CHATBOTS E RESPONSABILIDADE CIVIL

Um bot, abreviação de “robot”, é um programa de software que executa tarefas repetitivas automatizadas na Internet. Existem muitos tipos diferentes de bots.

Por exemplo, um tipo comum de bots são os rastreadores da Web, ou spiders, que são usados pelos mecanismos de busca para navegar sistematicamente e para indexar os sites.

Chatbot, essencialmente, é um programa de computador que simula o comportamento humano on-line, inclusive em mídias sociais, em conversas através de comandos de voz, métodos textuais ou ambos.

Atualmente, estão se tornando cada vez mais sofisticados no que podem fazer e quão próximos eles podem imitar o comportamento humano on-line, de tal forma que estão substituindo cada vez mais os seres humanos para povoar as mídias sociais das organizações.

De acordo com a corporação multinacional de tecnologia de computadores Oracle, 80% das empresas implementarão chatbots até 2023.

Os chatbots são amplamente utilizados pelas empresas para estimular conversas, promover produtos / serviços, aumentar o engajamento do consumidor e, geralmente, melhorar a experiência do usuário. A exemplo de seus usos podemos mencionar os de serviços de suporte ao cliente, publicidade para fins promocionais, serviços jurídicos oferecendo consultoria e serviços de baixo custo ou mesmo gratuitos.

Há chatbots que são denominados como “desonestos” ou mal-intencionados bastante comuns e que podem ser usados para extrair dados pessoais, informações de contas bancárias, alimentar sentimentos negativos, segmentar indivíduos. Um chatbot corporativo perfeitamente legítimo e bem-intencionado também pode ser “desonesto” – como ser responsável por tweets ofensivos e comentários políticos racistas e inflamados. A maioria dos chatbots é usada para fins produtivos, mas o seu uso malicioso é considerado algumas vezes como malware.

Diante de tais ocorrências, os chatbots representam uma miríade de questões legais e de risco para os seus usuários e conforme se tornam mais sofisticados e predominantes, nossa capacidade de policiá-los e cumprir as várias áreas de legislação e regulamentação devem acompanhar esta evolução.

Para tanto, devem ser consideradas algumas medidas que evitem ou minimizem os problemas que possam ser gerados por seu uso, como:

Políticas em chatbots. Devem existir políticas internas que governem a extensão das atividades permitidas do chatbot, informações que serão alimentadas e como, informações que serão coletadas e onde elas serão armazenadas / enviadas, supervisão / atualização dos chatbots e todas as políticas acessórias devem ser revisado para prever chatbots, se apropriado;
Website T&Cs e isenções de responsabilidade. Dependendo do tipo de atividade que está sendo realizada pelo chatbot, deve-se considerar se a referência ao chatbot é feita no site / plataforma T + Cs e se isenções de responsabilidade são necessárias. Os usuários devem estar cientes se uma determinada atividade está sendo realizada por um chatbot e a aceitação destes termos deve ser inequívoca. Importa ainda mencionar que a introdução de chatbots em setores altamente regulamentados, como serviços financeiros, assistência médica, jurídica e pensões, traz uma série de possíveis problemas relacionados à responsabilidade e à extensão do aconselhamento fornecido já que o chatbot terá acesso a um grande volume de informações atualizadas, a fim de compreender as instruções e perguntas, além de fornecer respostas úteis e relevantes com destaque. Caso não sejam capazes de responder, um aviso claro e um possível acionador de intervenção humana deverão ser considerados.
Desenvolvedores e proprietários de chatbots. Devem observar as regras sobre recomendações e publicidade de produtos. Empresas que trabalham em colaboração com patrocinadores que querem explorar chatbots terão que deixar claro se um chatbot é “patrocinado” / “pago por” / “trazido a você por” ou quando um chatbot é programado para apresentar produtos patrocinados.
Indústrias / atividades reguladas. Onde os chatbots são usados em indústrias reguladas, as atividades do chatbot devem ser programadas para estar em conformidade com os regulamentos e padrões do setor.
Coleção e proteção de dados. Chatbots podem ser expostos e coletar uma grande quantidade de dados pessoais e outras informações comerciais no decorrer da interação com os usuários da Internet. Os registros de controladores de dados e políticas de privacidade devem estar atualizados, em particular, as empresas devem esclarecer a identidade oficial de dados, a natureza dos dados coletados, a duração e os propósitos do processamento de dados e, eventualmente, a identidade, localização e grau de proteção assegurados por qualquer destinatário desses dados.
Prevenção de chatbots desonestos. Difamação / abuso / assédio. As empresas devem ser cautelosas quanto a possíveis respostas prejudiciais, abusivas e incorretas que um chatbot possa dar e ter em mente o efeito que um chatbot pode ter na imagem e no perfil de uma empresa. Como parte responsável pelo chatbot, a corporação terá responsabilidade por qualquer comentário. Mais uma vez, salvaguardas e intervenções apropriadas devem estar em vigor e as empresas devem antecipar e implementar um tipo de mecanismo de censura inteligente, devendo incorporar esse risco em seu planejamento de gerenciamento de risco e crise para poder reagir rapidamente a qualquer reclamação feita pelo público.
Violação de direitos de terceiros. Devem existir salvaguardas apropriadas para impedir a violação de conteúdo protegido por direitos autorais, usando marcas e marcas de terceiros, vinculando a informações / conteúdo por trás de paywalls ou onde informações de fontes de terceiros são extraídas e reutilizadas pelo chatbot. Os desenvolvedores de chatbots devem, portanto, garantir que qualquer uso de direitos de propriedade intelectual de terceiros esteja dentro do escopo das exceções que não constituam uma violação.
Empresa que forneça uma autoridade de chatbot e Política de monitoramento / acionamento de intervenção humana. Além de ter políticas em vigor, deve-se levar em consideração a extensão do monitoramento das atividades de um chatbot e um gatilho de intervenção humana deve estar em vigor para evitar que as informações vazem e espalhem.
Diante disso, a União Europeia recentemente regulou o tema através do GDPR (sigla em inglês para “General Data Protection Regulation”) que alterou a forma como as empresas tratam os dados de seus usuários e clientes e, em última análise, como eles fazem negócios on-line. O principal objetivo deste novo regulamento é proporcionar aos cidadãos da UE o total controle sobre as informações pessoais que as empresas de todo o mundo recolhem, armazenam, transferem e utilizam, permitindo que os consumidores sejam claramente informados sobre que tipo de dados as empresas adquirem deles, como usarão esses dados e como podem ter qualquer rastro de seus registros excluídos permanentemente ou facilmente transferidos para outras entidades.

