DeepSeek cresce no mercado, mas enfrenta críticas sobre segurança e privacidade

A inteligência artificial DeepSeek, desenvolvida na China, tem se destacado no mercado global pela sua capacidade de fornecer respostas detalhadas e eficazes. No entanto, a plataforma enfrenta sérias críticas em relação à sua segurança e ao manejo da privacidade dos usuários, especialmente após se tornar um dos aplicativos mais baixados na loja da Apple em vários países na semana passada.

Pesquisadores alertaram sobre um vazamento de dados que comprometeu informações de usuários e apontaram vulnerabilidades que poderiam permitir o uso da tecnologia para atividades ilícitas. Além disso, a coleta excessiva de dados pela DeepSeek gerou preocupações adicionais entre especialistas em proteção de dados.

No último dia 31, a Autoridade Italiana de Proteção de Dados tomou uma decisão drástica ao proibir o funcionamento da startup no país. Essa medida foi adotada devido à falta de respostas satisfatórias da empresa às preocupações levantadas acerca da natureza dos dados coletados e das finalidades dessa coleta.

A DeepSeek não respondeu aos contatos realizados pela Folha através do email indicado para esclarecimentos sobre sua política de privacidade. O site da empresa também carece de informações diretas para contato com a imprensa.

Riscos à privacidade e falta de transparência

Segundo as informações disponíveis, a plataforma não apenas armazena os comandos recebidos, mas também coleta dados sensíveis como endereço IP, tipo de dispositivo utilizado e até mesmo padrões de digitação, que podem ser considerados biométricos. Tais dados são controversos, pois seu uso deve respeitar os interesses legítimos dos usuários em contextos relacionados à segurança, conforme aponta o professor Luca Belli, da FGV Direito Rio. A falta de clareza na política de privacidade da DeepSeek sobre a finalidade dessa coleta levanta questões adicionais.

A legislação brasileira, especificamente a Lei Geral de Proteção de Dados (LGPD), garante aos usuários o direito de acessar e solicitar a exclusão de seus dados pessoais. No entanto, a DeepSeek não oferece um mecanismo direto para que esses direitos sejam exercidos adequadamente; apenas disponibiliza um email para solicitações.

Outro ponto crítico é a ausência de um responsável designado pelo tratamento dos dados, uma exigência prevista na LGPD. De acordo com o documento divulgado pela empresa, as informações coletadas são armazenadas em servidores localizados na China. Advogados consultados afirmam que, legalmente, não há distinção em termos de proteção de dados se as informações estiverem armazenadas na China ou nos Estados Unidos.

A Autoridade Nacional de Proteção de Dados (ANPD) permite a transferência internacional desses dados desde que as normas brasileiras sejam respeitadas durante todo o processo. A advogada Juliana Abrusio destaca que independentemente do local onde os dados são tratados, as empresas devem garantir a proteção das informações conforme estipulado pela LGPD.

Em um episódio alarmante, uma base de dados exposta foi encontrada por pesquisadores da startup israelense Wiz no site da DeepSeek. Este banco de dados estava acessível sem qualquer tipo de autenticação e continha informações coletadas durante milhões de interações com a plataforma.

Após o alerta sobre essa falha, a DeepSeek implementou restrições adicionais ao acesso aos seus dados sensíveis. Contudo, Gal Nagli, um dos pesquisadores responsáveis pelo alerta, relatou dificuldades para entrar em contato com a empresa. (“Tive que enviar mensagens para diversos emails e perfis do LinkedIn relacionados à DeepSeek”), comentou ele.

Ainda sem pronunciamentos oficiais sobre o ocorrido, a situação levantou dúvidas sobre se o rápido avanço do modelo DeepSeek-R1 foi acompanhado por investimentos adequados em segurança cibernética. O regulador italiano, conhecido como Garante, determinou a suspensão das operações da plataforma no país devido à falta de clareza sobre os tipos de dados coletados e suas finalidades legais.

O ChatGPT também passou por avaliações rigorosas por parte do Garante e outras entidades europeias em 2023 e teve que fazer ajustes significativos para se alinhar às normas do GDPR. Segundo Belli, os modelos atuais ainda desrespeitam legislações de proteção de dados ao serem alimentados por informações pessoais obtidas sem consentimento adequado.

Recentemente, a Cisco divulgou um estudo mostrando que a DeepSeek apresenta defesas insuficientes contra ataques manipulativos conhecidos como (“jailbreak”), que permitem contornar as regras impostas pelas plataformas. A Cisco conseguiu explorar vulnerabilidades utilizando combinações previamente conhecidas em 100% dos testes realizados.

A questão central levantada pelos especialistas é se a DeepSeek está realmente comprometida com práticas robustas de segurança e proteção dos dados dos usuários ou se continua focando exclusivamente em desempenho e custo.