Whitebridge AI é acusada de ilegalidade, a venda de "conteúdo político perigoso" gera controvérsia de aviso falso

A empresa de IA da Lituânia, Whitebridge AI, foi denunciada pela organização de privacidade da UE Noyb por violar várias disposições do GDPR, vendendo relatórios de reputação que continham avisos falsos de “exposição” e “conteúdo político perigoso”, exigindo que os usuários pagassem para visualizar e utilizando “assinaturas eletrônicas” para impedir correções, um modelo de negócios intimidador que gerou controvérsia sobre direitos de privacidade.

Whitebridge AI Revela o Modelo de Negócio: Monetização de Dados por Intimidação

A Whitebridge AI, com sede na Lituânia, está envolvida em uma tempestade de privacidade devido à suspeita de venda de “relatórios de reputação” baseados em dados coletados ilegalmente e desinformação gerada por IA. A organização de defesa da privacidade Noyb, com sede na Áustria, pediu à Autoridade Nacional de Proteção de Dados da Lituânia que proíba a Whitebridge AI de “processar dados pessoais coletados e informações falsas geradas por IA.”

Whitebridge AI oferece dois serviços baseados em inteligência artificial:

Serviço de Relatório de Reputação: gera um relatório detalhado que descreve o estado online de uma pessoa, incluindo postagens em redes sociais, imagens, artigos de notícias e outros rastros digitais.

Serviço de Monitorização em Tempo Real: Acompanhar continuamente as atividades online de indivíduos-alvo e notificar imediatamente os utilizadores pagos assim que ocorrerem quaisquer alterações.

Este modelo de negócios em si não é inovador — serviços semelhantes de “gestão de reputação digital” existem na Europa e nos Estados Unidos há muitos anos. No entanto, a singularidade do que foi reportado pela Whitebridge AI reside na sua estratégia de “intimidar e depois monetizar”: de acordo com os documentos de reclamação da Noyb, os relatórios gerados pela empresa contêm avisos falsos sobre “conteúdo político exposto” e “conteúdo político perigoso”, criando intencionalmente um estado de ansiedade, e em seguida exigem que os usuários paguem para visualizar o relatório completo ou fazer correções.

A advogada de proteção de dados da Noyb, Lisa Steinfeld, afirmou sem rodeios: “O modelo de negócios da Whitebridge AI é extremamente desonesto, com o objetivo de intimidar as pessoas para que paguem pelos dados coletados ilegalmente. De acordo com a legislação da União Europeia, as pessoas têm o direito de acessar seus dados gratuitamente.”

Noyb denuncia três grandes infrações ao GDPR

O documento de queixa (PDF) submetido pela Noyb acusa a Whitebridge AI de violar várias disposições centrais do Regulamento Geral sobre a Proteção de Dados (GDPR) da Europa, incluindo os artigos 5, 6, 9, 12, 14, 15 e 16. Essas disposições cobrem a base legal para o processamento de dados, proteção de categorias especiais de dados, obrigações de transparência, direitos de acesso e de retificação, entre outros princípios fundamentais.

Fonte de dados ilegal: mídias sociais não “publicamente óbvias”

A Whitebridge AI afirma em seu site: “Cumprimos totalmente o GDPR, garantindo que seus dados pessoais sejam protegidos e tratados de forma transparente. Apenas coletamos informações públicas, e você tem o direito de acessar, corrigir, excluir e limitar o tratamento dos seus dados.”

No entanto, a Noyb refutou, afirmando que a maior parte das informações no relatório da Whitebridge AI parece vir de redes sociais ou de pesquisas nesses sites - e a jurisprudência europeia já estabeleceu claramente que esses dados não se enquadram na categoria de “manifestaamente tornados públicos”, que é o limiar crucial para o tratamento de dados pessoais sensíveis estabelecido no artigo 9 do GDPR.

