Os sistemas de inteligência artificial têm demonstrado grande potencial para o aprimoramento de processos, aumento de eficiência e de produtividade, além da entrega de valor em diversos segmentos, o que fomenta um ecossistema propício para o desenvolvimento de sistemas de I.A próprios, seja por empresas ou startups que buscam oferecer novas soluções no mercado. Por outro lado, estes sistemas apresentam riscos de coleta, armazenamento e tratamento indevido de dados pessoais, o que pode gerar grandes prejuízos aos titulares em caso de incidentes de segurança.
Diante da necessidade de regularização do tema, está em tramitação no Senado Federal a Proposta de Regulamentação do uso da Inteligência Artificial (PL nº 2338/23), que visa estabelecer normas gerais sobre o desenvolvimento, implementação, utilização e a governança de sistemas de IA no país. No entanto, quando se trata de privacidade e proteção de dados pessoais, este projeto se remete à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18), que já está em vigor desde 2018, o que reforça a sua aplicação em relação a sistemas de I.A.
Neste contexto, evidencia-se que durante o desenvolvimento de um sistema de inteligência artificial, a empresa deve adotar medidas de governança para a garantia de conformidade com a legislação. A governança envolve a elaboração de políticas e processos internos que visam garantir a ética, a transparência e a conformidade jurídica durante todo o projeto, além de possibilitar a sua melhoria contínua. Sob a ótica do mercado, é importante ressaltar que a mitigação de riscos por meio da governança eleva a confiabilidade de seus produtos e serviços, e torna a empresa mais competitiva no mercado.
Na construção do programa de governança é primordial prezar pela segurança de dados, tanto na avaliação da infraestrutura quanto na análise de riscos do sistema. Todo o projeto deve ser norteado pelo privacy by design, princípio adotado pela LGPD (art. 46, §2º), que visa garantir a privacidade e a proteção de dados pessoais desde a concepção do sistema. Em consonância com a LGPD, pode-se utilizar como referência as diretrizes do CNIL (Comission Nationale Informatique & Libertés), a Autoridade de Proteção de Dados francesa, que traça os principais objetivos de segurança no desenvolvimento de I.A.
A partir disso, propõe-se um framework de governança que engloba todas as fases de criação, desenvolvimento, implementação e disponibilização do sistema de I.A., sob a ótica de segurança dos dados pessoais.
De início, é importante formar uma equipe multidisciplinar com profissionais de áreas que envolvam o projeto analisado, como membros especialistas em inteligência artificial, em segurança da informação, em governança, compliance, e privacidade e proteção de dados. Assim, institui-se um comitê responsável pela governança de I.A que estabelecerá os princípios, processos internos e regras para o seu funcionamento.
O comitê deve elaborar o estudo de viabilidade do projeto, com a atuação preponderante do setor jurídico, para a verificação da conformidade legal do sistema de I.A que se propõe a desenvolver, o que levará em conta: 1) o objetivo do sistema; 2) o método a ser utilizado para o seu desenvolvimento; 3) as fontes de dados e os critérios de seleção (que já considerem os potenciais impactos aos titulares e o princípio da minimização de dados pessoais); dentre outras variáveis.
Por conseguinte, aliado ao desenvolvimento do sistema de I.A, deverá ser elaborado o programa de privacidade e proteção de dados, no qual serão realizados: 1) o mapeamento e a avaliação de riscos; 2) o registro de todas as medidas de segurança adotadas para a verificação da confiabilidade dos dados; 3) a identificação e mitigação das vulnerabilidades das ferramentas e protocolos utilizados, inclusive, de componentes externos do sistema, como backups, interfaces e comunicações; 4) a classificação das bases legais; 5) a implementação de medidas de prevenção e protocolos de respostas a incidentes de segurança. A construção de uma documentação robusta e fiel às práticas realizadas pela empresa é essencial para a demonstração de sua conformidade perante as autoridades responsáveis.
A análise de riscos deve incluir o detalhamento das fontes de risco – como por exemplo, uma base de dados vulnerável – e os impactos que podem ser gerados aos seus usuários, como a exposição de dados pessoais ou a discriminação algorítmica. Além disso, a atenção deve ser redobrada em relação ao uso de ferramentas e ambientes que envolverem o tratamento de dados pessoais sensíveis (dado referente à saúde ou à vida sexual, dado genético ou biométrico, dentre outros).
Considerando ainda que falhas de segurança no sistema possam levar à quebra de confidencialidade de dados pessoais e de dados sigilosos, também é imprescindível a realização de testes de segurança contínuos, principalmente, tratando-se de sistemas que incorporem aprendizagem contínua de máquina (machine learning), o que exige o monitoramento de seu desempenho e a elaboração de avaliações de riscos periódicas. Da mesma forma, a auditabilidade do sistema é importante tanto para a sua avaliação interna quanto para a compreensão de terceiros.
O comitê deve, ainda, estabelecer rotinas que prezem pela melhoria contínua dos processos, além de fomentar a transparência e a comunicação eficaz entre os setores. A realização de treinamentos com as equipes envolvidas também é crucial para o envolvimento de todos e a eficácia do programa de governança.
Todas essas medidas visam resguardar a empresa e promover a adoção de boas práticas em todas as fases de desenvolvimento e implementação do sistema. Além disso, têm o objetivo de construir as políticas e procedimentos que serão adotados em caso de incidentes de segurança e/ou impacto aos titulares de dados pessoais.
Revela-se, portanto, imprescindível elaborar um programa de governança de I.A, com o apoio de um jurídico especializado, com o objetivo de desenvolver sistemas embasados no privacy by design e em consonância com as melhores práticas e legislações de proteção de dados pessoais. A governança eleva a confiabilidade e a qualidade do sistema, além de torná-lo mais competitivo e íntegro no mercado.
Juliana Costa Martins, Advogada no DMS Advogados.
