Com a inteligência artificial cada vez mais presente em aplicações do dia a dia corporativo e se alimentando de dados pessoais para aprender, os DPO’s tendem a desempenhar um papel mais relevante para compreender e mitigar os riscos advindos da nova tecnologia. Para isso, precisaram se preparar para lidar com novos elementos, não necessariamente cobertos pelos processos de avaliação de riscos empreendidos atualmente. Nessa entrevista, a sócia-fundadora do GCAA Advogados, Tae Cho, fala das tendências globais, que trazem a responsabilidade sobre o assessment para o uso das ferramentas de IA nas empresas para os DPO’s; e dos riscos que precisam ser observados por esses profissionais no desenvolvimento e no monitoramento de soluções baseadas em IA nas empresas.
Quais os desafios que a IA impõe hoje aos profissionais de privacidade e proteção de dados (PPD), em especial para os DPO’s e Encarregados?
A inteligência artificial (IA) já faz parte do nosso dia a dia, mesmo sem querer. As empresas fazem inovações, e de fato, começaram a disponibilizar a IA como produto para as pessoas acessarem. E no contato desses sistemas com o usuário de uma forma direta, existem alguns desafios. Nos EUA, hoje, temos discussões sobre direito autoral. Temos um grande jornal internacional num pleito contra a Open IA (dona do chat GPT) e a Microsoft (acionista da empresa), dizendo que a ferramenta usa os textos jornalísticos para fazer suas redações, mas não credita as fontes dos materiais que lhe serve de referência e são uma produção humana. Em outra frente, tem sido comum o uso de IA para perpetrar fraudes, o que a gente chama de engenharia social. Recebemos aqui no escritório um profissional liberal, que de repente foi notificado por um escritório de advocacia, dizendo que a cliente desse escritório tinha sofrido uma perda financeira, porque eles teriam mantido um relacionamento amoroso de quase um ano, por meio digital. Quando conversamos com esse escritório e essa mulher, eles relataram não só conversas que foram feitas por meio de chats, mas ela afirmava que fez uma video call com o profissional. Hoje, é possível com essas aplicações livres emular a imagem, a voz e conversar com alguém se passando por outra pessoa. São as deep fakes. Então, o primeiro desafio que temos, como sociedade, é uma barreira ética. E um segundo desafio é a congregação do ordenamento jurídico.
Nesse novo contexto de tecnologia, as fraudes financeiras também estão inseridas? Temos novos riscos?
Com certeza. E nesse caso concreto que eu acabei de descrever, como ela realmente acreditava que estava em um relacionamento amoroso com essa pessoa, ela fez cinco depósitos de alguns mil dólares que totalizaram quase um milhão. Na cabeça dessa mulher, ela tem certeza de que teve um relacionamento com ele, tem milhares de mensagens, vídeos, só que não era com essa pessoa de verdade, era uma fraude. As informações dele foram capturadas com outros aplicativos e como a pessoa fazia um overposting, uma superexposição da sua intimidade nas redes sociais, o fraudador conseguiu utilizar isso para ter esse relacionamento com a vítima. No final, é um tipo de fraude no qual temos duas vítimas: uma que teve a sua intimidade usada para perpetrar o crime; e a vítima que, com o uso de informações da primeira vítima, sofreu perdas financeiras. E isso tem sido comum.
Os profissionais de PPD podem ter um papel relevante para mitigar esses novos riscos?
Sim e isso nos leva a um primeiro desafio para eles e suas empresas. Imagina você, como responsável pelo privacy by design, by default e todas as questões referentes a privacidade e proteção de dados de uma aplicação. Hoje, temos uma discussão importante: no momento em que você vê que o seu produto está sendo usado para fraude, até onde vai a responsabilidade da empresa? Quais os mecanismos que devo instalar para ter o entendimento de quais riscos o meu produto pode oferecer aquele indivíduo, à sociedade como um todo. Se eu estou disponibilizando um sistema de IA que pode ser usado para perpetrar fraudes e crimes, eu tenho que ter algum mapeamento sobre isso. Como DPO ou responsável pela privacidade e proteção de dados, tenho que vislumbrar que é preciso dar um tratamento ético e responsável das informações que transitam, de alguma forma, na minha plataforma. Isso foi muito discutido alguns anos atrás por conta do YouTube. Quando foi lançado, como tinha a conta do usuário, a empresa buscava se posicionar apenas como uma plataforma que era disponibilizada para os produtores de conteúdo, pontuando que se a usassem de forma equivocada para perpetrar ilícito de natureza civil ou criminal, a responsabilidade não era dela. Anos depois, após decisões judiciais e com o fortalecimento da legislação, ficou claro que a plataforma deveria fazer um controle de verificação, implementar sistemas e controles para verificar se a sua plataforma está sendo usada para prática de ilícito civil ou criminal. Porque sem esses controles, você vai ser responsável. É essa lógica que vamos ter que transportar para essa nova realidade da IA. Se aprovamos o app como ferramenta corporativa, também temos que garantir que ele será utilizado de forma ética e responsável pelos funcionários e parceiros, sem violar os ditames legais em vigor. No final, são três olhares: eu colocando um produto de IA no mercado para ser consumido, um segundo olhar sob o ponto de vista de responsabilidade, e um terceiro como empresa usuária, que vou ter que validar esse terceiro, que está me fornecendo o produto, está de acordo com os princípios da legislação como um todo.
