Antes de seguir a trilha antecipada, parece ser oportuna a formulação de um acordo semântico acerca do que vem a ser a inteligência artificial, afinal, se de um lado, pensamento e inteligência são características que diferenciam a humanidade de outras espécies, de outro, a alteridade é uma marca indelével em cada pessoa, um acordo que pressupõe perceber que o intelecto do Homo sapiens serviu como chave ao incremento de habilidades cognitivas extremamente avançadas, como a linguagem, o raciocínio abstrato, a capacidade de resolução de problemas complexos e a criatividade.

É aparentemente inquestionável a constatação de que a aptidão à crítica e ao raciocínio analítico permitiu ao ser humano melhor compreender o mundo, questionar o conteúdo de crenças e tradições e, ainda, lapidar explicações teóricas para fenômenos naturais e artificiais, dado que reforça a explicação de porque a expressão Homo sapiens foi eleita como o nome científico para designar toda a espécie humana, afinal. É que o adjetivo sapiens enaltece a inteligência como traço definidor da espécie, característica crucial à adaptação e sobrevivência em diferentes ambientes, à criação de ferramentas, à comunicação e, no limite, à própria vida em sociedade.

A inteligência, então, é um atributo humano, talvez exclusivamente humano, algo apenas simulado em sistemas autônomos impulsionados pelo que se convencionou denominar inteligência artificial. Sublinhe-se, todavia, que mesmo não sendo escorreita, a expressão foi mantida ao longo do texto, visando a evitar desnecessários desacordos semânticos.

Anote-se, então, de modo a permitir que o texto flua, que a inteligência artificial reflete nada mais que a aptidão de um sistema cibernético para copiar, imitar ou emular funções cognitivas humanas, identificando e resolvendo problemas de modo autônomo e absorvendo a experiência adquirida (FÜRST, BÜRGUER, 2023) de modo a dar-lhe uso prático. De forma muito simplificada, ela consiste na simulação de processos cognitivos visando à solução de questões com distintos graus de complexidade (JESUS DIÁZ, CORDÓN GARCIA, HERRERA, 2022).

Tema candente há mais de meio século, curiosamente, são diversas as aproximações mapeadas na literatura entre ela e a racionalidade humana. Em termos gerais, há alusões ao fato de que as máquinas tentam pensar como humanos, tomar decisões fundadas em idêntica racionalidade, agir racionalmente ou, ainda, atuar como se fossem seres de carne de osso (RUSSELL, NORVIG, 2010). Mesmo que se escolha qualquer outra moldura envolvendo a ideia, resta patente que, ao menos metaforicamente, o coração que impulsiona tais máquinas tem em sua composição algoritmo(s) desenhado(s) por seres humanos com propósitos práticos no intuito de dar conta de problemas da vida mundana cotidiana (SAUX, 2023).

Sem diminuir sua importância, mais que mero atributo de mecanismos autossuficientes, a inteligência artificial é o elemento cardeal que lhes garante essa qualificação ao permitir-lhes desempenhar as funções para as quais foram projetados sem nenhuma forma de controle ou intervenção humana direta. Sozinhos, com amparo nos dados que estão ao seu alcance, tais algoritmos elegerão os caminhos que lhes pareçam mais escorreitos e, quando oportuno, adaptarão sua configuração às exigências do ambiente que os envolve (HANSEN BECK, BERNARDES, 2023).

Ocorre que, como a inteligência artificial busca emular a inteligência humana em aspectos específicos, principalmente naqueles relacionados ao processamento de informações, reconhecimento de padrões, tomada de decisões visando à solução de problemas, nota-se que ela precisa conhecer o comportamento humano, o que exige que se alimente de dados, de uma imensa quantidade de dados.

