Esta decisão do ChatGPT pode "virar a mesa". O Presidente do Gabinete de Proteção de Dados Pessoais anuncia quando a decisão será tomada

• - Se os políticos refletissem, os regulamentos em sua forma atual permitiriam que eles atingissem os objetivos que estabeleceram para si mesmos sem violar os princípios de proteção de dados pessoais - disse Mirosław Wróblewski, presidente do Escritório de Proteção de Dados Pessoais, em uma entrevista ao WNP sobre a divulgação dos dados de Jerzy Ż. na campanha eleitoral.
• Wróblewski critica o modelo de negócios do Facebook. - Há um elemento de proteção da nossa dignidade na privacidade, é um direito fundamental. Não acho apropriado cobrar uma taxa para proteger nossos direitos fundamentais, ele diz.
• O presidente do Escritório de Proteção de Dados Pessoais anuncia que uma decisão no caso inovador referente à OpenAI será tomada até dezembro. O Dr. Łukasz Olejnik, pesquisador de segurança cibernética, reclamou ao escritório que o criador do ChatGPT estava processando seus dados ilegalmente.
• Wróblewski também explica como o GDPR pode mudar em breve. A Comissão Europeia apresentou recentemente as suas propostas sobre esta matéria.

A posição do presidente da UODO é política?

- O que você quer dizer com isso?

Você difere muito na avaliação de certas situações do seu antecessor. Por exemplo, em relação às eleições por envelope.

- É verdade que divergimos, mas as minhas avaliações baseiam-se principalmente na jurisprudência do Tribunal de Justiça e dos tribunais administrativos. Não creio que tenha algo a ver com política.

Políticos serão punidos por usar dados em campanhas

E o próprio GDPR é uma ferramenta de luta política?

- Eu sei onde você quer chegar. A questão do processamento de dados pessoais também aparece nas atividades públicas. Eventos recentes mostram que, infelizmente, emoções, pressa ou elementos de luta eleitoral muitas vezes fazem com que os políticos se esqueçam da necessidade de respeitar as disposições sobre proteção de dados pessoais.

Não teria que ser assim: se os políticos refletissem, os regulamentos em sua forma atual permitiriam que eles alcançassem os objetivos que estabeleceram para si mesmos sem violar os princípios de proteção de dados pessoais. É possível conciliar a necessidade de transparência, divulgação de determinadas informações e proteção da privacidade dos indivíduos. Infelizmente, a campanha eleitoral e as emoções políticas não favorecem essa reflexão.

Estamos falando do fato de que Przemysław Czarnek e Rafał Trzaskowski revelaram detalhes sobre a pessoa de quem o candidato presidencial Karol Nawrocki deveria comprar um estúdio. Que consequências esses políticos podem enfrentar do Presidente da UODO?

- Estamos investigando, então teoricamente todas as consequências são possíveis. Até que o processo seja concluído, isso não poderá ser determinado.

Então, que penalidades eles enfrentam?

- A multa máxima por violação das disposições do RGPD para administradores não empresariais é de 20 milhões de euros . É claro que não espero que falemos sobre tais quantias. Por enquanto, estou pensando em como devo reagir após o processo. As penalidades têm como objetivo atuar como uma sanção eficaz, por um lado, e como um impedimento, por outro, mas gostaria de acrescentar um elemento educativo a isso.

O Gabinete de Proteção de Dados Pessoais já preparou um guia sobre o tratamento de dados pessoais na campanha eleitoral, e desta vez também recordei estas recomendações. Como você pode ver, educação nunca é demais. Quando a temperatura em torno das eleições baixar, proporei, após as férias, como já anunciei, aos Presidentes do Sejm e do Senado, em cooperação com os órgãos eleitorais, cursos de formação, entre outros. para funcionários de gabinetes parlamentares. Presumo que eles sejam frequentemente responsáveis ​​por problemas de dados pessoais e quero que essa conscientização aumente para que violações semelhantes não aconteçam novamente.

Perguntei sobre política porque ambos os lados da disputa o chamaram como árbitro quando o oponente mostrou muitos dados. Mesmo que essas mesmas pessoas tenham criticado anteriormente as leis que as protegiam.

- Por um lado, é minha responsabilidade como presidente do gabinete investigar violações, mas, por outro lado, em um nível humano, fico muito magoado com situações em que informações muito sensíveis de uma pessoa idosa, que provavelmente não gostaria que fossem discutidas tão amplamente, são processadas publicamente. Aqui, no entanto, uma referência a muitos meios de comunicação, que muitas vezes demonstraram muito mais sensibilidade do que os políticos e conseguiram anonimizar os dados mais sensíveis.

