O fim do Genesis, OpenAI em situação delicada, Google copia Apple e mais no Resumo AdGuard

Nesta edição do resumo da AdGuard: ChatGPT enfrenta um primeiro processo por difamação e outras questões regulatórias; aumento na venda de credenciais roubadas no mercado negro da internet; plataformas de suporte à recuperação do alcoolismo vazam dados para os anunciantes; e Google dá aos usuários mais controle sobre seus dados armazenados no sistema.

A Itália estabeleceu condições para o retorno do ChatGPT, e todas elas são sobre privacidade

A Itália deu à OpenAI, a empresa americana por trás do ChatGPT, uma lista de exigências a serem atendidas se quiserem que seu popular chatbot não seja proibido no país. O ChatGPT está com acesso bloqueado na Itália desde 31 de março, depois que o órgão regulatório local o acusou de violar a lei de proteção de dados do PIBR da UE.

Agora, o órgão regulatório italiano elaborou uma lista de condições e ações a serem tomadas pela OpenAI para que o ChatGPT esteja em conformidade com a lei. As exigências incluem que o OpenAI estabeleça uma base legal para o processamento de dados de usuários a serem utilizados para o treinamento de seus algoritmos de IA, além de oferecer aos usuários uma maneira de corrigir qualquer informação falsa que o chatbot tenha espalhado sobre eles, ou, se isso for "tecnicamente inviável," garantir que estes dados sejam apagados. Também houve a exigência de que tanto os usuários quanto os não usuários tenham o direito de optar por não terem seus dados processados. Por fim, o órgão regulador italiano exigiu ainda que a OpenAI implementasse um sistema de verificação de idade que impedisse que usuários com menos de 13 anos acessassem o chatbot.

Mas não é só a Itália que está colocando a OpenAI à prova: uma força-tarefa foi instaurada na União Europeia para ajudar os seus estados membros a alinhar suas posições sobre o ChatGPT.

Será interessante ver como e se a OpenAI conseguirá vencer o obstáculo do GDPR, já que as ferramentas alimentadas por IA, incluindo o ChatGPT, apresentam um risco à privacidade inerente. Os modelos de IA sobre os quais são construídos o ChatGPT e outras ferramentas de IA, como o DALLE-E, foram treinados em grandes quantidades de dados retirados de toda a web sem o consentimento dos usuários. Embora seja possível optar por excluir seus dados do conjunto de treinamento do ChatGPT e excluir sua conta, pedir que uma Inteligência Artificial "desaprenda" algo é um processo muito complexo. Além disso, não há uma maneira segura de saber que seus dados foram realmente removidos definitivamente. De qualquer forma, se a Itália e a OpenAI conseguirem chegar a um acordo e resolver estes problemas, a situação pode servir de exemplo para outros países onde o GDPR se aplica.

Hey, AI bot, nos vemos no tribunal! Prefeito alega ter sido difamado pelo ChatGPT

Por enquanto, no entanto, o ChatGPT está na corda bamba, enfrentando mais desafios legais a cada dia. Não é segredo que os grandes modelos de linguagem podem "alucinar", ou seja, espalhar informações errôneas ou mesmo "inventar" fatos. Aparentemente foi isso que aconteceu no caso de um prefeito australiano que pode apresentar o primeiro processo por difamação contra o OpenAI. O funcionário diz que o ChatGPT alegou falsamente que havia cumprido pena por suborno, prejudicando assim sua reputação. Na verdade, foi o prefeito que denunciou o esquema de suborno e nunca foi acusado de um crime. A equipe jurídica do prefeito deu 28 dias ao OpenAI para corrigir o erro ou enfrentar uma ação legal. O prefeito pode chegar a receber até 200.000 dólares em indenizações se levar adiante sua ameaça de processar a OpenAI.

A OpenAI tentou livrar-se da responsabilidade pelas respostas do chatbot através de um aviso de que "às vezes escreve respostas plausíveis, mas incorretas ou sem sentido". É difícil dizer se o prefeito vai seguir em frente com sua ameaça de processar a OpenAI mas, se o fizer, estaremos atentos, já que isso poderia criar um precedente para o futuro.

Seja qual for o resultado, uma coisa é certa: à medida que a IA generativa se torna mais hábil em elaborar respostas credíveis e mais pessoas a utilizam no local de trabalho, a questão de quem deve ser responsabilizado por seus erros e como impedir a propagação de informações falsas é uma questão legítima.

Apps que auxiliam na recuperação do alcoolismo vendem dados de usuários para os anunciantes

Não há ninguém em quem você confie mais do que seu médico, e dificilmente há um momento mais vulnerável do que quando você está lutando contra um vício. Mas os 100.000 pacientes que tiveram seus dados pessoais vazados por startups como a Monument e a Tempest podem agora pensar duas vezes ao confiar informações sensíveis a plataformas de saúde online.