No que toca à sua operação, é igualmente factível antecipar que agentes autônomos estarão cada vez mais presentes no cotidiano da vida em sociedade, impulsionando a realização de tarefas repetitivas e, ainda, facilitando a interação das pessoas com distintas máquinas dotadas de interfaces como assistentes virtuais, sistemas de reconhecimento de voz e imagem, ou mesmo, em um futuro cada vez mais próximo, com a tecnologia ciborgue ou os muitos metaversos antecipados nas narrativas contemporâneas.

O processo de automação, interação e aceitação social da inteligência artificial inegavelmente aumentará a produtividade e eficiência em diversas atividades, revolucionando áreas como a Medicina – com o desenvolvimento de sistemas de diagnóstico mais precisos, tratamentos personalizados ou cirurgias robóticas –, a Indústria – com a otimização de processos de produção e logística – e, ainda, as Ciências – possibilitando avanços em pesquisas e descobertas de novos processos, técnicas etc. –, ainda que, como exposto, provavelmente seguirá sendo incapaz de replicar, por inteiro, toda a complexidade fundida à inteligência e à sagacidade humanas.

É preciso atentar ainda ao fato de que um algoritmo pode analisar padrões e preferências com base em dados pessoais para fornecer recomendações e experiências personalizadas, prática utilizada em plataformas de streaming, comércio eletrônico e publicidade online, além de, obviamente, ser o coração das redes sociais.

O cenário hodierno vê, assim, interações digitais transformadas em perfis detalhados que mapeiam tendências, preferências, desejos e, certamente, vulnerabilidades humanas, algo que interessa sobremodo aos grandes players do ramo da tecnologia. Cada clique, e até mesmo a quantidade de atenção dedicada a determinado conteúdo exposto em um site ou aplicativo, é registrado e tratado, viabilizando a criação de perfis detalhados dos usuários, bem como o recurso a estratégias sofisticadas de modulação comportamental (VERBICARO, HOMCI, 2024). A tecnologia hodiernamente existente é tão avançada que consegue identificar a parte da tela – do computador, do tablet ou mesmo do telefone celular – que fisgou a atenção do usuário ao mapear a direção do olhar preso às imagens pulsantes na superfície do écran.

Se há algum acerto na afirmação de que os dados impulsionam a economia digital como o petróleo impulsionou a Segunda Revolução Industrial – metáfora que peca por ignorar o fato de que o petróleo é um bem finito –, não se pode ignorar que nesse ambiente a inteligência artificial atuaria como uma refinaria a processar o óleo bruto, visando gerar valor econômico. Assim, da mesma forma que refinarias transformam o petróleo em diversos produtos refinados como a gasolina e o diesel, aquela obtém informações significativas e insights acionáveis a partir de dados em estado bruto.

Este processo alimenta-se da exploração de heurísticas e vieses cognitivo-comportamentais de forma perigosamente individualizada, emergindo como um risco ao exercício de liberdades positivas, pois, provavelmente, mais que influenciar de forma genérica decisões pessoais nos cenários forjados na Sociedade de Consumo, literalmente, modula a conduta humana ao desprezar o fato de que “a liberdade de escolha não se resume à ausência de coerção, pressupondo o acesso a informações claras, precisas, adequadas e suficientes sobre os produtos e serviços adquiridos, o esclarecimento do consumidor acerca das características, riscos e benefícios concretos daquilo que lhe é ofertado e, ainda, a ausência de modulação, intencional, de quaisquer atos de consumo” (CARTA DE BELÉM DO PARÁ, 2024.).

Sublinhe-se que aspectos como o frequently bought together e as recomendações de produtos são exemplos clássicos de como os algoritmos podem direcionar as escolhas dos usuários de maneira quase imperceptível (CRUZ, 2021), a despeito de se alimentarem de seu rastro digital. A mesma preocupação é identificada quando alimentam artificialmente a escassez por meio ofertas limitadas no tempo, cuidadosamente apresentadas visando maximizar a adesão dos consumidores (SANTOS, 2022) mediante recurso ao fear of missing out.

