Interesse legítimo e IA: recomendações da CNIL

2025-06-30T18:30:00
União Europeia
A CNIL, Autoridade Francesa de Proteção de Dados, publica as suas recomendações sobre o interesse legítimo no desenvolvimento de sistemas de IA
Interesse legítimo e IA: recomendações da CNIL
30 de junho de 2025

A Commission Nationale de l’Informatique et des Libertés (CNIL) publicou, a 19 de junho de 2025, os resultados da consulta pública lançada no ano passado, com uma série de recomendações sobre a utilização do interesse legítimo como fundamento jurídico para o desenvolvimento de sistemas de IA.

Estas recomendações complementam a série de fichas práticas que a CNIL tem vindo a publicar desde 2023 para clarificar a aplicação do Regulamento Geral sobre a Proteção de Dados (RGPD) no domínio da IA.

O interesse legítimo como base de licitude: condições e garantias

A CNIL reconhece que o interesse legítimo pode constituir uma base de licitude válida para o desenvolvimento de sistemas de IA, desde que sejam implementadas garantias sólidas e os direitos fundamentais dos titulares dos dados sejam respeitados. Em consonância com o Parecer 28/2024 do Comité Europeu para a Proteção de Dados (pode ser consultada aqui a nossa publicação sobre o assunto), a CNIL salienta que não existe uma hierarquia entre as bases de licitude previstas no RGPD e que o interesse legítimo pode ser utilizado desde que estejam preenchidas três condições cumulativas:

  1. Identificação clara do interesse legítimo prosseguido pelo responsável pelo tratamento ou por um terceiro, que deve ser lícito, real e presente, e não meramente especulativo;
  2. Necessidade do tratamento para prosseguir este interesse, avaliando se não existe uma alternativa menos intrusiva;
  3. Equilíbrio entre o interesse legítimo e os direitos e liberdades dos titulares dos dados, tendo em conta os riscos para os direitos fundamentais e as expectativas razoáveis dos afetados.

A CNIL apresenta exemplos concretos de tratamentos que podem basear-se no interesse legítimo, tais como a reutilização de futuras conversas de utilizadores de um agente de conversação para melhorar o modelo de IA, desde que sejam adotadas garantias adicionais: informação clara aos utilizadores, direito de oposição e limitação do tratamento a dados pseudonimizados ou anonimizados.

Um ponto importante é o respeitante à aplicação do Regulamento dos Mercados Digitais (DMA, na sua sigla em inglês, que analisámos em várias entradas; por exemplo, nesta). Neste sentido, embora possa ser aplicado o interesse legítimo para o desenvolvimento do modelo, o DMA pode exigir que os designados como controladores de acesso [gatekeepers] obtenham o consentimento dos utilizadores (vide artigo 5.º, n.º 2, do DMA).

Garantias e medidas recomendadas pela CNIL

Para que o interesse legítimo possa constituir uma basede licitude válida no desenvolvimento da IA, a CNIL recomenda a adoção de uma série de garantias e medidas, entre as quais se destacam as seguintes:

  • Exclusão de determinados dados da recolha, especialmente dados sensíveis ou de menores, e respeito pelos sinais técnicos de oposição ao scraping (robots.txt, ai.txt);
  • Reforço da transparência, fornecendo informações claras e acessíveis aos titulares dos dados sobre a recolha e a utilização dos seus dados e facilitando o exercício dos seus direitos;
  • Facilitação do direito de oposição, incluindo a possibilidade de estabelecer mecanismos técnicos (listas de exclusão, opt-out) que permitam aos utilizadores ou websites oporem-se ao tratamento dos seus dados;
  • Minimização e anonimização dos dados, aplicando técnicas de pseudonimização, anonimização ou utilização de dados sintéticos sempre que possível;
  • Avaliação de impacto e documentação, incluindo a realização de análises de risco e a documentação das medidas técnicas e organizativas adotadas.

A CNIL insiste que a pertinência e a obrigatoriedade destas medidas devem ser avaliadas caso a caso, em função da natureza do tratamento e dos riscos identificados.

O moissonnage (web scraping) e o interesse legítimo

Um dos pontos mais relevantes das recomendações da CNIL é a clarificação sobre a utilização do interesse legítimo como base de licitude para o moissonnage de dados acessíveis online, uma prática fundamental para o treino de modelos de IA. A CNIL considera que nem todas as práticas de moissonnage são ilícitas em si mesmas, mas a sua licitude dependerá de uma análise individualizada, tendo em conta:

  • se a recolha de dados se enquadra nas expectativas razoáveis dos titulares dos dados;
  • se são excluídos da recolha os sítios que se opõem expressamente ao scraping;
  • se a recolha é limitada a dados livremente acessíveis, ou seja, dados que não exigem autenticação ou registo;
  • se são adotadas medidas para evitar a recolha de dados sensíveis ou de categorias especiais.

A CNIL recomenda ainda que os criadores de IA colaborem na criação de normas técnicas que permitam aos titulares de direitos oporem-se efetivamente à utilização dos seus dados para o treino de IA.

Conclusão

A publicação destas recomendações pela CNIL representa um avanço significativo na clarificação do quadro jurídico aplicável ao desenvolvimento de sistemas de IA na Europa. Ao reconhecer o interesse legítimo como basede licitude válida, desde que sejam implementadas garantias adequadas, a CNIL contribui para promover a inovação no domínio da IA, procurando estabelecer um equilíbrio com os direitos fundamentais dos cidadãos.

30 de junho de 2025