Grandes mudanças no GDPR? Uma boa direção, mas há um porém

As regulamentações de proteção de dados devem mudar em um futuro próximo. A revisão do GDPR é uma etapa necessária?

- A Comissão Europeia teve a ideia de limitar as obrigações relacionadas à manutenção de um registro de atividades de processamento para empresas. O limite para essa simplificação será aumentado de 250 para 750 funcionários. Em princípio, avalio essa iniciativa positivamente, mas tenho uma ressalva.

O que?

- Este limite não pode ser tratado de forma totalmente automática. Na esfera digital, também podemos lidar com pequenas empresas que empregam poucos funcionários e processam dados pessoais muito sensíveis. As regras para eles devem ser construídas de forma diferente devido aos altos riscos do processamento para os direitos e liberdades dos indivíduos. Chamamos a atenção para isso no parecer conjunto das autoridades europeias de supervisão – o Comité Europeu para a Proteção de Dados e a Autoridade Europeia para a Proteção de Dados.

Por exemplo, plataformas de compras online?

- Por exemplo, farmácias on-line. Eles não precisam de muitos funcionários e, ainda assim, processam dados de saúde.

Na minha opinião, a simplificação deveria ser aplicada a outra categoria de entidades: organizações não governamentais. Os requisitos para eles são os mesmos que para as empresas, mas eles têm incomparavelmente menos oportunidades. Em meados de junho, estamos organizando uma conferência de autoridades europeias de proteção de dados, e quero levantar esse tópico lá.

Você vê necessidade de mais alguma mudança no GDPR?

- Acredito que mudanças legais nessa matéria não são o mais importante. Os empreendedores geralmente precisam de apoio na área de aplicação do GDPR , mas já se acostumaram com a existência dessa regulamentação, e novas mudanças legais podem causar um caos desnecessário na proteção de dados. Principalmente porque estamos enfrentando desafios mais urgentes, como a implementação de novas regulamentações da UE que já entraram em vigor, mas na Polônia ainda não há um aparato institucional designado para elas.

Você fala sobre a Lei de Serviços Digitais (DSA). Fomos levados ao TJUE por não implementação.

- Na fila também estão a Lei da IA, a Lei de Governança de Dados, a diretiva NIS2 relacionada à segurança cibernética, e poderíamos continuar indefinidamente. Há muita incerteza aqui, porque as entidades muitas vezes terão que aplicar duas ou três regulamentações tão grandes e concentrar seus esforços nelas. O legislador da UE colocou muitos desafios diante de nós. Portanto, outra mudança simultânea, desta vez na área do GDPR, não é a mais esperada.

Até o final do ano, haverá uma decisão do Escritório de Proteção de Dados Pessoais sobre o OpenAI

Senhor Presidente, os registos prediais e hipotecários serão dados pessoais ou não?

- Os números de registo predial e hipotecário são dados pessoais – sabemos disso pela decisão final do Supremo Tribunal Administrativo. Hoje, é um desafio garantir simultaneamente a transparência dos registros de terras e hipotecas de acordo com as disposições da Lei de Registros de Terras e Hipotecas e a proteção da privacidade.

Isso é conciliável?

- Esperamos que seja implementado um mecanismo que permita o acesso aos livros, mas com autenticação da pessoa que tem acesso a eles. A ideia é evitar que os sistemas busquem livros usando ferramentas automatizadas que depois vendam esse conhecimento na Internet. O Ministério da Justiça anunciou que desenvolverá um projeto para resolver esse problema. Há um mês perguntei sobre o andamento deste trabalho, mas ainda não recebi uma resposta sobre o andamento.

Pessoalmente, eu realmente gostaria de ver esse problema resolvido. No entanto, este é um dos aspectos dos problemas com a aplicação efetiva das regulamentações da UE em relação a entidades registradas fora dela.

A responsabilização não poderia ser responsabilizada pelas grandes empresas de tecnologia. Seu homólogo irlandês, que conduziu os procedimentos durante anos, é responsável por quaisquer disputas com eles.

- É uma questão de como o GDPR foi construído. De fato, os procedimentos em casos que temos que encaminhar para a Irlanda levam anos, e é por isso que não há nenhuma impressão de que exista algum sistema de supervisão eficaz aqui. Isso já foi resolvido de forma diferente na Lei de Serviços Digitais, onde a Comissão Europeia, e não o país onde a empresa tem sede, é responsável por aplicar as regulamentações contra grandes empresas. Não considero essas soluções ideais, mas certamente podem facilitar e simplificar os procedimentos para lidar com esses casos.