De outro lado, a personalização excessiva construiu câmaras de eco nas quais as escolhas de cada usuário são continuamente reforçadas por meio de sugestões baseadas em suas atividades anteriores, limitando a exposição a novas ideias e perspectivas (WOLFGANG, 2022), castrando, portanto, a liberdade humana. O pantagruélico apetite do mercado cresce a cada vantagem comercial (ZUBOFF, 2020) que consegue identificar, mesmo quando muitas delas tenham brotado em pastos semeados sob solo sagrado.

Ocorre que a normalização da dependência dos algoritmos guiando escolhas diárias, ladeada pela homogeneização e segregação de informações, pelo fomento ao preconceito e pela discriminação, estimula a formulação de questões que buscam saber não apenas quem controla os algoritmos ou quais são seus verdadeiros propósitos, mas, especialmente, quais os limites éticos e normativos de sua influência sobre as vidas humanas (WOLFGANG, 2022; SUSSER, ROESSLER, NISSENBAUM, 2019).

Não se olvida que a inteligência artificial pode ser uma importante ferramenta a serviço da humanidade. O ponto é que ela se alimenta de dados pessoais ante a constante necessidade de treinamento e compreensão do mundo: aprendizado de máquina, computação em nuvem, big data e internet das coisas são tecnologias fortemente ligadas à coleta do rastro digital deixado pelas pessoas, problema que cresce exponencialmente com o advento da versão generativa da inteligência artificial baseada em grandes modelos de linguagem e, portanto, que opera predominantemente com dados extraídos da Internet, mediante processo conhecido como raspagem (KING, MEINHARDT), o que dificulta ainda mais o controle desse processo, pois nem sequer é possível identificar os atores sociais ligados a referidas ações.

A inafastável aplicação das leis de proteção de dados pessoais, nas ocasiões em que estes são tratados por meio de técnicas de inteligência artificial, é algo tão óbvio que defendê-lo não passaria de uma trivialidade desnecessária. De outra banda, é imprescindível sublinhar a imperiosidade da construção de uma sólida hermenêutica jurídica, de modo a fornecer as chaves de leitura necessárias para que as leis de proteção de dados cumpram seu papel em contextos tecnológicos deveras desafiadores, porquanto o universo da inteligência artificial usualmente envolve situações marcadas pelo ineditismo.

É preciso, então, definir como os princípios e as demais balizas normativas previstas na legislação responsável pela proteção de dados no Brasil devem ser aplicados concretamente nos casos que envolvem a inteligência artificial, razão pela qual, sem descurar a relevância da adaptação de todas as regras da Lei Geral de Proteção de Dados ao contexto fenomênico que alimenta as reflexões alinhavadas neste texto, este estudo enfatiza cinco vetores hermenêuticos considerados essenciais à concretização do direito fundamental à proteção de dados.

Tais vetores – ou atratores normativos, não parece equivocado afirmar – abordam questões críticas, atuando como forças orientadoras ou como vias interpretativas robustas, direcionadas a um objetivo específico: a ampla tutela da pessoa humana.

Os signos vetor ou atrator, intencionalmente pinçados no vernáculo, procuram cinzelar o dinamismo, a intencionalidade e a capacidade de impulsionar um movimento e, ainda, sublinhar que muito além das usuais abstrações dogmáticas tão caras ao direito civil clássico, atuam como vias aptas a conduzir à efetivação do direito à proteção de dados – também – em suas intersecções com a inteligência artificial.

Mais que isso, tem-se que cada um dos pontos destacados nesta investigação emerge como medida, requisito ou diretriz normativa necessária para que o direito à proteção de dados seja assegurado no contexto específico do desenvolvimento e uso da inteligência artificial.

Ainda: cada proposição há de atuar como um vetor que, aliado aos demais, implique uma resultante robusta na proteção de dados em ambientes envoltos pela tecnologia emergente no século XXI, pois, como salienta Morin, o todo é maior que a simples soma das partes (MORIN, 2003).

