Decisões automatizadas e a eficácia do direito à revisão previsto no Art. 20 da LGPD

Vivian Albuquerque - Encarregada de Proteção de Dados Pessoais e Matheus do Carmo - Assistente de Proteção de Dados Pessoais - FIEC

10/09/2024

 

A Lei Geral de Proteção de Dados Pessoais (LGPD), inovou no cenário jurídico brasileiro, visando garantir uma governança e proteção dos dados pessoais dos cidadãos. Dentre seus dispositivos legais, a respectiva lei previu diversos direitos aos titulares dos dados, dentre estes, o da revisão das decisões automatizadas, previsto no caput do Art. 20. A previsão deste dispositivo é importante, uma vez que visa assegurar a transparência e a justiça no uso de sistemas automatizados que podem impactar diretamente ou indiretamente a vida das pessoas.

A LGPD se inspira em grande parte no General Data Protection Regulation (GDPR) que regulamenta a proteção de dados em âmbito europeu. Em seu Artigo 22, prevê disposições semelhantes à legislação brasileira, na qual o titular dos dados pessoais detém direito de não ser submetido a decisão baseada exclusivamente no tratamento automatizado e que venha produzir efeitos jurídicos ou que afetem significativamente sua vida¹. Além disso, o GDPR no mesmo Artigo em seu item de nº 3 prevê que o titular possui o direito de obter intervenção humana por parte do responsável pelo tratamento, bem como manifestar seu ponto de vista e contestar a referida decisão².

Originalmente, a LGPD previa no Art. 20, § 3º de forma semelhante, ou seja, a possibilidade de o titular solicitar a revisão dessas decisões automatizadas por uma pessoa natural. No entanto, esse termo foi suprimido através das alterações advindas da Lei 13.853/2018³, gerando debates sobre a eficácia deste direito.

O principal questionamento seria se a exclusão da intervenção humana poderia comprometer o exercício e consequentemente a eficácia do respectivo direito, uma vez que sistemas automatizados poderiam ser utilizados para revisão do direito à revisão das decisões automatizadas, gerando um looping infinito e esvaziando a eficácia e concretude do respectivo direito.

Neste sentido, seria lógico prever um artigo que, ao estabelecer um direito, impede tecnicamente o titular de exercê-lo? A princípio não, mas a retirada dessa possibilidade pode comprometer a eficácia do dispositivo, tornando-o sem qualquer efeito prático.

Mas como poderíamos resolver o respectivo problema? A possível solução para isso, seria por meio da interpretação sistemática dos dispositivos da LGPD, especialmente dos princípios estabelecidos no Art. 6º, bem como do próprio Art. 20 § 1º, que assegura ao titular a possibilidade de solicitar informações sobre os critérios adotados para tomada de decisão, que está intimamente ligado ao princípio da transparência.

O Princípio da Transparência exige que o controlador de dados pessoais forneça ao titular informações claras e compreensíveis sobre como se chegou à decisão contestada, ou seja, o controlador deve explicar de maneira pormenorizada os critérios utilizados no processo automatizado, comprovando que a decisão tomada cumpriu todos os requisitos legais⁴.

Essa determinação combinada com a observância dos princípios inerentes a todo tratamento com dados pessoais, demonstra a necessidade da participação de uma pessoa humana nesse processo, tanto para explicar e contextualizar ao titular dos dados a maneira como a decisão foi tomada, quanto para comprovar que a decisão foi correta⁵.

Portanto, embora a supressão da possibilidade de revisão seja realizada por pessoa natural, a manutenção da intervenção humana, direta ou indiretamente, revela-se importante para preservar a integridade e a confiabilidade dessas decisões, garantindo o pleno exercício deste direito em um mundo cada vez mais datificado.

 

_{¹SERACHI. Carine Regina. Decisões automatizadas no Judiciário: A necessidade de revisão humana. Disponível em: https://www.conjur.com.br/2023-dez-21/decisoes-automatizadas-no-judiciario-a-necessidade-de-revisao-humana/ . Acessado em: 24/07/2024.
²GDPR. General Data Protection Regulation. Art. 22. Disponível em: https://gdpr-info.eu/art-22-gdpr/. Acessado em: 24/07/2024.
³LEI Nº 13.853, DE 8 DE JULHO DE 2019. Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências. Disponível em: https://www2.camara.leg.br/legin/fed/lei/2019/lei-13853-8-julho-2019-788785-veto-158685-pl.html}

_{⁴ MARTINS, Guilherme Magalhães. LONGHI, João Victor Rozatti. FALEIROS JÚNIOR. José Luiz de Moura. Comentários à Lei Geral de Proteção de Dados Pessoais – Lei 13.709/2018. Pág. 471
⁵ Ibidem.}