A legislação trata de questões fundamentais como: a extraterritorialidade, definição clara e atualizada de “dados pessoais” e “dados sensíveis”; direitos individuais à privacidade; consentimento explícito do usuário; requisitos rigorosos de processamento e coleta de dados dos usuários; estabelece a distinção entre controlador de dados e processador de dados.

Ainda há questões delicadas relativas às crianças e acerca da maneira pela qual as empresas regulam a capacidade do chatbot de verificar a idade e o conteúdo de suas conversas com elas terá que ser cuidadosamente monitorada e controlada. Os chatbots precisarão identificar no início se estão conversando com uma criança e, então, adaptar os tópicos de material e conversa.

No que concerne às questões morais, os chatbots tentam replicar a conversação humana da maneira a interagir com os usuários. As empresas devem, portanto, tomar precauções e ter políticas em vigor para cobrir questões morais que surjam durante essas conversas, em particular quando o chatbot estiver operando dentro de um campo altamente sensível. Por exemplo, se um usuário perguntar a um chatbot uma pergunta sensível sobre suicídio, o chatbot deve reportar isso à polícia local / autoridades de saúde? Poderia parecer que os chatbots estavam assumindo um papel de confiança ou dever de cuidado? Além disso, se um usuário pedir informações sobre onde comprar produtos que podem ser considerados suspeitos (por exemplo, grandes quantidades de fertilizantes), em que ponto o chatbot deve concluir que precisa ser denunciado à polícia? Essas questões morais podem ser reguladas ou cobertas pelas políticas da empresa, especialmente nos casos em que os chatbots dão conselhos médicos ou interagem com indivíduos vulneráveis.

Por aqui, o legislador regulou o uso da internet no Brasil através da Lei n. 12.965/2014, que instituiu o chamado Marco Civil da Internet, estabelecendo princípios, garantias, direitos e deveres, com destaque para os seus arts. 18 a 20 que tratam da responsabilidade por danos decorrentes de conteúdo gerado por terceiro. E, recentemente, foi editada a Lei n. 13.709/2018, que dispõe sobre a proteção de dados pessoais, e altera o Marco Civil da Internet, passando a vigorar após decorridos 18 (dezoito) meses de sua publicação oficial.

A norma estabelece parâmetros para o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Fundamentando a proteção dos dados pessoais no respeito à privacidade; na autodeterminação informativa; na liberdade de expressão, de informação, de comunicação e de opinião; na inviolabilidade da intimidade, da honra e da imagem; no desenvolvimento econômico e tecnológico e a inovação; na livre iniciativa, a livre concorrência e a defesa do consumidor; e nos direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

A lei será aplicável a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional, a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; e que os dados pessoais objeto do tratamento tenham sido coletados no território nacional, considerando como tais, os dados pessoais cujo titular nele se encontre no momento da coleta.

Em seu art. 5º, traz considerações acerca de conceitos fundamentais para fins de responsabilização como: dado pessoal; dado pessoal sensível; dado anonimizado; banco de dados; titular; controlador; operador; encarregado; agentes de tratamento; tratamento; anonimização; consentimento; bloqueio; eliminação; transferência internacional de dados; uso compartilhado de dados; relatório de impacto à proteção de dados pessoais; órgão de pesquisa; e, autoridade nacional.

Outro tema abordado na lei que merece destaque é o tratamento de dados pessoais de crianças e de adolescentes que deverá ser realizado em seu melhor interesse e mediante o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. Os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos.

A lei excetua da necessidade de consentimento quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento.

Dispõe o art. 6º da lei que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios da finalidade, da adequação, da necessidade, do livre acesso, da qualidade dos dados, da transparência, da segurança, da prevenção, da não discriminação e da responsabilização e prestação de contas.

Por fim, a lei traz ainda importantes disposições sobre a responsabilidade e o ressarcimento de danos, dispondo que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Considerando como tratamento de dados pessoais irregular aquele que deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: o modo pelo qual é realizado; o resultado e os riscos que razoavelmente dele se esperam; e as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. Respondendo pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas em lei, der causa ao dano.

A norma citada disciplina questões de grande relevância, tendo em vista a celeridade das transformações operadas nas relações e nos usos travados no ambiente virtual desafiando o legislador para que seja capaz de dar o tratamento adequado e aguçado às diversas situações que possam repercutir juridicamente.