PL nº 4.496/19 pretende definir o conceito de “decisão automatizada” na LGPD

PL nº 4.496/19 pretende definir o conceito de “decisão automatizada” na LGPD

No dia 14 de agosto de 2019, foi apresentado, no Plenário do Senado Federal, o Projeto de Lei nº 4.496/2019, de autoria do Senador Styvenson Valentim (PODEMOS/RN), que pretende alterar a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – “LGPD”) para definir a expressão “decisão automatizada” como um “processo de escolha, de classificação, de aprovação ou rejeição, de atribuição de nota, medida, pontuação ou escore, de cálculo de risco ou de probabilidade, ou outro semelhante, realizado pelo tratamento de dados pessoais utilizando regras, cálculos, instruções, algoritmos, análises estatísticas, inteligência artificial, aprendizado de máquina, ou outra técnica computacional”.

A justificativa para a alteração reforçou a importância da LGPD como um marco na proteção dos direitos dos cidadãos diante dos processos de tratamento de dados pessoais que, com a evolução tecnológica, tornam-se cada vez mais presentes, complexos e intrusivos; entretanto, apontou que, com relação ao tratamento de dados para decisões automatizadas, a disposição legal carece de aperfeiçoamentos para gerar uma efetividade necessária. Além disso, indicou que a indefinição do conceito de “decisão automatizada” deixaria uma lacuna, capaz de comprometer a proteção de dados pretendida. 

Admitindo a existência de diversas formas de se tomar decisões automatizadas – desde as facilmente compreensíveis, como as baseadas em regras ou algoritmos pré-definidos, até outras mais sofisticadas e menos explícitas, como as que aplicam técnicas de aprendizado de máquina (machine learning) e inteligência artificial –, o PL menciona que a inclusão dessas técnicas no conceito de “decisão automatizada” seria essencial para garantir o “direito à explicação”, previsto no artigo 20, § 1º da mesma lei, ou seja, o direito do cidadão à obtenção de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada. Isso porque, embora os responsáveis pelo tratamento de dados geralmente não se neguem a prestar informações sobre decisões automatizadas baseadas em algoritmos tradicionais, estes não ofereceriam esclarecimentos apropriados para decisões baseadas em técnicas mais complexas.

Realizando um paralelo, o Regulamento Europeu de Proteção de Dados (General Data Protection Regulation - GDPR) não apresenta um conceito de “decisão automatizada”, definindo apenas, em seu artigo 4 (4), o profiling, como um meio de tratamento automatizado de dados pessoais, que consiste na utilização de dados pessoais para avaliar determinados aspectos pessoais concernentes a uma pessoa natural, em particular, para analisar ou prever aspectos relativos ao desempenho profissional, situação econômica, saúde, preferências pessoais, interesses, confiabilidade, comportamento, localização ou deslocações de uma pessoa natural. Assim, o PL representa uma inovação na definição de conceitos relacionados à proteção de dados.

Ademais, durante as audiências públicas da Medida Provisória nº 869/18 (“MP 869/18”), a terceira reunião foi destinada a abordar, justamente, o tema das decisões automatizadas, para as quais, naquela oportunidade, questionava-se a necessidade de uma revisão por pessoas naturais, o que nos mostra que o tema em questão tem sido alvo de inúmeras discussões desde o cerne da legislação.  

Para receber as principais novidades do cenário legislativo relacionado à privacidade e proteção de dados, acompanhe a equipe de Tecnologia, Mídia e Telecomunicações do Azevedo Sette.  

Confira a íntegra da requisição do PL 4.496/19 aqui.