Perguntas da ICO sobre a IA generativa

Por

Na semana passada a Autoridade de Proteção de Dados da Itália limitou o tratamento de dados pessoais pela OpenAI, empresa “dona” do ChatGPT, como indiquei em primeira mão nesta postagem. E ontem, 3 de abril, foi a vez de vermos algumas perguntas da ICO sobre a IA generativa – lembrando que a ICO é a Autoridade de Proteção de Dados do Reino Unido.

Em uma postagem em seu site, a ICO lançou “oito perguntas que os desenvolvedores e usuários precisam fazer” ao utilizarem este tipo de tecnologia. O texto é bastante relevante e dá indicações a respeito da linha de raciocínio da Autoridade. Por este motivo trago o texto abaixo para você ler e refletir se na sua empresa o ChatGPT (ou outra inteligência artificial) está ou não sendo usada de maneira a proteger os dados pessoais dos seus usuários.

As notícias sobre as implicações da inteligência artificial generativa (IA) e os grandes modelos de linguagem (LLMs) estão chegando a um clímax, com quase dois mil acadêmicos e especialistas em tecnologia assinando uma carta na semana passada pedindo uma moratória de seis meses.

LLMs (como o ChatGPT) e seus casos de uso – desde escrever ensaios até capacitar os chatbots ou criar websites sem o envolvimento de codificação humana – capturaram a imaginação do mundo. Mas é importante dar um passo atrás e refletir sobre como os dados pessoais estão sendo usados por uma tecnologia que deixou seu próprio CEO “um pouco assustado”.

O próprio ChatGPT me disse recentemente que “a IA generativa, como qualquer outra tecnologia, tem o potencial de colocar em risco a privacidade dos dados se não for usada de forma responsável”. E não é preciso muita imaginação para ver o potencial de uma empresa prejudicar rapidamente um relacionamento duramente conquistado com os clientes por meio do uso inadequado da inteligência artificial generativa. Mas embora a tecnologia seja nova, os princípios da lei de proteção de dados permanecem os mesmos – e há um roteiro claro para que as organizações inovem de uma forma que respeite a privacidade das pessoas.

As organizações que desenvolvem ou usam IA generativa devem considerar suas obrigações de proteção de dados desde o início, adotando uma abordagem de proteção de dados by design e by default. Isto não é opcional – se você estiver tratando dados pessoais, é a lei.

A lei de proteção de dados ainda se aplica quando os dados pessoais que você está tratando provêm de fontes publicamente acessíveis. Se você estiver desenvolvendo ou usando IA generativa que trate dados pessoais, você precisa fazer as seguintes perguntas a si mesmo:

  1. Qual é sua base legal para o tratamento de dados pessoais? Se você estiver tratando dados pessoais, deve identificar uma base legal apropriada, tal como consentimento ou interesses legítimos.
  2. Você é um controlador, controlador conjunto ou um operador? Se você estiver desenvolvendo IA generativa usando dados pessoais, você tem obrigações como controlador de dados. Se você estiver usando ou adaptando modelos desenvolvidos por outros, você pode ser um controlador, controlador conjunto ou um operador.
  3. Você preparou uma Avaliação de Impacto sobre a Proteção de Dados (DPIA)? Você deve avaliar e mitigar quaisquer riscos à proteção de dados por meio do processo DPIA, antes de começar a tratar dados pessoais. Sua DPIA deve ser mantida atualizada à medida que o tratamento e seus impactos evoluem.
  4. Como você vai garantir a transparência? Você deve tornar as informações sobre o tratamento acessíveis ao público, a menos que se aplique uma isenção. Se não for necessário um esforço desproporcional, você deve comunicar essas informações diretamente às pessoas a quem os dados dizem respeito.
  5. Como vocês mitigarão os riscos de segurança? Além dos riscos de vazamento de dados pessoais, você deve considerar e mitigar os riscos de inversão de modelo e inferência de associação, envenenamento de dados e outras formas de ataques adversos.
  6. Como você irá limitar o tratamento desnecessário? Você deve coletar somente os dados adequados para cumprir sua finalidade declarada. Os dados devem ser relevantes e limitados ao que for necessário.
  7. Como você atenderá aos pedidos de direitos de indivíduos? Você deve ser capaz de responder às solicitações de acesso, retificação, apagamento ou outros direitos de informação das pessoas.
  8. Você usará inteligência artificial generativa para tomar decisões exclusivamente automatizadas? Em caso afirmativo – e estas têm efeitos legais ou similares significativos (por exemplo, grandes diagnósticos de saúde) – os indivíduos têm outros direitos sob o Artigo 22 do RGPD do Reino Unido.

Como regulador de proteção de dados, faremos estas perguntas às organizações que estão desenvolvendo ou usando IA generativa. Atuaremos onde as organizações não estão seguindo a lei e considerando o impacto sobre os indivíduos.

Estamos aqui para apoiar as organizações, capacitando-as a escalar e manter a confiança pública. Nossa recém atualizada Orientação sobre IA e Proteção de Dados fornece um roteiro para a conformidade da proteção de dados para desenvolvedores e usuários de IA generativa. Nosso conjunto de ferramentas de risco acompanha as organizações que procuram identificar e mitigar os riscos de proteção de dados.

Inovadores que identificam novas questões de proteção de dados podem obter conselhos de nós por meio de nosso Sandbox Regulatório e do novo serviço Innovation Advice. Com base nesta oferta, estamos no processo piloto de um Serviço de Aconselhamento Multi-Agência para inovadores digitais que precisam de conselhos conjuntos de múltiplos reguladores com nossos parceiros no Fórum de Cooperação em Regulamentação Digital.

Realmente não pode haver desculpas para errar as implicações de privacidade da IA generativa. Estaremos trabalhando arduamente para garantir que as organizações façam tudo certo.

E você, acha que as perguntas da ICO sobre a IA generativa fazem sentido no contexto da relação entre proteção de dados e inteligência artificial?

Vamos que vamos e #colanopapai!