A acumulação de pressão regulatória sobre o X (antigo twitter) e o seu chatbot de inteligência artificial Grok atingiu um novo patamar. A Comissão de Proteção de Dados da Irlanda (DPC, na sigla em inglês) anunciou a abertura de uma investigação formal contra a empresa de Elon Musk, desta vez centrada no tratamento de dados pessoais de utilizadores europeus, incluindo menores, no contexto da geração de imagens sexualizadas sem consentimento.
A DPC notificou o X na segunda-feira, 16 de fevereiro, da abertura do processo, que foi tornado público no dia seguinte. A entidade irlandesa é a autoridade reguladora principal do X no espaço da UE, uma vez que a sede europeia da empresa está em Dublin. Isto significa que tem poderes para aplicar coimas até 4% da faturação global anual da empresa em caso de infração ao RGPD.
O que se passou com o Grok
A origem da polémica remonta ao final de dezembro de 2025, quando a xAI, empresa de IA de Musk, introduziu uma funcionalidade de edição de imagens diretamente na plataforma X. Quase de imediato, utilizadores começaram a explorar a ferramenta para gerar imagens sexualizadas de pessoas reais sem o seu consentimento, nomeadamente para “despir” digitalmente mulheres a partir de fotografias publicadas na plataforma.
As dimensões do problema foram documentadas pela organização britânica sem fins lucrativos Center for Countering Digital Hate (CCDH), que analisou uma amostra aleatória de 20 000 imagens geradas pelo Grok entre 29 de dezembro de 2025 e 8 de janeiro de 2026. Com base nessa amostra, e num total de 4,6 milhões de imagens criadas nesse período, a CCDH estimou que o Grok gerou cerca de 3 milhões de imagens sexualizadas em apenas 11 dias, o equivalente a 190 por minuto. Desse total, aproximadamente 23 000 pareciam representar crianças, ou seja, uma imagem de uma criança sexualizada a cada 41 segundos.
Entre os exemplos documentados pela CCDH estavam imagens de figuras públicas como Taylor Swift, Selena Gomez, Billie Eilish e Kamala Harris, assim como de políticos europeus. Mas os casos mais perturbadores envolveram crianças, uma selfie tirada por uma menor antes de ir para a escola foi transformada numa imagem em biquíni; outra mostrava seis meninas jovens em micro-biquínis. Em meados de janeiro, cerca de 29% das imagens sexualizadas de crianças identificadas na amostra ainda estavam acessíveis publicamente na plataforma.
Perante a avalanche de críticas, o X foi tomando medidas a conta-gotas. A 8 de janeiro, restringiu a funcionalidade de geração e edição de imagens a utilizadores pagos, uma decisão que o gabinete do primeiro-ministro britânico Keir Starmer classificou publicamente de “insultuosa”. A 14 de janeiro, foram acrescentadas restrições técnicas adicionais, desta vez visando especificamente a edição de imagens de pessoas reais para as “despir”. No entanto, essas medidas revelaram-se insuficientes.
Grok: União Europeia inicia investigação após criação de deepfakes sexuais
A investigação da Irlanda não é a única
A DPC irlandesa juntou-se a uma lista crescente de entidades reguladoras que abriram processos formais contra o X. Em janeiro, a Comissão Europeia iniciou uma investigação ao abrigo da Lei dos Serviços Digitais (DSA), para apurar se o X avaliou e mitigou adequadamente os riscos associados ao Grok, incluindo a disseminação de conteúdo ilegal e potencial material de abuso sexual de menores. A comissária europeia responsável pelo setor tecnológico, Henna Virkkunen, foi clara na sua posição: “As deepfakes sexuais não consensuais de mulheres e crianças são uma forma violenta e inaceitável de degradação”.
No Reino Unido, tanto a ICO (autoridade de proteção de dados) como a Ofcom abriram investigações paralelas, a primeira sob o prisma da proteção de dados, a segunda ao abrigo da Lei de Segurança Online, com coimas potenciais até 10% da faturação global do X. Indonésia, Malásia, Filipinas, Canadá, Índia, França e a Califórnia também desencadearam processos ou restrições à plataforma.
A investigação da DPC, lançada ao abrigo da Secção 110 da Lei de Proteção de Dados irlandesa de 2018, irá examinar a conformidade do X com vários artigos do RGPD: os princípios do tratamento de dados (Artigo 5), a licitude do tratamento (Artigo 6), a proteção de dados desde a conceção (Artigo 25) e a obrigação de realizar uma avaliação de impacto sobre a proteção de dados (Artigo 35).
O vice-comissário da DPC, Graham Doyle, afirmou em comunicado que a entidade tem estado em contacto com o X desde que os primeiros relatos mediáticos emergiram: “A DPC tem vindo a contactar a XIUC desde que surgiram relatos mediáticos, há algumas semanas, relativos à alegada capacidade dos utilizadores do X de instruir a conta @Grok no X a gerar imagens sexualizadas de pessoas reais, incluindo crianças”. Doyle acrescentou: “Enquanto Autoridade de Supervisão Principal da XIUC em toda a UE/EEE, a DPC deu início a um inquérito de grande escala que irá examinar o cumprimento por parte da XIUC de algumas das suas obrigações fundamentais ao abrigo do RGPD relativamente aos assuntos em causa”.
