Privacidade e proteção de dados na era da inteligência artificial

Uma pesquisa realizada recentemente pelo Gartner revela que a adoção rápida da inteligência artificial generativa (GenAI) é a principal preocupação indicada por 70% dos líderes jurídicos, de compliance e de privacidade dos dados para os próximos dois anos. 

O estudo mostra que um ponto de atenção é que enquanto a regulamentação da IA ainda está sendo desenvolvida em muitos países, há diversas incertezas e riscos imprevisíveis com os quais as organizações terão de lidar para garantir o uso ético e legal dessa tecnologia. 

Em nome da segurança cibernética, as organizações estão blindando informações dos clientes, o que acaba empobrecendo a análise avançada de dados, seja para oferecer produtos e serviços mais personalizados ou para estreitar a relação com os clientes. Uma das grandes questões para as organizações é saber como proteger a privacidade dos dados pessoais dos clientes e, ao mesmo tempo, usar essas informações para alimentar análises modeladas por inteligência artificial.  

Como as regulamentações de privacidade (como a LGPD no Brasil e o GDPR na União Europeia) impactam a coleta, o uso e o compartilhamento de dados em um cenário de crescimento exponencial da IA? Quais são as estratégias para garantir a conformidade com as regulamentações sem comprometer a inovação? 

Esses foram alguns dos temas discutidos durante o Fórum Ao Vivo:Privacidade e Proteção de Dados na Era da Inteligência Artificial, realizado por MIT Sloan Review Brasil e Pinheiro Neto Advogados, com a participação de Ciro Torres Freitas, sócio da área de tecnologia de Pinheiro Neto Advogados, do Brasil, e Madalena Gomes Cruz, associada da área de comunicações, proteção de dados e tecnologia do escritório Vieira de Almeida, de Portugal. 

Durante o debate, Cruz destacou que, embora a tecnologia traga grandes oportunidades, a IA também representa uma série de desafios legais, que ela organizou em três eixos principais: as normas que regulam a própria IA, as questões relacionadas ao uso de dados, sejam eles pessoais ou não, e o contexto específico em que a IA é utilizada, como no relacionamento com colaboradores, clientes ou outros públicos. “É um cenário complexo, mas a identificação desses três eixos auxilia na compreensão dos principais pontos de atenção”, ressaltou.

Freitas corroborou a análise, lembrando que a IA é uma tecnologia cujos impactos ainda são, em grande medida, desconhecidos, e que o Brasil ainda não tem legislação específica sobre o tema. No entanto, ele apontou que leis já existentes, como as de proteção de dados e de direitos autorais, exercem um papel fundamental na regulação da IA. 

Para ele, o primeiro passo para as empresas – e que também representa um desafio – é identificar a legislação aplicável ao seu negócio para, então,  implementar as medidas cabíveis. “Isso se dá por meio do estabelecimento de medidas de governança, incluindo medidas técnicas de segurança, supervisão humana, transparência, registro e documentação de operações, auditorias”, detalhou Freitas. 

A regulamentação no Brasil e na Europa

Cruz mencionou o regulamento já aprovado na União Europeia, cuja aplicação  ainda está em andamento. “Esse regulamento divide os sistemas de IA por níveis de risco, desde sistemas proibidos, como os usados para social score [sistema que avalia o comportamento de indivíduos com base em suas ações e interações sociais, tanto online quanto offline, como o sistema de crédito social da China], até aqueles que envolvem alto risco e demandam maior controle e transparência”, disse. 

“O fato de haver um regulamento reduz a incerteza. Porém, o caminho ainda é longo, com adaptações esperadas pelas legislações locais e também no processo de aplicação prática”, ressaltou. Cruz prevê que, assim como ocorreu com o Regulamento Geral sobre a Proteção de Dados (RGPD), a regulamentação da IA passará por anos de interpretações e ajustes. 

Já no Brasil, “o panorama legislativo hoje é de ausência de uma lei específica de IA, mas com expectativa de aprovação em breve, e existência de normas legais que se aplicam ao tratamento de dados pessoais, inclusive no contexto da inteligência artificial”, resumiu Freitas. É esperada a aprovação de uma legislação específica para IA, e ele mencionou o Projeto de Lei 2.338, de 2023, que busca regulamentar o uso da IA no País. O PL, inspirado no modelo europeu, trata da concepção, desenvolvimento e adoção de sistemas de IA, com uma abordagem também baseada em risco. 

Segundo ele, o Brasil já está bastante engajado nesse processo legislativo e, embora a aprovação da lei possa levar tempo, o avanço é inevitável. Ele reforçou que, enquanto isso, as empresas já precisam estar atentas à LGPD, que se aplica de forma ampla ao uso de dados pessoais, inclusive no contexto da IA. 

Em pauta, os desafios dos dados

Os desafios relacionados à privacidade e ao uso de dados também foram amplamente discutidos. Murilo Giacomassi, head de produtos in company da MIT Sloan Management Brasil e mediador do debate, levantou a questão sobre como as empresas podem proteger a privacidade dos dados ao mesmo tempo em que utilizam essas informações para treinar sistemas de IA. 

Freitas respondeu que o caminho é seguir as diretrizes da LGPD, a qual funciona como um “manual de instruções” sobre como tratar dados pessoais. Segundo ele, é possível conciliar o uso desses dados com as exigências legais, desde que a empresa utilize ferramentas de segurança adequadas, obtenha o consentimento dos titulares ou se baseie em um interesse legítimo. Ele sugeriu ainda que, quando não for possível atender às exigências da LGPD, o uso de dados anonimizados pode ser uma alternativa. 

“A LGPD indica hipóteses em que o tratamento pode ser feito, condições para que isso seja feito, as obrigações impostas àqueles que tratam os dados pessoais, os direitos dos titulares desses dados. E isso tudo pode ser aplicado no contexto do uso desses dados para alimentar análises modeladas por 

inteligência artificial”, completou Freitas. 

No mercado europeu, o regulamento permite a reutilização de dados desde que o novo objetivo seja compatível com o propósito inicial. Cruz mencionou ainda a importância de iniciativas europeias que incentivam a partilha de dados entre setores, além do crescente mercado de compra de dados. Contudo, “é preciso ter muito cuidado com esse tipo de mercado para garantir que sejam usados dentro da lei”, apontou. 

O que esperar do futuro

O futuro da regulamentação da IA, tanto no Brasil quanto na Europa, foi outro tema debatido. Cruz destacou a importância de se criar certificações, standards e códigos de conduta que possam facilitar o cumprimento das obrigações legais, especialmente para pequenas empresas. 

Freitas, por sua vez, disse que “o momento atual é de busca por equilíbrio entre proteção das pessoas afetadas pelo sistema de inteligência artificial e o desenvolvimento tecnológico, a inovação”. É certo que as ferramentas de IA criam riscos consideráveis, atesta ele, “mas essa mesma tecnologia já é aplicada com muito sucesso em áreas muito importantes, como na medicina, educação, agropecuária, na própria acessibilidade”.

A expectativa é que a regulamentação caminhe lado a lado com o desenvolvimento tecnológico. Enquanto Cruz afirmou que as empresas precisam estar atentas às mudanças legislativas para não se encontrarem despreparadas no futuro, Freitas enfatizou que as normas também podem, de fato, criar novas oportunidades para as companhias que queiram se destacar no mercado. 

Com o crescimento rápido da IA, os debates sobre sua regulamentação se tornam cada vez mais urgentes. Apesar da complexidade desse cenário, é preciso ter uma abordagem equilibrada, que permita que a inovação continue avançando de maneira segura e ética.