Apenas uma semana depois que o X concordou em parar de processar dados de usuários da União Europeia (UE) para treinar sua IA, Grok, a empresa foi alvo de uma série de reclamações relacionadas ao Regulamento Geral de Proteção de Dados (GDPR) da UE.
O grupo europeu de privacidade Nyob apresentou nove queixas contra a empresa às autoridades de proteção de dados da Áustria, Bélgica, França, Grécia, Irlanda, Itália, Países Baixos, Espanha e Polônia.
O X (antigo Twitter) já havia concordado em interromper o processamento dos dados coletados dos usuários entre 7 de maio e 1 de agosto, decisão tomada após a Comissão de Proteção de Dados (DPC) da Irlanda ter informado que fez uma solicitação urgente ao Supremo Tribunal para suspender a prática. Essa foi a primeira vez que uma autoridade supervisora tomou tal ação.
Leia também
“Um dos nossos principais papéis como regulador independente e organização baseada em direitos é garantir o melhor resultado para os titulares dos dados. Os acontecimentos de hoje nos ajudarão a continuar protegendo os direitos e liberdades dos usuários do X em toda a União Europeia”, disse o comissário Des Hogan.
No entanto, isso não é suficiente para a Nyob, que descreve a ação da DPC como “meia-medida”. Segundo a Nyob, a instituição focou demais nas medidas de mitigação e no fato de que o X iniciou o processamento enquanto ainda estava em consulta obrigatória, em vez de se concentrar nas violações fundamentais da empresa.
“Os documentos do tribunal não são públicos, mas a partir da audiência entendemos que a DPC não questionou a legalidade desse procedimento em si”, disse Max Schrems, presidente da Noyb.
“Parece que a DPC estava preocupada com as chamadas ‘medidas de mitigação’ e com a falta de cooperação por parte do X. A instituição parece agir de forma superficial, mas evita abordar o problema central.”
O verdadeiro problema, segundo a Nyob, é o uso ilegal dos dados pessoais de mais de 60 milhões de usuários na UE para treinar o Grok, sem obter sua permissão específica para isso. A ação, de acordo com o grupo, viola os Artigos 5(1), 5(2), 6(1), 9(1), 12(1), 12(2), 13(1), 13(2), 17(1)(c), 18(1)(d), 19, 21(1) e 25 do GDPR.
“Vimos inúmeros casos de aplicação ineficiente e parcial da DPC nos últimos anos. Queremos garantir que o Twitter cumpra totalmente a legislação da UE, que – no mínimo – exige que os usuários sejam solicitados a consentir nesse caso”, disse Schrems.
“As empresas que interagem diretamente com os usuários simplesmente precisam mostrar uma solicitação de sim/não antes de usar seus dados. Elas fazem isso regularmente para várias outras coisas, então definitivamente seria possível para o treinamento de IA também.”
A Noyb agora solicitou um “procedimento de urgência” sob o Artigo 66 do GDPR, que autoriza as autoridades de proteção de dados a emitir suspensões preliminares em situações como esta e permite uma decisão em toda a UE através do Conselho Europeu de Proteção de Dados.
A DPC já ordenou que a Meta pare de processar dados semelhantes para treinar sua IA, apesar das alegações da empresa de Mark Zuckerberg de que isso era permitido sob “interesse legítimo”. O X está usando um argumento semelhante.
Mas, segundo Schrems, “os fatos que agora conhecemos a partir dos processos judiciais irlandeses indicam que a DPC realmente não questionou o problema central, que é o uso de todos esses dados pessoais sem o consentimento do usuário”.
Escolhas do editor
Emma Woollacott é colaboradora da Forbes EUA e especialista em implicações legais da tecnologia.