A tecnologia de Inteligência Artificial já possui regulamentação como a Regulamentação de Inteligência Artificial da União Europeia. No Brasil temos o Projeto de Lei aprovado pelo Senado e encaminhado para a Câmara dos Deputados que "Dispõe sobre o desenvolvimento, fomento, uso ético e responsável da inteligência artificial com base na centralidade da pessoa humana."
Este Projeto de Lei pode sofrer alterações pelos deputados federais e pode ter artigos vetados pelo presidente da república, que podem ser derrubados pelo Congresso Nacional. Porém, entendemos que em relação aos controles obrigatórios de segurança da informação e proteção de privacidade não deva acontecer alterações.
Mas quais são os controles que este Marco Regulatório da Inteligência Artificial exige em relação à segurança da informação e proteção de privacidade? Descrevo abaixo os controles explícitos citados nesta nova legislação. Eles exigem uma participação forte do Gestor de Segurança da Informação referendado pelo Corpo Diretivo da organização de maneira formal.
- Sistemas seguros
Art. 1 – …. garantir a implementação de sistemas seguros e confiáveis,…
Art. 48- … realizar auditorias de sistemas de inteligência artificial …
Art.18- …determinar ao agente …que realize auditoria externa e independente..
Art. 18.. XII – recebimento e tratamento de denúncias anônimas,.. reserva de identidade do denunciante;
- Proteção de Dados Pessoais
Art. 2 -…. fundamentos: privacidade, proteção de dados pessoais e …
Art.30 – …elaborar relatório de impacto à proteção de dados pessoais…
Art.32 – …em conformidade com as exigências legais, … em especial de acordo com a Lei nº 13.709, de 14 de agosto de 2018 (LGPD) …
- Controle de acesso informação, identificação, autenticação
Art. 2 – …. fundamentos: acesso à informação e a disseminação de dados, de forma aberta, estruturada e segura;
Art. 5 – …. direito à informação, … acessível, gratuita e de fácil compreensão ….
Art. 7 – O direito à informação…
Art. 13 – … – sistemas de identificação biométrica …
Art. 15 – … sistemas de identificação biométrica…
Art. 21 – … o acesso aos bancos de dados e a plena portabilidade de dados
Art. 22 – … definição de protocolos de acesso e de utilização do sistema …
Art. 22- ….utilização de sistemas biométricos para fins de identificação …
- Integridade, autenticidade da Informação
Art. 2 – … fundamentos: integridade da informação mediante a proteção e a promoção da confiabilidade, precisão e consistência das informações;
Art. 15 – … risco à integridade da informação….
Art. 24- … estabelecer a autenticidade e a proveniência do conteúdo digital …
Art.32- … demonstrar … a integridade da informação .. e antes e ao longo de seu desenvolvimento…
- Segurança da Informação e Cibersegurança
Art. 2 – … fundamentos: garantia da segurança da informação e segurança cibernética;
Art. 17. – … Os agentes de IA estabelecerão estruturas de governança e processos internos aptos a garantir a segurança dos sistemas…
Art. 32 – …conceber e desenvolver o sistema previsibilidade, interoperabilidade, corrigibilidade, segurança e a cibersegurança ….
Art. 39- … os mecanismos internos de supervisão e medidas de segurança técnicas …
- Registro de operações, registro de auditoria
Art. 6 – …. os dados processados e a sua fonte ….
Art. 18 – … uso de ferramentas de registro automático da operação do sistema, de modo a permitir a avaliação de sua acurácia e robustez e a apurar
Art. 22 – … permitam o registro de quem o utilizou, para qual situação concreta, e com qual finalidade…
- Gerenciamento de Riscos – Inclui tratamento informação
Art. 8 – … gerenciamento de riscos e impactos irreversíveis …
Art. 12 – …realizar uma avaliação preliminar que determinará o seu grau de risco,
- Guarda de informação – Tempo de guarda, copias de segurança
Art. 12 – … Os agentes de IA devem manter registro e documentação de todas as avaliações preliminares nos últimos cinco anos, ….
Art. 15 – … histórico danoso…
Art. 32- …elaborar documentação técnica
Art. 32- … Os desenvolvedores de sistemas devem, por um período de 10 anos, manter a documentação técnica referida nos incisos V e VI à disposição da autoridade competente;
- Classificação da Informação
Art. 13 – … que avaliem os traços de personalidade, as características ou o comportamento passado, criminal ou não, de pessoas singulares ou grupos, …
Art. 14 – …aplicação como dispositivos de segurança na gestão de infraestruturas críticas..
Art. 14 – … informação de recrutamento, triagem …
Art. 14 – … – aplicações na área da saúde …
Art. 18 – …. – utilizar dados de treinamento..
Art. 61- .. – a utilização de conteúdos protegidos por direitos de autor
- Desenvolvimento seguro de sistemas
Art. 18 – ..considerando todas as etapas no ciclo de vida do sistema…
Art.25 – …desenvolvedores de sistemas de inteligência artificial
Art.29- … todo o ciclo de vida dos sistemas…
Art. 32- … ou fornecido sob licenças gratuitas e de código aberto…
Art. 32- … Os desenvolvedores de sistemas devem, por um período de 10 anos, manter a documentação técnica referida nos incisos V e VI à disposição da autoridade competente;
Art. 38 – … Os participantes no ambiente de testagem da regulamentação da inteligência artificial continuam a ser responsáveis,
- Teste de sistemas
Art. 18 – … realização de testes para avaliação de níveis apropriados de confiabilidade, performance consistente, segurança, proteção e robustez …
- Gestão de Incidentes
Art. 41- .. comunicarão… às autoridades competentes a ocorrência de graves incidentes de segurança, …
Conclusão
A segurança da Informação e a Proteção de Dados Pessoais são controles obrigatórios para a utilização da Inteligência Artificial em ambiente corporativo, onde existe responsabilização perante acionistas e conselho de administração. Para a implementação destes controles exige experiencia e adaptabilidade para o novo. Vamos conversar sobre o tema?
Edison Fontes – CISO at NAVA – Technology for business.
