5 de Dezembro, 2024/
A utilização da inteligência artificial na UE é regulada pela lei da…
A utilização da inteligência artificial na UE é regulada pela lei da IA, a primeira lei abrangente do mundo sobre a IA.
Lei da Inteligência Artificial: Regras Diferentes consoante os Níveis de Risco
As novas regras estabelecem obrigações para fornecedores e utilizadores em função do nível de risco associado à IA. Embora muitos sistemas de IA representem um risco mínimo, é necessário proceder à sua avaliação.
Risco Inaceitável
Os sistemas de IA classificados como de risco inaceitável são considerados uma ameaça para as pessoas e, por isso, serão proibidos. Estes incluem:
- Manipulação cognitivo-comportamental de pessoas ou grupos vulneráveis específicos: por exemplo, brinquedos ativados por voz que incentivem comportamentos perigosos em crianças;
- Pontuação social, ou seja, a classificação de pessoas com base no comportamento, estatuto socioeconómico ou características pessoais;
- Identificação biométrica e categorização de pessoas singulares;
- Sistemas de identificação biométrica em tempo real e à distância, como o reconhecimento facial.
Algumas exceções podem ser permitidas para fins de aplicação da lei. Os sistemas de identificação biométrica remota “em tempo real” serão autorizados em casos graves e restritos, enquanto os sistemas de “pós-identificação” biométrica à distância, onde a identificação ocorre após um atraso significativo, só serão permitidos para repressão de crimes graves e mediante aprovação judicial.
Risco Elevado
Os sistemas de IA que afetem negativamente a segurança ou os direitos fundamentais serão classificados como de elevado risco e divididos em duas categorias:
Sistemas de IA utilizados em produtos abrangidos pela legislação da UE relativa à segurança dos produtos, incluindo brinquedos, aviação, automóveis, dispositivos médicos e elevadores.
Sistemas de IA aplicáveis a áreas específicas, que terão de ser registados numa base de dados da UE:
- Gestão e funcionamento de infraestruturas essenciais;
- Educação e formação profissional;
- Emprego, gestão de trabalhadores e acesso ao trabalho por conta própria;
- Acesso e usufruto de serviços privados essenciais e de serviços e benefícios públicos;
- Aplicação da lei;
- Gestão da migração, do asilo e do controlo fronteiriço;
- Assistência na interpretação jurídica e na aplicação da lei.
Todos os sistemas de IA de risco elevado serão avaliados antes de serem colocados no mercado e monitorizados durante todo o seu ciclo de vida. Os cidadãos terão o direito de apresentar queixas contra os sistemas de IA junto das autoridades nacionais competentes.
Requisitos de Transparência
Os sistemas de inteligência artificial generativa, como o ChatGPT, não serão classificados como de risco elevado, mas deverão cumprir requisitos de transparência e a legislação da UE em matéria de direitos de autor, incluindo:
- Divulgar claramente que o conteúdo foi gerado por IA;
- Conceber o modelo para evitar a geração de conteúdos ilegais;
- Publicar resumos dos dados protegidos por direitos de autor utilizados no treino.
Os modelos de inteligência artificial de uso geral com impacto elevado e risco sistémico, como o modelo GPT-4, estarão sujeitos a avaliações rigorosas e deverão comunicar quaisquer incidentes graves à Comissão Europeia.
Além disso, o conteúdo gerado ou modificado por IA, como imagens, arquivos de áudio ou vídeos (incluindo deepfakes), deverá ser claramente identificado como tal, para garantir que os utilizadores estejam cientes da sua origem.
Apoio à Inovação
A lei visa proporcionar às PMEs e start-ups oportunidades para desenvolverem e treinarem modelos de IA antes de os apresentarem ao público.
Por este motivo, as regras exigem que as autoridades nacionais ofereçam às empresas a possibilidade de realizarem testes de simulação em condições semelhantes às do mundo real.
