Deepfakes sexuais e proteção de dados

Por Santiago Alenza Carro, advogado. 

A Agência Espanhola de Proteção de Dados (AEPD) resolveu recentemente dois casos relativos à disseminação de conteúdo sexualmente explícito gerado por inteligência artificial (IA). A sua importância é evidente, uma vez que se tratam das primeiras decisões sobre esta matéria não só a nível nacional, como também a nível europeu.

Além disso, tanto os eventos em si quanto as punições administrativas suscitaram considerável debate social, ético e técnico-jurídico. No entanto, é importante compreender ambos os casos a fundo, pois nem os fatos nem as conclusões são os mesmos.

A primeira resolução divulgada foi a finalização do Arquivo nº EXP202503445. Especificamente, investigou-se a adição de corpos nus fictícios aos rostos originais de várias pessoas usando um aplicativo de IA, e sua disseminação por meio de diversos canais de mensagens, redes sociais e plataformas de conteúdo adulto.

Apesar da discrição expressa na resolução, é impossível evitar a suposição de que os eventos investigados pela Agência estejam relacionados ao ocorrido em uma escola de um município específico da Espanha em setembro de 2023. Esses eventos foram amplamente divulgados devido à extensa cobertura da mídia. Portanto, se a questão já era espinhosa e delicada, o fato de os envolvidos serem menores de idade e as repercussões sociais complicam ainda mais a situação.

A decisão da autoridade nacional de supervisão é direta: de acordo com o Artigo 4.1 do RGPD, uma imagem é um dado pessoal que permite a identificação de um indivíduo, e a sua divulgação constitui tratamento de dados conforme definido nos Artigos 4.1 e 4.2 do RGPD. Consequentemente, a Agência determinou que o princípio da licitude do tratamento havia sido violado (ou seja, que não havia fundamento jurídico para o tratamento dos dados) e aplicou inicialmente uma multa de € 2.000 ao responsável. Essa multa foi posteriormente reduzida para € 1.200 devido ao pagamento voluntário e ao reconhecimento de responsabilidade.

Mas, além da conduta ilícita e passível de sanção (que consiste simplesmente na disseminação não autorizada da imagem como dado pessoal), a verdadeira importância da questão reside na geração de corpos nus falsos usando inteligência artificial. E isso se deve a vários motivos:

• Em primeiro lugar, porque a natureza dos acontecimentos e as suas implicações vão além de uma mera violação das normas de tratamento de dados pessoais. De facto, paralelamente à investigação da Agência, foram instaurados processos criminais que resultaram na condenação dos responsáveis. .
• Em segundo lugar, porque o tratamento afetou menores, especialmente indivíduos vulneráveis ​​que possuem proteção reforçada.
• Terceiro, devido à conotação sexual que surge da associação de rostos reais com corpos nus de outras pessoas.
• Em quarto lugar, devido à abrangência dos eventos, tanto direta (através da divulgação feita pelos responsáveis) quanto indiretamente (através do impacto informativo das notícias).
• Quinto, e abrangendo tudo o que foi mencionado acima, devido às repercussões sociais, familiares e pessoais dos eventos para as vítimas e seus direitos (dignidade, honra, privacidade pessoal...).

Na minha opinião, todos esses fatores agravam a gravidade dos acontecimentos e deveriam ter justificado uma penalidade mais substancial. De fato, especialistas na área criticaram o valor da multa, argumentando que uma oportunidade valiosa pode ter sido perdida para responder de forma firme, decisiva e exemplar a comportamentos que, longe de desaparecerem, só tendem a se tornar mais comuns. No entanto, em contraste com a limitada sanção administrativa aplicada aos eventos, eu pessoalmente saúdo a forte e unânime condenação social.

Com relação à segunda resolução, processada no Arquivo nº EXP202506010, trata-se novamente da divulgação de uma fotografia de uma menor que foi manipulada artificialmente para fazê-la parecer nua. A reclamante, mãe da menor, tomou conhecimento disso porque a menor recebeu uma captura de tela de uma amiga como forma de alerta. A imagem original havia sido retirada do perfil da menor em uma conhecida rede social.

A investigação da Agência revelou que o usuário do número de telefone que enviou a imagem com a falsa nudez era outro menor de idade e que a imagem não foi publicada em redes sociais, plataformas ou na internet, além do canal de mensagens pelo qual a imagem foi enviada.

A autoridade supervisora, após análise dos fatos idênticos ao caso anterior, considera que a obrigação de tratamento lícito também foi violada. No entanto, a sanção foi meramente uma advertência (portanto, sem multa), porque:

1. Por um lado, e apesar das implicações do caso, era preciso levar em consideração que o responsável poderia não ter capacidade para tomar plena consciência da ilicitude da conduta praticada.
2. Por outro lado, a disseminação da imagem manipulada foi limitada (ver comparação com a primeira resolução analisada).

Desta segunda resolução, devo necessariamente destacar o seguinte parágrafo (que, aliás, a Agência poderia e/ou deveria ter inserido na resolução anterior): “Da mesma forma, não se deve esquecer que, devido aos graves danos à privacidade e ao direito à proteção de dados pessoais resultantes da divulgação de informações pessoais pela internet, com um impacto particularmente relevante, devido à sua vulnerabilidade, no caso de menores, exige-se uma resposta desta Agência Espanhola de Proteção de Dados, em conformidade com as competências que lhe são atribuídas e os poderes que lhe são colocados à disposição.”. Embora possa parecer um excusatio non petitaNa minha opinião, isto constitui, especialmente em casos como estes, uma legitimação louvável dos poderes e das ações da nossa autoridade supervisora.

De fato, o processamento ilegal e prejudicial de dados pessoais utilizando IA tende a aumentar em número e complexidade. E essas decisões, além da adequação da imposição de sanções, consolidam a posição da Agência Espanhola de Proteção de Dados (AEPD) como um bastião na garantia e proteção dos nossos direitos. Isso se torna ainda mais evidente considerando, como revelaram os casos analisados, as ameaças existentes — aplicações e ferramentas de IA que permitem a manipulação — e a inação daqueles que deveriam atuar como aliados ou a serviço dos cidadãos — as plataformas por meio das quais as imagens foram disseminadas e que não detectaram nem removeram o conteúdo.

A resolução da Agência Espanhola de Proteção de Dados (AEPD) aborda apenas a infração cometida por um dos indivíduos responsáveis, mas a criação e disseminação das imagens foram realizadas por vários outros. De fato, outras resoluções referentes aos mesmos eventos e a outros autores são esperadas.

No entanto, outros especialistas acreditam que a sanção administrativa não é adequada nem necessária, e que teria sido preferível que a questão fosse resolvida exclusivamente por meio de processo criminal.