GDPR & AI — Compreendendo a proteção de dados
AI processa uma quantidade enorme de dados — muitas vezes sobre pessoas que não sabem disso. O GDPR concede a você, como titular dos dados, direitos. Como operador, você tem obrigações. Conhecer ambos é uma condição fundamental para o uso responsável da AI.
Você entende os 6 princípios do GDPR, conhece seus direitos como titular de dados e sabe quais obrigações de proteção de dados surgem com o uso de IA.
GDPR e IA — os fundamentos
~15 MinDSGVO e IA — os Fundamentos
O que é pessoal?
Dados pessoais = todas as informações que se referem a uma pessoa identificável.
Não apenas nome e e-mail. Também: Endereço IP, dados de localização, comportamento de compra, padrões de clique, identificadores de dispositivos — e todas as combinações que podem levar à identificação.
Sistemas de IA quase sempre processam dados pessoais. A DSGVO se aplica.
Os 6 Princípios — em resumo
| Princípio | O que exige | Relevância para IA |
|---|---|---|
| Legalidade | Base legal para cada processamento | Consentimento, contrato ou interesse legítimo explicitamente definidos |
| Finalidade | Apenas para o propósito indicado | Treinamento de IA ≠ Direito de uso para outros fins |
| Minimização de dados | Mínimo de dados | Engenharia de características: apenas variáveis relevantes |
| Exatidão | Manter dados atualizados | Dados de treinamento desatualizados → discriminação desatualizada |
| Limitação de armazenamento | Não mais do que o necessário | Política de retenção para dados de treinamento |
| Integridade e Confidencialidade | Proteção contra abuso | Controles de acesso, criptografia |
Seus direitos como pessoa afetada
| Direito | Art. | O que você pode exigir |
|---|---|---|
| Acesso | 15 | Quais dados? Para quê? Por quanto tempo? |
| Retificação | 16 | Corrigir dados incorretos |
| Eliminação | 17 | "Direito ao esquecimento" |
| Restrição | 18 | Parar temporariamente o processamento |
| Oposição | 21 | Opor-se ao processamento |
| Sem automação completa | 22 | Revisão humana em decisões significativas |
Art. 22 é particularmente relevante para IA: Decisões automatizadas com impacto significativo sobre pessoas (recusa de crédito, rejeição de emprego, preço de seguro) devem ser contestáveis.
Categorias especiais de dados — proteção aumentada
Esses dados não devem ser processados, exceto com consentimento explícito:
- Dados de saúde
- Origem étnica
- Opiniões políticas
- Crenças religiosas
- Filiação sindical
- Dados biométricos
- Orientação sexual
Para desenvolvedores de IA: Se os dados de treinamento permitirem, mesmo que implicitamente, inferências sobre essas categorias — risco aumentado.
Próximo: Obrigações para operadores →
Verificação Rápida
1. Qual princípio do GDPR exige que apenas os dados necessários sejam coletados?
2. O que significa GDPR Art. 22?
GDPR em resumo
- 6 Grundsätze: Rechtmäßigkeit, Zweckbindung, Sparsamkeit, Richtigkeit, Begrenzung, Sicherheit
- Art. 15: Du kannst fragen welche Daten gespeichert sind
- Art. 16: Du kannst falsche Daten korrigieren lassen
- Art. 17: Du kannst Löschung beantragen
- Art. 22: Automatische Entscheidungen können angefochten werden
GDPR na aplicação de IA — Obrigações para operadores
~15 MinObrigações da GDPR no Uso de IA
Antes do Início: Três Obrigações
1. Estabelecer Base Legal
Nenhum processamento de dados sem base. As mais importantes para IA:
| Base | Quando é adequada | Atenção |
|---|---|---|
| Consentimento (Art. 6 Abs. 1 a) | Claramente voluntário, específico | Deve ser revogável a qualquer momento |
| Contrato (Art. 6 Abs. 1 b) | IA necessária para cumprimento do contrato | Apenas se realmente necessário |
| Interesse Legítimo (Art. 6 Abs. 1 f) | Otimização interna | Documentar a ponderação de interesses |
Atenção: “Queremos melhorar a IA" não é um interesse legítimo que se aplica automaticamente. É necessária uma ponderação de interesses documentada.