Consulte o Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho, de 13 de junho de 2024, que cria regras harmonizadas em matéria de inteligência artificial e que altera os Regulamentos (CE) n.° 300/2008, (UE) n.° 167/2013, (UE) n.° 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e as Diretivas 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (Regulamento da Inteligência Artificial) (Texto relevante para efeitos do EEE)
A noyb foi aprovada como uma “Entidade Qualificada” para apresentar ações de reparação coletiva em tribunais de toda a União Europeia. Estas ações, ao abrigo da Diretiva (UE) 2020/1828, podem assumir a forma de uma “injunção” ou de uma medida de “reparação”. As “injunções” proíbem geralmente uma empresa de praticar atividades ilegais, incluindo violações do RGPD. As medidas de “reparação” permitem uma versão europeia das “ações coletivas”, em que milhares ou milhões de utilizadores podem ser representados pela noyb e, por exemplo, solicitar indemnizações não materiais caso os seus dados pessoais tenham sido processados de forma ilegal. Ao contrário das ações coletivas nos EUA, a legislação da UE exige que tais ações sejam movidas com base estritamente sem fins lucrativos.
Decisão de concessão do estatuto de Entidade Qualificada (EQ) na Áustria e na UE
A decisão de conceder o estatuto de EQ na Irlanda e na UE confirma que a noyb está aprovada para ações coletivas. O sistema da UE baseia-se em organizações sem fins lucrativos aprovadas como “Entidades Qualificadas” para poderem, efetivamente, iniciar ações judiciais. Ao contrário do sistema dos EUA, onde qualquer firma de advogados pode iniciar “ações coletivas” muitas vezes em benefício próprio, o sistema da UE elimina incentivos financeiros para os queixosos e permite apenas organizações sem fins lucrativos, como a noyb, a avançarem com casos.
Embora a diretiva devesse ter sido totalmente implementada até 25 de junho de 2023, muitos Estados-Membros atrasaram-se, e os processos de aprovação para entidades qualificadas ainda não estavam disponíveis. A noyb solicitou aprovação em dois Estados-Membros: Áustria e Irlanda. A Áustria é a sede principal da noyb, e a Irlanda é de interesse específico devido ao grande número de sedes de empresas tecnológicas internacionais no país. Ambas as aprovações foram concedidas e são válidas nestes dois Estados-Membros, mas também em toda a UE. As Entidades Qualificadas num Estado-Membro podem iniciar ações em qualquer outro Estado-Membro.
Max Schrems, presidente da noyb, afirmou:
“A noyb preparou-se para este passo ao longo dos últimos anos e passou por um processo rigoroso para obter esta aprovação, onde foi revista a independência e estabilidade organizacional da entidade. Isto permitirá que apresentemos injunções contra qualquer empresa que viole o RGPD no mercado da UE. Além disso, podemos também formar ‘ações coletivas’ na UE, onde milhares ou milhões de utilizadores podem pedir indemnizações se os seus dados pessoais forem abusados. Planeamos iniciar as primeiras ações em 2025. Até agora, as reparações coletivas não estão no radar de muitos, mas têm potencial para mudar o jogo.”
As aprovações foram emitidas pelo Bundeskartellanwalt austríaco a 2 de dezembro de 2024 e pelo Ministério da Justiça irlandês a 10 de outubro de 2024.
Medidas de injunção
As medidas de injunção, ao abrigo do Artigo 8.º da Diretiva da UE, permitem que uma Entidade Qualificada solicite a uma empresa que cesse práticas ilegais específicas. Para a noyb, isto pode incluir o rastreamento de utilizadores sem consentimento válido, o uso de “dark patterns” para obter consentimento de forma ilícita, a venda de dados pessoais sem base legal, redações absurdas em políticas de privacidade ou a transferência de dados pessoais para jurisdições que não oferecem proteção adequada. Outros padrões de não conformidade, como respostas incompletas ou atrasadas a pedidos de acesso ou eliminação ao abrigo do RGPD, podem ser abordados com este novo instrumento.
Ursula Pachl, chefe de Reparação Coletiva na noyb, destacou:
“As injunções têm sido usadas com sucesso por organizações de consumidores há décadas no que diz respeito a cláusulas contratuais ou práticas comerciais desleais. A nova legislação da UE permite agora que a noyb use estas injunções para violações do RGPD ou outras infrações de proteção do consumidor – e sabemos que há milhares delas.”
Normalmente, uma organização sem fins lucrativos contacta diretamente uma empresa, exigindo que cesse a atividade ilegal e assine um “acordo de cessar e desistir”. Caso a empresa se recuse, a organização pode mover uma ação em qualquer Estado-Membro onde a empresa opere ou na sua sede na UE.
