artificial desenvolvido pela OpenAI. Como isto afeta a LGPD e sua empresa?
Outros temas relevantes para você:
- Shadow IT: Transformação Digital, Inovação, Startups e LGPD
- LGPD: DPO, DPIA e DPA – O que é essa sopa de letrinhas e como ela afeta você?
- LGPD: A importância do papel consultivo do Encarregado de Dados (DPO)
- Forbes (Em Inglês): Who Ultimately Owns Content Generated By ChatGPT And Other AI Platforms?
LGPD, GDPR: Riscos de Privacidade na adoção de soluções corporativas do ChatGPT
ChatGPT não é mais uma novidade. Há semanas vemos os mais diversos artigos sobre os benefícios da solução nos mais diferentes meios de comunicação. No LinkedIn, o assunto deve estar em um dos “top trends” de 2023.
Diversos produtos para uso pessoal e comercial, baseados na plataforma da Open AI, já estão disponíveis para a comunidade em geral, como por exemplo o site “There’s an AI for That“.
Experimentar ou usar os produtos de forma comercial é bastante instigador…
Mas você já parou para considerar os diferentes riscos que as soluções de AI baseadas no ChatGPT oferecem para seu programa de conformidade com a LGPD (Lei Geral de Proteção de Dados) e outras regulamentações de privacidade como a GDPR (Regulamento Geral de Proteção de Dados)?
Em Fevereiro de 2023, o artigo do portal ARS Technica alerta que o ChatGPT pode representar um pesadelo para a privacidade de dados pessoais.
Olhando pelo aspecto jurídico, tanto a LGPD como a GDPR, estabelecem que os dados pessoais dos indivíduos devem ser tratados de forma transparente, segura e legal. O problema é que o ChatGPT coleta e processa uma grande quantidade de dados pessoais dos usuários, de diferentes origens, sem que esses usuários tenham pleno conhecimento disso ou tenham dado seu consentimento.
O ChatGPT é treinado em um grande conjunto de dados que inclui interações de diversas fontes na internet (blogs, artigos, textos, dentre outras fontes). Isso significa que o modelo de linguagem usado pela OpenAI pode também aprender a partir de dados que contêm informações pessoais dos usuários, entre outras coisas. Exemplos de utilização corporativa destes dados pessoais são as soluções acessórias para vendas que conseguem agregar inteligência para a prospecção de leads, seja através de scrapping ou inferências de múltiplas fontes.
Privacidade: Uma preocupação real com a pouca transparência e controle sobre o dado pessoal
LGPD e GDPR estabelecem que os dados pessoais só podem ser coletados e processados com o titular estando ciente da efetiva e plena utilização, como por exemplo:
- Com qual finalidade o dado será processado;
- Por quanto tempo estará armazenado;
- Em qual país/geografia os dados serão tratados;
- Com quais parceiros os dados poderão ser compartilhados;
- Como o titular poderá exercer seus direitos;
- Entre outros.
As normas de privacidade também versam sobre a proteção contra o uso indevido ou o vazamento.
No caso do ChatGPT, os usuários não têm pleno controle sobre seus dados pessoais e não sabem como eles estão sendo usados. Titulares nunca ofereceram seus dados pessoais ao ChatGPT, não tiveram a oportunidade de revisar a política de privacidade e, em alguns casos, não ofereceram seu consentimento. Igualmente, é difícil dizer como um titular pode exercer seus direitos no ChatGPT.
Diante desse cenário, é importante que as empresas que optam em usar o ChatGPT e soluções baseadas neste produto (até mesmo em projetos piloto) o façam de forma consciente. É importante trazer o time de privacidade para uma avaliação conjunta dos riscos para a LGPD e definir quais serão estratégias de mitigação destes. Até mesmo avaliar se faz sentido para a organização absorvê-lo.
Esta avaliação conjunta – entre áreas de negócio e times de privacidade – é importante para que esta utilização não se transforme em um componente do Shadow IT. Ou que os dados ingeridos nos sistemas organizacionais deixem de ser confiáveis ou legalmente válidos. Empresas devem estar vigilantes e cientes das implicações legais da GDPR e da LGPD e garantir que suas práticas estejam em conformidade com essas leis e regulamentações.
Em última análise, a novidade pode ser muito “compelling” pela facilidade, rapidez e inovação. Mas a proteção da privacidade dos dados pessoais é uma responsabilidade de todos e, muitas vezes, maior que qualquer necessidade de negócio.
DPO-as-a-Service: Como uma consultoria pode ajudar sua empresa?
Seja no modelo de DPO-as-a-Service ou na Operação Assistida, uma consultoria como a nossa pode:
-
- Auxiliar sua empresa na criação de conhecimento organizacional sobre Privacidade e Proteção de Dados;
- Auxiliar na identificação das melhores práticas de mercado e suportar a aplicação (total ou parcial) das mesmas, dentro do contexto empresarial;
- Auxiliar na produção e revisão de documentações (contratos, políticas, procedimentos, assessments, etc);
- Fazer o push das áreas relevantes para a implementação de ações voltadas à conformidade e dar consultoria interna às mais diversas áreas e verticais;
- Dar visibilidade à LGPD, à Privacidade e Proteção de Dados de forma geral;
- Auxiliar a mapear, mensurar e gerenciar os riscos identificados;
- Sugerir e gerenciar as ações corretivas;
- Participar dos processos de auditoria interna;
- Entre outros.
Suportamos sua empresa na jornada de conformidade!
Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.
CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO PARA A LGPD
- Consultoria e projetos de adequação
- Treinamentos e cursos
- Adequação de sistemas (sites, aplicações, mobile apps, etc)
- Gestão de Projetos / PMO
- DPO HELPER: Ferramenta online para mapeamento de processos, tratamentos, sistemas e dados
- Ferramenta online para avaliação de conhecimento organizacional sobre a LGPD
- Revisão ou auditoria pontual em projetos / processos