Certamente, você já usou o ChatGPT, o serviço de inteligência artificial que gera textos a partir de palavras-chave ou frases. Mas você refletiu sobre como esse serviço funciona e quais são os seus riscos e benefícios para a sua privacidade online?
Neste post, eu vou explicar em linguagem simples para leigos o que é o ChatGPT, como ele funciona e quais são os desafios regulatórios que ele está enfrentando na Europa.
O que é o ChatGPT?
O ChatGPT é um serviço de inteligência artificial criado pela OpenAI, uma organização sem fins lucrativos apoiada pela Microsoft. O ChatGPT usa um algoritmo chamado generative pre-trained transformer (GPT), que é capaz de gerar textos coerentes e criativos a partir de palavras-chave ou frases fornecidas pelo usuário. Por exemplo, se você digitar “Você é um grande especialista em IA”, o ChatGPT pode gerar um texto como este:
“Obrigado pelo elogio. Eu sou um grande especialista em inteligência artificial porque estudo e trabalho nessa área há muitos anos. Eu me interesso por diversos temas relacionados à IA, como aprendizado de máquina, processamento de linguagem natural, visão computacional e robótica. Eu também gosto de compartilhar o meu conhecimento com outras pessoas, por isso escrevo artigos, dou palestras e participo de projetos colaborativos.”
ChatGPT
O ChatGPT pode ser usado para diversos fins, como traduzir textos para diferentes idiomas, escrever redações escolares, gerar códigos de programação e até mesmo criar histórias, poemas e músicas. O serviço é gratuito e acessível para qualquer pessoa que tenha uma conexão com a internet.
Como o ChatGPT funciona?
O ChatGPT funciona usando uma técnica chamada aprendizado profundo (deep learning), que é um ramo da inteligência artificial que usa redes neurais artificiais para aprender padrões e relações a partir de grandes quantidades de dados. O ChatGPT usa uma rede neural chamada transformer, que é capaz de processar sequências de dados, como textos ou imagens, de forma eficiente e paralela.
Para gerar textos, o ChatGPT usa um modelo pré-treinado com bilhões de palavras extraídas da internet, como livros, artigos, blogs, redes sociais e outros sites. Esse modelo aprende a estrutura e o significado da linguagem natural, bem como os estilos e os temas mais comuns dos textos. Quando o usuário fornece uma palavra-chave ou uma frase, o ChatGPT usa o modelo pré-treinado para gerar um texto que seja relevante, coerente e criativo, usando técnicas como atenção (attention), que permite ao modelo focar nas partes mais importantes dos dados, e beam search, que permite ao modelo escolher as palavras mais prováveis para formar o texto.
Quais são os desafios regulatórios do ChatGPT na Europa?
O ChatGPT é um serviço inovador e popular, mas também enfrenta alguns desafios regulatórios na Europa, especialmente em relação à proteção de dados pessoais dos usuários. A Europa tem uma das legislações mais rigorosas do mundo sobre privacidade online, chamada Regulamento Geral sobre a Proteção de Dados (GDPR), que entrou em vigor em 2018. O GDPR estabelece uma série de direitos e deveres para os indivíduos e as organizações que lidam com dados pessoais na Europa.
Um dos principais desafios do ChatGPT é que ele usa dados pessoais dos usuários para treinar o seu algoritmo de inteligência artificial. Dados pessoais são qualquer informação que possa identificar ou tornar identificável uma pessoa física, como nome, endereço, email, telefone, foto ou opinião. O GDPR exige que as organizações que coletam e processam dados pessoais tenham uma base legal para fazê-lo, como o consentimento do titular dos dados ou o interesse legítimo.
No entanto, esse uso de dados de usuários para treinar o modelo de IA levanta uma série de questões éticas e legais, principalmente em termos de privacidade de dados. Uma dessas questões é se o ChatGPT pode cumprir com o Artigo 17 do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, que garante o direito ao esquecimento dos indivíduos.