2. Verificar DPIA — quando é obrigatória?
Uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) é obrigatória segundo Art. 35 GDPR em casos de:
- Perfilação sistemática de pessoas
- Processamento de categorias especiais de dados (→ Módulo 1)
- Decisões automatizadas com impacto significativo
- Monitoramento de funcionários com suporte de IA
Qual a extensão? A DPIA documenta: O que é processado? Por quê? Quais riscos surgem? Quais medidas de proteção são aplicadas?
3. Informar os Afetados
Antes do processamento, os afetados devem saber:
- Quem processa os dados (Nome, contato)
- Por quê (Finalidade e base legal)
- Por quanto tempo
- Para quem são divulgados
- Se decisões automatizadas ocorrem (Art. 13 Abs. 2 f)
Em Operação: Duas Obrigações Críticas
Relatar Incidentes de Dados (Art. 33)
Em caso de perda de dados, roubo ou acesso não autorizado:
- 72 horas para relatar à autoridade supervisora de proteção de dados
- Em caso de alto risco para os afetados: também informar diretamente os afetados (Art. 34)
Sem exceção para sistemas de IA. Um vazamento de dados de um sistema de IA aciona as mesmas obrigações.
Cumprir Políticas de Retenção
Dados de treinamento de IA estão sujeitos às mesmas obrigações de exclusão que todos os outros dados pessoais. “Precisamos dos dados para re-treinamento" não é um motivo de retenção ilimitado.
Caso Prático: O Chatbot Aprendente
Um chatbot de atendimento ao cliente registra todas as conversas "para melhorar". Em conversas, ocasionalmente são mencionados dados de saúde.
Violações da GDPR:
- Falta de consentimento para dados de saúde (Art. 9 — categoria especial)
- Violação da finalidade: Conversa para atendimento ao cliente ≠ Consentimento para treinamento de IA
- Afetados não foram informados sobre o uso de IA
O que deve ser feito:
- Remover imediatamente dados de saúde dos dados de treinamento
- Informar a autoridade de proteção de dados (em caso de risco significativo)
- Ajustar o processo: Consentimento antes do uso para treinamento
Resumo: A Lista de Verificação da GDPR para IA
Antes do uso:
☐ Base legal documentada
☐ DPIA verificada (e realizada, se necessário)
☐ Afetados informados
☐ Categorias de dados verificadas (categorias especiais?)
Em operação:
☐ Política de retenção definida e implementada
☐ Controles de acesso ativos
☐ Processo para incidentes de dados existente (prazo de 72h!)
☐ Processo de direitos dos afetados definido
Voltar: Fundamentos da GDPR | Iniciar Avaliação →
Caso prático: O chatbot e os dados sensíveis
Um chatbot de atendimento ao cliente coleta históricos de conversas para "melhorar". Um usuário reclama que o chatbot conhece seus dados de saúde de uma conversa anterior — embora ele nunca tenha consentido explicitamente que esses dados fossem armazenados.
Lösung anzeigen
Pelo menos duas violações do GDPR:
- Falta de base legal (Art. 6): Para dados de saúde (Art. 9 — categoria especial) é necessário consentimento explícito. "Coletar dados de treinamento" não é uma base suficiente.
- Violação da limitação de finalidade (Art. 5): Dados de uma conversa não podem ser usados para treinamento sem mais.
O que a empresa deve fazer:
- Imediatamente: Remover dados de saúde dos dados de treinamento
- Informar os afetados (Art. 34 se houver alto risco)
- Notificar a autoridade de proteção de dados se a violação for significativa (Art. 33, prazo de 72h)
- Ajustar o processo: Obter consentimento antes do uso para treinamento
Seus Dados
Em quais serviços digitais você sente que eles sabem mais sobre você do que deveriam?
- Werbung die zu gut zu meinen Gesprächen passt
- Empfehlungen die zeigen dass mein Verhalten beobachtet wird
- Systeme die mich 'kennen' ohne dass ich mich erinnere Daten gegeben zu haben
O que você leva com você
- Als Betreiber: Rechtsgrundlage vor Datenverarbeitung klären
- Zweckbindung: Daten nur für den angegebenen Zweck nutzen
- DPIA: Bei Hochrisiko-Verarbeitung Datenschutz-Folgenabschätzung Pflicht
- ⏰ Panne: 72 Stunden Zeit um Datenschutzbehörde zu informieren