A revolução digital provocou um avanço acelerado no uso de sistemas de IA em diversas camadas de nossa sociedade. Todavia, é importante pontuar que esse progresso tecnológico não ocorre sem desafios significativos, especialmente no que diz respeito ao uso ético e à proteção dos dados pessoais utilizados em referidos sistemas.
Enquanto a inteligência artificial se torna um aspecto recorrente em atividades empresariais, é imprescindível examinar a interseção entre sua implementação e normas destinadas a salvaguardar a privacidade dos indivíduos. Nesse sentido, a LGPD assume um papel fundamental ao estabelecer diretrizes para a proteção e o tratamento adequado de dados pessoais, além de estabelecer aspectos relevantes referentes à transparência, segurança, responsabilidade e, acima de tudo, o impacto nos direitos individuais dos titulares.
Nesse sentido, o art. 49 da LGPD dispõe que “os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta lei e às demais normas regulamentares”. Embora amplo e genérico, este artigo é importante para dar o tom dos pontos de atenção que devem ser observados pelas organizações que utilizam sistemas de IA envolvendo informações pessoais, de forma que vamos examiná-los em detalhes.
Primeiramente, no que diz respeito aos requisitos de segurança, os agentes de tratamento devem se preocupar em utilizar sistemas de IA que protejam os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito, conforme previsto no art. 46 da LGPD. Assim, desenvolver ou implementar sistemas de IA requer uma avalição profunda dos mecanismos de segurança aplicados aos eventuais dados pessoais envolvidos, por exemplo, se utilizar a base de dados do SUS para treinar uma grande IA de saúde sem prezar por uma anonimização rigorosa, a identificação das pessoas envolvidas no treinamento poderia ser facilmente acessada.
Em seguida, no tocante aos padrões de boas práticas e de governança, é importante que as organizações, além de normas técnicas relacionadas à privacidade e gestão de sistemas de segurança da informação, busquem atender a padrões e frameworks globalmente reconhecidos sobre o assunto, tais como o AI RMF 1.0 - Artificial Intelligence Risk Management Framework, disponibilizado pelo NIST - National Institute of Standards and Technology, em janeiro/23.
A utilização de um framework deste tipo do NIST tem como objetivo, dentre outros aspectos, promover a confiança no sistema de IA, através da sua compreensão. Aliás, essa confiança é um elemento chave, como destacado pelo Instituto Alan Turing ao expor que “incutir confiança significa fornecer uma compreensão do sistema de IA, sendo transparente sobre o próprio sistema e como ele foi desenvolvido em relação à decisão em direção à justiça, confiabilidade e responsabilidade”1.
Nesse sentido, para criar e sobretudo garantir essa confiança em um determinado sistema de IA, há que se fazer um enorme esforço na redução dos riscos trazidos pelo sistema de IA, que possam impactar negativamente liberdades civis, direitos, bem-estar e a prosperidade dos indivíduos.
Um elemento chave nesse processo de redução dos riscos é promover a explicabilidade do sistema de IA para os usuários finais, especialmente quando tal sistema envolver o tratamento de informações críticas, como dados de saúde, informações financeiras, dados biométricos ou outras informações com alto potencial discriminatório. No entanto, a explicação da decisão, especialmente aquelas que impactam pessoalmente os usuários finais, devem ser amplas o suficiente para permitir que as autoridades, por exemplo, possam avaliar a pertinência das explicações.
Inclusive, a explicabilidade reflete uma verdadeira necessidade de prestação de contas dos sistemas de IA, com informações técnicas e sofisticadas sobre a construção do sistema e suas operações, a fim de que auditores e reguladores possam verificar e validar os componentes do sistema de IA e garantir que seu desempenho esteja em conformidade com os propósitos definidos para aquele sistema.
Alinhado com essa necessidade, o PL 2.338/23, um dos projetos de lei que estão em discussão no Brasil para regulamentar o desenvolvimento e uso da IA, determina que “previamente a sua colocação no mercado ou utilização em serviço, todo sistema de inteligência artificial passará por avaliação preliminar realizada pelo fornecedor para classificação de seu grau de risco”. É claro que essa avaliação prévia é controversa, promovendo ampla discussão em relação ao melhor modelo para equilibrar inovação e segurança jurídica, mas demonstra a importância da explicabilidade. Cabendo aos legisladores, eventualmente, moldar o projeto de lei para estabelecer essa necessidade apenas para os sistemas de risco elevado, justamente para avaliar a necessidade de eventuais medidas mitigatórias ou até mesmo impedir o uso daquele sistema de IA.