O direito ao esquecimento é uma prerrogativa que permite aos indivíduos solicitar que suas informações pessoais sejam removidas dos registros de uma organização. Esse direito dá aos indivíduos mais controle sobre seus dados pessoais e pode ser exercido quando eles não concordam mais com o tratamento dos seus dados, quando há imprecisões significativas nas informações ou quando elas são consideradas desnecessárias.
No entanto, esse direito não é absoluto e as organizações nem sempre têm que atender ao pedido. O direito ao esquecimento é limitado quando interfere no direito à liberdade de expressão e informação. Se uma pessoa quer que seus dados pessoais sejam removidos por causa da sua imprecisão, mas os dados ainda são verdadeiros, a organização pode não ter que apagá-los.
O direito ao esquecimento é uma parte essencial do GDPR que dá aos indivíduos mais poder sobre seus dados pessoais. Ele permite que as pessoas exijam que seus dados sejam apagados se eles não forem mais necessários para o propósito pelo qual foram originalmente coletados ou processados, ou se eles não concordarem mais com o seu tratamento.
O problema é que esses dados podem não ser apagados completamente do modelo quando os usuários solicitam o seu direito ao esquecimento. Isso porque o modelo usa um método chamado aprendizado contínuo, que significa que ele continua aprendendo com novos dados sem esquecer os antigos. Isso significa que os dados pessoais dos usuários podem estar incorporados no modelo de forma irreversível, tornando impossível apagá-los completamente sem comprometer o funcionamento do modelo.
Diante desse cenário, o ChatGPT enfrentou recentemente questões legais quando a Autoridade Italiana de Proteção de Dados (GPDP) acusou a empresa de violar as regras de proteção de dados da UE. A OpenAI concordou em restringir o acesso ao serviço na Itália enquanto tentava corrigir o problema. Embora o ChatGPT tenha retornado à Itália depois de abordar as preocupações do GPDP, suas questões legais e as de empresas que constroem chatbots semelhantes estão apenas começando, com reguladores em vários países investigando como essas ferramentas de IA coletam e produzem informações. Os reguladores citam uma série de preocupações, desde a coleta de dados de treinamento não licenciados pelas empresas até a tendência dos chatbots de espalhar desinformação.
Uma das questões mais importantes levantadas pelos reguladores é o uso de dados de treinamento não licenciados pelo ChatGPT. O ChatGPT usa os modelos de linguagem grandes GPT-3.5 e GPT-4 da OpenAI, que são treinados em grandes quantidades de texto produzido por humanos. A OpenAI é cautelosa sobre exatamente qual texto de treinamento é usado, mas diz que se baseia em “uma variedade de fontes de dados licenciadas, criadas e disponíveis publicamente, que podem incluir informações pessoais disponíveis publicamente”. Isso potencialmente representa grandes problemas sob o GDPR, que exige que as empresas tenham consentimento explícito antes de coletar dados pessoais, tenham uma justificativa legal para o motivo da coleta e sejam transparentes sobre como estão sendo usados e armazenados.
Os reguladores europeus afirmam que o sigilo em torno dos dados de treinamento da OpenAI significa que não há como confirmar se as informações pessoais que foram inseridas foram fornecidas inicialmente com o consentimento do usuário. O GPDP argumentou que o OpenAI “não tinha base legal” para coletá-lo em primeiro lugar. Embora o OpenAI e outros tenham se safado com pouco escrutínio até agora, essa afirmação adiciona um grande ponto de interrogação aos futuros esforços de coleta de dados.
O OpenAI também coleta informações diretamente dos usuários, incluindo dados padrão do usuário e interações que os usuários têm com o ChatGPT. Esses dados podem ser revisados pelos funcionários da OpenAI e são usados para treinar versões futuras de seu modelo. Dadas as perguntas íntimas que as pessoas fazem ao ChatGPT, isso significa que a empresa está coletando todos os tipos de dados confidenciais.
Pelo menos alguns desses dados podem ter sido coletados de menores, pois embora a política da OpenAI declare que “não coleta intencionalmente informações pessoais de crianças menores de 13 anos”, os reguladores estão preocupados com o fato de não haver um processo de verificação para impedir que as crianças usando o serviço. O GDPR exige medidas adequadas para impedir que crianças menores de 13 anos usem o serviço.
