Plenamente em vigor há dois anos, a Lei Geral de Proteção de Dados (LGPD) foi criada para garantir a segurança de informações pessoais que são fornecidas em sites, aplicativos e mesmo serviços offline, como atendimentos médicos. Embora, teoricamente, a LGPD valha igualmente para qualquer pessoa, grupos historicamente marginalizados são afetados de forma distinta pelo texto.
Para debater esta questão, o Sindicato dos Trabalhadores em Processamento de Dados (SindPD) realizou, na tarde desta quinta-feira, 31, o seminário "Pessoas LGBTQIAPN+ e LGPD". O POVO acompanhou o evento, que ocorreu na sede da entidade, em Fortaleza.
A apresentação foi realizada por Ivonisio Mosca, diretor de Políticas de Informática e Tecnologia da entidade. A palestra iniciou com um histórico legal da proteção de dados no Brasil, que, antes da LGPD, tinha o tema desmembrado em diversas leis.
Um dos avanços da LGPD é a distinção entre dados pessoais - qualquer informação que seja relacionada a um indivíduo - e dados sensíveis, aqueles cuja divulgação pode causar prejuízos à vítima do vazamento. Informações sobre gênero e sexualidade são categorizados neste segundo grupo, bem como crenças políticas e religiosas, número de documentos, questões de saúde, entre outros.
Apesar de ter entrado em vigor em 2018, a LGPD só passou a valer plenamente em 2021. Isso ocorreu pela demora na criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão governamental que serve como agência fiscalizadora, de forma similar à Anatel para telecomunicações ou Aneel para concessionárias de distribuição de eletricidade. A primeira multa por violação da LGPD só foi aplicada em julho de 2023.
Mesmo com o longo tempo dado a órgãos públicos e empresas para se adaptarem à nova legislação, muitos ainda seguem cumprindo a LGPD apenas parcialmente, enquanto outros usam o texto para justificar práticas que dificultam a transparência de dados que deveriam ser públicos. A apresentação de Ivanisio afirma que populações marginalizadas podem ser afetadas por ambos os casos.
LEIA TAMBÉM | Proteção de dados: 55% das empresas no Ceará não se adequaram à lei
Um exemplo é a falta de dados sobre a proporção de pessoas LGBTQIA+ na população. No Censo de 2022 foram excluídas perguntas sobre orientação sexual e identidade de gênero. Uma decisão da Justiça Federal chegou a determinar que estes temas fossem abordados no levantamento, mas acabou revertida. Sem estas estatísticas, órgãos de governo não podem dimensionar políticas públicas para esta população.
E, mesmo quando os dados existem, o acesso a eles pode ser dificultado. Ivonisio citou uma tentativa de levantamento sobre a proporção de estudantes trans nos Institutos Federais de Educação, Ciência e Tecnologia (IFs). Das 50 instituições procuradas para a realização da pesquisa, apenas dez informaram a distribuição de gênero entre estudantes.
Destas, somente seis informaram a quantidade de alunos trans. Como justicativa, as instituições que não forneceram os dados alegaram que divulgar estas informações violaria a LGPD. Segundo Ivonisio, a infração só ocorreria se os dados fossem fornecidos de forma que pudessem identificar cada estudante - o que não foi solicitado pela pesquisa.
Outra questão citada na palestra são os chamados vieses algorítmicos. O conceito se refere a situações em que programas de computador, que deveriam funcionar igualmente para qualquer usuário, na prática reproduzam preconceitos estruturais.
Sistemas de reconhecimento facial, por exemplo, têm precisão maior quando os rostos são de pessoas brancas, em comparação com outras etnias. Isto pode gerar de pequenos inconvenientes, como a dificuldade em acessar um aplicativo bancário, a problemas graves, como no uso destes sistemas na segurança pública.
Plataformas de Inteligência Artificial (IA) também podem explicitar os vieses algorítmicos. Um estudo mostrado por Ivonisio descobriu que, ao falar sobre pessoas negras, aplicativos de IA usam mais termos de conotação negativa que ao se referir a pessoas brancas.
Tanto as IAs quanto os sistemas de reconhecimento facial funcionam por meio de uma técnica chamada aprendizado de máquina. Ela consiste em fazer varreduras na internet, buscando informações disponíveis publicamente para alimentar uma "base de conhecimento". Quando o sistema é utilizado, estes dados funcionam para referência e comparação.
Apesar de estes sistemas serem alimentados com informações disponíveis abertamente, as empresas responsáveis por eles não tornam públicas quais dados foram recolhidos e quais os critérios adotados para categorizar as informações - por vezes, usando a LGPD como pretexto para evitar a divulgação.
Deste modo, é difícil que organizações da sociedade civil ou entes governamentais investiguem denúncias sobre este enviesamento. Não apenas é negado o acesso aos dados, mas também ao código-fonte do sistema cujos resultados reforçam preconceitos.
Para Ivonisio, é preciso realizar duas mudanças na relação da sociedade com a LGPD. A primeira é entender que, embora a legislação possa proteger a privacidade de grupos marginalizados, também pode ser usada para invisibilizar a existência e demandas destes grupos.
A segunda envolve a abordagem do tema pelas empresas: a LGPD demanda que organizações tenham um profissional dedicado à segurança da informação, chamado em inglês de DPO (Data Protection Officer, "executivo de proteção de dados"). Como muitas não realizaram as adaptações com antecedência, é frequente que os DPOs não tenham conhecimento aprofundado do texto da lei e, buscando evitar as penalidades (e infrações), acabam adotando práticas excessivamente protetivas com os dados de usuários.