Quando falamos em Inteligência Artificial, colocamos algumas tecnologias dentro da mesma "caixinha", como LLMS (ChatGPT), bots, machine learning e outros. Independente de qual tipo de IA estamos falando, todas usam ou podem usar informações pessoais, seja em fases de aprendizado, em um prompt, ou até em resposta a alguma query. Esses usos, e as potenciais aplicações da inovação no dia a dia, impactam a privacidade e, por isso, qualquer discussão sobre IA precisa, necessariamente, envolver reflexões sobre a proteção de dados pessoais.
No Brasil, atualmente temos a Lei Geral de Proteção de Dados (LGPD), um conjunto de regras que oferece maior controle ao indivíduo sobre as próprias informações, incluindo todo o ciclo da IA.
Um dado pessoal é aquele que identifica o indivíduo ou o torna identificável, mas em um cenário no qual a IA é cada vez mais capaz de criar conexões, enxergar padrões que um humano não veria e fazer inferências, informações que antes não seriam consideradas pessoais podem passar a tornar a pessoa identificável.
A definição de dado pessoal ganha importância especial quando avaliamos ferramentas baseadas em LLM (large language model). Esse tipo de inovação aprende com base em enormes quantidades de informação, incluindo bases de dados disponíveis publicamente na internet (scrapping), artigos, fotos, notícias de jornal, entre outros. E como todos esses conhecimentos são criados ou fornecidos por pessoas, a base de aprendizado da IA já pode nascer enviesada.
Nesse cenário, a IA esbarra no princípio da não discriminação, previsto na LGPD, e pode ter impactos negativos. Pense por exemplo em processos seletivos, em que a pessoa se candidata e o currículo é automaticamente excluído. A decisão pode ter sido tomada a partir de palavras-chave que não apareceram no currículo, falta de qualificação efetiva, local em que o candidato reside, entre outros motivos que podem não ser éticos e que necessitem de um olhar mais humanizado para evitar tais situações.
Além da possibilidade de revisão da decisão automatizada, que é garantia da LGPD e do projeto de lei que busca regular a IA, é necessário atuar na origem do problema para assegurar que a inovação não perpetue medidas e ações discriminatórias, oferecendo transparência e acesso a um recurso de contestação.
Do ponto de vista do desenvolvedor, a resposta pode estar em limitar as bases de dados usadas para aprendizado, evitando sites que notoriamente contenham discurso de ódio, por exemplo. Já para aquele que emprega ferramentas de terceiros, a minimização de dados solicitados nos cadastros de vagas pode ser uma saída.
Privacy by design e by default são, então, os conceitos mais relevantes da LGPD para evitar impactos financeiros, reputacionais e custos de retrabalho. Esses princípios prevêem que produtos, soluções e organizações devem ser pensados desde a criação, tendo a privacidade e a proteção de dados como uma preocupação dos desenvolvedores, designers, advogados e demais membros do time. Além disso, as configurações padrão (default) devem beneficiar a privacidade do usuário.
Um exemplo prático: modelos de linguagem visitam sites e espaços que tenham uma quantidade enorme de dados pessoais, e mesmo assim, uma vez que o modelo tenha aprendido algo, o dado informado não fica guardado. Essa atuação traz a minimização do uso de informações pessoais, o descarte do dado quando não é mais necessário, e também a transparência para o usuário. É a privacidade inserida na própria ferramenta.
Com o privacy by design e by default, a empresa garante que o time olhará para todo o ciclo de vida da IA, desde a modelagem até o uso, levando em conta os princípios da LGPD – minimização, necessidade, finalidade, e outros.
Algumas dicas práticas antes de usar IA são: checar a necessidade de colocar dados pessoais no prompt; realizar uma dupla checagem de dados/fatos da resposta enviada pela ferramenta; fazer um DPIA antes de começar, para avaliar o impacto da atividade nos dados pessoais que serão usados, garantindo a auditabilidade do processo; ter cuidados adicionais na parte de propaganda personalizada com uso de IA, já que muitas vezes os dados usados para treinar esses modelos não foram obtidos para essa finalidade.
A conscientização constante dos times é essencial para que o uso da inteligência artificial seja feito de acordo com as regras que já existem. A regulação não deve ser vista como impeditiva da inovação e adoção de novas tecnologias, mas sim como uma oportunidade de compliance e demonstração de boas práticas. A LGPD existe para tornar o uso da IA mais seguro, não como justificativa para não aproveitarmos os benefícios da tecnologia que promete revolucionar o nosso dia a dia.
Rafaela Cysneiros, Principal Consultant de Privacidade da keeggo.