E quem lança esse olhar dentro das estruturas das empresas atualmente?
Uma das coisas que observei no último congresso do IAPP – que é a maior entidade de profissionais de PPD do mundo – é que quando questionados sobre o profissional mais próximo ou preparado do ponto de vista técnico e de implementação de governança, para assumir essa responsabilidade dentro das grandes corporações, existe uma tendência global em apontar que essa responsabilidade deveria ficar com o DPO. A GDPR foi publicada há nove anos na Europa e a quase seis anos, temos a LGPD aprovada aqui no Brasil. Durante esses anos, os DPO’s se prepararam para os desafios e os riscos de proteção de dados. Existe um movimento dizendo que isso tem que ficar debaixo do DPO, de que esse profissional está preparado para conduzir isso com independência e autonomia para fazer a verificação desses riscos e ter a conjuntura de implementação dessas aplicações e sistemas.
Essa tendência se aplica aqui no Brasil também?
Por aqui, isso ainda está engatinhando, em razão da maturidade da própria ANPD (o órgão regulador responsável pela LGPD). Temos guias e orientações já publicados, mas tem vários outros temas que vão passar por consulta pública e depois vão ser publicizados em novos materiais, e principalmente, em novas regulamentações. Nos projetos de lei e legislações que abordam essas questões de IA, a ANPD tem demonstrado, por meio de manifestação pública e contribuições sobre projetos de lei, de que gostaria de ser a autoridade responsável por essas questões de regulamentação de IA. Se isso acontecer, naturalmente o DPO tende a ficar com essa agenda. O movimento no Brasil está um pouco tímido, mas porque também depende da definição de competência e funções da ANPD para entender, efetivamente, se o tema vai ficar sob liderança da área de PPD.
Essa expectativa já se reflete no mercado de DPO’s aqui no Brasil?
O mercado está aquecido para os DPO’s. Principalmente os que estão em empresas globais e atuam no Brasil, estão efetivamente se preparando para enfrentar as questões de IA, até porque eles estão vendo um mercado novo. Dentro do programa de PPD, já existe uma maturidade nas empresas que além de já terem implementado os programas de privacidade e proteção de dados, têm os controles, o monitoramento e aí vem o ponto: muita da inteligência artificial depende também de fazer um treinamento com base em dados pessoais. Há um entendimento de que esses sistemas e aplicações, como vai ter cuidados pessoais dentro da empresa, o DPO deveria estar dentro da apreciação desses riscos do uso da IA dentro das empresas.
Mas eles vão ser uma parte nesse processo de análise, ou vão liderar isso? A tendência global, é trazer a liderança da análise de riscos de PPD para o DPO nessas empresas globais?
Vamos analisar estas questões, deixando um pouco a IA de lado. Quando eu tenho a área de Tecnologia da Informação (TI) ou Segurança de Informação (SI) e eles querem trazer um sistema novo, o autor dessa aplicação provavelmente tem os skills de engenharia, para montar a plataforma. Só que para eu fazer os testes de verificação e aderência dessa aplicação à legislação, isso passa por um assessment. E isso tem um aspecto legal, mas também demanda controles e ferramentas Spara ter segurança na sua aplicação. Vamos pensar que isso é uma aplicação de IA. Já que ele vai ter que lidar com informações que podem envolver dados pessoais ou direitos de propriedade intelectual, de alguma forma, esse assessment tem que ser liderado pelo DPO.
O que nós temos hoje em termos de assessment e ferramentas de controle para fins de PPD, eles são suficientes para lidar com a IA?
