Nos últimos meses, a X tem estado no centro de uma tempestade regulatória por alegada criação e disseminação de imagens sexualizadas não consensuais — incluindo de menores — através do Grok, o seu modelo de IA. A Comissão de Proteção de Dados da Irlanda (DPC), autoridade líder na UE/EEE para a empresa X Internet Unlimited Company (XIUC), abriu um inquérito de grande escala ao tratamento de dados pessoais e aos mecanismos de mitigação de risco da plataforma.
Neste artigo encontras:
Em paralelo, a Comissão Europeia investiga possíveis violações do Digital Services Act (DSA). Para além dos títulos, o caso é um teste crucial à forma como a Europa pretende enquadrar a IA generativa quando esta entra em choque com os direitos fundamentais e a segurança dos utilizadores.
O que está em causa: consentimento, privacidade e danos reais
A criação de imagens sexualizadas de pessoas reais sem o seu consentimento é, por definição, uma violação grave da privacidade e um potencial dano à reputação, segurança e bem-estar psicológico. Quando envolve menores, a gravidade multiplica-se, com implicações criminais e de proteção de crianças. Relatórios recentes apontam para milhões de imagens sexualizadas produzidas em poucos dias, com dezenas de milhares envolvendo menores — números que, a confirmarem-se, elevam o caso a uma prioridade máxima de supervisão na UE.
No plano jurídico europeu, a questão não é apenas se o conteúdo é “inadequado” ou “ofensivo”. O núcleo do problema é a licitude do tratamento de dados pessoais (incluindo imagens) sem base legal, o incumprimento de princípios do GDPR (minimização, finalidade, exatidão, limitação da conservação) e a ausência de salvaguardas reforçadas quando estão em causa dados sensíveis e crianças. Ao mesmo tempo, o DSA impõe obrigações específicas às maiores plataformas (VLOPs), desde avaliações de risco sistémico até medidas proporcionais para mitigar a disseminação de conteúdos ilegais.
DPC no comando: alcance e consequências na UE
Como autoridade líder da XIUC ao abrigo do mecanismo de balcão único do GDPR, a DPC irlandesa pode coordenar uma investigação transversal que resulte em medidas válidas em toda a UE/EEE. Em causa estarão, entre outros, o cumprimento de:
– Privacy by design e by default: salvaguardas técnicas e organizativas para impedir output abusivo desde a conceção.
– Base legal e consentimento: a plataforma tem fundamento para processar imagens de pessoas reais com vista a gerar variantes sexualizadas?
– Avaliação de impacto (DPIA): foi realizada, é adequada e está a ser atualizada perante riscos emergentes?
– Segurança e governação: fluxos de moderação, tempos de resposta, mecanismos de denúncia e de remoção.
As sanções, em caso de infração ao GDPR, podem ir até 4% do volume de negócios anual global ou 20 milhões de euros, o que for mais elevado. Já ao abrigo do DSA, as coimas podem atingir 6% do volume de negócios. Para além das multas, são possíveis ordens de correção, auditorias independentes e imposição de medidas técnicas obrigatórias.
Como o Grok expôs falhas nos “guardrails” de IA
A geração e edição de imagens com IA é um campo em rápida evolução. Mas a sofisticação do modelo não substitui controlos de segurança robustos. O caso Grok sugere fragilidades em várias camadas:
– Filtragem de pedidos e conteúdos: prompts aparentemente triviais conseguem contornar bloqueios e levar a outputs lesivos.
– Reconhecimento de pessoas reais: incapacidade de identificar rostos e contextos para bloquear automaticamente edições sexualizadas de indivíduos.
– Políticas assimétricas e inconsistentes: anúncios de bloqueios seguidos de evidências de incumprimento minam a confiança e agravam o risco regulatório.
– Lacunas na verificação de idade e consentimento: sem provas de autorização explícita, a edição sexualizada de imagens reais não deveria ser possível.
O resultado é um pipeline onde a velocidade de geração supera a capacidade de triagem, e onde cada falha não é apenas um “bug”, mas um potencial dano irreparável para as vítimas.
Impacto para plataformas, marcas e o ecossistema de IA
As consequências vão além de uma única empresa. Para o ecossistema:
– Risco jurídico e reputacional: marcas e anunciantes tornam-se avessos a associar-se a plataformas com fraca segurança e governação de IA.
– Adoção de normas técnicas: cresce a pressão por rastreabilidade de conteúdos (C2PA), sinalização robusta de IA e mecanismos de prova de origem.
– Normalização de auditorias: as equipas de segurança de produto passam a contabilizar “red teaming” contínuo, testes adversariais e avaliações externas como parte do ciclo de desenvolvimento.
– Coordenação setorial: partilha de hashes de conteúdos ilícitos, integração com redes de denúncia e cooperação com entidades de proteção de crianças tornam-se requisitos operacionais.
Para a X, o escrutínio conjunto do GDPR e do DSA pode obrigar a mudanças estruturais nos fluxos de moderação, a suspender funcionalidades de edição de imagens de pessoas reais por defeito, a rever políticas públicas e a demonstrar conformidade de forma verificável.
O que esperar a seguir — e como mitigar já
Reguladores europeus tendem a priorizar medidas cautelares quando há risco acrescido para crianças. Esperam-se pedidos de informação detalhados, auditorias técnicas e, possivelmente, ordens de implementação de controlos temporários. A médio prazo, a plataforma poderá ter de:
– Desativar por omissão a edição de imagens de pessoas reais, ativando-a apenas com consentimento verificável e auditoria.
– Reforçar a deteção automática de rostos e contextos sensíveis, bloqueando a sexualização de indivíduos identificáveis.
– Implementar triagem prévia de outputs de alto risco com revisão humana.
– Adotar sinalização de origem e marcações anticópia robustas, aceites pelo setor.
– Publicar relatórios de transparência trimestrais com métricas de detecção, remoção e tempos de resposta.
Para os utilizadores, a recomendação é clara: denunciar imediatamente conteúdos abusivos, evitar partilhar ou interagir com publicações lesivas (para não amplificar o alcance) e recorrer às autoridades competentes quando existam menores envolvidos.
FAQ
– O que é o Grok?
O Grok é um modelo de IA associado à X, com capacidades de geração e edição de conteúdo, incluindo imagens e texto.
– Porque é a DPC da Irlanda a liderar?
A matriz europeia da X está sediada na Irlanda, pelo que a DPC atua como autoridade líder na UE/EEE ao abrigo do GDPR.
– Qual é a diferença entre GDPR e DSA neste caso?
O GDPR centra-se na proteção de dados pessoais e na licitude do tratamento. O DSA regula riscos sistémicos e a gestão de conteúdo ilegal nas grandes plataformas, impondo avaliações e medidas de mitigação.
– Que sanções podem ser aplicadas?
Até 4% do volume de negócios global pelo GDPR e até 6% pelo DSA, além de ordens de correção, auditorias e medidas técnicas impostas.
– O que podem as plataformas fazer para reduzir o risco?
Desativar por defeito a edição de imagens de pessoas reais sem consentimento, reforçar filtragens de entrada/saída, realizar “red teaming” contínuo, adotar normas de origem de conteúdos e cooperar com entidades de proteção de crianças.
Fonte: Engadget
Sem Comentários! Seja o Primeiro.