Medidas de reparação
A nova legislação também permite casos de “reparação” por violações passadas ou contínuas de processamento ilegal de dados. Tais casos incluem geralmente pedidos de indemnização por danos ou restituição de lucros ilegais. Embora os danos não materiais sejam baixos (entre 100 € e 1.000 € por utilizador), os montantes acumulam-se rapidamente em casos que envolvam milhões de utilizadores afetados. Na maioria dos Estados-Membros, cada utilizador deve solicitar que uma entidade sem fins lucrativos o represente (sistema de “opt-in”). Contudo, em algumas jurisdições, como Portugal ou os Países Baixos, uma Entidade Qualificada pode representar qualquer utilizador que não tenha expressamente recusado (“opt-out”).
Ursula Pachl reforça:
“Para um consumidor individual, é geralmente demasiado difícil e não vale a pena mover uma ação por 200 € contra uma grande empresa de tecnologia. No entanto, se milhões de utilizadores afetados se unirem, a dinâmica muda rapidamente e os custos e riscos tornam-se geríveis para cada utilizador. Este é exatamente o poder das ações de ‘reparação coletiva’.”
Próximos passos
A noyb preparou nos últimos anos os meios organizacionais e técnicos para apresentar ações de reparação coletiva e espera avançar com os primeiros casos em 2025. Enquanto as medidas de injunção podem ser implementadas rapidamente devido à experiência acumulada sob a Diretiva 93/13/EEA de Termos Injustos, as medidas de reparação exigem uma preparação mais longa e há menos experiência no campo. Até agora, ações de reparação coletiva eram limitadas a Estados-Membros específicos, como Portugal, Países Baixos, Alemanha ou Áustria, com abordagens muito diferentes da nova diretiva da UE.
Artigo original: noyb is now qualified to bring collective redress actions
Ontem, dia 23 de novembro, celebrou-se a assinatura do protocolo de colaboração ‘Encarregado de Proteção de Dados’ entre a ANAFRE – Associação Nacional de Freguesias e a Artigo 80 – Associação Nacional para a defesa dos titulares de dados pessoais.
Segundo o Regulamento Geral de Proteção de Dados (RGPD) e a legislação nacional aplicável, as Juntas de Freguesia são consideradas ‘Responsáveis pelo tratamento’ e, como tal, têm a responsabilidade de garantir que os dados pessoais que processam são tratados de forma justa, transparente e em conformidade com a legislação de proteção de dados aplicável.
A ARTIGO 80 é reconhecida pela sua vasta experiência na área da proteção de dados, com destaque para a preservação dos direitos e liberdades dos titulares dos dados. Através da ARTIGO 80, as freguesias associadas à ANAFRE terão acesso a profissionais altamente qualificados, capazes de orientar e implementar as melhores práticas para assegurar a segurança e a privacidade dos dados tratados.
A assinatura deste protocolo pelo Presidente da ANAFRE e pelo Presidente e Vice-Presidente da ARTIGO 80 proporciona vantagens significativas para as freguesias e cidadãos, pois assegura uma abordagem especializada na gestão de dados pessoais. Esta colaboração reforça o compromisso das Juntas de Freguesia em cumprir as normas de proteção de dados, promovendo assim a confiança e o respeito pela privacidade dos cidadãos.
É com enorme prazer que informamos que o Presidente da Direção da Associação Artigo 80, Dr. Virgílio Cervantes, completou hoje, dia 29 de setembro de 2023, com sucesso, a Defesa da sua Tese de Doutoramento intitulada ‘Data Protection by Design and by Default: A Novel Business Compliance Framework for Effective Adherence to EU General Data Protection Regulation (GDPR)’ na University of Reading, Reino Unido.
Em nome dos restantes membros da direção, associados, colaboradores e voluntários, queremos felicitá-lo por tão importante conquista e dizer publicamente: Parabéns, Senhor Doutor Virgílio Cervantes!
As vantagens de assistir a um workshop sobre a aplicação do RGPD (Regulamento Geral sobre a Proteção de Dados) nas autarquias locais são inúmeras e cruciais para o bom funcionamento destas instituições no cenário atual da proteção de dados e privacidade.
