As principais empresas de inteligência artificial (IA) generativa do mercado descumprem diversas diretrizes da Lei Geral de Proteção de Dados (LGPD), revela um estudo divulgado recentemente pela Fundação Getúlio Vargas (FGV).

Os pesquisadores do Centro de Tecnologia e Sociedade da FGV analisaram 14 itens do Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, publicado pela ANPD (Autoridade Nacional de Proteção de Dados) em 2021, para avaliar as políticas de privacidade das plataformas de IA da OpenAI, Google, Anthropic, Microsoft, Meta, Grok e DeepSeek.

Claude (Anthropic), Gemini (Google) e Meta (Meta AI) obtiveram os melhores resultados, atendendo adequadamente a 11 dos 14 critérios analisados. O ChatGPT, líder do setor, ocupa uma posição intermediária, respeitando nove requisitos.

Já o Grok (xAI), de Elon Musk, e o DeepSeek desrespeitam mais da metade dos critérios – seis e cinco, respectivamente. Ambas as plataformas não possuem sequer uma versão em português de suas políticas de privacidade.

Violações da LGPD

Entre as violações mais graves, o Grok omite o envio de dados dos usuários para servidores no exterior, enquanto o DeepSeek não apresenta informações de contato do encarregado pelo tratamento de dados, a pessoa ou entidade encarregada por intermediar a relação com os usuários locais e se reportar ao órgão regulador em nome da empresa.

O Gemini e a Meta AI, ferramenta de IA incorporada a aplicativos como WhatsApp e Instagram, não são transparentes quanto aos direitos do usuário e utilizam mecanismos de transmissão de dados não permitidos pela LGPD.

O ChatGPT também descumpre as normas de transmissão de dados e omite o destino das informações dos usuários brasileiros.

De todas as plataformas, o Claude é a única que adota um sistema de transmissão internacional de dados autorizado pela ANPD. No entanto, a plataforma da Anthropic não indica o destino das informações.

Os autores do estudo afirmam que o tratamento inadequado dos dados dos usuários pode resultar em abusos, caso sejam transferidos para jurisdições em que não há regulação para garantir a privacidade das informações.

É o caso dos Estados Unidos, por exemplo, como destacou Luca Belli, professor da FGV e coordenador do estudo:

“É sabido desde as revelações de Edward Snowden que dados de indivíduos que não sejam cidadãos americanos estão desprotegidos, e é o país onde a maioria dessas empresas está sediada.”

Embora as empresas afirmem programar seus sistemas para que evitem o processamento de informações pessoais, testes com as ferramentas de busca alimentadas por IA da OpenAI e do Google sugerem que há falhas nessa prática.

Esse é apenas um dos exemplos que evidenciam a falta de clareza e transparência sobre o uso de dados dos usuários para treinamento de modelos de IA generativa, diz o advogado.

No Brasil, o desrespeito das empresas à LGPD pode ser atribuído à ausência de um marco regulatório de IA. Aprovado no Senado em dezembro, o Projeto de Lei 2338/23, que versa sobre o tema, foi encaminhado para análise em uma comissão especial da Câmara dos Deputados antes de ir à votação em plenário.