Meta pode usar dados do usuário para treinar IA: o que diz a decisão alemã

As razões para a decisão proferida pelo Tribunal Superior de Colônia , que em 23 de maio de 2025 reconheceu o direito da Meta de usar conteúdo público disponibilizado por seus clientes para treinar modelos de IA, são finalmente públicas, aceitando o argumento da Big Tech de que "não há alternativa razoável que a Meta possa buscar para atingir seus interesses de forma tão eficaz com outros meios menos invasivos".

A origem da controvérsia

A decisão foi emitida após uma ação judicial movida por uma associação de consumidores alemã que reclamou da violação do direito à proteção de dados pessoais dos clientes causada pela escolha da Meta.

Especificamente, a associação acusou a Meta de não demonstrar que usar os dados de seus clientes para treinar uma IA era necessário e apropriado de acordo com o Regulamento Geral de Proteção de Dados (GDPR) e que a atividade era proibida porque também consistia no processamento de dados pessoais "especiais" — por exemplo, dados de saúde — sem poder invocar quaisquer exceções previstas pelo GDPR.

A Meta se defendeu alegando que tinha um “interesse legítimo” em usar conteúdo público que circula em suas plataformas e que era compatível com o GDPR e que havia adotado uma série de medidas que reduziram os riscos aos direitos dos indivíduos a um nível aceitável.

Em particular, a decisão afirma que a Meta declarou que limitou o uso de dados aos tornados públicos pelos clientes, que previu a possibilidade de alterar o status dos conteúdos de público para privado, excluindo-os assim do uso, que informou os clientes e deu a eles uma possibilidade efetiva de se opor ao processamento, que desidentificou as informações relativas a indivíduos individuais, que as "tokenizou" (ou seja, as reduziu a valores matemáticos necessários para permitir que o modelo realizasse as operações de cálculo) e, portanto, que as desvinculou da identidade pessoal dos indivíduos, e que adotou medidas de segurança durante todo o ciclo de desenvolvimento do modelo.

Ao decidir a favor da Meta, o tribunal alemão colocou em prática uma série de princípios que restringem fortemente a interpretação generalizada — mesmo na Itália — da legislação sobre proteção de dados pessoais, afirmando uma série de princípios que também são válidos fora de questões relacionadas à IA.

O RGPD também protege os interesses económicos e não apenas os direitos do indivíduo

“Além dos interesses jurídicos e ideológicos, os interesses económicos são também considerados interesses legítimos”, escreve o Tribunal, recordando uma decisão do Tribunal de Justiça da União Europeia , que tinha reconhecido a relevância do interesse comercial de uma federação desportiva na comunicação dos dados dos seus atletas.

Além disso, a decisão prossegue: “A anonimização de tais conjuntos de dados não é praticável, visto que muitas vezes é difícil obter o consentimento dos titulares dos dados com esforço razoável. Essa interpretação também reflete a “dualidade” das finalidades de proteção do GDPR, que não serve apenas para proteger dados pessoais, mas também para garantir a livre circulação desses dados e, portanto, sua usabilidade.”

Assim, mesmo que, na realidade, seja o regulamento sobre a proteção de dados pessoais que o declare, e não haveria necessidade de o dizer, a decisão especifica que os interesses das empresas têm a mesma dignidade que os direitos das pessoas singulares. Em termos ainda diferentes: não existe uma prevalência "de princípio" que impeça a utilização de dados pessoais no contexto da atividade económica. O importante, reitera o Tribunal, é que essa utilização seja efetivamente necessária e indispensável para obter um resultado lícito, mesmo que não esteja expressamente prevista em lei .

Para compreender o alcance deste princípio, basta pensar nas questões relacionadas ao armazenamento de dados de tráfego da internet e metadados de e-mail, aquelas relacionadas ao uso de análises ou aquelas derivadas do modelo “pay or okay” — ou melhor, “pay in money or pay in data” . À luz desta decisão, não é verdade que estas atividades sejam ilícitas como tal, mas a relação entre o “sacrifício” concretamente imposto ao cliente e os objetivos do fornecedor deve ser verificada, caso a caso. Se, na prática, os riscos para os direitos e liberdades fundamentais da pessoa forem suficientemente limitados, uma empresa não pode ser impedida de processar os dados pessoais relacionados.

Os riscos a serem considerados são apenas aqueles diretamente ligados ao funcionamento do modelo

Outro princípio fundamental para o desenvolvimento da IA ​​na União Europeia é que, ao avaliar as consequências do tratamento de dados pessoais, apenas devem ser consideradas aquelas relacionadas com a formação da própria IA.

