OpenAI muda-se para a Irlanda transferindo risco regulatório ou uma mina de ouro da GDPR?
Apesar da maioria da Europa ainda se deliciar com chocolates de feriados no mês passado, a OpenAI, criadora do ChatGPT, estava ativamente enviando um e-mail notificando seus usuários sobre uma próxima atualização em seus termos de uso. Esta atualização parece ter como objetivo reduzir seu risco regulatório na União Europeia.
A OpenAI está tomando medidas para reduzir o potencial de problemas regulatórios relacionados à privacidade de dados na União Europeia.
Enquanto a maior parte da Europa ainda estava comendo chocolate nas festas de fim de ano no mês passado, a OpenAI, fabricante do ChatGPT, estava ocupada enviando um e-mail com detalhes sobre uma atualização iminente em seus termos, que parece ter a intenção de reduzir seu risco regulatório na União Europeia.
A tecnologia do gigante de IA tem sido alvo de escrutínio na região devido ao impacto do ChatGPT na privacidade das pessoas, com várias investigações abertas sobre preocupações com a proteção de dados relacionadas à forma como o chatbot processa as informações das pessoas e os dados que pode gerar sobre indivíduos, incluindo de órgãos de controle na Itália e Polônia. (A intervenção da Itália até mesmo desencadeou uma suspensão temporária do ChatGPT no país até que a OpenAI revisasse as informações e os controles fornecidos aos usuários.)
“Alteramos a entidade da OpenAI que fornece serviços como o ChatGPT para residentes da Área Econômica Europeia (EEA) e da Suíça para nossa entidade irlandesa, OpenAI Ireland Limited”, escreveu a OpenAI em um e-mail aos usuários enviado em 28 de dezembro.
Uma atualização paralela na Política de Privacidade da OpenAI para a Europa também estipula:
- A Revolução da IA 5 Preocupações de Cibersegurança para 2024
- 🛡️ Biden assina projeto de lei de defesa e prorroga programa de vig...
- O Surgimento dos Desenvolvedores Cidadãos Do Zero a Um
Se você mora na Área Econômica Europeia (EEA) ou Suíça, a OpenAI Ireland Limited, com sede registrada no 1º andar, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irlanda, é a controladora e é responsável pelo processamento de seus Dados Pessoais conforme descrito nesta Política de Privacidade.
Os novos termos de uso que listam a subsidiária sediada em Dublin como controladora de dados para usuários na Área Econômica Europeia (EEA) e Suíça, onde o Regulamento Geral de Proteção de Dados (GDPR) da UE está vigente, passarão a ser aplicados em 15 de fevereiro de 2024.
Os usuários são informados de que, se não concordarem com os novos termos da OpenAI, podem excluir suas contas.
O Mecanismo de Balcão Único do GDPR e as Aspirações da OpenAI em Dublin
O mecanismo de balcão único (OSS) do GDPR permite que as empresas que processam dados de europeus simplifiquem a supervisão de privacidade sob uma única autoridade de supervisão de dados principal localizada em um Estado-Membro da UE, onde eles estão “estabelecidos como principal”, como reza a terminologia regulatória.
Obter esse status efetivamente reduz a capacidade das agências de proteção de dados localizadas em outros lugares do bloco de agir unilateralmente em relação a preocupações. Em vez disso, elas normalmente encaminhariam as reclamações para a autoridade de supervisão principal da empresa estabelecida para análise.
Outros reguladores do GDPR ainda mantêm poderes para intervir localmente se virem riscos urgentes. Mas essas intervenções são normalmente temporárias. Elas também são excepcionais por natureza, com a maioria da supervisão do GDPR sendo canalizada por meio de uma autoridade principal. Por isso, o status tem sido tão atrativo para as gigantes de tecnologia, permitindo que as plataformas mais poderosas simplifiquem a supervisão de privacidade de seus processamentos transfronteiriços de dados pessoais.
