Governança empresarial, sistemas de IA e a necessária consonância com a LGPD

0

Os sistemas de inteligência artificial têm demonstrado grande potencial para o aprimoramento de processos, aumento de eficiência e de produtividade, além da entrega de valor em diversos segmentos, o que fomenta um ecossistema propício para o desenvolvimento de sistemas de I.A próprios, seja por empresas ou startups que buscam oferecer novas soluções no mercado. Por outro lado, estes sistemas apresentam riscos de coleta, armazenamento e tratamento indevido de dados pessoais, o que pode gerar grandes prejuízos aos titulares em caso de incidentes de segurança.

Diante da necessidade de regularização do tema, está em tramitação no Senado Federal a Proposta de Regulamentação do uso da Inteligência Artificial (PL nº 2338/23), que visa estabelecer normas gerais sobre o desenvolvimento, implementação, utilização e a governança de sistemas de IA no país. No entanto, quando se trata de privacidade e proteção de dados pessoais, este projeto se remete à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18), que já está em vigor desde 2018, o que reforça a sua aplicação em relação a sistemas de I.A.

Neste contexto, evidencia-se que durante o desenvolvimento de um sistema de inteligência artificial, a empresa deve adotar medidas de governança para a garantia de conformidade com a legislação. A governança envolve a elaboração de políticas e processos internos que visam garantir a ética, a transparência e a conformidade jurídica durante todo o projeto, além de possibilitar a sua melhoria contínua. Sob a ótica do mercado, é importante ressaltar que a mitigação de riscos por meio da governança eleva a confiabilidade de seus produtos e serviços, e torna a empresa mais competitiva no mercado.

Na construção do programa de governança é primordial prezar pela segurança de dados, tanto na avaliação da infraestrutura quanto na análise de riscos do sistema. Todo o projeto deve ser norteado pelo privacy by design, princípio adotado pela LGPD (art. 46, §2º), que visa garantir a privacidade e a proteção de dados pessoais desde a concepção do sistema. Em consonância com a LGPD, pode-se utilizar como referência as diretrizes do CNIL (Comission Nationale Informatique & Libertés), a Autoridade de Proteção de Dados francesa, que traça os principais objetivos de segurança no desenvolvimento de I.A.

A partir disso, propõe-se um framework de governança que engloba todas as fases de criação, desenvolvimento, implementação e disponibilização do sistema de I.A., sob a ótica de segurança dos dados pessoais.

De início, é importante formar uma equipe multidisciplinar com profissionais de áreas que envolvam o projeto analisado, como membros especialistas em inteligência artificial, em segurança da informação, em governança, compliance, e privacidade e proteção de dados. Assim, institui-se um comitê responsável pela governança de I.A que estabelecerá os princípios, processos internos e regras para o seu funcionamento.

O comitê deve elaborar o estudo de viabilidade do projeto, com a atuação preponderante do setor jurídico, para a verificação da conformidade legal do sistema de I.A que se propõe a desenvolver, o que levará em conta: 1) o objetivo do sistema; 2) o método a ser utilizado para o seu desenvolvimento; 3) as fontes de dados e os critérios de seleção (que já considerem os potenciais impactos aos titulares e o princípio da minimização de dados pessoais); dentre outras variáveis.

Por conseguinte, aliado ao desenvolvimento do sistema de I.A, deverá ser elaborado o programa de privacidade e proteção de dados, no qual serão realizados: 1) o mapeamento e a avaliação de riscos; 2) o registro de todas as medidas de segurança adotadas para a verificação da confiabilidade dos dados; 3) a identificação e mitigação das vulnerabilidades das ferramentas e protocolos utilizados, inclusive, de componentes externos do sistema, como backups, interfaces e comunicações; 4) a classificação das bases legais; 5) a implementação de medidas de prevenção e protocolos de respostas a incidentes de segurança. A construção de uma documentação robusta e fiel às práticas realizadas pela empresa é essencial para a demonstração de sua conformidade perante as autoridades responsáveis.

A análise de riscos deve incluir o detalhamento das fontes de risco – como por exemplo, uma base de dados vulnerável – e os impactos que podem ser gerados aos seus usuários, como a exposição de dados pessoais ou a discriminação algorítmica. Além disso, a atenção deve ser redobrada em relação ao uso de ferramentas e ambientes que envolverem o tratamento de dados pessoais sensíveis (dado referente à saúde ou à vida sexual, dado genético ou biométrico, dentre outros).

Considerando ainda que falhas de segurança no sistema possam levar à quebra de confidencialidade de dados pessoais e de dados sigilosos, também é imprescindível a realização de testes de segurança contínuos, principalmente, tratando-se de sistemas que incorporem aprendizagem contínua de máquina (machine learning), o que exige o monitoramento de seu desempenho e a elaboração de avaliações de riscos periódicas. Da mesma forma, a auditabilidade do sistema é importante tanto para a sua avaliação interna quanto para a compreensão de terceiros.

O comitê deve, ainda, estabelecer rotinas que prezem pela melhoria contínua dos processos, além de fomentar a transparência e a comunicação eficaz entre os setores. A realização de treinamentos com as equipes envolvidas também é crucial para o envolvimento de todos e a eficácia do programa de governança.

Todas essas medidas visam resguardar a empresa e promover a adoção de boas práticas em todas as fases de desenvolvimento e implementação do sistema. Além disso, têm o objetivo de construir as políticas e procedimentos que serão adotados em caso de incidentes de segurança e/ou impacto aos titulares de dados pessoais.

Revela-se, portanto, imprescindível elaborar um programa de governança de I.A, com o apoio de um jurídico especializado, com o objetivo de desenvolver sistemas embasados no privacy by design e em consonância com as melhores práticas e legislações de proteção de dados pessoais. A governança eleva a confiabilidade e a qualidade do sistema, além de torná-lo mais competitivo e íntegro no mercado.

Juliana Costa Martins, Advogada no DMS Advogados.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.