O otimismo provocado pelos notáveis avanços na área da Inteligência Artificial (IA), somado ao receio de “ficar para trás” em um cenário cada vez mais competitivo, tem levado muitos profissionais a incorporarem, em suas tarefas diárias, o uso de ferramentas baseadas em modelos de linguagem para processamento e geração automatizada de conteúdo – os populares chatbots.
Passada a compreensível euforia inicial com as muitas promessas de otimização de tempo e potencialização de resultados viabilizadas por essas tecnologias, torna-se essencial que o ambiente corporativo passe a analisá-las com maior sobriedade, considerando não apenas seus benefícios, mas também os riscos associados ao compartilhamento indiscriminado de informações com tais plataformas.
Na prática, empresários e colaboradores passaram a buscar auxílio dessas ferramentas para redigir e-mails, resumir documentos, organizar informações, revisar textos e automatizar tarefas rotineiras, geralmente sem a clara percepção das implicações jurídicas envolvidas.
Embora muitas vezes estimulado de forma difusa pelas próprias organizações, esse movimento ocorre, em regra, de maneira espontânea e descentralizada, fora de projetos formais de tecnologia, frequentemente desacompanhado de diretrizes institucionais específicas.
O resultado é a consolidação de um risco jurídico silencioso, amplamente subestimado pelas empresas.
Isso porque a inserção de informações em ferramentas de IA não é uma atividade neutra do ponto de vista jurídico: ao inserir documentos e informações internas em sistemas de terceiros – especialmente em suas versões gratuitas -, o funcionário acaba transmitindo esses dados para infraestruturas muitas vezes localizadas fora do país.
A depender das políticas da plataforma utilizada, os dados inseridos podem ser incorporados a registros operacionais internos do sistema, passando a circular fora do ambiente controlado pelo usuário e ficando, em última análise, sujeitos a riscos de acessos indevidos e vazamentos. Em síntese, trata-se de uma relevante falha na gestão informacional.
Nos termos da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD)[1], a simples inserção de informações em tais ferramentas já configura tratamento de dados pessoais, uma vez que envolve, ao menos, as atividades de transmissão, processamento e, em determinados casos, armazenamento de dados em sistemas de terceiros.
Nesse contexto, ainda que a utilização das ferramentas seja realizada de forma espontânea pelo colaborador, a empresa pode permanecer juridicamente enquadrada como controladora dos dados, na medida em que se beneficia do tratamento realizado, integra os resultados à sua atividade econômica e deixa de estabelecer limites claros quanto às finalidades e aos meios empregados.
É imprescindível que as empresas passem a gerenciar os riscos jurídicos evocados pela utilização temerária das ferramentas de IA. Embora desejável e inevitável, a inovação não pode ferir obrigações legais relevantes, especialmente no que diz respeito à segurança informacional.
Governar o uso de plataformas de tratamento automatizado de informações implica, em primeiro lugar, promover treinamentos entre colaboradores e estabelecer, de forma clara, quais ferramentas podem ser utilizadas no ambiente corporativo, para quais finalidades e sob quais condições. Essas medidas devem ser acompanhadas de orientações expressas quanto ao não compartilhamento de dados sensíveis, informações estratégicas e documentos confidenciais, bem como do suporte de profissionais especializados em compliance e proteção de dados.
Feitas essas considerações, importa destacar que não se pretende proibir ou desencorajar indiscriminadamente a utilização das novas tecnologias, as quais, de forma inevitável, tendem a ser cada vez mais incorporadas ao contexto profissional. Trata-se, antes, de assegurar que a inovação avance de maneira responsável, em consonância com as exigências legais e com a preservação da segurança jurídica e informacional.
[1] Lei nº 13.709/2018, art. 5º, X: “tratamento de dados pessoais: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.