Dito isso, cabe salientar que o primeiro entre os vetores sobrelevados pode ser identificado no direito fundamental à proteção de dados pessoais, previsto na Constituição e esmiuçado no regramento estabelecido na Lei Geral de Proteção de Dados. Ressalte-se a necessidade de novo acordo semântico envolvendo os princípios previstos na Lei 13.709/2018, terminologia mantida a despeito das dúvidas acerca do acerto no recurso ao retrocitado signo linguístico.

Embora a Constituição não especifique salvaguardas detalhadas ao tratar desse direito, a lei referida traz, em seu artigo 6º, dez princípios basilares que formam a “coluna vertebral” na proteção de dados pessoais no Brasil. Referidos princípios, entre os quais se destacam a finalidade e a adequação, a necessidade, o livre acesso e a transparência, sintetizam a lógica, a função e os aspectos mais relevantes na estruturação de referido direito fundamental. Boa parte da apontada lei densifica os meios de aplicação dessas premissas legais.

Ato contínuo, tendo em vista a ausência de diretrizes constitucionais específicas, é correto defender que tais princípios passam a integrar o conteúdo constitucional do direito à proteção de dados, formando um bloco de constitucionalidade (COELHO, 1994), a representar as salvaguardas constitucionalmente adequadas à efetivação do direito pautado por estas reflexões. De fato, representam o que há de mais legítimo e atual na proteção de dados pessoais, mesmo que estejam aquém do que se encontra previsto no Regulamento Geral de Proteção de Dados da União Europeia, bem como do progressivo desenvolvimento do tema no continente europeu.

Desse modo, parece ser perfeitamente defensável que, embora não estejam literalmente tracejados na Constituição, os princípios elencados na Lei Geral de Proteção de Dados absorvem conteúdo materialmente constitucional, dando forma ao coração desse direito que, se ferido, não terá como alimentar com a energia necessária a complexa estrutura pensada para a proteção de dados pessoais no Brasil.

Em síntese, é possível afirmar que o direito fundamental à proteção de dados pessoais forjado no país ganhou vida com a existência e a eficácia dos princípios previstos no artigo 6º da Lei Geral de Proteção de Dados, vetores que devem ser interpretados sistematicamente com a Constituição por meio de um “círculo hermenêutico^”5 apto a dar-lhe concretude e legitimidade mediante parâmetros orientadores de sua interpretação e aplicação.

O retrocitado vetor normativo tem como principal relevância prática, além de permitir maior refinamento e concretização do direito fundamental à proteção de dados pessoais, tornar os princípios constantes da Lei Geral de Proteção de Dados aplicáveis às relações que, em princípio, seriam refratárias às soluções oferecidas por referida lei. De fato, a LGPD não é aplicável no tratamento de diversos dados pessoais, conforme expressa disposição do Art. 4°.

A aporia aparente pode ser transposta quando se vislumbra que o tratamento de dados pessoais imunes à LGPD é matizado pelo direito fundamental à proteção de dados pessoais. Assim, ao integrar os referidos princípios ao conteúdo material do direito fundamental à proteção de dados pessoais, identifica-se um claro aumento do espectro de proteção dos titulares de dados pessoais sujeitos àqueles tratamentos.

O segundo atrator tem como pano de fundo a noção de cadeia de dados. Em síntese, há dados mais importantes que outros, embora dados considerados inferiores permitam a derivação, a inferência ou a construção de dados superiores – estes últimos, muito mais relevantes para os fins que motivam o seu tratamento no contexto do sistema econômico capitalista.

Nesse cenário, os dados de ordem inferior, como cliques, páginas visitadas, tempo de visualização etc., sozinhos, possuem pouquíssima relevância. O acoplamento desses dados, entretanto, mormente diante do aumento da capacidade de processamento e do recurso a ferramentas de inteligência artificial, produz novos dados – agora, de ordem superior –, o que é feito em escala e complexidade analítica sem precedentes. É possível inferir, com elevado grau de precisão, o estado gestacional das consumidoras por meio da identificação de padrões de compra de cosméticos sem fragrância (NISSENBAUM, 2019).