Em uma divulgação relatada pela primeira vez pela TechCrunch, a Monument, que adquiriu a Tempest em 2022, revelou que pode ter exposto um vasto acervo de dados pessoais e de saúde dos pacientes a anunciantes, incluindo Facebook, Google, Microsoft e Pinterest. Os dados foram divulgados aos gigantes da publicidade através de pixels de rastreamento que foram incorporados ao site da Monument desde 2020 e ao site da Tempest desde 2017. A empresa disse que removeu completamente os rastreadores de terceiros somente em fevereiro deste ano. Os pixels de rastreamento são trechos de código que os proprietários de sites podem colocar em seus sites para rastrear as ações dos usuários, ajundando também os anunciantes a medir o desempenho de seus anúncios e a direcioná-los.

As informações que podem ter sido compartilhadas incluem: nomes dos pacientes, datas de nascimento, endereços de e-mail, números de telefone, endereços residenciais, número de seguro e até mesmo informações sensíveis como fotos, informações relacionadas a consultas, serviços selecionados e respostas a pesquisas.

Não é nem preciso dizer que os pacientes não consentiram que seus dados particulares e regimes de tratamento fossem compartilhados com a ad tech. Este tipo de incidente está longe de ser isolado, e foi visto no caso de duas plataformas de saúde mental que, no mês passado, admitiram ter feito o mesmo. Essas práticas de dados são péssimas, lamentáveis e muito comuns. Se você não tem escolha a não ser confiar seus dados a prestadores de serviços de saúde on-line, certifique-se de escolher prestadores respeitáveis e confiáveis. Entretanto, mesmo isso pode não ser uma garantia.

Operação "Cookie monster" derruba site que vendia credenciais roubadas

O marketplace Genesis, que costumava ser um lugar conhecido para a aquisição de credenciais roubadas e impressões digitais de navegação (para mais informações sobre o que é uma impressão digital, leia nosso artigo) foi à falência graças a um esforço conjunto do FBI e de agências de segurança de todo o mundo.

O notório marketplace, cujo acesso era permitido apenas por convite, foi derrubado na "Operação Cookie monster". A operação resultou na prisão de 120 pessoas, incluindo supostos usuários do site, e em 200 buscas em todo o mundo. As autoridades fizeram questão de visar os usuários, não apenas os administradores do site: "O Genesis prometeu falsamente uma nova era de anonimato e impunidade, mas no final apenas forneceu uma nova maneira de identificar, localizar e prender criminosos online" Desde sua criação em 2018 e antes de seu fim recente, o mercado oferecia acesso a aproximadamente 80 milhões de credenciais de acesso a contas roubadas, tais como nomes de usuário e senhas. As impressões digitais de dispositivos também oferecidas no site permitiam que os criminosos contornassem as proteções anti-fraude.

A apreensão do Genesis é uma notícia bem-vinda, mas ela não representa de forma alguma o fim do roubo de identidade online. O problema é que muitas pessoas permitem voluntariamente o acessó a suas informações sensíveis, seja compartilhando-as nas mídias sociais ou entregando-as a terceiros sem cuidado nenhum. O oversharing é um problema crescente, e nosso interesse é ir contra esta tendência.

Google facilita a exclusão de sua conta e dados do aplicativo

O Google quer que os desenvolvedores de aplicativos em sua Play Store tornem mais fácil para os usuários apagar suas contas e dados associados. Os usuários devem ser capazes de fazer isso tanto dentro do aplicativo quanto na web. O Google diz que, ao implementar esta política, está dando aos usuários mais controle sobre seus dados no aplicativo.

Com a regra em vigor, os usuários não terão que baixar o aplicativo novamente apenas para pedir que sua conta seja excluída. Eles poderão fazer isso através de um link comum para um página da web. Quando o usuário solicitar a exclusão de sua conta, os desenvolvedores também terão que excluir todos os dados relacionados a essa conta, a menos que tenham "razões legítimas" para mantê-la. Eles também terão que explicar quais são essas "razões legítimas", tais como a prevenção de fraudes. Os desenvolvedores têm até 7 de dezembro deste ano para fornecer mais informações sobre suas práticas de exclusão de dados, e os usuários poderão ver as mudanças no próximo ano. A regra que o Google está introduzindo é semelhante àquela que a App Store implementou em 2021. A Apple exigiu que os aplicativos que permitiram a criação de contas também dessem aos usuários a opção de apagar suas contas, mas somente de dentro do aplicativo.

É sempre algo positivo quando grandes empresas de tecnologia como o Google dão aos usuários algum poder sobre seus dados pessoais, e nosso único pesar é que isso não tenha acontecido antes. Entretanto, vale a pena notar também que, a menos que haja uma maneira de verificar se os dados foram realmente apagados, desenvolvedores de aplicativos inescrupulosos ainda poderiam ser capazes de mantê-los.