Como consequência do declaração conjunta assinado por reguladores de uma dúzia de órgãos internacionais de vigilância da privacidade, incluindo o ICO do Reino Unido, o OPC do Canadá e o OPCCD de Hong Kong, instou as principais plataformas de mídia social a protegerem as postagens públicas dos usuários contra scraping, alertando que eles enfrentam responsabilidade legal por fazê-lo na maioria dos mercados.
“Na maioria das jurisdições, as informações pessoais que estão ‘disponíveis publicamente’, ‘acessíveis publicamente’ ou de ‘natureza pública’ na Internet estão sujeitas a leis de privacidade e proteção de dados”, comentam. “Portanto, os indivíduos e empresas que coletam tais informações pessoais são responsáveis por garantir que cumpram estas e outras leis aplicáveis. No entanto, as empresas de redes sociais e os operadores de outros websites que alojam informações pessoais publicamente acessíveis (SMC e outros websites) também têm obrigações de protecção de dados no que diz respeito à extracção de dados por terceiros a partir dos seus serviços. Estas obrigações aplicar-se-ão geralmente a informações pessoais, quer essas informações sejam acessíveis ao público ou não. A extração em massa de dados pessoais pode constituir uma violação de dados reportável em muitas jurisdições.”
O momento da declaração, que também foi assinada por reguladores de privacidade na Austrália, Suíça, Noruega, Nova Zelândia, Colômbia, Jersey, Marrocos, Argentina e México, todos membros do grupo de trabalho de cooperação internacional para aplicação da lei da Assembleia Global de Privacidade, coincide com o entusiasmo atual em torno dos modelos generativos de IA, que normalmente requerem grandes quantidades de dados para treinamento e poderiam encorajar mais entidades a explorar a Internet em uma tentativa de adquirir conjuntos de dados, e entrar no movimento da IA generativa.
Exemplos de destaque de tais sistemas, como o grande modelo de linguagem ChatGPT da OpenAI, confiaram (pelo menos em parte) em dados publicados on-line para treinar seus sistemas, e em uma ação coletiva movida contra a empresa norte-americana em junho, que que a CNN Business noticiou alega que extraiu secretamente “grandes quantidades de dados pessoais da Internet”.
Entre os riscos de privacidade destacados pelos reguladores estão a utilização de mineração de dados para ataques cibernéticos direcionados, como engenharia social e phishing; fraude de identidade; e para o rastreio, criação de perfis e vigilância de pessoas, tais como a utilização de dados para preencher bases de dados de reconhecimento facial e fornecer acesso não autorizado às autoridades, um golpe claro para a Clearview AI, que tem enfrentado uma série de controlos por parte de reguladores internacionais, incluindo vários em toda a UE, sobre o uso de dados extraídos para alimentar uma ferramenta de identificação de reconhecimento facial que vendeu às autoridades e outros usuários.
Alertam também que os dados extraídos podem ser utilizados para fins políticos ou de recolha de informações não autorizados, incluindo por governos ou agências de inteligência estrangeiras. Além disso, também podem ser usados para gerar marketing direto ou spam indesejado.
Eles não citam diretamente modelos de IA de treinamento como um desses riscos “principais” à privacidade, mas ferramentas de IA generativas que foram treinadas em dados de pessoas sem seu conhecimento ou consentimento poderiam ser reaproveitadas para vários casos. inclusive para se passar por pessoas para ataques cibernéticos direcionados, fraude de identidade ou para monitorar/vigilar pessoas.
Além de tornar pública a declaração, os reguladores observam que uma cópia foi enviada diretamente à controladora do YouTube, a Alphabet; ByteDance, controladora do TikTok; Meta (dona do Instagram, Facebook e Threads); Microsoft (LinkedIn); Sina Corp (Weibo); e X (também conhecida como plataforma anteriormente conhecida como Twitter), de modo que as principais plataformas globais de mídia social estão claramente na frente e no centro, à medida que os vigilantes internacionais consideram os riscos de privacidade representados pela mineração de dados.
É claro que algumas plataformas já tiveram grandes escândalos de dados envolvendo roubo de dados, como o escândalo de uso indevido de dados do Cambridge Analytics em 2018, que atingiu o Facebook depois que um desenvolvedor de sua plataforma conseguiu extrair dados de milhões de usuários sem o seu conhecimento ou consentimento como resultado das permissões negligentes que a empresa solicitou; ou a multa de US$ 275 milhões do Regulamento Geral de Proteção de Dados (GDPR) imposta ao Facebook no ano passado em conexão com um incidente de mineração de dados que afetou 530 milhões de usuários como resultado de um design de produto inseguro. Este último incidente também é objeto de uma ação judicial movida por um grupo irlandês de direitos digitais que contesta a conclusão da DPA de que não houve violação de segurança.
Embora a declaração conjunta dos reguladores contenha um sinal claro da necessidade de ser proativo na proteção das informações dos usuários contra a coleta de dados, não há um aviso proporcionalmente claro para acompanhar a mensagem de não agir e proteger os dados. risco de diluir um pouco o impacto da declaração.
