A era digital trouxe uma infinidade de aplicativos e serviços que coletam e processam dados pessoais. Entre esses, o DeepSeek tem se destacado nas lojas de aplicativos brasileiras. Com estrutura similar ao já disseminado ChatGPT, mas com investimentos consideravelmente menores, o DeepSeek é uma inteligência artificial com código aberto, desenvolvido por uma startup chinesa.[1]

No entanto, a popularidade do DeepSeek levanta questões importantes sobre a conformidade com a Lei Geral de Proteção de Dados (LGPD) e os riscos associados ao tratamento de dados em jurisdições estrangeiras, como a China.

O primeiro ponto a ser destacado é: independentemente de onde esteja localizado o agente de tratamento, isto é, a empresa responsável pelo tratamento de dados pessoais, não haverá problemas no tratamento dos dados pessoais, se esse agente cumprir as determinações da LGPD. Essa é uma premissa importante para iniciar a avaliação da atuação da DeepSeek no Brasil.

Este artigo aborda a transparência da empresa com os titulares dos dados brasileiros e trata de questões como coleta dos dados pessoais pela plataforma e transferência internacional de dados.

Transparência e barreiras linguísticas

Um dos pilares fundamentais da LGPD é a transparência, de acordo com seu artigo 6º, VI. A lei brasileira exige que as empresas sejam claras e acessíveis em suas comunicações com os titulares de dados. Isso significa dizer que a empresa precisa fornecer aos titulares todas as informações necessárias sobre o tratamento de dados que realiza.

Como uma dessas medidas de transparência, o aviso de privacidade é um documento que sintetiza as hipóteses de tratamento de dados realizadas pelas empresas.

No caso do DeepSeek, embora o aplicativo esteja ganhando popularidade no Brasil, seu aviso de privacidade está disponível apenas em inglês e chinês. Isso representa uma grande barreira para a maioria dos brasileiros, que podem não ser fluentes nesses idiomas.

Há, portanto, uma desconformidade com a legislação brasileira de proteção de dados. Deve-se ressaltar que, em conjunto com o princípio da transparência, a Autoridade Nacional de Proteção de Dados (ANPD) exige que o encarregado de proteção de dados seja capaz de se comunicar de forma clara e em português, para garantir que os titulares de dados compreendam plenamente como seus dados estão sendo utilizados.

Nesse sentido, apesar de não ser uma falta que ameace a segurança da plataforma ou sua confiabilidade, a atuação do DeepSeek merece reparos, pois é preciso possibilitar que os titulares brasileiros compreendam como a plataforma trata seus dados.

Coleta de dados e conformidade com a LGPD

A LGPD não impõe restrições específicas sobre quais dados podem ser coletados, mas enfatiza a necessidade de transparência e uma finalidade específica e lícita para o tratamento desses dados. Em relação a isso, indagações sobre os dados coletados pela empresa chinesa levantaram algumas preocupações no mercado.

O DeepSeek coleta uma série de dados de telemetria, que, em tese, não são capturados por concorrentes americanas. No entanto, essa prática não configura necessariamente uma violação da LGPD, desde que a coleta de dados seja transparente e alinhada às finalidades informadas aos titulares.

Isso significa dizer que a empresa pode coletar todos os dados possíveis, desde que estejam ligados a uma finalidade específica, informada ao titular, e a ação esteja apoiada nas bases legais dispostas na legislação de proteção de dados, com as devidas proteções e salvaguardas

Em uma economia cada vez mais orientada por dados, a inovação depende da análise de dados, incluindo dados pessoais.

A recente aprovação do Projeto de Lei 2.338/23 (PL 2.338/23), que estabelece o marco regulatório da inteligência artificial (IA) no Brasil, é um passo importante para harmonizar os interesses de inovação com a proteção de dados. Esse marco regulatório incentiva a inovação em conformidade com os valores protegidos pela LGPD, promovendo um ambiente seguro e transparente para o tratamento de dados.

Nesse sentido, a coleta de dados de maneira diferenciada pela empresa chinesa pode representar, na realidade, uma oportunidade para novos serviços e produtos ou inovação de maneira geral.

Transferência internacional de dados: China X Estados Unidos

Dada a tensão mundial entre China e Estados Unidos, especialmente diante das indagações sobre a segurança de aplicativos como TikTok, a transferência internacional de dados pessoais para a China pode parecer uma questão, ao menos, debatível.

Do ponto de vista jurídico, a LGPD estabelece requisitos específicos para a transferência internacional de dados. Recentemente, a ANPD publicou o Regulamento de Transferência Internacional de Dados (Regulamento CD/ANPD 19/24). Esse regulamento estabelece as hipóteses de ocorrência de transferência internacional de dados, os mecanismos necessários para que a transferência ocorra, bem como as responsabilidades dos agentes envolvidos na operação.

Essa regulação visa, sobretudo, a segurança dessas operações, para garantir que os dados pessoais sejam mantidos em segurança e evitar vazamentos e situações que acarretem danos aos titulares.

Entre as hipóteses legais que autorizam a transferência internacional, estão as decisões de adequação em que a ANPD reconhece a equivalência do nível de proteção de dados pessoais de outros países ou a adoção de cláusulas contratuais padrão ou especiais para basear a transferência dos dados. Apesar de esperarmos um avanço nesse mecanismo neste ano a ANPD, até o momento, não proferiu decisões dessa natureza.

Isso significa que, atualmente, não há diferença jurídica essencial entre os dados a serem tratados nos Estados Unidos ou na China. Dessa forma, para empresas que realizam transferência para qualquer um dos dois países, é necessário adotar outro mecanismo de transferência, como as cláusulas contratuais.

A falta desse mecanismo é o que fará com que a transferência esteja em desconformidade com a legislação – e não o destino dos dados.

Deve-se destacar que ambos os países têm suas próprias leis de proteção de dados. Nos Estados Unidos, a proteção de dados é regida por um modelo setorial e fragmentado, sem uma legislação federal única e abrangente. Já a China tem a Personal Information Protection Law (PIPL), uma lei relativamente nova, mas de abrangência nacional.

Independentemente de onde os dados são tratados, as empresas devem assegurar que os dados estejam protegidos conforme as exigências da LGPD. Isso inclui a adoção de mecanismos previstos na lei, como cláusulas-padrão contratuais, para garantir a proteção adequada dos dados transferidos internacionalmente. A conformidade com a LGPD é essencial para evitar sanções e garantir a confiança dos usuários.

Conclusão

A popularidade do DeepSeek no Brasil destaca a importância da conformidade com a LGPD e a necessidade de transparência na coleta e tratamento de dados. Embora a localização dos data centers em jurisdições estrangeiras, como a China, levante preocupações, a LGPD oferece um quadro robusto para a proteção de dados, independentemente da localização geográfica.

A inovação e a proteção de dados podem coexistir, desde que as empresas adotem práticas transparentes e estejam em conformidade com as exigências legais.

A era digital continua a evoluir, e com ela, a necessidade de uma proteção de dados robusta e eficaz. O DeepSeek, como muitos outros aplicativos, deve navegar nesse cenário complexo e garantir que a privacidade dos usuários seja sempre uma prioridade. A conformidade com a LGPD não é apenas uma exigência legal, mas também um compromisso com a transparência e a confiança dos usuários.

[1] Saiba mais no artigo da revista Exame: 'Aliada' da DeepSeek, Perplexity aposta em IA aberta para enfrentar Google e OpenAI