Ouça este conteúdo
A repentina fama conquistada pela DeepSeek, startup chinesa de inteligência artificial (IA), deveria colocar as autoridades brasileiras em alerta para os riscos na captação e uso de dados dos usuários no país. Mas isso não se aplica só à empresa chinesa, mas a todas as concorrentes americanas que também usam informações sensíveis sobre as pessoas e eventualmente sobre as empresas para treinar seus modelos de IA.
Essa é a visão consensual de especialistas consultados pela reportagem para entender se, por estar submetida a um regime fechado com algum nível de controle sobre as empresas nacionais, a DeepSeek pode comprometer a privacidade ou a segurança dos usuários, bem como repassar ao Estado chinês dados que podem servir para espionagem e interferência política externa.
Na semana passada, a DeepSeek chamou a atenção do mercado de tecnologia por anunciar um modelo com capacidade equivalente às concorrentes da OpenAI, Meta e Google, mas com uma necessidade de equipamento e custos muito menores.
O resultado foi uma queda generalizada nas ações das empresas americanas do setor, pelos investimentos pesados que fizeram em datacenters e estrutura de armazenamento e processamento. Ao fim da semana, o entusiasmo inicial se transformou em apreensão quando uma falha de segurança deixou expostos dados confidenciais de usuários, como conversas de usuários com o chatbot e informações de acesso.
DeepSeek coleta dados pessoais e até ritmo de digitação no teclado
Os termos de uso do DeepSeek, além de não estarem disponíveis em português, não oferecem ao usuário a opção de restringir o uso de seus dados, que incluem data de nascimento, nome, endereço de e-mail ou telefone, senha de login, modelo do dispositivo usado para o acesso, sistema operacional, endereço de IP (Internet Protocol, que localiza a máquina), histórico de conversas, textos, arquivos, imagens e até o ritmo de digitação no teclado.
De forma genérica, a empresa informa que pode fornecer as informações para parceiros comerciais e autoridades para “cumprir a lei, proteger direitos e prevenir atividades ilegais”. Para especialistas em segurança digital, os termos não diferem muito dos concorrentes americanos, embora estes tenham aprimorado as regras e vivem sob supervisão de instituições mais abertas.
A Gazeta do Povo consultou cinco especialistas sobre o assunto:
- Luca Belli, professor pesquisador da FGV Direito Rio e Coordenador do Centro de Tecnologia e Sociedade (CTS-FGV). Coordena o projeto CyberBRICS e atua na área da governança da internet, proteção de dados pessoais, e políticas digitais nos países do BRICS. Autor de mais de 50 publicações sobre regulação de internet e políticas digitais;
- Luiz Fernando Plastino, advogado especialista em Direito de Informática do escritório Barcellos Tucunduva Advogados. Doutor em Direito Civil pela Universidade de São Paulo (USP) e membro da IAPP (Associação Internacional de Profissionais de Privacidade);
- Alexander Coelho, sócio da Godke Data Protection & Privacy e do escritório Godke Advogados. Especialista em Direito Digital e Proteção de Dados. Membro da Comissão de Privacidade e Proteção de Dados e Inteligência Artificial (IA) da OAB/SP. Pós-graduado em Digital Services pela Faculdade de Direito de Lisboa (Portugal);
- Ângelo Vieira Jr., executivo, conselheiro e professor especialista em Marketing, Inovação, CX e Digital e estrategista-chefe da Lúmen Strategy;
- Marina Lucena, advogada especialista em Direito Digital; e
- Raphael Santos Marques, cofundador da Tech do Bem
Compilamos abaixo as respostas de cada um à seguinte pergunta: Os termos de uso do aplicativo do DeepSeek seguem as exigências da LGPD de forma satisfatória, para proteção de dados dos usuários, em relação à privacidade? Haveria risco no uso empresarial da plataforma?
Para Luca Belli, o DeepSeek “corresponde ao padrão da indústria, que é muito baixo em termos de proteção de dados pessoais”. A OpenAI, por exemplo, diz ele, ainda não informa o nome do encarregado que define quais são as orientações na proteção de dados pessoais da empresa. “Uma obrigação para a empresa, mas é uma coisa que ainda hoje não tem na OpenAI nem no DeepSeek”, observa o professor.
Outra semelhança, segundo ele, é que as duas empresas não informam a base legal que justifica a transferência de dados para a China, no caso do DeepSeek, e para os EUA, no caso da OpenAI. “Quanto ao fato de que os dados sejam transferidos para a China, realmente é preocupante, na medida em que você perde o controle sobre os dados”, diz Belli.