Ao ser questionada se a OpenAI está trabalhando com a agência de proteção de dados da Irlanda para obter o status de estabelecimento principal para sua entidade em Dublin, sob o OSS do GDPR, porta-vozes da Comissão de Proteção de Dados da Irlanda (DPC) disseram à ENBLE: “Posso confirmar que a OpenAI está em contato com a DPC e outras autoridades de proteção de dados da UE sobre essa questão.”
A OpenAI também foi contatada para comentar.
Criando uma presença em Dublin
A gigante de IA abriu um escritório em Dublin em setembro – contratando inicialmente alguns funcionários para os setores de políticas, jurídico e privacidade, além de alguns cargos de apoio administrativo.
No momento em que este texto foi escrito, existem apenas cinco vagas em aberto baseadas em Dublin, de um total de 100 listadas em sua página de carreiras, o que indica que a contratação local ainda é limitada. Um cargo de liderança em políticas e parcerias para os Estados-Membros da UE, baseado em Bruxelas e atualmente em processo de recrutamento, pergunta aos candidatos se eles estão disponíveis para trabalhar no escritório de Dublin três dias por semana. Mas a maioria das vagas em aberto da gigante de IA está listada como sendo em São Francisco (EUA).
Um dos cinco papéis baseados em Dublin que estão sendo anunciados pela OpenAI é para um engenheiro de software de privacidade. Os outros quatro são para: diretor de contas, plataforma; especialista em folha de pagamento internacional; líder de relações com a mídia, Europa; e engenheiro de vendas.
Quem e quantas contratações a OpenAI está fazendo em Dublin será relevante para obter o status de estabelecimento principal sob o GDPR, pois não é simplesmente um caso de arquivar alguns documentos legais e marcar uma caixa para obter o status. A empresa precisará convencer os reguladores de privacidade do bloco de que a entidade com base no Estado-Membro que é nomeada como sendo legalmente responsável pelos dados dos europeus é realmente capaz de influenciar a tomada de decisões a respeito desses dados.
Isso significa ter a expertise certa e as estruturas legais adequadas para exercer influência e impor verificações de privacidade significativas a uma matriz nos EUA.
Colocando de outra forma, abrir um escritório em Dublin que simplesmente assina as decisões de produto tomadas em San Francisco não seria suficiente.
Dito isso, a OpenAI pode estar olhando com interesse para o exemplo da X, a empresa anteriormente conhecida como Twitter, que causou muita controvérsia após uma mudança de propriedade em 2022. Mas até agora, a empresa não caiu do OSS desde que Elon Musk assumiu o controle — apesar do proprietário bilionário errático ter cortado drasticamente o número de funcionários regionais da X, expulsado expertise relevante e tomando decisões de produto extremamente unilaterais. (Então, bom, vá entender.)
Adicionando Dublin à Lista
Se a OpenAI obtiver o status de estabelecimento principal sob o GDPR na Irlanda, obtendo supervisão principal do DPC irlandês, ela se juntará a empresas como Apple, Google, Meta, TikTok e X, para citar algumas multinacionais que optaram por estabelecer sua sede da UE em Dublin.
Enquanto isso, o DPC continua a atrair críticas substanciais pela velocidade e cadência de sua supervisão do GDPR em relação às gigantes da tecnologia local. Embora os últimos anos tenham visto uma série de penalidades de grande destaque para as Big Tech finalmente serem aplicadas na Irlanda, os críticos apontam que o regulador muitas vezes defende penalidades muito mais baixas do que seus pares. Outras críticas incluem a lentidão e/ou trajetória incomum das investigações do DPC. Ou situações em que ele opta por não investigar uma reclamação, ou reenquadra-la de uma forma que ignora a preocupação chave (sobre o último, veja, por exemplo, esta reclamação do Google adtech).
As Implicações Futuras
Quaisquer investigações atuais do GDPR sobre o ChatGPT, como as realizadas por reguladores na Itália e Polônia, ainda podem ser consequentes em termos de moldar a regulamentação regional do chatbot de IA generativa da OpenAI, já que as investigações provavelmente seguirão seu curso, uma vez que dizem respeito ao processamento de dados anterior a qualquer futuro status de estabelecimento principal que o gigante da IA possa obter. No entanto, não está claro quanta influência essas investigações podem ter.
