Recentemente, navegando nas redes sociais, notei que boa parte dos meus contatos utilizou ferramentas e/ou aplicativos de IA para editar ou criar fotos de si ou de sua família. Seja num aplicativo que transforma nossa foto em avatar, em um que simula como ficaremos daqui alguns anos, ou num terceiro que cria fotos de família num estilo artístico. Tudo isso, aparentemente, sem custo nenhum, apenas com dois toques na tela ou um prompt pré-pronto amplamente compartilhado.
Instantaneamente me veio uma pergunta: pra onde vão essas fotos depois que as colocamos nessas ferramentas?
Quando enviamos uma foto nessas ferramentas e/ou aplicativos, raramente estamos pedindo só um filtro. Na maior parte das vezes, estamos cedendo algo: nossa imagem e da nossa família. Essas imagens irão alimentar sistemas de IA, serão armazenadas em servidores do outro lado do mundo e poderão ser repassadas a empresas parceiras que nunca iremos conhecer. E isso está previsto nos termos de uso e nos avisos de privacidade (escondido em um texto longo que quase ninguém lê).
Parece bobagem, mas esse compartilhamento tem consequências reais. Nossa imagem é um dado pessoal, e, em certos contextos, é ainda mais sensível, porque permite nossa identificação de forma única, como no caso de um reconhecimento facial. Quando a imagem permite identificar alguém biometricamente, ela deixa de ser apenas um dado pessoal comum e passa a integrar uma categoria especial, que exige proteção reforçada e, em regra, consentimento específico para ser tratada. Nem todo clique em “aceitar” preenche esse requisito.
No Brasil, temos a Lei Geral de Proteção de Dados – LGPD, uma lei de proteção de dados que exige que essas informações sejam tratadas com cuidado, com finalidade clara e com a nossa permissão de verdade, não só um clique apressado numa tela de cadastro. Para dados biométricos, considerando a sua sensibilidade, a exigência é ainda mais rigorosa. O consentimento precisa ser específico e destacado, dado para uma finalidade determinada, não vale um termo genérico que autorize “o uso das informações para melhorar nossos serviços”. Além disso, a lei assegura direitos concretos ao titular como saber quais dados foram coletados, pedir a correção ou a exclusão, revogar o consentimento a qualquer momento e ser informado sobre o compartilhamento com terceiros. O problema é que poucos sabem que esses direitos existem e menos ainda como exercê-los na prática.
Mas o problema não é a tecnologia em si. É a diferença de poder entre quem cria esses sistemas e quem os usa. De um lado, grandes empresas com equipes jurídicas que redigem contratos favoráveis a elas. Do outro, pessoas que clicam em “aceitar” porque querem ver o resultado em segundos.
E é dessa diferença que surgem riscos concretos. Perdemos o controle sobre como nossa imagem circula. Ela pode reaparecer em contextos que não autorizamos, como em materiais para treinar outros sistemas, como referência em bancos de dados ou, no pior caso, como base para criar um vídeo falso com o nosso rosto. E se a empresa for estrangeira, fazer valer nossos direitos pode virar um problema bastante complexo. Quando os servidores estão fora do Brasil, a transferência internacional de dados precisa observar condições específicas e, na prática, o titular raramente tem como verificar se elas foram cumpridas.
O risco do deepfake merece atenção especial. Com poucas imagens de boa qualidade, já é possível criar vídeos sintéticos convincentes que colocam palavras na boca de alguém ou a inserem em situações que nunca aconteceram. As consequências podem ir de danos à reputação pessoal a fraudes financeiras e comprometimento de processos seletivos ou negociações.
É claro que isso não é motivo para deixarmos de usar essas ferramentas. Mas devemos considerar que é um bom motivo para usá-las com mais atenção do que costumamos ter.
E esse cuidado se torna ainda mais relevante no ambiente de trabalho. Imagine um colaborador que, querendo criar uma apresentação mais visual, usa uma ferramenta de IA para gerar retratos estilizados da equipe, e faz o upload das fotos dos colegas sem pedir autorização. Nesse momento, ele não está só tomando uma decisão pessoal, está tratando dados pessoais de terceiros, possivelmente dados biométricos, em nome da empresa. A organização pode responder por esse tratamento mesmo sem ter tido ciência dele. Políticas internas de uso de IA, orientação aos colaboradores e definição clara de quais ferramentas podem ser usadas com dados de pessoas identificadas deixam de ser formalidade e passam a ser mecanismo concreto de redução de risco.
Sob a ótica da LGPD, a empresa é a controladora desse tratamento e precisa ter base legal para realizá-lo. O consentimento do colega fotografado provavelmente não foi coletado. A finalidade não foi informada. E a ferramenta utilizada pode não oferecer as garantias exigidas para o tratamento de dados sensíveis. Tudo isso configura exposição real, com potencial de gerar sanções administrativas e responsabilização civil.
Antes do próximo upload, vale parar um momento e pensar: a plataforma explica de forma clara o que faz com as nossas fotos? É possível pedir a exclusão das imagens depois do uso? O que ganhamos com isso compensa o que estamos entregando? Há como revogar o consentimento depois? A empresa informa com quem compartilha os dados? E, se algo der errado, existe canal para exercer os direitos de titular, ou o caminho é um formulário genérico em inglês que ninguém responde? A empresa está sediada no Brasil ou em país com proteção adequada de dados? Se algo der errado, a quem reclamar?
A tecnologia avança rápido, e a consciência sobre os riscos costuma ficar para trás. Por isso, a proteção acaba dependendo, cada vez mais, das escolhas que cada um de nós faz antes de apertar “enviar”.
Sobre a autora: Evelyn Crudeli. Advogada. Especialista em Contratos e Compliance em Proteção de Dados Pessoais. Coordenadora da área de Proteção de Dados no escritório PFSA.
