Os projetos que tramitam no Congresso e os incontáveis debates realizados em forma de audiência pública e outros fóruns sobre o assunto podem passar a sensação de que a regulamentação da Inteligência Artificial (IA) ainda está longe de acontecer no Brasil. O pior é que tal impressão enseja o diagnóstico de que, por enquanto, se pode fazer o que quiser em nome dessa inovação. Mas o despacho decisório nº 20 publicado pelo Conselho Diretor da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) no Diário Oficial da União do dia 2 de julho prova o contrário. O documento determina que a Meta, proprietária do Facebook, suspenda imediatamente a vigência da nova política de privacidade da empresa, tendo como argumento justamente o uso inadequado por parte da organização de dados pessoais dos brasileiros para fins de treinamento de sistemas de IA generativa.
A determinação, que é imposta sob pena de multa diária de R$ 50 mil por dia de descumprimento, tem um caráter didático muito maior do que punitivo. Quando essas gigantes da tecnologia, que tratam um grande volume de dados e que têm um grande poder no mercado precisam mostrar a adequação à norma, ainda que de uma forma coercitiva, fica muito clara a mensagem para todas as demais organizações sejam elas públicas ou privadas.
Se um ícone global como o Facebook precisa se adequar às normas, imagina se isso não seria necessário também para as empresas de menor porte!
Quando envolve sistemas de IA, é preciso observar que se trata de uma nova tecnologia e que essas novas tecnologias não têm todos os riscos já totalmente conhecidos pelas organizações, pelos governos e nem pelas pessoas.
Isso significa que, ao contrário da sensação de que se pode tudo, é necessário ter um cuidado redobrado para ter a certeza de que o tratamento de dados destes processos seja realizado sem causar grande prejuízo para os indivíduos.
Mesmo com o fato de que a IA seja algo relativamente recente, não é verdade que mesmo antes de uma regulação mais específica ela exista sem que haja uma responsabilidade por parte de quem faz uso destes sistemas.
De qualquer forma, com medidas como essa, a ANPD vem cada vez mais mostrando sua força em relação às decisões que dizem respeito à proteção dos direitos fundamentais de privacidade. O recado fica estampado. Ninguém se exime da responsabilidade de seguir com a regulamentação de privacidade e responsabilidade e proteção de dados. As exceções estão na própria legislação.
Neste caso, pior para a Meta é o fato de o ajuste ter que ser feito sobre uma necessidade gerada pela própria autoridade nacional de proteção de dados. Ou seja, a sanção já foi aplicada. O dano à imagem já foi feito.
Tal ocorrido colide diretamente contra os princípios da LGPD. Estes princípios pressupõem que a Meta e todas essas grandes empresas já deveriam estar preocupadas em garantir a privacidade e a proteção de dados desde o início ou da fase de concepção de qualquer serviço ou produto que envolva o tratamento de dados pessoais.
As empresas precisam ser orientadas de que não basta fazer ajustes apenas em alguns processos. Isso é muito reativo. Somente depois que acontece algum problema que se busca por uma consultoria especializada para, só então, buscar trazer a conformidade para o tratamento de dados que já se é realizado.
A lei determina que, na fase de planejamento de um determinado tratamento de dados, os ajustes já precisam ser observados. Então, quando acontecem esses problemas, até mesmo com sistemas de IA significa claramente que a empresa está falhando profundamente na governança da privacidade e proteção de dados.
Ter essa governança não significa a certeza de evitar todo e qualquer tipo de problema que possa surgir, mas é uma forma de mitigar o risco de ter um tratamento de dados que possa gerar um impacto ou um dano para os indivíduos.
A inovação e a regulação são duas realidades inegáveis. Ao mesmo tempo que as empresas não podem deixar de inovar, elas também não podem deixar de cumprir com as leis e regulamentos. Quanto mais medidas e controles que permitam a ocorrência dessa inovação com as devidas responsabilidades, melhor.
Aplicar os requisitos e os princípios éticos de responsabilidade no momento da utilização é fundamental sem jamais esquecer que privacidade e proteção de dados pessoais são direitos fundamentais do ser humano.
A inovação faz parte da rotina de negócios de qualquer organização, entretanto essas duas realidades precisam orbitar e a governança tanto de IA quanto de privacidade e proteção de dados é o que garante que esse fluxo aconteça de uma forma mais assertiva.
Bruna Fabiane da Silva, sócia da DeServ Academy, e foi eleita no final do ano passado uma das 50 Melhores Mulheres em Segurança Cibernética das Américas pela WOMCY (LATAM Women in Cybersecurity).