Em vez disso, os vigilantes instam as plataformas a “considerar cuidadosamente a legalidade dos diferentes tipos de mineração de dados nas jurisdições que lhes são aplicáveis e a implementar medidas de proteção contra a mineração ilegal de dados”.
“Técnicas para extrair valor de dados acessíveis ao público estão surgindo e evoluindo constantemente. A segurança dos dados é uma responsabilidade dinâmica e a vigilância é fundamental”, comentam ainda. “Uma vez que nenhuma salvaguarda protegerá adequadamente contra todos os potenciais danos à privacidade associados à mineração de dados, os SMCs e outros websites devem implementar controlos técnicos e processuais multicamadas para mitigar os riscos.”
As medidas recomendadas para limitar os riscos de mineração de dados do usuário mencionadas na carta incluem a designação de equipes/funções internas focadas nos riscos de mineração de dados; 'limite de taxa' o número de visitas por hora ou dia de uma conta para outros perfis de conta e limitar o acesso se for detectada atividade incomum; e monitorar a rapidez e agressividade com que uma nova conta começa a procurar outros usuários e a tomar medidas para responder a atividades anormais.
Eles também sugerem que as plataformas tomem medidas para detectar scrapers, identificando padrões na atividade de bots, como ter sistemas para detectar atividades suspeitas em endereços IP.
Tomar medidas para detectar bots, como implementar CAPTCHA e bloquear o endereço IP onde a atividade de mineração de dados é identificada, é outra recomendação, embora bots podem resolver CAPTCHAs, então esse conselho já parece desatualizado.
Outras medidas recomendadas são que as plataformas tomem as medidas legais adequadas contra os scrapers, como o envio de cartas de “cessar e desistir”; exigir a exclusão de informações excluídas; obter confirmação de exclusão; e tomar outras ações legais para fazer cumprir os termos e condições que proíbem a mineração de dados.
As plataformas também podem ser obrigadas a notificar os indivíduos afetados e os reguladores de privacidade sob as leis existentes sobre violação de dados, alertam esses vigilantes.
Os gigantes das redes sociais que receberam uma cópia da carta são incentivados a responder com comentários dentro de um mês, demonstrando como irão atender às expectativas dos reguladores.
As pessoas são convidadas a “pensar a longo prazo”
A carta também inclui alguns conselhos para que as pessoas tomem medidas para ajudar a se protegerem contra os riscos de scraping, inclusive sugerindo que os usuários da web prestem atenção às políticas de privacidade das plataformas; pense cuidadosamente sobre o que eles escolhem compartilhar online; e faça uso de quaisquer configurações que lhes permitam controlar a visibilidade de suas postagens.
“Em última análise, encorajamos as pessoas a pensar a longo prazo”, acrescentam. “Como uma pessoa se sentiria anos depois em relação às informações que compartilha hoje? Embora os SMCs e outros sites possam oferecer ferramentas para remover ou ocultar informações, essas mesmas informações podem permanecer para sempre na web se tiverem sido indexadas ou removidas e depois compartilhadas.”
A carta também insta as pessoas que estão preocupadas com a extração “ilegal ou indevida” de seus dados a entrar em contato com a plataforma ou site em questão e, caso não recebam uma resposta satisfatória, sugere que registrem uma reclamação junto à autoridade de proteção de dados correspondente. Os reguladores estão, portanto, incentivando os usuários a serem mais vigilantes em relação à raspagem, o que poderia levar a um aumento no investigações e controles neste área.
A dúzia de reguladores internacionais que assinam a declaração conjunta provêm todos de mercados fora da União Europeia. Mas, como observado acima, os reguladores da protecção de dados da UE já estão activos nos riscos de mineração de dados através de medidas tomadas no âmbito do GDPR do bloco.
Estão também a acompanhar de perto a evolução dos serviços de segurança. Inteligencia artificial generativo, de modo que as preocupações levantadas na carta parecem amplamente alinhadas com questões já no radar das autoridades de proteção de dados do bloco.
Notavelmente, o órgão de vigilância da privacidade da Itália impôs ao ChatGPT uma ordem local de interrupção do processamento no início deste ano, causando uma breve interrupção do serviço enquanto a OpenAI lutava com divulgações e verificações. O chatbot Bard AI do Google demorou mais para ser lançado na UE do que em outras regiões, depois que seu principal regulador de privacidade da UE na Irlanda levantou preocupações semelhantes. Mas as APD da UE estão simultaneamente a coordenar a melhor forma de aplicar as regras locais de proteção de dados a estes novos chatbots de IA, inclusive no que diz respeito à questão crucial da legalidade do processamento de dados utilizado para treinar os modelos. Portanto, as decisões sobre a legalidade fundamental de ferramentas como o ChatGPT permanecem pendentes na UE.
No início deste ano, a DPA francesa, a CNIL, também alertou que a protecção contra o roubo de dados será um elemento-chave de um plano de acção de IA anunciado em Maio.