A explicabilidade está intimamente ligada à transparência do funcionamento do sistema de IA e seus algoritmos perante os usuários, auditores e autoridades, sendo um dos maiores questionamentos das atividades da OpenAI, desenvolvedora do ChatGPT (IA generativa mais conhecida), que é acusada de ter uma postura opaca em relação ao seu sistema com o mercado e até mesmo com seus conselheiros e acionistas. Assim, fica a lição de boa prática de transparência para que as organizações disponibilizem informações que permitam identificar os critérios utilizados para se chegar a determinada decisão, bem como, por exemplo: (i) os modelos utilizados no sistema; (ii) se o sistema está sob controle do desenvolvedor; (iii) se foi verificada a conformidade regulatória do sistema; (iv) se eventuais vieses foram identificados e mitigados; ou (v) quais métodos de proteção foram usados para testar, avaliar, validar e verificar se o sistema está prevenido contra ataques de terceiros e/ou incidentes de segurança2.
Ainda dentro do pilar da governança, a organização deveria considerar como boa prática a implementação da metodologia do privacy by design, bem como o uso de instrumentos de governança corporativa, já previstos no âmbito da proteção de dados pela LGPD, tais como os RIPDs - Relatórios de Impacto à Proteção de Dados, DPAs - Acordos de Processamento de Dados, políticas internas, auditorias e monitoramento de controles. Todas essas condutas estabelecidas na LGPD, já utilizadas como mecanismos de implantar a governança em proteção de dados, podem ser ajustadas para endereçar a gestão dos riscos envolvidos no uso dos sistemas de IA.
Segurança, transparência, prestação de contas são todos princípios dispostos no art. 6º da LGPD, perfeitamente aplicáveis aos sistemas de IA como vimos acima, cabendo ainda acrescentar um princípio fundamental que é a não discriminação. Este princípio envolve o estabelecimento de condutas para evitar vieses discriminatórios conscientes na programação do sistemas de IA, ou inconscientes, devido as portas abertas nos sistemas, que permitam que eles tomem essa direção a partir dos dados que os alimentaram no treinamento. Controlar esses vieses discriminatórios é extremamente importante para evitar que a máquina não repita os erros humanos de segregar grupos minoritários.
Por fim, em que pese a LGPD ter ensaiado no artigo 20 estabelecer a necessidade da intervenção humana como palavra final em alguns contextos, acabou não ficando explicita na lei esse requisito na revisão de decisões automatizadas. Entretanto, ao analisarmos os sistemas de IA essa necessidade ganha contornos ainda mais marcantes, dificilmente sendo possível conceber a regulação dos sistemas de IA sem demandar que ao menos os sistemas com riscos altos sejam controlados pela intervenção humana, na validação das decisões.
Os desafios éticos associados à implementação dos sistemas de IA se tornam cada vez mais evidentes, exigindo uma abordagem cuidadosa e deliberada por parte das organizações. Cabendo, então, as organizações considerarem as medidas de segurança, governança e boas práticas acima levantadas para evitarem o emprego de técnicas subliminares, que tenham por objetivo ou por efeito induzir um indivíduo a se comportar de forma prejudicial ou perigosa à sua saúde ou segurança, tampouco explorarem quaisquer vulnerabilidades de grupos específicos de pessoas naturais, dentre outras relacionadas à discriminação, bem como não permitirem o vazamento de informações.
O estabelecimento de leis especificas para regular os sistemas de IA está em discussão ainda no Brasil, mas a adoção das boas práticas acima apontadas já é um caminho imediato de responsabilidade corporativa das organizações, para que minimizem eventuais impactos de usos nocivos dos sistemas de IA, que diga-se de passagem, tem um enorme potencial de transformação social para promover o bem estar da humanidade.
1 Disponível em: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/artificial-intelligence/explaining-decisions-made-with-artificial-intelligence/
2 AI Explainability. Disponível em: https://www.inclusivechange.org/ai-governance-solutions/ai-explainability. Acesso em: 14 mar. 2024.