O cerne desta disputa legal reside na definição de “dados abertos”:

A posição da Whitebridge AI: Qualquer informação disponível na internet é “pública” e, portanto, pode ser livremente coletada e utilizada comercialmente.

Decisão do Tribunal da União Europeia: Mesmo que a informação possa ser acedida tecnicamente, isso não significa que o titular dos dados tenha a intenção de a “tornar claramente pública” para utilização comercial por terceiros de forma irrestrita. As postagens nas redes sociais costumam ter um público limitado (amigos, seguidores, etc.), não sendo divulgadas de forma ilimitada para o mundo inteiro.

Em 2023, o Tribunal da União Europeia enfatizou em vários casos que os dados referidos no artigo 9º, nº 2, alínea e do GDPR, considerados como “dados manifestamente tornados públicos”, devem ser informações que o titular dos dados tem a intenção clara de tornar públicas para um público não específico. Isso significa que:

Publicação visível apenas para amigos no Facebook: não considerada claramente pública

Tweet publicado no Twitter: pode parecer claramente público, mas ainda é necessário avaliar a legalidade da utilização comercial.

Currículo profissional no LinkedIn: zona cinzenta, dependendo das configurações de privacidade do usuário

A Whitebridge AI aparentemente adotou a interpretação mais ampla, considerando todos os dados que podem ser capturados como “públicos”, uma abordagem que contraria o espírito dos precedentes do tribunal da UE.

Conteúdo gerado por IA falso: alerta sobre nudez e política

A Noyb representou dois reclamantes de identidade desconhecida, que apresentaram consultas com base no artigo 15 do GDPR (que concede às pessoas o direito de acessar seus próprios dados), mas não receberam nenhuma resposta. A Noyb posteriormente adquiriu os relatórios da Whitebridge AI desses reclamantes e descobriu que os relatórios “contêm alertas falsos sobre 'conteúdo político exposto' e 'perigoso'”.

Esta descoberta revela um sério problema com o conteúdo gerado por IA:

Problema de Alucinação da IA: Modelos de IA podem gerar conclusões completamente falsas com base em fragmentos de dados irrelevantes. Por exemplo, alguém compartilhou uma foto de férias na praia nas redes sociais, a IA pode erroneamente marcá-la como “exposta”.

Possíveis designs maliciosos: O que é ainda mais preocupante é que esses avisos falsos podem não ser falhas técnicas, mas sim estratégias comerciais – através da criação de rótulos negativos sensacionalistas, forçando os usuários a pagarem para ver detalhes ou a solicitarem a remoção.

Risco de danos à reputação: Se estes relatórios falsos forem adquiridos por empregadores, companhias de seguros ou outros terceiros, podem causar sérios danos profissionais e pessoais à parte envolvida.

O artigo 5º, n.º 1, alínea d) do GDPR exige que o tratamento de dados seja “exato” e, quando necessário, mantido atualizado. O conteúdo falso no relatório da Whitebridge AI viola claramente este princípio.

Armadilha de pagamento: violação do direito de acesso gratuito

Quando o reclamante tentou corrigir o seu relatório com base no artigo 16.º do GDPR, a Whitebridge AI solicitou uma “assinatura eletrónica qualificada” para executar o pedido — a Noyb deixou claro que a legislação da UE não exige tal requisito.

O artigo 12.º, n.º 5 do GDPR estipula claramente: “As informações e as ações tomadas com base nos artigos 15 a 22 devem ser fornecidas gratuitamente.” Isso significa que:

Aceder aos seus dados: deve ser gratuito

Corrigir dados errados: deve ser grátis

Remover dados inadequados: deve ser gratuito

A exigência de uma “assinatura eletrônica qualificada” é uma barreira técnica. Na União Europeia, uma assinatura eletrônica qualificada requer um certificado digital emitido por uma entidade certificadora, cujo custo pode chegar a dezenas ou até centenas de euros, e o processo é complexo. Esta exigência transforma, na prática, o “direito gratuito” em “direito pago”.

