Extrai-se do art. 20 da LGPD a possibilidade do controlador tomar decisões unicamente com base em tratamento automatizado de dados pessoais, inclusive as destinadas a definir o perfil profissional do titular dos dados.
Contudo, o empregador/controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. Trata-se da consagração do direito à explicação.
Em caso de não oferecimento de informações por parte do empregador, baseado na observância de segredo comercial e industrial, a Autoridade Nacional de Proteção de Dados poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.
No entanto, ao contrário do que expressamente prevê outras legislações (GDPR, por exemplo), foi vetado no dispositivo que garantia expressamente o direito à revisão humana ou humanizada das decisões automatizadas. O texto vetado possuía a seguinte redação: “art. 20, § 3º “A revisão de que trata o caput deste artigo deverá ser realizada por pessoa natural, conforme previsto em regulamentação da autoridade nacional, que levará em consideração a natureza e o porte da entidade ou o volume de operações de tratamento de dados.”
As razões do veto: “A propositura legislativa, ao dispor que toda e qualquer decisão baseada unicamente no tratamento automatizado seja suscetível de revisão humana, contraria o interesse público, tendo em vista que tal exigência inviabilizará os modelos atuais de planos de negócios de muitas empresas, notadamente das startups, bem como impacta na análise de risco de crédito e de novos modelos de negócios de instituições financeiras, gerando efeito negativo na oferta de crédito aos consumidores, tanto no que diz respeito à qualidade das garantias, ao volume de crédito contratado e à composição de preços, com reflexos, ainda, nos índices de inflação e na condução da política monetária.”
Na GDPR, informa Raphael Miziara que o Considerando 57 da GDPR prevê que o titular dos dados deverá ter o direito de não ficar sujeito a uma decisão, que poderá incluir uma medida, que avalie aspectos pessoais que lhe digam respeito, que se baseie exclusivamente no tratamento automatizado e que produza efeitos jurídicos que lhe digam respeito ou o afetem significativamente de modo similar, como a recusa automática de um pedido de crédito por via eletrônica ou práticas de recrutamento eletrônico sem qualquer intervenção humana.
Esse tratamento, segundo o mesmo Considerando informado pelo autor supra citado, inclui a definição de perfis mediante qualquer forma de tratamento automatizado de dados pessoais para avaliar aspectos pessoais relativos a uma pessoa singular, em especial a análise e previsão de aspectos relacionados com o desempenho profissional, a situação económica, saúde, preferências ou interesses pessoais, fiabilidade ou comportamento, localização ou deslocações do titular dos dados, quando produza efeitos jurídicos que lhe digam respeito ou a afetem significativamente de forma similar.
Em que pese a ausência de dispositivo garantindo expressamente o direito à revisão humana, nada impede que o Poder Judiciário, a partir da análise dos casos concretos, determine a revisão humana (por perito judicial, por exemplo) das decisões automatizadas, decisão que se fundamentará na observância dos princípios da isonomia e da transparência.
Nestes casos, pela GDPR, o empregador, que é o responsável pelo tratamento, deve aplicar medidas adequadas para salvaguardar os direitos e liberdades e legítimos interesses do titular dos dados, designadamente o direito de, pelo menos, obter intervenção humana por parte do responsável, manifestar o seu ponto de vista e contestar a decisão (art. 22, item 2, “a” e item 3, GDPR). Neste ponto, importante observar que, ao contrário da LGPD brasileira, a GDPR garantiu o direito à intervenção humana.
Portanto, em termos práticos, as empresas que optarem pela utilização de sistemas automatizados para contratação e dispensa deverão ter cuidado redobrado para que os seus algoritmos sejam programados de modo a evitar a reprodução de tratamentos discriminatórios e sejam o mais transparentes possíveis. Por outro lado, os empregados e candidatos a empregos devem ser previamente informados pelo controlador acerca de seu direito à explicação diante de decisões automatizadas.