Não são apenas os casos transferidos para a Irlanda que continuam. Até agosto de 2023, não houve nenhuma decisão no caso do pesquisador independente de segurança cibernética Dr. Łukasz Olejnik, que entrou com uma queixa contra a OpenAI. Ele alegou que a empresa estava processando seus dados ilegalmente.

- Eu queria que esse assunto fosse encerrado. Mas então o administrador acordou e começou a enviar uma documentação tão extensa que leva muito tempo para analisá-la.

Em termos leigos: o OpenAI inundou você com documentos?

- Eu não usaria tais palavras.

Eu usei isso.

- Não vou negar. Pedi aos meus colegas que lidassem com isso o mais rápido possível, mas também precisamos manter os padrões e a justiça processual, porque se não fizermos isso, qualquer pequeno descuido ou pressa será, mais tarde, a maneira mais fácil de contestar a decisão no tribunal administrativo. Um pequeno erro é suficiente para que uma grande quantidade de trabalho substancial seja desperdiçado.

Quando descobriremos quem está certo?

- Gostaria de terminar o trabalho no máximo durante as férias. O prazo final para mim é o fim do ano.

Sua decisão pode impactar todos os negócios da OpenAI na Europa.

- A empresa certamente questionará, estou pronto para isso. A Poczta Polska, que recebeu a maior penalidade já imposta pelo escritório em conexão com o caso das eleições por envelope , também recorreu ao tribunal administrativo. Ele tem o direito de fazer isso, mas é justamente por isso que precisamos garantir que os procedimentos sejam seguidos.

Os críticos dirão que você está limitando o desenvolvimento da inteligência artificial na Polônia.

- Claro que alguém pode tratar dessa maneira. No entanto, direi isto: nosso objetivo não é bloquear nada. Não se trata de proibir ninguém de organizar coletivas de imprensa de campanha ou de criar aplicativos úteis baseados em IA. O objetivo é conseguir atingir o objetivo mantendo a proteção dos dados pessoais. E, claro, isso geralmente é muito difícil — requer algum esforço, a introdução de novas soluções tecnológicas e legais. Mas não há outra maneira senão perseguir ambos os objetivos.

Gostaria de ressaltar mais uma coisa. As decisões do Presidente do UODO nunca são escritas no formato "não, por causa do GDPR". Nós nos esforçamos para fornecer orientação sobre como atingir a conformidade regulatória. Isso, é claro, exige que nossos parceiros encontrem soluções, sejam elas de natureza jurídica ou técnica.

A proteção da privacidade é um direito fundamental. O Facebook não pode cobrar por isso

O Facebook encontrou uma solução para a interferência excessiva na privacidade dos usuários ao introduzir a opção "pagar ou ok", ou seja, concordar com a vigilância ou pagar. E o presidente ainda não gostou.

- Às vezes, encontrar uma solução exige mais esforço, às vezes é muito difícil. Mas sem isso não há progresso.

O que há de errado com esse modelo em que pagamos o Facebook com dados ou com dinheiro pelo uso?

- Alguns desafios são de natureza ética.

Há um elemento de proteção da nossa dignidade na privacidade, é um direito fundamental. Não acho apropriado cobrar uma taxa para proteger nossos direitos fundamentais.

O Meta também permite que você exclua seus dados do treinamento de IA.

- Depois da minha experiência com esta empresa, vejo que ela é capaz de mudança e cooperação. Foi o que aconteceu com o golpe que afetou, entre outros: o Sr. Rafał Brzoska. Foi criada uma ferramenta que permitiu a detecção automática de tais anúncios fraudulentos .

O que não funciona, como comprovado pelo CERT Polska na NASK.

- Sim, mas estão sendo feitas tentativas para resolver o problema e a empresa está respondendo, embora não tenha respondido nada no início. Acredito que as empresas responderão aos problemas que apontamos porque são pragmáticas e não querem se meter em encrencas.

Esta é uma lição que os empreendedores poloneses também precisam aprender? A cada ano, o número e a gravidade das multas impostas aos empreendedores poloneses pelo Escritório aumentam.

- Isso se deve ao fato de que as expectativas quanto ao cumprimento do GDPR após sete anos de vigência da regulamentação são maiores do que eram no início. Depois desse tempo, é difícil justificar que alguém não saiba o que são deveres básicos.

Não há misericórdia?

- Definitivamente. A UODO obviamente tem uma missão educacional: viajamos pela Polônia, nos encontramos com empreendedores e cooperamos com governos locais. Ao mesmo tempo, porém, não há como esconder o fato de que as atividades de controle, execução e procedimentos em casos de violações estão em andamento. Acredito que as decisões deste ano já deixaram claro que o setor público também tem muito a fazer quando se trata de proteger dados pessoais.