Carolina Giovanini*
Pedro Sanches**
A inteligência artificial (IA) já é uma realidade no dia a dia das organizações: processos seletivos, auditorias internas, análises antifraude, gestão de estoques e prospecções ativas são algumas atividades tradicionais que cada vez mais passam a contar com o apoio de sistemas de inteligência artificial.
Diante desse cenário, é importante que organizações estejam devidamente estruturadas para gerenciar a utilização desse tipo de tecnologia, evitando a concretização de riscos.
Atenta à essa necessidade, a Comissão da União Europeia, em abril de 2021, apresentou Proposta de Regulamento sobre Inteligência Artificial, pautada em uma abordagem baseada no risco, ou seja, quanto maior o risco associado a um determinado sistema de inteligência artificial, mais rígidas as regras para seu desenvolvimento, comercialização e utilização.
Nesse sentido, sob o viés dessa proposta, as organizações que pretendem utilizar sistemas de IA que possam apresentar “risco elevado”, a exemplo de IA que realize identificação biométrica e/ou sistema capaz de categorizar pessoas naturais, devem adotar um sistema de gestão de riscos durante todo o ciclo de vida dessa tecnologia.
Evidentemente, a estruturação de um sistema de gestão de riscos deve levar em consideração não somente os riscos para o negócio, mas também para os direitos e liberdades de indivíduos e grupos que estejam em contato com essas tecnologias.
No Brasil, a regulação sobre o tema avança com os trabalhos no Senado Federal para elaboração de proposta legislativa, que estabelece princípios, regras, diretrizes e fundamentos para regular o desenvolvimento e a utilização de sistemas de inteligência artificial. Por isso, organizações que pretendem e/ou já se utilizam de tecnologias dessa natureza devem, desde já, iniciar a estruturação de programa de governança voltado ao tema.
Como a governança de dados pode ajudar na gestão de sistemas de inteligência artificial?
Considerando que o exponencial crescimento da utilização de tecnologias e sistemas de inteligência artificial está diretamente relacionado ao aumento da disponibilidade de informações, alguns mecanismos voltados à governança de dados, a exemplo de medidas possivelmente adotadas para atendimento da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados) também podem ser utilizados para gerenciar o uso de sistemas de IA. A seguir, passamos a descrever os possíveis pontos de sinergia:
Formalização de registro e análise de riscos:
Em grande parte das legislações aplicáveis sobre proteção de dados, mostra-se obrigatória a manutenção de registro atualizado de atividades de tratamento de dados pessoais.
Em que pese referido instrumento tenha sido pensado para garantir controles para o tratamento de dados pessoais, é inevitável encontrarmos pontos de convergência que podem auxiliar na gestão de sistemas de inteligência artificial.
Nesse sentido, vale dizer que o inventário de atividades de tratamento de dados pessoais pode se mostrar como um importante repositório de registro de operações que envolvam o uso de sistemas de IA, permitindo, inclusive, a formalização de relatório detalhado de risco para essas situações.
Ainda sobre o tema, destaca-se que o National Institute of Standards and Technology – NIST encontra-se em processo de construção de framework para gerenciamento de riscos associados à inteligência artificial (AI Risk Management Framework), o qual, por sua vez, prevê etapa de mapeamento voltada para registro do contexto de uso da tecnologia e identificação de possíveis riscos.
Controles para garantir a qualidade de informações:
É essencial que as organizações tenham atenção com o banco de dados que alimenta o funcionamento de sistemas de inteligência artificial.
Isso significa dizer que bancos de dados desatualizados, imprecisos e/ou com pouca diversidade de campo amostral podem afetar a precisão dos sistemas e, consequentemente, impactar direitos e liberdades de grupos. Nessa mesma direção, o princípio da qualidade da LGPD (art. 6º, V) define a necessidade de ação de controles para evitar o tratamento de dados pessoais incorretos, imprecisos e/ou desatualizados.
Ainda nesse sentido, a proposta europeia de regulamentação sobre o uso de sistemas de IA prevê critérios de qualidade para que sistemas de IA de “alto risco” que façam uso de técnicas envolvendo o treinamento de modelos com dados sejam desenvolvidos com etapas de treinamento, validação e teste, evitando o processamento de informações de má qualidade.
Medidas de transparência:
A implementação de mecanismos de governança e gerenciamento de riscos deve vir acompanhada da garantia de transparência acerca do funcionamento dos sistemas de inteligência artificial, respeitados os limites de segredos comerciais, industriais e de negócios.
Como forma de assegurar que as pessoas tenham conhecimento acerca do uso de sistemas de IA em determinada atividade, organizações podem elaborar e disponibilizar materiais informativos específicos ou utilizarem determinados espaços de seus avisos de privacidade para informar acerca de atividades que envolvem inteligência artificial.
Vale destacar que a transparência é um dos princípios da proposta de framework apresentada pelo NIST. Na mesma direção, a Organização para a Cooperação e Desenvolvimento Econômico (OCDE) traz, em seus “Princípios de Inteligência Artificial”, a transparência e a explicabilidade, estabelecendo que os agentes devem fornecer informações significativas, adequadas ao contexto e consistentes com o estado da arte.
Do ponto de vista legislativo, o dever de transparência está presente tanto na proposta de regulamentação da União Europeia como no projeto de lei 21/20 (recentemente aprovado na Câmara dos Deputados e, atualmente, em discussão no Senado Federal).
Controles voltados para não discriminação:
O tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos é vedado pela Lei Geral de Proteção de Dados, assim como em diversas outras legislações de proteção de dados ao redor do mundo.
Na seara de sistemas de inteligência artificial, esse é um dos principais pontos de atenção atrelados ao uso dessas tecnologias, considerando, em especial, que determinadas abordagens (como correlações e classificações) podem refletir vieses já existentes na sociedade e, consequentemente, causarem impactos negativos em grupos historicamente marginalizados.
Assim, é importante estender controles implementados para evitar que atividades de tratamento de dados apresentem vieses discriminatórios, também para utilização de sistemas de IA.
Nessa direção, a proposta de regulamentação da União Europeia previu que a documentação para sistemas de IA de risco elevado deve conter informações sobre os graus de precisão para pessoas ou grupos específicos, os resultados e fontes previsíveis não intencionais de riscos para direitos fundamentais e potenciais de discriminação.
Evidentemente, não existe uma solução única de governança que possa ser aplicada para toda e qualquer organização. Contudo, como conclusão deste artigo, resta claro que controles implementados em atendimento de legislações de privacidade e proteção de dados podem se mostrar relevantes para o desafio de gerenciar a utilização de sistemas de IA. A única premissa válida para todos é que, em questões envolvendo o uso de novas tecnologias, é essencial conhecer os riscos e atuar preventivamente.
Leia outro artigo:
5 tendências tecnológicas para 2022 e seus impactos à proteção de dados
Carolina Giovanini: é advogada no escritório Prado Vidigal Advogados, profissional de privacidade certificada pela International Association of Privacy Professionals (CIPP/E) e mestranda em Direito e Inovação pela Universidade Federal de Juiz de Fora (UFJF).
Pedro Sanches: pós-graduado em direito digital pelo Instituto de Tecnologia e Sociedade (ITS) e Universidade do Estado do Rio de Janeiro (UERJ), certificado pela Internacional Association of Privacy Professionals (IAPP) como Fellow Information Privacy (FIP), Certified Information Privacy Professional/Europe (CIPP/E) e Certified Information Privacy Manager (CIPM), alumni da formação executiva em práticas ágeis e proteção de dados pela Fundação Getúlio Vargas – FGV.