Ele, no entanto, diz que a LGPD vem sendo descumprida de diversas formas no país, sem que a Autoridade Nacional de Proteção de Dados (ANPD) tome providências efetivas para conter o problema. “Muito mais preocupante, a meu ver, é que dados pessoais sensíveis sejam coletados nas farmácias e compartilhados com qualquer plano de saúde, ou empresa para qualquer tipo de finalidade que a gente não sabe.”
Especialistas alertam sobre uso do DeepSeek e outras IAs por empresas
Quanto ao uso empresarial do DeepSeek, os especialistas alertam para os riscos de inserção de dados pessoais de clientes, fornecedores ou funcionários, ou informações do negócio. Ao mesmo tempo, elogiam o fato de que, por ser um modelo de código aberto, as empresas têm a opção de usar a tecnologia em seus próprios servidores, sem enviá-los para a DeepSeek.
Alexander Coelho, no entanto, faz o alerta de que a China não possui um acordo de adequação com o Brasil. “Há o risco de que dados sensíveis sejam processados sem garantias adequadas de segurança. Isso poderia configurar uma violação da LGPD, expondo empresas a sanções e riscos de compliance”, afirma o advogado.
Marina Lucena reforça a necessidade de, ao usar a plataforma nos servidores da DeepSeek, as empresas tomem cuidados. “Empresas devem evitar inserir informações sensíveis ou estratégicas, já que tudo o que é digitado pode ser coletado e armazenado. O aplicativo coleta uma grande quantidade de informações, incluindo nome, e-mail, telefone, senha, o texto enviado, arquivos e histórico de chats. A empresa também coleta padrões e ritmos de teclas, cookies e pagamento. Por isso, o ideal é que, no contexto empresarial, se evite colocar informações sensíveis e importantes nas mensagens, seja em texto, imagens, áudio.”
Raphael Santos Marques diz que a falta de transparência é o grande problema de muitas empresas de IA. “A DeepSeek ainda não é clara sobre quais leis de proteção de dados cumpre em sua operação global. E, vale lembrar, que todas as informações compartilhadas pelo usuário são enviadas aos servidores chineses. Isso adiciona uma camada extra de complexidade e preocupações de uso indevido de dados”, diz.
Agência Nacional de Proteção de Dados é cobrada
Todos os especialistas ouvidos pela reportagem concordaram que a ANPD deve fiscalizar mais de perto todas as empresas de IA que coletam dados no Brasil.
“A ANPD deveria tomar medidas, mas não somente com a DeepSeek, que é o último exemplo de uma longa série de empresas. O resulto foi interessante para explicar como se criou uma lei de proteção de dados no país que não está funcionando, que é vaga em muitos pontos e não está sendo implementada de maneira contundente”, diz Luca Belli.
Para Luiz Fernando Plastino, o código aberto da DeepSeek é uma oportunidade para a ANPD entender melhor como funciona o processamento dos dados. “Com isso eles podem aprender e podem ter alguns insights. Eu acredito que seja uma vantagem a ANPD ficar em cima desse modelo, mas não exatamente por uma desconfiança por ser chinês, mas sim, pela facilidade que você tem de entender como esse modelo funciona”, diz.
Para Alexander Coelho, a ANPD deve ser mais rigorosa. “Em um mundo onde dados valem tanto quanto ouro, a popularidade de um app não pode ser desculpa para negligência regulatória. As autoridades brasileiras devem atuar rapidamente para garantir que usuários e empresas nacionais não fiquem expostos a riscos desnecessários”, diz.
Luca Belli acrescenta que a ANPD não pode se omitir usando o discurso de que ainda não tem uma regulação para a tecnologia ou que não pode atrapalhar a inovação.
“Já existem direitos e obrigações na LGPD há 6 anos. Precisa simplesmente fiscalizar o que já tem.”
Marina Lucena não vê a DeepSeek como ameaça imediata.
“A Autoridade Nacional de Proteção de Dados (ANPD) deve fiscalizar a empresa para garantir que esteja cumprindo com as obrigações previstas na LGPD, principalmente no que diz respeito à transparência quanto à coleta e ao tratamento de dados dos usuários. Isso é válido para qualquer plataforma, já que, na verdade, a maioria delas coleta muitos dados”.
