Estamos na era da Inteligência Artificial e isso é inegável. A assensão do tema destaca aparentes conflitos entre Inteligência Artificial e LGPD, e é sobre isso que vamos falar neste artigo.

Cada dia que passa somos apresentados a novas soluções de IA que prometem facilitar nossa vida, “tanto no pessoal quanto no profissional”, acelerando processos, auxiliando na tomada de decisões ou até mesmo na criação de conteúdos, materiais, imagens, textos e assim por diante (no caso de IAs generativas).

A IA está presente em nossa vida cotidiana de diversas maneiras, desde assistentes virtuais em smartphones até algoritmos de recomendação em plataformas de streaming.

Empresas também utilizam IA para prever tendências de mercado e melhorar a eficiência operacional.

Aproveitando o contexto, perguntamos a uma inteligência artificial qual o conceito de IA:

A inteligência artificial (IA) é um campo da ciência da computação que se concentra em desenvolver sistemas de computador que podem realizar tarefas que normalmente exigiriam inteligência humana, como aprender com dados, tomar decisões, entender linguagem natural e muito mais. Ela é usada em uma ampla variedade de aplicações, com o objetivo de melhorar a eficiência e a capacidade de tomada de decisões.

A IA tem uma ampla gama de aplicações em diversos setores, incluindo:

Medicina: auxiliar no diagnóstico médico, análise de imagens médicas e pesquisa de medicamentos. Indústria:

Na indústria: otimizar processos de fabricação, manutenção preditiva e controle de qualidade.

Finanças: análise de risco, detecção de fraudes, negociação de alta frequência e previsões financeiras.

Transporte: aplicada em veículos autônomos para navegação e tomada de decisões durante a condução.

Entretenimento: criar personagens virtuais inteligentes e melhorar a experiência do usuário.

Assistência ao cliente: Chatbots e assistentes virtuais são usados para fornecer suporte ao cliente 24 horas por dia, 7 dias por semana.”

Em resumo, a Inteligência Artificial objetiva capacitar máquinas a tomar decisões, aprender com dados e resolver problemas complexos ou de forma mais rápida e eficiente**.**

Inteligência Artificial e LGPD

Não é novidade para quem acompanha de perto a evolução tecnológica que a inserção de novas tecnologias muitas vezes traz consigo a necessidade de atenção e cuidado do ponto de vista ético e legal.

Não é diferente no caso da Inteligência Artificial, sobretudo quando essas ferramentas baseadas em IA se utilizam de dados pessoais para aprendizado da máquina ou para garantir o resultado desejado pela solução.

Enquanto é certo que nem sempre a utilização de ferramentas de IA resultarão no tratamento de dados pessoais também é razoável afirmar que, quando envolver a análise dessa categoria de dados, haverá aplicação da LGPD.

O tratamento de dados é um conceito bastante amplo na lei e, por óbvio, a análise de dados relacionados a uma pessoa e a realização de inferências em relação a essas informações certamente se encaixam no conceito de tratamento.

Não sabe o que é “tratamento de dados”, confira este artigo.

Especificamente sobre o tema, a LPGD estabelece no seu art. 20 que o titular dos dados pessoais tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.

São exemplos dessas decisões a definição de perfil pessoal, profissional, de consumo e de crédito e aspectos relacionados à personalidade.

Os parágrafos seguintes do artigo mencionado preveem que é obrigação da empresa (ou profissional) fornecer as informações a respeito dos “critérios e procedimentos utilizados para a decisão automatizada”.

Além disso, em caso de não fornecimento dessas informações em razão de segredo comercial e industrial, a ANPD (autoridade que fiscaliza o cumprimento da LGPD) poderá realizar auditoria ”para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais”.

Dessa forma, qualquer empresa que utilizar Inteligência Artificial na tomada de decisões em relação a seus clientes ou colaboradores deverá avaliar os principais riscos e adotar controles suficientes para garantir que esse tratamento automatizado esteja dentro dos padrões impostos pela legislação.

IA e riscos à privacidade

A utilização da Inteligência Artificial no tratamento de dados pessoais e na tomada de decisões traz consigo uma série de riscos e desafios que precisam ser cuidadosamente considerados:

1. Viés Algorítmico: os algoritmos de IA podem ser treinados com dados que refletem preconceitos e desigualdades presentes na sociedade. Isso pode resultar em decisões discriminatórias, como recusas de crédito ou oportunidades de emprego, que afetam negativamente determinados grupos da sociedade. Identificar e mitigar o viés algorítmico é um dos principais pontos de atenção. Isso não se limita à fase de treinamento da IA, a qualidade dos dados analisados impacta diretamente no resultado da análise e pode causar prejuízos ao titular também na tomada de decisão por parte da tecnologia.
2. Opacidade de Decisões: algoritmos de IA complexos podem tomar decisões difíceis de entender e explicar. Isso cria desafios em termos de prestação de contas e responsabilidade. Indivíduos afetados por decisões automatizadas podem ter dificuldade em contestá-las ou entender o motivo pelo qual foram tomadas.
3. Vazamento de Dados: a IA geralmente lida com grandes volumes de dados e a segurança desses dados é essencial. Vulnerabilidades na proteção de dados podem levar a vazamentos, expondo informações sensíveis dos indivíduos e causando danos à reputação da empresa.