Dados de ordem superior podem exigir formas de proteção distintas dos dados de ordem inferior, ao contrário do que tem sido comumente defendido, pois, se uma bomba pode ser construída tendo adubo como matéria-prima, ou uma bebida letal pode ser produzida com base em um líquido inócuo, não parece razoável defender que, também no âmbito da proteção de dados, a matéria-prima e seus produtos recebam idêntico tratamento normativo (NISSENBAUM, 2019). Isso significa que os dados inferidos ou construídos por meio de ferramentas alimentadas pela inteligência artificial devem ser qualificados como dados pessoais, uma condição sine qua non para a sua adequada proteção no cenário hodierno.

A chave de leitura proposta parece ter sido indiretamente reconhecida pela própria Lei Geral de Proteção de Dados Pessoais ao estabelecer (a) o direito à revisão das decisões tomadas com base no tratamento de dados pessoais quando – ainda que o recurso ao signo interesse, sem sinonímia com direito, possa dar margem à tutela de subjetividades e fomentar o solipsismo – afetem os interesses das pessoas (Art. 20), bem como (b) o direito à explicabilidade de referidas decisões (Art. 20, § 1°), dispositivos que evidenciam a necessidade de considerar as inferências e construções algorítmicas como dados pessoais, de modo a garantir a efetividade desses direitos.

Resta patente que se tais inferências estiverem relacionadas a uma pessoa identificada ou identificável, serão consideradas dados pessoais, na forma do Art. 5°, I, da Lei Geral de Proteção de Dados, afinal, não há como dissociar informações construídas por algoritmos da ideia de dado pessoal, uma vez que se referem, diretamente, a pessoas específicas.

A questão ganha relevância na emergência da inteligência artificial generativa, em especial com os grandes modelos de linguagem (LLM), como o ChatGPT, o ChatSonic, o Jasper Chat, o Youchat, a Perplexity AI ou o Character AI, treinados para processar e gerar textos em linguagem natural. À medida que tais sistemas podem fornecer dados sobre pessoas, às vezes, tendenciosos ou falsos, parece imprescindível que referidas informações sejam tratadas como dados pessoais sujeitos às salvaguardas e direitos estampados no Direito pátrio, mitigando, assim, os riscos associados a cada vez mais comum disseminação de informações enganosas ou discriminatórias por meio dessas tecnologias.

O terceiro atrator que se procura lapidar tem como lastro um fato notório: o uso da Inteligência Artificial no tratamento de dados para a obtenção de inferências não intuitivas é uma prática deveras comum na contemporaneidade. Referidas inferências frequentemente resultam em discriminações negativas, o que evidencia a necessidade de ultrapassar a regulação simplista, aludindo a quais tipos de dados podem ser coletados, aspecto que parece ter primazia nas discussões sobre privacidade e autodeterminação informativa na atualidade.

É imprescindível refletir sobre aspectos que tangenciam como e para que os dados pessoais serão tratados enquanto pressupostos na edificação de um “direito a inferências razoáveis” (WACHTER, MITTELSTADT, 2019), fomentando a possibilidade de controle ex ante do uso dos dados pessoais pelo agente de tratamento. Isso pressupõe a avaliação de três aspectos fundamentais: (a) a legitimidade da utilização de determinada base de dados para a inferência específica pretendida, pois nem todas as bases de dados são adequadas ou legítimas; (b) a checagem da relevância e adequação da inferência buscada para o propósito do processamento, afinal, mesmo que se recorra a uma base de dados adequada, algumas inferências podem ser desnecessárias, injustificadas ou potencialmente discriminatórias, porquanto violam direitos e liberdades individuais; e (c) a garantia de que os dados e métodos utilizados para gerar as inferências sejam precisos, confiáveis e baseados em evidências científicas sólidas, já que inferências derivadas de algoritmos enviesados, dados inconsistentes ou técnicas opacas representam um risco significativo aos titulares dos dados.

