A Autoridade Nacional de Proteção de Dados (ANPD) determinou que a X. Corp suspenda, em até cinco dias, o uso de dados pessoais de menores de 18 anos para fins de treinamento de sua inteligência artificial generativa. A decisão faz parte de uma ação de fiscalização que também exige a implementação de diversas medidas para garantir a proteção de dados no Brasil.
Medidas exigidas pela ANPD
Além da suspensão do uso de dados de menores, a ANPD determinou que a X. Corp promova alterações em sua Política de Privacidade e Termos de Uso. As principais exigências incluem:
- Proibição expressa de tratamento de dados de menores: A X. Corp deve incluir em sua Política de Privacidade ou na seção “Central de Ajuda” informações claras sobre a não utilização de dados de menores de 18 anos para treinamento de IA generativa.
- Desabilitação de compartilhamento de dados: A funcionalidade que permite o compartilhamento de dados pessoais para fins de IA generativa deve ser desativada para contas de menores de idade.
- Ajustes nos Termos de Uso: A expressão genérica “para qualquer finalidade” deve ser excluída, para atender ao princípio da especificidade da finalidade no tratamento de dados pessoais.
Documentação sobre impacto no Brasil
A ANPD também solicitou esclarecimentos à X. Corp sobre a aplicabilidade, no Brasil, dos documentos apresentados em resposta às diligências iniciais, como o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) e o Teste de Balanceamento do Legítimo Interesse. Esses documentos fazem referência a legislações da União Europeia, do Reino Unido e de países da Associação Europeia de Livre Comércio (EFTA).
Se confirmada a inaplicabilidade ao Brasil, a empresa deverá apresentar versões específicas para o cenário brasileiro, no prazo de dez dias úteis.
Impacto e contexto jurídico
A decisão da ANPD ocorre em face dos princípios estabelecidos pela Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), especialmente os relativos à proteção de dados de crianças e adolescentes (art. 14). A atuação também está alinhada ao princípio da finalidade, que exige que o tratamento de dados seja realizado para propósitos legítimos, específicos e informados aos titulares.
Legislação de referência
Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018)
Art. 6º – “Os princípios que norteiam o tratamento de dados pessoais incluem a finalidade, adequação, necessidade, transparência, segurança, prevenção, não discriminação e responsabilização.”
Art. 14 – “O tratamento de dados pessoais de crianças e adolescentes deve ser realizado em seu melhor interesse […] e com consentimento específico.”
Fonte: Autoridade Nacional de Proteção de Dados
