Pensando em usar IA em seu negócio? Aqui estão 5 considerações práticas quando se trata de proteção de dados.
Este artigo aborda algumas implicações práticas de proteção de dados para empresas que estão considerando implementar sistemas de IA para melhorar o atendimento ao cliente, recrutamento, análise de dados, pesquisa de mercado ou qualquer outra função de negócio automatizável.
A maioria dos comentários sobre IA analisa o panorama geral ou o futuro do trabalho, mas neste artigo analisamos algumas implicações práticas de proteção de dados para empresas que estão considerando implementar sistemas de IA.
Tomada de Decisões Automatizada
Existem regras específicas tanto no RGPD da UE quanto no do Reino Unido (neste artigo nos referiremos aos dois juntos) que abrangem os direitos individuais quando o tratamento envolve exclusivamente tomadas de decisões automatizadas, incluindo perfilamento. Essas regras especificam quais informações as empresas devem fornecer aos indivíduos sobre as tomadas de decisões automatizadas (geralmente feitas com um aviso de privacidade) e seus direitos em relação a quaisquer decisões automatizadas tomadas sobre eles (por exemplo, o direito de contestar uma decisão ou o direito de não ser sujeito a decisões automatizadas que tenham um impacto significativo sobre eles).
O RGPD afirma que as empresas precisarão fornecer aos indivíduos “informações significativas sobre a lógica envolvida, bem como a importância e as consequências previstas desse tratamento”. Isso pode ser desafiador dada a complexidade dos algoritmos de IA e as informações significativas podem nem mesmo ser compreensíveis para os indivíduos em primeiro lugar. No entanto, os reguladores não esperam que as empresas forneçam uma explicação complexa de como o sistema de IA funciona. Em vez disso, as informações fornecidas devem ser suficientemente abrangentes para que o indivíduo entenda o raciocínio por trás da decisão automatizada.
Além disso, o RGPD exige que as empresas implementem salvaguardas adequadas ao tratar dados pessoais para tomar decisões exclusivamente automatizadas. A mais importante delas é a intervenção humana significativa. Portanto, as empresas devem garantir que tenham procedimentos adequados para apoiar a revisão humana significativa de quaisquer decisões automatizadas geradas pela IA. Isso incluirá o projeto de um sistema e o desenvolvimento de um programa de treinamento que permita aos funcionários abordar, escalonar e, se necessário, anular uma decisão automatizada.
Relatório de Impacto à Proteção de Dados
Em muitos casos, o uso de um sistema de IA por uma empresa exigirá um relatório de impacto à proteção de dados (RIPD) para ajudar a identificar e minimizar os riscos à proteção de dados associados ao projeto. Um RIPD é obrigatório se o tipo de tratamento puder resultar em um alto risco para os direitos e liberdades dos indivíduos, um limite que muitos sistemas de IA provavelmente atenderão. Na verdade, tanto os reguladores do Reino Unido quanto da UE publicaram orientações que afirmam que na grande maioria dos casos a implementação da tecnologia de IA exigirá um RIPD.
Também vale lembrar que as empresas podem precisar consultar uma autoridade de supervisão de proteção de dados antes de qualquer tratamento, quando o RIPD indicar que o tratamento realizado pelos sistemas de IA resultaria em um alto risco para os indivíduos, mas esses riscos não podem ser mitigados.
Minimização de Dados
O uso de grandes quantidades de dados é fundamental para o desenvolvimento e uso de sistemas de IA, colocando à prova o princípio de minimização de dados do RGPD quando isso inclui dados pessoais. As empresas precisarão pensar em maneiras de garantir que tratem apenas dados pessoais que sejam “adequados, relevantes e limitados” ao necessário para desenvolver e operar o sistema de IA.
Para isso, a empresa deve implementar práticas e procedimentos de minimização de dados desde o início do processo de design do sistema de IA. Além disso, na medida em que um sistema de IA seja fornecido ou operado por terceiros, a empresa deve considerar a minimização de dados como parte do processo de aquisição (veja a Due Diligence do Fornecedor abaixo).
Como o treinamento de um sistema de IA requer uma grande quantidade de dados, a autoridade de supervisão francesa comentou que pode ser possível para uma empresa usar dados fictícios com o mesmo valor dos dados reais, mas não vinculados a uma pessoa específica. Esses dados sintéticos não constituiriam dados pessoais. No entanto, existem limitações para o uso de dados sintéticos, uma vez que eles podem fornecer resultados autorreforçadores. Também há riscos potenciais de direitos autorais ao usar dados sintéticos para treinar sistemas de IA (o que provavelmente aumentará se o projeto da Lei de IA da UE entrar em vigor).
Transparência
Os requisitos de transparência do RGPD criam uma série de obrigações legais gerais sobre como uma empresa torna pública sua coleta e uso de dados pessoais. Para cumprir essa obrigação, o RGPD estabelece as informações que devem ser fornecidas a um indivíduo, dependendo se os dados pessoais foram coletados diretamente desse indivíduo ou por outros meios (por exemplo, usando listas de dados de terceiros). Um aviso de privacidade é a forma mais comum pela qual as empresas fornecem informações claras e detalhadas aos indivíduos sobre o que estão fazendo com os dados pessoais.
Como o design, treinamento e implementação de um sistema de IA resultarão em uma nova forma de tratamento, as empresas precisarão atualizar seus avisos de privacidade para refletir essa nova atividade de tratamento, juntamente com informações sobre o objetivo e a base legal para esse tratamento.
Due Diligence do Fornecedor
Para a maioria das empresas, um sistema de IA provavelmente será fornecido por um terceiro, o que significa que a due diligence do fornecedor desempenhará um papel crucial na determinação de se implementar, desenvolver e manter um sistema de IA de terceiros estará em conformidade com as obrigações da empresa em relação ao RGPD. Se durante o processo de due diligence o fornecedor terceirizado não conseguir satisfazer as perguntas levantadas sobre sua conformidade com o RGPD, a empresa poderá ter que optar por uma solução diferente ou mitigar o risco em seus termos de negócio.
Além disso, à medida que novas legislações (como a próxima Lei de IA da UE e o Projeto de Lei de Proteção de Dados e Informações Digitais do Reino Unido) forem sendo implementadas e novas considerações de conformidade surgirem durante a implantação de sistemas de IA, a empresa deverá realizar revisões periódicas do serviço do terceiro e, se necessário, modificar os termos do serviço ou mudar para outro fornecedor caso o sistema de IA deixe de estar em conformidade com o RGPD. A diligência contínua é crucial para que as empresas demonstrem que estão cumprindo suas obrigações de responsabilidade e governança no âmbito do RGPD.
Orientações Regulatórias Úteis
- Information Commissioner’s Office (ICO): “Explicando as decisões tomadas com IA” e “Quais são as implicações de responsabilidade e governança da IA?” (ambos em inglês)
- CNIL (regulador francês de dados): “IA: garantindo a conformidade com o RGPD” (em francês ou em português)
Novas orientações são publicadas regularmente, então certifique-se de ficar atento a elas!
Importante: lembre-se de que existem outros aspectos a serem considerados caso você esteja pensando em usar IA em seu negócio.
Vamos que vamos e #colanopapai!
O original em inglês está disponível neste link. Algumas partes do texto foram adaptadas para a terminologia utilizada na LGPD.