Uma abordagem hermenêutica com amparo na ideia de um “direito a inferências razoáveis” (WACHTER, MITTELSTADT, 2019) legitima repensar hermeneuticamente as soluções previstas na(s) lei(s) de proteção de dados a partir de práticas identificadas fenomenicamente (GRUNDMANN, MICKLITZ, RENNER, 2021) na era do Big Data e da inteligência artificial, muitas vezes atuando sob o manto da ilicitude. A ideia implica o estabelecimento de critérios rigorosos para o uso legítimo e ético dos dados pessoais, de forma a mitigar os riscos afetos à discriminação, violação da privacidade e consequências de decisões enviesadas ou opacas.

Em suma, embora a regulação sobre a coleta de dados seja importante, é fundamental ampliar o escopo da proteção de dados pessoais, abordando também aspectos que abarquem como e para que esses dados são tratados, especialmente em contextos que envolvem inteligência artificial e inferências não intuitivas.

O quarto ponto de relevância hermenêutica a ser enfatizado liga-se empiricamente ao uso secundário de dados pessoais para o treinamento de sistemas de inteligência artificial, aspecto considerado crítico nesta investigação científica, razão pela qual merece uma especial atenção.

Qualquer reflexão sobre o tema não pode desprezar o fato de que, consoante estabelecido pela Lei Geral de Proteção de Dados Pessoais, dados pessoais tratados para determinada finalidade não podem ser reutilizados para finalidades incompatíveis com a que fora originalmente estabelecida. Trata-se de uma disposição crucial para proteger a legítima confiança, bem como a autodeterminação informativa dos titulares dos dados.

A noção de incompatibilidade notadamente não se refere à impossibilidade física, mas à sua feição jurídica, e deve ser identificada quando o tratamento ulterior não guardar relação de proximidade ou conexão lógica com o tratamento inicial. Se ele ocorrer, haverá violação da expectativa razoável do titular dos dados, o que ocorreria, por exemplo, quando dados pessoais coletados para fins de marketing vierem a ser reutilizados na análise de crédito.

A partir daí, a utilização de dados pessoais para o treinamento de algoritmos de inteligência artificial deve ser considerada finalidade incompatível com a finalidade original da coleta, exceto se houver uma nova autorização, expressa, do titular, afinal, o treinamento de sistemas de inteligência artificial envolve processos complexos e imprevisíveis.

A atribuição de sentido ao signo incompatibilidade deve ser feita com lastro na boa-fé objetiva, levando em consideração a legítima expectativa do titular em relação ao uso de seus dados pessoais, e não necessariamente às necessidades e práticas postas em movimento pelo sistema de mercados. Embora os agentes de tratamento geralmente adotem finalidades amplas e abrangentes em suas políticas de privacidade, isso não deve ser interpretado como uma carta branca para a reutilização indiscriminada de dados para qualquer finalidade. Em princípio, permissões para a reutilização de dados previstas nas condições gerais de contratação deverão ser consideradas como não escritas, mormente se houver overload informativo, dificuldade de compreensão da linguagem utilizada ou ausência de relação direta entre os fins propostos.

No aspecto prático, a questão do uso secundário de dados pessoais para treinamento de inteligência artificial enfrenta desafios que transitam pela dificuldade de controle e fiscalização do uso pelos titulares e autoridades competentes. No entanto, é fundamental que sejam estabelecidos mecanismos efetivos de transparência, consentimento informado e prestação de contas de modo a garantir que os direitos e as liberdades individuais sejam respeitados.