Os juízes escrevem sobre este ponto: “Outras possíveis violações da lei que poderiam surgir do funcionamento subsequente da IA ​​(como desinformação, manipulações e outras práticas prejudiciais) não são atualmente suficientemente previsíveis e podem ser processadas separadamente. De qualquer forma, a possibilidade de que tais riscos se materializem a ponto de tornar o uso legítimo da IA ​​impossível e, em última análise, questionar a adequação do processamento de dados é remota.”

Com extrema lucidez, os juízes afirmam o princípio segundo o qual, para avaliar se dados pessoais podem ou não ser usados ​​para treinar uma IA, devem ser consideradas apenas as consequências diretas decorrentes do uso dos dados em questão, e não o fato de que alguém possa usar o modelo no futuro para cometer atos ilícitos. Neste caso, observa o tribunal, aplicam-se outras regras existentes, pois, deduz-se, o modelo de IA é a ferramenta com a qual as leis são violadas e não o autor da violação.

A anonimização total não é necessária

Outro ponto de discórdia entre as partes era a desidentificação por meio da eliminação de dados relativos às pessoas, mas sobre a permanência das fotos.

A Meta considerou suficiente a eliminação de dados como nomes completos, endereços de e-mail, números de telefone, números de identificação nacional, identificadores de usuário, números de cartão de crédito/débito, números de contas bancárias/códigos bancários, placas de veículos, endereços IP e endereços postais, e a sua transformação em um formato não estruturado e "tokenizado". Sobre esse ponto, a Meta afirma: "Embora isso não exclua que, apesar da desidentificação, a identificação ainda possa ocorrer em casos individuais, o tribunal considera que essas medidas reduzirão o risco geral".

Treinar uma IA não é um tratamento direcionado a um indivíduo específico

Também aqui é apropriado citar a sentença na íntegra: “o desenvolvimento de Modelos de Linguagem Amplos com base em conjuntos de dados muito grandes geralmente não diz respeito ao processamento direcionado de dados pessoais ou à identificação de uma pessoa específica” e novamente “os pré-requisitos que permitem o processamento não direcionado são suficientemente satisfeitos pela finalidade do treinamento de IA, que visa criar modelos gerais para calcular probabilidades e não para criar perfis de pessoas individuais”, bem como pelas inúmeras medidas de proteção adotadas pelos réus.”

Esta é uma passagem central da decisão porque reitera outro aspecto que praticamente nunca foi considerado na aplicação (italiana) do GDPR: a regulamentação se aplica aos tratamentos que identificam ou tornam identificável uma pessoa específica e não categorias ou grupos. Portanto, dado que a tokenização do conteúdo das postagens divulgadas nas redes sociais da Meta foi alcançada por meio de desidentificação suficiente dos indivíduos, os tratamentos dos dados assim obtidos não violam a lei.

Também aqui, as consequências práticas do princípio jurídico vão além do âmbito da IA ​​porque, por exemplo, refutam a tese segundo a qual todas as atividades de criação de perfis realizadas, por exemplo, utilizando rastreadores, números de IP ou outras ferramentas que identificam dispositivos ou softwares e não, em vez disso, quem os utiliza, constituem uma violação sistemática da lei.

Uma mensagem à Comissão Europeia e às autoridades nacionais de proteção de dados

Como já foi repetido diversas vezes, esse processo assume um valor mais geral que transcende a questão Meta, pois diz respeito à relação entre os pressupostos ideológicos da padronização e as consequências industriais do desenvolvimento tecnológico.

É bastante evidente que, ao longo de quase dez anos, o RGPD tem sido interpretado unilateralmente em detrimento dos interesses legítimos de quem inova, em nome de uma fetichização da “privacidade” (termo que também está ausente na regulamentação europeia).

Portanto, as autoridades nacionais de proteção adotaram disposições e medidas de soft law que não levaram em devida consideração o que o regulamento já previa desde sua promulgação: desde que alguém se mova dentro do perímetro da lei, não há proibições absolutas quanto ao processamento de dados pessoais, mas sim um equilíbrio de interesses, e o equilíbrio de interesses deve ser verificado caso a caso.

O GDPR certamente não é perfeito e exigiria uma revisão profunda desde o início, mas esta decisão demonstra que ele pode ser interpretado de forma razoável, levando também em consideração as regras que protegem a pesquisa e os negócios.

Para ser claro, não se trata de pedir “carta branca” para as Big Tech ou, em geral, para as empresas e, portanto, sacrificar a pessoa no altar do lucro, mas também não se pode fazer o contrário, em nome de uma ambiguidade nunca esclarecida sobre o papel que as tecnologias da informação podem e devem ter na transformação da nossa sociedade.

Este é o ponto que a Comissão Europeia deve considerar ao adotar os atos operacionais do regulamento da IA ​​e ao identificar as alterações ao RGPD que estão finalmente a ser discutidas.