Para refrescar a memória, o regulador de privacidade da Itália tem investigado uma longa lista de preocupações sobre o ChatGPT, incluindo a base legal em que a OpenAI se apoia para processar os dados das pessoas para treinar suas IAs. Enquanto o órgão de controle da Polônia abriu uma investigação após uma reclamação detalhada sobre o ChatGPT — incluindo como o bot de IA alucina (ou seja, fabrica) dados pessoais.
Vale ressaltar que a política de privacidade europeia atualizada da OpenAI também inclui mais detalhes sobre as bases legais que ela alega para processar os dados das pessoas — com algumas novas palavras que afirmam que a alegação de estar se baseando em uma base legal de interesses legítimos para processar os dados das pessoas para treinamento de modelos de IA é “necessária para nossos interesses legítimos e daqueles terceiros e da sociedade em geral” [ênfase nossa].
Enquanto a política de privacidade atual da OpenAI contém a linha muito mais seca sobre esse elemento de sua base legal alegada: “Nossos interesses legítimos em proteger nossos Serviços contra abusos, fraudes ou riscos de segurança, ou em desenvolver, melhorar ou promover nossos Serviços, inclusive quando treinamos nossos modelos.”
Isso sugere que a OpenAI pode pretender defender sua coleta vasta e sem consentimento de dados pessoais de usuários da Internet para lucrar com IA generativa para reguladores europeus de privacidade preocupados, apresentando algum tipo de argumento de interesse público para a atividade, além de seus próprios interesses comerciais. No entanto, o GDPR tem um conjunto estritamente limitado de (seis) bases legais válidas para o processamento de dados pessoais; os controladores de dados não podem simplesmente escolher elementos dessa lista para inventar sua própria justificação personalizada.
Também vale a pena notar que os guardiões do GDPR têm tentado encontrar um terreno comum sobre como lidar com a complicada interseção entre a lei de proteção de dados e os AIs alimentados por big data através de um grupo de trabalho criado dentro do Conselho Europeu de Proteção de Dados no ano passado. Embora ainda reste saber se algum consenso surgirá desse processo. E, dado o movimento da OpenAI ao estabelecer uma entidade legal em Dublin como controladora dos dados dos usuários europeus, pode ser que a Irlanda tenha a palavra final na direção que a IA generativa e os direitos de privacidade tomarão.
Se a DPC se tornar a supervisora principal da OpenAI, ela terá a capacidade de, por exemplo, retardar o ritmo da aplicação de qualquer regulamentação do GDPR sobre a tecnologia de rápida evolução.
Desde abril passado, após a intervenção italiana no ChatGPT, a comissária atual da DPC, Helen Dixon, alertou contra os guardiões da privacidade que se apressam em proibir a tecnologia devido a preocupações com dados, afirmando que os reguladores devem ter tempo para descobrir como aplicar a lei de proteção de dados do bloco em AIs.
Observação: Os usuários do Reino Unido estão excluídos da mudança de base legal da OpenAI para a Irlanda, já que a empresa especifica que eles estão sob os auspícios de sua entidade corporativa nos EUA, com sede em Delaware. (Desde o Brexit, o GDPR da UE não se aplica mais no Reino Unido – embora ele mantenha seu próprio GDPR do Reino Unido na legislação nacional, uma regulamentação de proteção de dados que ainda é historicamente baseada no quadro europeu, mas isso está prestes a mudar conforme o Reino Unido abandona o padrão-ouro do bloco em proteção de dados através do projeto de “reforma de dados” que enfraquece os direitos.)
Referências: – OpenAI vai abrir seu primeiro escritório na UE enquanto se prepara para obstáculos regulatórios – OpenAI, criadora do ChatGPT, acusada de uma série de violações de proteção de dados em reclamação do GDPR apresentada por pesquisador de privacidade