Em primeiro lugar, o RGPD é uma legislação essencial que visa garantir a proteção dos dados pessoais dos cidadãos. Para as autarquias locais, que lidam diariamente com informações sensíveis dos seus munícipes, o conhecimento detalhado do RGPD é imprescindível para evitar possíveis violações e consequentes sanções.
O workshop oferece uma oportunidade única de aprofundar o entendimento do RGPD, abordando conceitos e princípios fundamentais, como o consentimento informado, a finalidade da recolha de dados, a minimização da informação e a necessidade de mantê-los atualizados e seguros. Essa compreensão aprofundada ajudará os funcionários das autarquias locais a lidar de forma mais responsável e ética com os dados pessoais que lhes são confiados.
Além disso, o workshop proporciona uma visão sobre as melhores práticas e medidas a serem implementadas para garantir a conformidade com o RGPD. Isso inclui a nomeação de um Encarregado de Proteção de Dados (EPD), a realização de avaliações de impacto sobre a proteção de dados, a implementação de medidas técnicas e organizacionais para garantir a segurança dos dados, e a criação de políticas claras para o tratamento adequado das informações pessoais.
Outro ponto importante é que a participação no workshop permitirá que as autarquias locais estejam em conformidade com o RGPD, o que, por sua vez, fortalece a confiança dos cidadãos em relação às instituições públicas. A população espera que seus dados sejam tratados com respeito e responsabilidade, e a demonstração de que a autarquia está adotando as medidas adequadas para garantir a privacidade e a segurança dos dados contribuirá para a construção de uma relação de confiança com os cidadãos.
Por fim, o conhecimento adquirido no workshop será valioso não apenas para o cumprimento das obrigações legais do RGPD, mas também para aprimorar a eficiência operacional das autarquias locais. Com uma gestão adequada dos dados, é possível obter informações mais precisas e relevantes para a tomada de decisões, otimizando processos internos e melhorando a qualidade dos serviços oferecidos aos munícipes.
Como chegar ao evento:
União de Freguesia de Nossa Senhora da Vila, Nossa Senhora do Bispo e Silveiras
Montemor-o-Novo
Associação Artigo 80 é designada como Encarregado de Proteção de Dados da Junta de Freguesia da Penha de França
A Associação Artigo 80 tem o prazer de anunciar que foi designada oficialmente como Encarregado de Proteção de Dados (EPD) da Junta de Freguesia da Penha de França. Esta nomeação ocorreu através de um Protocolo de Colaboração celebrado no dia 1 de maio de 2023, estabelecendo uma importante parceria entre ambas as entidades.
O papel do Encarregado de Proteção de Dados é crucial na atual era digital, e a Associação Artigo 80 destaca-se pela sua experiência e conhecimentos especializados na área de proteção de dados. A nomeação da associação pela Junta de Freguesia reflete o compromisso do executivo em garantir a privacidade e a segurança dos dados pessoais dos cidadãos da Penha de França.
Como Encarregado de Proteção de Dados, a Associação Artigo 80 assumirá a responsabilidade de supervisionar e garantir a conformidade com a legislação de proteção de dados, incluindo o Regulamento Geral de Proteção de Dados (RGPD). A associação trabalhará em estreita colaboração com a Junta de Freguesia, fornecendo orientações especializadas e garantindo a implementação de medidas adequadas para proteger os dados pessoais.
Adicionalmente, a Associação Artigo 80 desempenhará um papel ativo na sensibilização e formação dos funcionários da Junta de Freguesia sobre questões relacionadas com a proteção de dados. Isso incluirá a realização de formações e a promoção de boas práticas, a fim de estabelecer uma cultura efetiva de proteção de dados em todas as atividades da instituição.
A Junta de Freguesia da Penha de França está confiante de que a designação da Associação Artigo 80 fortalecerá significativamente a sua estrutura de proteção de dados, permitindo a implementação de medidas robustas e eficientes para salvaguardar a segurança dos dados pessoais dos seus cidadãos.