Ainda mais grave, este tipo de design pode criar um ciclo vicioso:

1. Os utilizadores descobriram que o relatório Whitebridge AI contém informações negativas falsas.

2、O usuário solicita uma correção gratuita, mas é solicitado a fornecer uma assinatura eletrônica cara.

3. Os usuários são forçados a renunciar à correção ou são induzidos a comprar os “serviços de gestão de reputação” da empresa.

A empresa lucra com a ansiedade da fabricação

Cláusulas GDPR da UE contra a captura de dados de IA

O caso Whitebridge AI destaca o conflito fundamental entre as práticas de dados do GDPR e a era da IA. A seguir estão as principais disposições do GDPR envolvidas no caso e seu significado no contexto da IA:

Artigo 5.º (Princípios de Tratamento de Dados): O tratamento de dados deve ser legal, justo, transparente e preciso. Os falsos avisos gerados por IA violam o princípio da “precisão”, enquanto o processo de captura não transparente viola o princípio da “transparência”.

Artigo 6 (Base Legal): Qualquer processamento de dados deve ter uma base legal, como consentimento, contrato, obrigação legal ou interesses legítimos. A Whitebridge AI afirma basear-se em “interesses legítimos”, mas na ausência de consentimento do usuário e na presença de danos evidentes aos interesses do usuário, essa base é difícil de se estabelecer.

Artigo 9 (Dados Sensíveis): É proibido processar dados que revelem raça, convicções políticas, crenças religiosas, orientação sexual, etc., salvo em casos de exceções específicas. O rótulo “Conteúdo Político Perigoso” pode envolver inferências sobre convicções políticas, enquanto o aviso “Exposição” pode envolver sugestões, ambos pertencendo à categoria de dados sensíveis.

Artigos 12 e 14 (Transparência e Dever de Notificação): Os controladores de dados devem informar proactivamente os titulares de dados que os seus dados estão a ser processados. O reclamante da Noyb nunca recebeu notificação da Whitebridge AI até que comprou o relatório proactivamente, momento em que descobriu que os seus dados estavam a ser processados.

Artigo 15 (Direito de Acesso): O indivíduo tem o direito de obter gratuitamente a confirmação e uma cópia do tratamento dos seus dados. O modelo de pagamento da Whitebridge AI viola diretamente este direito fundamental.

Artigo 16.º (Direito de retificação): Os indivíduos têm o direito de solicitar a retificação de dados imprecisos. A imposição de barreiras à assinatura eletrónica retira, na prática, esse direito.

A acumulação de violações destes termos demonstra que o modelo de negócio da Whitebridge AI está completamente em desacordo com o espírito fundamental do GDPR - que é conceder aos indivíduos o controle sobre os seus dados.

Resposta oficial da Whitebridge AI: enfatiza a legalidade, mas repleta de dúvidas

Após a submissão deste artigo, um porta-voz da Whitebridge AI forneceu uma declaração para defender as práticas da empresa: “A WhiteBridge AI valoriza muito a proteção de dados e a privacidade. Todos os dados pessoais que a empresa processa são coletados apenas de fontes públicas e são utilizados apenas para fins legais e claramente definidos. Queremos deixar claro que a WhiteBridge AI não coleta nem armazena proativamente quaisquer dados pessoais.”

A declaração enfatiza várias afirmações-chave:

Modo de Processamento Passivo: “O processamento de dados só ocorre após o recebimento de um pedido de elaboração de relatórios sobre indivíduos específicos por parte do cliente” - isso significa que a empresa afirma não manter um banco de dados permanente, apenas captura dados quando há um pedido pago.

Política de exclusão de 30 dias: “A WhiteBridge AI cumpre rigorosamente as limitações de retenção de dados, todos os relatórios publicados serão excluídos após 30 dias” - isto parece ser para cumprir o princípio de minimização de dados do GDPR.

