Chatbot de ia chinês rastreia até ritmo de digitação

Data de nascimento, nome, endereço de e-mail ou telefone, senha de login, modelo do dispositivo usado, sistema operacional, endereço de IP (que permite identificar o aparelho), histórico de conversas, textos, arquivos, imagens e até o ritmo de digitação no teclado. Essas são informações que o aplicativo de inteligência artificial (IA) da DeepSeek coleta do usuário.
Os dados " que incluem tudo o que as pessoas conversam com a ferramenta " são armazenados em servidores na China, país de origem da IA que abalou o setor ao oferecer uma opção mais barata e tão potente quanto a de concorrentes ocidentais.
Em sua política de privacidade, a empresa explica como lida com os dados " mas só em inglês ou chinês.
Com funcionamento semelhante a outros modelos de IA generativa, como o ChatGPT, o DeepSeek é gratuito, pode ser acessado em navegadores e celular, em mais de 70 idiomas.
Desenvolvido com menos recursos computacionais e financeiros que os rivais, esta semana o app foi o mais baixado na loja de aplicativos da Apple e derrubou as ações das big techs. Mas surgiram questões sobre seu nível de independência: a IA evita responder a temas controversos sobre o governo chinês, por exemplo.
Não se enquadra na LGPD
Para especialistas consultados pelo GLOBO, a empresa aplica práticas da privacidade que são comuns na indústria de IA, como usar dados para aperfeiçoar os modelos, mas é mais abrangente na coleta de informações e menos clara sobre garantias de privacidade.
E também não atende às exigências da Lei Geral de Proteção de Dados (LGPD) brasileira, como oferecer ao usuário o direito de se opor ao uso de suas informações.
A empresa informa que pode fornecer as informações coletadas para terceiros, incluindo parceiros comerciais (como agências de publicidade) e autoridades públicas. No segundo caso, o envio acontece caso a DeepSeek entenda que a transferência é necessária para "cumprir a lei, proteger direitos e prevenir atividades ilegais".
Todas as informações compartilhadas pelos usuários são enviadas aos servidores da DeepSeek na China. A empresa afirma que, ao transferi-las para o exterior, respeita "requisitos das leis de proteção de dados aplicáveis", sem especificar que legislações e proteções são essas.
Resolução da Autoridade Nacional de Proteção de Dados (ANPD), de agosto do ano passado, indica que essa transferência de informações deve estabelecer garantias mínimas, como possibilidade de oposição à coleta e exclusão dos dados armazenados " algo que a DeepSeek não oferece.
Nas regras de privacidade, que não têm versão em português apesar de o serviço estar disponível aqui, a DeepSeek afirma que o usuário "pode controlar e acessar" algumas das suas informações. Nas configurações, por exemplo, é possível excluir o histórico de conversas.
Padrão da indústria é baixo
Mas a empresa não oferece ao usuário uma opção clara de como recusar o processamento de suas informações, direito conhecido como opt out. Pela lei brasileira, o titular de dados deve ter a garantia de se opor ao tratamento de suas informações pessoais.
Para Luca Belli, professor e coordenador do Centro de Tecnologia e Sociedade da FGV Direito Rio, os termos de uso da ferramenta chinesa seguem um padrão da indústria que "infelizmente é extremamente baixo":
" As diretrizes da DeepSeek são mais genéricas, mas os princípios básicos são os mesmos do ChatGPT, que já são ruins. É um problema de uma indústria que claramente tem desrespeitado legislações.
O pesquisador lembra que o ChatGPT, por exemplo, demorou mais de um ano para traduzir sua política de privacidade para o português (uma exigência da LGPD) e meses para criar uma opção de opt out para usuários.
A ascensão da IA chinesa levantou questionamentos de autoridades em outros países (leia mais acima).
Para a advogada especialista em direito digital Nuria López, cofundadora da Technoethics e sócia do escritório Daniel Advogados, um dos pontos que chama a atenção na DeepSeek é o monitoramento do ritmo e os padrões de digitação dos usuários.
Ela ressalta que algumas legislações de privacidade, como a da Califórnia, classificam esse tipo de dado como biométrico, pois pode ser usado para identificar o usuário:
" A forma como cada pessoa digita é única, e isso faz com que esse seja um dado biométrico, que deve ter tratamento específico. É uma prática pouco utilizada no mercado e que poderia ser aplicada para identificação.
Nuria diz ainda que, "mais importante do que os dados coletados, é o tipo de informação extraída a partir deles".
Pressão por transparência
Segundo a DeepSeek, os dados de usuários ficam retidos "pelo tempo necessário" para o cumprimento de obrigações contratuais e legais, que não são especificadas. "Os períodos de retenção serão diferentes dependendo do tipo de informação, das finalidades para as quais usamos as informações e de quaisquer requisitos legais", afirma.
Informações como nome, senha e login são armazenadas enquanto o usuário tiver uma conta ativa na plataforma. Já para outras, como histórico de conversas e documentos, a DeepSeek não informa o período de retenção. Pela LGPD, o armazenamento de dados deve ser feito apenas pelo tempo necessário para a empresa cumprir a finalidade da coleta. A lei, porém, não estabelece um prazo.
Para Rony Vainzof, sócio e advogado especialista em direito digital do VLK Advogados, a DeepSeek deve passar por processo similar ao de outras ferramentas de IA, que foram pressionadas por maior transparência:
" Esses questionamentos vão acontecer e devem acontecer. Porque um serviço como esse já nasce para ser global, então precisa respeitar as legislações vigentes.