Confira este artigo sobre o que fazer em caso de vazamento de dados na sua empresa.

Medidas necessárias para garantir a conformidade

Ok, você já está ciente dos riscos mas considera que os benefícios trazidos pela adoção de soluções que utilizam inteligência artificial ainda compensam e podem ajudar sua empresa.

A seguir, citamos algumas sugestões para que a utilização de IA no tratamento de dados pessoais esteja em conformidade com a LGPD.

Transparência

Assim como acontece em qualquer atividade de tratamento de dados pessoais, os titulares devem ser informados sobre o que será feito com seus dados.

Isso inclui, neste caso, informações sobre como a IA funciona e o que se pretende atingir com a sua utilização.

É importante que o titular tenha ciência de quais benefícios terá com essa operação.

Além disso, conforme mencionamos no início deste texto, um dos direitos do titular previstos na LGPD é justamente o de “revisão de decisões automatizadas”.

Por conta disso, é indispensável que a empresa garanta a possibilidade de rastrear o processo de tomada de decisão para que seja possível explicar a razão pela qual a tecnologia chegou àquela decisão e quais foram os parâmetros utilizados.

Minimização dos dados

A minimização também é um dos pilares da LGPD que se aplicam a este tema.

Comunicando-se diretamente com o princípio da necessidade, “não significa diretamente a utilização de menos dados, mas sim a coleta, utilização e armazenamento daqueles dados estritamente necessários para o objetivo pretendido com o tratamento dos dados” (“Artificial Intelligence and Data Protection: Delivering Sustainable AI Accountability in Practice”, CIPL, 2020).

Uma opção válida é utilizar uma quantidade maior de dados para treinamento da IA e limitar os dados utilizados na fase de implantação propriamente dita (deploy).

Sempre que possível, os dados analisados devem ser anonimizados, ou seja, tornar impossível a identificação dos titulares como a transformação em dados estatísticos, por exemplo.

Intervenção humana

É claro que a utilização de IA muitas vezes se justifica justamente para que não seja necessária a participação humana no processo.

Contudo, em casos em que há tratamento de dados sensíveis (saúde, religião, política etc.) e que a decisão tomada pela IA pode impactar negativamente o titular é altamente sugerido que haja revisão e validação de pelo menos um responsável humano antes que a decisão passe a surtir efeito.

Responsabilização e prestação de contas (“Accountability”)

As empresas devem conseguir comprovar que o processo em que a IA está inserida preenche os requisitos legais e éticos esperados.

Além disso, deve ser possível comprovar que as medidas adotadas para controle dos riscos existentes sejam eficazes.

As evidências desse controle se dão por mapeamentos, relatórios, políticas, manuais, treinamentos, planos de conscientização, e a manutenção de um Programa de Governança interno voltado à privacidade e ao uso adequado de inteligência artificial.

Por fim, é importante destacar que nem sempre a empresa que fornece a solução que utiliza IA será a responsável direta pelo tratamento dos dados pessoais.

Assim, é essencial que a definição dessas responsabilidades seja prevista em contrato, como a identificação dos papéis de controlador e operador, quem será responsável por receber e atender solicitações de titulares de dados, quem é responsável por garantir a licitude do tratamento, as bases legais etc.

Confira este artigo e saiba se a sua empresa precisa de Encarregado de Dados (DPO).

Foco no problema, não na tecnologia

A LGPD é uma lei baseada em risco.

Em palavras simples, quanto maior o risco (impacto x probabilidade) do tratamento dos dados ao titular, maiores deverão ser os controles adotados para reduzir esse risco.

O impacto na utilização de dados pessoais para treinar uma IA é menor que o impacto da utilização de dados pessoais para que uma IA tome uma decisão sem revisão humana.

Sendo assim, os controles adotados para proteger os titulares desses dados devem ser proporcionais ao risco.

O problema central decorrente da utilização de IA para tomada de decisões não é necessariamente o uso da tecnologia em si, mas sim o fato de que uma máquina tomará uma decisão (automatizada) que pode impactar negativamente um indivíduo, ou ainda afetar esse indivíduo do ponto de vista legal.

A relação entre a Inteligência Artificial e a LGPD é um tema crítico e tende a avançar ainda mais nos próximos anos.

Enquanto o uso de IA oferece benefícios significativos, também apresenta desafios complexos em relação à privacidade e à segurança de dados.

Com o apoio de consultorias jurídicas especializadas, as empresas podem enfrentar esses desafios de maneira responsável, garantindo o respeito aos direitos dos indivíduos e a conformidade com a legislação.

A SAFIE é especializada em questões relacionadas a privacidade, LGPD e Inteligência Artificial.

Estamos prontos para ajudar sua empresa a navegar nesse cenário complexo e garantir o cumprimento da lei.

Entre em contato conosco para uma avaliação personalizada e para obter orientações sobre como proteger os dados pessoais de seus clientes e funcionários e garantir uma utilização ética e legal de IA em seu negócio.