Sem declaração de banco de dados: “WhiteBridge AI não armazena informações pessoais em nenhum banco de dados ou arquivo sem solicitação legal” - tentando se distanciar dos tradicionais corretores de dados.

No entanto, estas defesas apresentam evidentes dúvidas:

Definição de fonte pública ambígua: A empresa não esclareceu a sua definição específica de “fonte pública” e como garantir que essas fontes estão em conformidade com o padrão de “publicamente evidente” do Artigo 9.º do GDPR.

Problemas do modo passivo: mesmo no processamento sob demanda, ainda é necessário cumprir a obrigação de notificação (artigo 14) e o direito de acesso (artigo 15). O reclamante da Noyb aparentemente não recebeu notificação e o direito de acesso foi bloqueado por um paywall.

Vulnerabilidades excluídas em 30 dias: O relatório pode ser baixado e disseminado várias vezes dentro de 30 dias; excluir o original não elimina o dano já causado. Mais importante, se o relatório contiver informações falsas, o período de 30 dias é suficiente para causar sérios danos à reputação.

Contradição sem declaração de banco de dados: Se a empresa realmente não possui nenhum banco de dados, como pode gerar relatórios rapidamente após receber um pedido? Isso sugere que a empresa pode ter estabelecido algum tipo de índice ou mecanismo de cache previamente.

A empresa também respondeu às acusações da Noyb, afirmando que “as alegações sobre a 'prática comercial desleal' e a suposta coleta e venda ilegal de dados são infundadas” e expressou “disposição para um diálogo construtivo”. No entanto, a declaração não ofereceu explicações substanciais sobre as acusações específicas de conteúdo gerado por IA falso e requisitos de assinatura eletrônica.

A sua reputação digital está a ser reescrita pela IA

O caso Whitebridge AI não é um evento isolado, mas revela a crise sistémica da gestão de identidade digital na era da IA.

Há um ano, Stacey Edmonds, cofundadora e CEO da organização australiana de cibersegurança Dodgy or Not?, publicou uma postagem no LinkedIn expressando suas preocupações sobre o serviço de coleta de dados da Whitebridge AI. Edmonds escreveu que entrou em contato com a Whitebridge AI e com a Autoridade Nacional de Proteção de Dados da Lituânia para expressar suas preocupações. No entanto, suas perguntas parecem não ter tido qualquer impacto nas práticas da empresa.

Esta impotência regulatória destaca dois problemas:

Dificuldades na aplicação da lei transfronteiriça: A Whitebridge AI está registrada na Lituânia, mas serve usuários em todo o mundo. Mesmo que a autoridade reguladora de um país considere suas atividades ilegais, a aplicação da lei ainda enfrenta desafios de jurisdição.

Recursos regulatórios insuficientes: A Autoridade Nacional de Proteção de Dados da Lituânia pode não ter recursos suficientes para investigar a fundo casos complexos de dados de IA. Embora o GDPR confira poderosas autoridades, a capacidade de execução depende do empenho dos Estados-Membros.

Talvez a queixa formal da Noyb receba mais atenção. Como uma das organizações de defesa da privacidade mais ativas da Europa, a Noyb já conseguiu promover penalizações significativas contra gigantes tecnológicos como Facebook e Google. Se a autoridade reguladora da Lituânia agir contra a Whitebridge AI, isso pode estabelecer um precedente para outros países da UE, limitando modelos de negócios semelhantes de “monetização de intimidação por IA”.

Para os usuários comuns, a lição deste caso é: a sua identidade digital pode estar sendo analisada, rotulada e até distorcida por sistemas de IA de maneiras que você não sabe. Pesquisar regularmente seu nome, configurar as permissões de privacidade nas redes sociais e compartilhar informações pessoais com cautela já não é apenas uma boa prática de proteção da privacidade, mas sim uma linha de defesa necessária contra a manipulação digital da reputação impulsionada por IA.