A utilização de dados pessoais para o treinamento de algoritmos de inteligência artificial deve, assim, ser considerada uma nova finalidade, exigindo uma autorização específica e inequívoca do titular, abordagem essencial para preservar a confiança e a autodeterminação informativa das pessoas, e apta a garantir que seus dados sejam tratados de forma transparente, lícita e dentro dos limites do consentimento fornecido.

Finalmente, não se pode deixar de sublinhar que tanto a Lei Geral de Proteção de Dados como o Regulamento Geral sobre a Proteção de Dados reconhecem a existência de um amplo espectro de risco no tratamento de dados pessoais, a variar consoante diversos fatores relevantes – tipos de dados, escala de tratamento, natureza do tratamento, escopo, finalidade, tecnologia envolvida etc. –, variação esta que deve ser observada na imposição e modulação de deveres aos agentes de tratamento. Tal abordagem decorre, em última instância, da compatibilização dos princípios constitucionais da solidariedade, isonomia material e livre- iniciativa, bem como da imposição constitucional de proteção eficiente ou adequada dos direitos fundamentais envolvidos.

No Brasil, o Art. 44 da Lei Geral de Proteção de Dados estabelece que o tratamento de dados será considerado irregular quando não observar a legislação ou quando não fornecer a segurança que o titular possa razoavelmente esperar. O Art. 46, por sua vez, ao tratar do dever de segurança dos agentes de tratamento de dados, determina que, caso a autoridade nacional estabeleça padrões técnicos mínimos, deverá considerar a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis.

Por seu turno, ao abordar as boas práticas, o § 1º do Art. 50 determina que devem ser levados em consideração o escopo, a natureza, a finalidade, a probabilidade e a gravidade dos riscos e dos benefícios decorrentes do tratamento de dados do titular. Da mesma forma, o § 2º institui que, na densificação dos princípios da segurança e da prevenção, o controlador deve observar a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados. Além disso, a implementação de programas de governança deve ser adaptada à estrutura, à escala e ao volume de suas operações, e ainda, à sensibilidade dos dados tratados (inciso I, “c”).

Resta patente que a Lei Geral de Proteção de Dados adota uma “abordagem baseada em riscos” (QUELLE, 2020; KARJALAINEN, 2022), na qual deveres e obrigações dos agentes de tratamento devem ser modulados de acordo com a natureza, escala, sensibilidade e potenciais danos envolvidos no tratamento de dados pessoais. Essa abordagem visa equilibrar a proteção dos direitos e liberdades individuais, modulando a conduta esperada dos agentes de tratamento, com lastro nos princípios constitucionais e na necessidade de proteção eficiente e adequada.

O uso da inteligência artificial deve ser considerado atividade de alto risco, exigindo a aplicação das mais rigorosas salvaguardas e obrigações previstas no direito pátrio. Isso se deve, principalmente, à escalabilidade e à opacidade inerentes aos sistemas de inteligência artificial.

A escalabilidade refere-se à capacidade desses sistemas de processarem e gerarem inferências a partir de enormes volumes de dados, exponenciando os impactos de eventuais falhas, enviesamentos ou violações de privacidade. A opacidade, por sua vez, diz respeito não apenas à dificuldade de compreender e auditar os processos internos de algoritmos, que muitas vezes se encontram em caixas-pretas insondáveis – mesmo para seus desenvolvedores –, mas também está ligada à imprevisibilidade e à autonomia crescente desses sistemas. É que muitos sistemas de inteligência artificial, especialmente aqueles baseados em aprendizado profundo, exibem comportamentos emergentes e imprevisíveis, sendo difícil antecipar e mitigar seus riscos potenciais.

Essas características representam riscos significativos para os direitos e liberdades dos titulares de dados, como discriminações injustificadas, decisões automatizadas enviesadas, violações de privacidade e falta de transparência e prestação de contas, razão pela qual o tratamento de dados pessoais por meio de inteligência artificial deve ser submetido aos mais elevados padrões de segurança, privacidade desde a concepção, avaliações de impacto, auditorias independentes e mecanismos de supervisão humana.