Privacidade e proteção de dados são temas que persistem na sua relevância nos últimos 2 anos. De acordo com o sumário executivo do relatório IAPP-EY Privacy Governance de 2023, apesar de o ano ter sido desafiador por conta do cenário econômico global, 33% das organizações investiram no crescimento dos seus times de privacidade.
Contudo, o desafio econômico e mercadológico para as áreas de privacidade aumentou ao longo dos anos por conta da dificuldade na conscientização da essencialidade dessa área. Cada vez mais, espera-se que esse profissional se molde às necessidades das organizações, o que envolve compreender mais profundamente a importância da inteligência artificial como uma tecnologia que potencializa a base de clientes e otimiza o uso de recursos para trazer estabilidade estrutural.
Segundo o recente relatório “CISCO 2024 Data Privacy Benchmark Study”, apesar dos aparentes esforços das organizações para garantir aos consumidores a transparência e a segurança no uso de seus dados quando tratados por aplicações de inteligência artificial (IA), o nível de confiança dos consumidores permanecem inalterados, ou seja, ainda há ceticismo dos indivíduos em relação à adoção de medidas que assegurem esses pontos. A preocupação também afeta as organizações, que já anteveem possíveis danos a direitos de propriedade intelectual (69%), a possibilidade de que as informações inseridas nas ferramentas possam ser compartilhadas publicamente ou com concorrentes (68%) e até mesmo a responsabilidade pela imprecisão ou incorreção advindas da própria natureza da tecnologia (68%).
Sob a perspectiva de aplicações de IA que utilizam dados pessoais, muito se discute sobre a contribuição das áreas de privacidade para a conformidade do uso da tecnologia. A resposta não é tão simples, pois depende de peculiaridades e dos objetivos de cada organização, mas é possível traçar um plano de ação que contemple, de maneira exemplificativa, as seguintes medidas:
Mapeamento e monitoramento de soluções de IA
A importância de se ter um inventário devidamente documentado de aplicações de IA desenvolvidas e aplicadas nas organizações é uma tarefa trabalhosa, mas que gera resultados concretos. A depender do tipo de ferramenta, será fundamental mapear e catalogar não só as aplicações em si, mas os serviços e proprietários, fontes de dados e nível de sensibilidade – é o que recomenda, por exemplo, a OWASP Foundation em sua lista de verificação de segurança e governança para modelos de linguagem em grande escala.
Mecanismos de transparência
um princípio que foi transportado da legislação de proteção de dados pessoais para os projetos de lei e normativos de IA foi a transparência. Mas vale lembrar que a transparência relativa ao tratamento de dados pessoais diz respeito ao direito que o titular tem de entender e controlar o fluxo dos seus dados pessoais. Enquanto isso, tanto a transparência quanto o funcionamento da IA tem relação direta com a ciência inequívoca de que aquele resultado é produzido pela tecnologia, de que maneira isso ocorre e como, em alguma medida, seus dados e direitos inerentes são afetados pelo seu uso. Por exemplo, o controlador deve informar a atividade de transferência ou compartilhamento de dados de saúde para uma empresa que produzirá, de forma automatizada, faixas de risco de saúde nas quais o titular pode ou não ser enquadrado (transparência sobre o fluxo de dados). No entanto, isso é diferente de informar quais critérios foram utilizados para estabelecer as métricas, qual a natureza dos dados tratados e o nível de relevância dessas informações para categorizar uma pessoa em um determinado grupo.
Licitude da atividade de tratamento de dados pessoais
A atribuição de base legal adequada ao tratamento dos dados pessoais em sistemas de IA é, além de uma obrigação legal atrelada aos compromissos trazidos pela LGPD, um desafio do agora. Os times responsáveis pelo desenvolvimento ou contratação dessa tecnologia devem contar com a expertise do profissional de proteção de dados, que será capaz de adotar uma abordagem de risco para compreender os diversos cenários da aplicação, de que forma os dados pessoais estão sendo utilizados e determinar onde há o tratamento de dados pessoais para eleger as bases legais cabíveis. Essa discussão é tão importante que a Autoridade Inglesa de Proteção de Dados (ICO) promove consulta pública sobre a hipótese legal mais adequada no tratamento de dados pessoais usados em modelos de IA Generativa. No mesmo sentido, um dos estados federados da Alemanha publicou documento com orientações sobre as bases legais adequadas para atividades de tratamento que envolvam treinamento de aplicações de IA, de acordo com a GDPR, a lei de proteção de dados alemã e a lei estadual correspondente quando se trata de treinamento em aplicações de IA.
Governança integrada
A governança de IA assume um papel crucial como mitigadora de riscos da tecnologia para o profissional de proteção de dados. Por meio de um conjunto de princípios, políticas e práticas, a governança de IA contribui para minimizar o risco de viés e discriminação, garantir a segurança e a proteção de dados, promover a transparência e a explicabilidade, assegurar a conformidade com a legislação e fortalecer a confiança dos stakeholders. Ao implementar medidas de mitigação de riscos, a governança de IA contribui para o uso responsável da tecnologia, protegendo os direitos dos indivíduos e garantindo a conformidade com a legislação.
Avaliação de risco específico – avaliação de impacto algorítmico
É importante destacar que o artigo 20 da LGPD garante aos titulares de dados o direito à revisão das decisões totalmente automatizadas. Além disso, nos termos do §2º do mesmo artigo, se o controlador dos dados não for capaz de explicar como a decisão automatizada foi adotada, a Autoridade Nacional de Proteção de Dados (ANPD) poderá realizar uma auditoria para verificar aspectos discriminatórios no tratamento dos dados.
Ou seja, além de mapear e monitorar o funcionamento da tecnologia que está sendo utilizada, documentar uma análise de impacto envolve identificar riscos potenciais aos direitos fundamentais (como vieses discriminatórios ilícitos), a avaliação de probabilidade e impacto desses riscos e as medidas de mitigação correspondentes. Existem diversos frameworks que indicam caminhos sustentáveis e baseados nas melhores práticas para realizar essa avaliação, considerando a amplitude de aplicações da tecnologia e os seus resultados, como a Avaliação de Impacto Algorítmico para Proteção dos Direitos Fundamentais elaborado pelo Laboratório de Políticas Públicas e Internet (LAPIN), Artificial Intelligence Impact Assessment do ECP|Platform for the Information Society (Holanda), Algorithmic Impact Assessment tool do Canadá, entre outros.
É certo que o mercado começa a amadurecer a sua visão sobre a existência de riscos relevantes no tratamento de dados envolvendo aplicações de IA. Por essa razão, é imprescindível que as organizações convirjam os modelos de negócio com os planos de ação a serem estruturados e executados quando se considera essa tecnologia, até para se prepararem para a provável regulação do tema nos próximos meses. Assim, princípios ganham concretude e as organizações conseguem mobilizar esforços para viabilizar o uso da tecnologia de forma segura e confiável.