Nenhuma das plataformas de inteligência artificial generativa mais populares do mercado, e que operam no Brasil, cumpre os requisitos mínimos determinados pela Lei Geral de Proteção de Dados, é o que aponta um estudo realizado pela Fundação Getúlio Vargas (FGV).

Segundo matéria da Folha de São Paulo, essa norma tem como principal intuito proteger usuários brasileiros de práticas de vigilância e de distorções em relações comerciais. Pesquisadores do Centro de Tecnologia e Sociedade, da FGV Direito, no Rio de Janeiro, analisaram as políticas de privacidade das seis plataformas de IA mais acessadas na internet, de acordo com dados do site App Magic.

Além delas, os pesquisadores acrescentaram ao grupo a Meta AI, já que o sistema da “big tech” de Mark Zuckerberg é integrada a serviços populares e de acesso subsidiado, como o WhatsApp, o Facebook e o Instagram.

Entre as IA’s analisadas, a chinesa DeepSeek (5 de 14 itens) e o Grok (6 de 14), de Elon Musk, descumprem mais da metade dos critérios elencados no Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, publicado pela Autoridade Nacional de Proteção de Dados (ANPD) em 2021.

Os pesquisadores escolheram essas recomendações, que não são vinculantes, como um referencial mínimo, já que o material foi produzido para negócios com poucos recursos. Essas duas ferramentas, por exemplo, sequer possuem uma versão de suas políticas de privacidade traduzida para português.

A DeepSeek, inclusive, não divulga sequer informações de contato do encarregado pelo tratamento de dados, a pessoa ou entidade encarregada por receber solicitações dos usuários e se reportar ao regulador em nome da empresa.

O Grok, por sua vez, omite que envia os dados dos usuários a servidores no exterior. Este tipo de transferencia, apesar de permitida pela ANPD, requer uma adequação ao regulamento elaborado pela autoridade, é o que afirma a advogada Juliana Abrusio, do escritório Machado Meyer Advogados. A transparência, por exemplo, é um dos requisitos cobrados pelo regulador.

De acordo com os pesquisadores da FGV, apenas a IA Claude, da empresa americana Anthropic, usa um mecanismo de transferência internacional de dados aceito pelo regulador brasileiro. A ferramenta, no entanto, não especifica qual país recebe as informações.

O Claude fica ao lado de Gemini, IA do Google, e da Meta AI no topo do ranking de ferramentas mais adequadas à legislação brasileira (as três cumprem 11 dos 14 critérios avaliados).

O artigo detalha ainda que a Gemini e a Meta AI deslizam ao não embasar a transferência internacional de dados em um mecanismo aceito pela lei local e por não explicarem de forma ostensiva os direitos do usuário.

Já o popular ChatGPT, da OpenAI, não indica a identidade do encarregado de dados, nem o destino das informações dos titulares brasileiros. Os autores do estudo afirmam que o tratamento abusivo desses dados pode ter, inclusive, até finalidades criminosas, já que não há uma regulação adequada sendo aplicada.

Organizador da pesquisa, o professor de direito da FGV Luca Belli cita como exemplos de crimes praticados por meio de dados pessoais de terceiros as fraudes financeiras, a falsidade ideológica, entre outros. Os pesquisadores ainda alertam para a opacidade da informação de quais dados foram usados para treinar os modelos de inteligência artificial.

As áreas técnicas das empresas dizem orientar suas IA’s para que elas evitem o processamento de dados pessoais. Porém, existem exemplos de falha nessa prática, já aplicadas nas ferramentas de busca, em tecnologias do Google e da OpenAI, a criadora do ChatGPT.

Segundo a norma brasileira, as empresas têm a obrigação de garantir “informações claras, precisas e facilmente acessíveis” para que o tratamento de dados pessoais seja regular.