Outros países também estão investigando o ChatGPT. Pelo menos três nações da UE (Alemanha, França e Espanha) lançaram suas próprias investigações sobre o ChatGPT. Enquanto isso, do outro lado do Atlântico, o Canadá está avaliando questões de privacidade sob sua Lei de Proteção de Informações Pessoais e Documentos Eletrônicos, ou PIPEDA. O Conselho Europeu de Proteção de Dados (EDPB) até estabeleceu uma força-tarefa dedicada para ajudar a coordenar as investigações. Se essas agências exigirem mudanças do OpenAI, elas podem afetar a forma como o serviço é executado para usuários em todo o mundo.
Os problemas do ChatGPT com desinformação, direitos autorais e proteção de dados colocaram um alvo em suas costas. Os críticos destacaram a saída não confiável do ChatGPT, problemas confusos de direitos autorais e práticas obscuras de proteção de dados. Como resultado, os reguladores estão investigando como essas ferramentas de IA coletam e produzem informações. Na UE, os reguladores estão aplicando o Regulamento Geral de Proteção de Dados (GDPR), uma das estruturas legais de privacidade mais fortes do mundo, e os legisladores do bloco estão elaborando uma lei que tratará especificamente da IA, inaugurando uma nova era de regulamentação para sistemas como ChatGPT.
E no Brasil?
Na UE, os reguladores estão elaborando uma lei que abordará especificamente a IA – provavelmente inaugurando uma nova era de regulamentação para sistemas como o ChatGPT.
No contexto brasileiro, a privacidade e a proteção de dados estão se tornando cada vez mais uma questão premente. Em 2020, o Brasil aprovou sua Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 18 de setembro de 2020. A LGPD segue o modelo do GDPR e concede aos titulares de dados no Brasil direitos como acesso, correção e exclusão de seus dados pessoais, bem como o direito ao esquecimento, o direito à portabilidade dos dados e o direito à revogação do consentimento.
De acordo com a LGPD, as empresas devem obter o consentimento explícito dos titulares dos dados antes de coletar e processar seus dados pessoais. As empresas também devem ter uma base legal para o motivo pelo qual estão coletando os dados e devem ser transparentes sobre como os estão usando e armazenando. Além disso, as empresas devem ter medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado ou perda acidental.
As empresas que coletam ou processam dados pessoais de cidadãos brasileiros devem cumprir a LGPD, independentemente de onde a empresa esteja sediada. O descumprimento da LGPD pode resultar em penalidades significativas, incluindo multas de até 2% do faturamento anual de uma empresa no Brasil ou de até R$ 50 milhões (aproximadamente US$ 9 milhões).
Já para ferramentas de IA como o ChatGPT, as empresas devem tomar cuidado redobrado para garantir o cumprimento da LGPD. A LGPD exige que as empresas sejam transparentes sobre os dados que coletam, o que significa que a OpenAI precisaria divulgar quais dados de treinamento usa para treinar o ChatGPT. A LGPD também exige que as empresas obtenham consentimento explícito antes de coletar dados pessoais, portanto, a OpenAI precisaria garantir a obtenção do consentimento dos usuários brasileiros antes de coletar quaisquer dados deles. Por fim, a LGPD exige que as empresas tenham medidas técnicas e organizacionais apropriadas para proteger os dados pessoais contra acesso não autorizado ou perda acidental, portanto, a OpenAI precisaria garantir que possui medidas apropriadas para proteger os dados que coleta.
No geral, o caso da OpenAI e ChatGPT na Itália destaca a crescente importância da privacidade e proteção de dados na indústria de IA, e os reguladores brasileiros provavelmente tomarão ações semelhantes para garantir a conformidade com suas próprias leis de proteção de dados. Empresas como a OpenAI devem tomar cuidado extra para garantir que suas ferramentas de IA cumpram as diversas leis de privacidade e proteção de dados ao redor do mundo, incluindo a LGPD no Brasil.