Proteção de dados e abordagem baseada nos riscos

A Ciência de dados e a IA moderna requerem a extração maciça de dados. Para a proteção dos titulares destes últimos, a UE adota uma abordagem cujo sucesso, porém, requer a consideração das respetivas (da abordagem) limitações e condições teóricas.

Em geral, o Regulamento Geral sobre a Proteção de Dados (RGPD, Art. 12.º – 15.º) exige o acesso dos titulares a informação significativa sobre a “lógica subjacente” à procura de dados pessoais, sobre o destino destes e como serão tratados; assim como a faculdade dos titulares objetarem à extração; em caso da admissão desta, o acesso ao resultado do tratamento da informação, e a possibilidade de requererem o seu apagamento ulterior.

Mas, na prática, a prescrição de imperativos gerais não é suficiente. Além de grupos mais vulneráveis, em época de inovação tecnológica, a maioria de nós terá dificuldade em exercer aqueles acessos. Como, aliás, sugere o Relatório de 2024 (n. 4.1) sobre a aplicação do RGPD.

Em compensação, esse Regulamento adota, em diversas passagens, uma abordagem ética baseada na avaliação de riscos. A qual, em 2024, foi explicitamente assumida no EU AI Act. Designadamente, este Ato comunitário proíbe quaisquer sistemas de IA de risco julgado inaceitável – é o caso de sistemas de crédito social como o chinês, que violam fortemente a privacidade individual tal como a determinamos no Ocidente. Já os sistemas julgados de alto risco são aceitáveis, mas sob estrita regulamentação – como sistemas de monitorização do comportamento de estudantes ou de trabalhadores nos respetivos contextos organizacionais. Um nível abaixo, os sistemas julgados de risco limitado estão sujeitos apenas a algumas obrigações de transparência – p.e. aqueles que, por si mesmos, não violarão a privacidade ou outros valores, mas poderão ser utilizados por pessoas que o façam. Finalmente, sistemas julgados de risco mínimo são permitidos sem regulamentação.

Esta abordagem ética remonta às tecnologias anteriores à IA. Implementando-a neste caso, primeiro, temos de prever as consequências plausíveis da utilização de cada algoritmo, estimar as respetivas probabilidades, e avaliar essas consequências, para classificar o algoritmo conforme o nível de risco assim determinado. Segundo, prescreveremos normas gerais de utilização em cada classe de algoritmos.

Em termos de ética normativa: a etapa deontológica complementa, subordinadamente, uma etapa consequencialista. Teoricamente, grosso modo, julgo esta abordagem ética correta. Mas, para implementarmos logo o seu primeiro passo na proteção de dados, ou noutros âmbitos da IA, não podemos evitar que a força (certeza) da previsão das consequências de qualquer evento varie inversamente com a novidade destes últimos. Ora, a IA é a primeira tecnologia que se dispõe não a ser utilizada conforme inferências racionais humanas, mas a substituir-nos em boa parte destas últimas. Portanto, a probabilidade de errarmos tanto no assinalamento de riscos inexistentes, quanto no não reconhecimento dos existentes, é significativa.

O sucesso desta abordagem, assim, dependerá ou de uma constante monitorização da evolução da IA e das suas aplicações, e de correspondentes constantes reajustamentos de diplomas como os acima referidos, ou da sorte.

Por sua vez, o segundo passo dessa etapa consequencialista – a avaliação das consequências – também é inibido pela novidade da IA. Além de nos confrontar com a própria questão da propriedade desta abordagem.

Fazer essa avaliação por analogia com tecnologias equiparáveis não será possível, precisamente, pela inexistência dessas outras.

Em alternativa, remeter a avaliação, em cada circunstância, para os eventuais utilizadores e afetados em geral pela IA, uma vez suficientemente informados, é inviável pela impossibilidade de satisfazer esta última condição. Pois, não só essa novidade tecnológica incrementa a iliteracia acima aludida, como também o problema da transparência dos algoritmos (visá-lo-emos repetidamente nesta coluna) condiciona, em geral, a referida informação.

Resta a conhecida análise de custo-benefício. Mas a sua implementação é condicionada pelas respostas, conscientes ou inconscientes, a duas questões.

Por um lado, quem decidirá? Se não podem ser os utilizadores e afetados em cada circunstância, quem tem legitimidade para decidir por eles?

Por outro lado, com que ferramenta prescritiva se deverá decidir? Será que a aplicação do princípio da precaução, nomeadamente na primeira classe de riscos considerada no EU AI Act, não viola o valor da eficiência tecnológica, de que não quereremos abdicar? Ou deveremos, antes, aplicar a teoria da utilidade esperada com neutralidade face ao risco e, simplesmente, desistir da classificação destes últimos?


In Tek Notícias, Opinião, (ajustado) 15/07/2026

Comentários