A Associação Artigo 80 sente-se honrada por ter sido selecionada para desempenhar este papel vital e compromete-se a cumprir as suas obrigações com o mais elevado padrão de profissionalismo e integridade. Juntas, a Associação Artigo 80 e a Junta de Freguesia da Penha de França estão empenhadas em proteger os direitos e a privacidade dos indivíduos, estabelecendo um exemplo positivo para outras entidades e contribuindo para a construção de uma comunidade digital mais segura e confiável.
Para obter mais informações sobre a Associação Artigo 80 e os seus serviços de proteção de dados, visite o website oficial da associação ou entre em contacto diretamente através dos canais de comunicação disponibilizados.
Sobre a Associação Artigo 80: A Associação Artigo 80 é uma organização sem fins lucrativos comprometida em promover a proteção de dados e a privacidade, oferecendo serviços especializados em conformidade com os regulamentos de proteção de dados. A sua missão é ajudar as autarquias locais, organizações sem fins lucrativos e outras organizações revestidas de cariz social a implementar práticas eficazes de proteção de dados, garantindo o respeito pelos direitos e privacidade dos indivíduos. Com uma equipa dedicada de especialistas em proteção de dados, a Associação Artigo 80 trabalha em parceria com várias entidades para fortalecer a cultura de proteção de dados e promover um ambiente digital seguro e confiável.
No dia 6 de setembro de 2022, na Reunião das Coletividades, Associações e Instituições, o presidente da direção, Dr. Virgílio Cervantes, teve a oportunidade de apresentar a Associação Artigo 80 à comunidade associativa do Concelho de Matosinhos. A reunião decorreu na sede da Associação Humanitária dos Bombeiros Voluntários de São Mamede de Infesta. O presidente da direção referiu que a presença da Associação Artigo 80 nesta reunião foi determinante para “estabelecer os primeiros laços de cooperação entre a nossa associação e as restantes associações do Concelho”. A Associação Artigo 80 agradece esta oportunidade à União das Freguesias de S. Mamede de Infesta e Senhora da Hora, nas pessoas do seu Presidente Prof. Leonardo Fernandes e do Secretário Vitor Fitas Preto.
A autoridade grega de proteção de dados multou a empresa Norte Americana Clearview AI em € 20 milhões. Foi-lhe também retirada a autorização para processar dados biométricos de indivíduos na Grécia. A empresa que vende software de reconhecimento facial para agências policiais nos EUA foi ainda ordenada a apagar todos os dados existentes.
Reclamações em cinco países por parte de várias organizações congéneres da Artigo 80, incluindo noyb, Privacy International (PI), Hermes Center e Homo Digitalis, resultaram numa série de queixas contra a Clearview AI Inc. em maio de 2021. A empresa afirma ter “o maior banco de dados conhecido de mais de 10 bilhões de imagens faciais” pretendendo atingir 100 bilhões em 2023 para tornar quase todas as pessoas identificáveis em todo o mundo. As imagens são recolhidas de contas de plataformas sociais e de outras fontes online. Foram apresentadas queixas junto das autoridades de proteção de dados em França, Áustria, Itália, Grécia e Reino Unido.
A decisão é clara: o RGPD é aplicável porque a Clearview AI usa o seu software para monitorizar o comportamento das pessoas na Grécia, independentemente do facto da empresa estar sediada nos EUA e não ofereça os seus serviços na Grécia ou na UE.
O tratamento de dados não tem base legal e há falta de transparência nas operações de tratamento dos dados. A recolha de imagens através de um motor de pesquisa biométrico é ilegal. Clearview é assim forçada a apagar todas as imagens recolhidas até agora de cidadãos gregos, e as informações biométricas necessárias para procurar um rosto específico. A autoridade grega também ordenou que a Clearview nomeasse um representante na UE, para permitir que os cidadãos da UE exerçam os seus direitos com mais facilidade e para que os reguladores tenham uma pessoa de contato na UE.
Esta decisão segue a decisão da autoridade francesa sobre Clearview em dezembro de 2021, bem como a decisão da autoridade supervisora italiana: também aqui, a autoridade proibiu a recolha e o processamento de dados na Itália. Esperamos uma decisão semelhante na Áustria em breve.
A Artigo 80 encontra-se de momento a investigar o impacto que as atividades da Clearview possam ter em Portugal e encontra-se pronta a defender os direitos, liberdades e garantias dos cidadãos nacionais caso tal se verifique necessário.
