Mais um dia 28 de janeiro à vista, apenas o quarto desde a entrada em vigor da LGPD. Foi tanto trabalho que tivemos ao longo desses anos que, se eu não tivesse feito a conta, o meu relógio biológico creditaria mais tempo.
De lá para cá o Brasil assistiu ao nascimento de uma nova atividade corporativa e à implantação de uma nova cultura. Sua consolidação não é mais posta em dúvida. Já sua importância relativa no contexto do "data ethics" ou regulação digital, essa sim, pode ser colocada como matéria para discussão.
Não em razão de sua importância intrínseca que, na minha opinião, é a mesma desde que Alan F. Westin coordenou nos anos 60 o estudo americano que lançou as bases para o conceito de proteção de dados pessoais, mas sim pelo surgimento de novos riscos ou pelo recrudescimento de alguns já há muito conhecidos.
Me refiro ao novo risco de ter uma máquina emular comportamento humano (inteligência artificial, generativa e além) e ao mais antigo risco da (in)segurança da informação que, pela primeira vez, flerta com seriedade com controles regulatórios. Dentre o trio de riscos (IA, SI e P&PD), alguém negaria que aqueles associados à proteção de dados pessoais são hoje os mais bem cuidados institucionalmente? Onde devemos focar investimentos, então?
Em matéria de compliance, organizações investem seus recursos onde há maior probabilidade (ou percepção) de perda em caso de falha ou de retorno indireto em decorrência da adequação. Segurança da informação avança bem nesse quesito, mas o posto de líder do compliance digital parece destinado à governança em IA.
Os investimentos em IA generativa dobram a cada trimestre. A percepção de que há ganhos de produtividade significativos já chegou ao ponto em que líderes corporativos não se permitirão ficar atrás de seus concorrentes. Se hoje as áreas de maior valor estão em desenvolvimento de software, bots, atendimento a clientes e saúde, a tendência é que as aplicações se tornem universais.
A chamada natural à ação será dos CEOs para seus CIOs/CTOs com a ordem: "deliver". A partir daí, caberá aos times de defesa e compliance garantirem que os riscos associados ao uso estarão bem endereçados.
A função será natural aos DPOs e escritórios de privacidade. Mesmo que os processos associados à governança de IA sejam menos complexos do que os de privacidade, guardam semelhanças marcantes em alguns pontos. A ponto de ser possível se adequar à IA fazendo uso de controles do programa de privacidade já existente.
IA como driver estratégico do escritório de privacidade é, portanto, quase que um ajuste decorrente do princípio da oferta e da demanda. Seus clientes internos demandarão e você terá o que ofertar. Empresas que se antecipam a um choque de demanda ou, melhor ainda, aquelas que os criam, são as mais bem sucedidas no mercado. O sucesso do seu escritório de privacidade depende dessa visão.
Gustavo Artese, titular da Artese Advogados.