Não são suficientes. Por isso os profissionais estão se preparando. Hoje, quando fazemos o assessment de uma aplicação, rigorosamente ele é feito do ponto de vista de privacidade e proteção de dados. Mas agora vai ser preciso ir um pouco além, porque vai ter que entender tudo isso também sob o ponto de vista dos princípios da IA.
Você já consegue dizer alguns pontos que precisam ser inseridos no assessment por conta da IA?
Te digo que estão sendo produzidos. O que vimos no IAPP é justamente isso. De forma geral, estão tentando fazer primeiro uma distinção do tipo de produto. Será que falo de uma IA generativa? Tenho que ter uma fase para checar se o produto ou app de IA tem alguma questão discriminatória e aí preciso criar um senso do que é falso ou verdadeiro. Lembra a foto do Papa, com a jaqueta? Parecia uma piada. Mas tem milhares, milhões de pessoas que acreditaram que aquilo era verdade, entende. Tenho essa outra questão: se a IA tem a capacidade de verificar que aquilo é falso. Caso contrário, ela captura a mentira como verdade e vai produzir o conteúdo a partir daí.
Ou seja, é preciso dar à IA um treinamento sobre ética e moral?
Não só. Na verdade, é preciso mostrar à IA exatamente o que é falso e o que é verdadeiro. Porque sem isso, se ela fizer varredura em tudo o que está disponível na internet e eu perguntar para ela: ‘o Papa tem uma jaqueta da Dolce & Gabbana?”, caso ela não faça essa distinção do que é verdadeiro e o que é falso, ela vai me responder ‘sim’, por conta dessa foto. Tenho que ter dentro da produção da aplicação, justamente, essa questão da capacidade dela discriminar o que é verdadeiro. E tem todas as questões de verificação de assessment dessas redes. E tenho que fazer uma verificação de ética, ver se ela é lícita, se ela respeita as leis e legislações. Quando eu penso na eticidade, preciso checar se ela é aderente aos princípios éticos e valores da sociedade a qual pretende servir, aí tenho que olhar um assessment de robustez, tanto no social quanto no técnico dessa aplicação. Sob o ponto de vista de gênero, a gente sabe as caixinhas que teremos de olhar, mas aí vem a habilidade de conhecer o negócio da empresa no qual o DPO está inserido, para entender dentro dessas caixinhas, os formulários de questionários que vamos ter de criar para fazer esses assessment.
Mas isso mais em situações de uso de aplicativos proprietários, quando você tem algum controle sobre eles, não?
Diria que, no âmbito corporativo, temos que evitar fazer uso de softwares livres. Porque eu não sei se ele armazena seus dados, o que ele faz com os dados… Eu não consigo nesses softwares livres fazer esses assessment. Preciso trabalhar dentro da rede corporativa, para evitar esse tipo de riscos, desconhecidos, preciso trazer aplicações proprietárias. Essa é uma grande discussão que a gente tem.
E as empresas estão assumindo os riscos de usar softwares livres?
Tem empresa já usando chat GPT, porque acham legal para ajudar no trabalho. E elas assumem o risco. Mas essas empresas, em geral, estão evoluídas no programa de privacidade e proteção de dados, já tem todos os pilares e uma preocupação real com PPD. Elas fazem o assessment antes de aprovar o uso de aplicações de forma interna.
Você disse que os profissionais estão se preparando. Mas as empresas estão preparadas para trazer a liderança desse tema da IA para suas áreas de PPD, ou será necessário repensar a estrutura organizacional das áreas?
Acredito que vamos ter que repensar a estrutura organizacional. Temos inúmeras empresas nas quais o DPO ainda briga por budget para terminar a implementação do programa, uma série de empresas nas quais ainda não existe processos de gestão de terceiros, parceiros com os quais você compartilha dados pessoais e nos quais precisaria fazer um assessment para saber se eles têm o mesmo nível de proteção que eu gostaria de ter na minha empresa. Nesse sentido, vamos precisar de uma evolução, porque se não tenho orçamento para implementar tudo o que eu já precisava ter dentro do programa de privacidade, imagina você pleitear um orçamento para fazer o assessment de uma aplicação de IA. Vai ser necessário uma reestruturação para as coisas funcionarem.
Ainda temos poucos exemplos de mercado. Mas as grandes empresas, que já tem o programa de PPD rodando, estão olhando para isso, cada qual dentro da sua realidade, porque sabemos que se usar essas apps de forma correta e isso vai melhorar uma parte dos processos substanciais do ponto de vista de custo e tempo.
No começo do processo de implementação da LGPD, parecia que todas as empresas tinham entendido a importância do tema e que não era um grande desafio ter os recursos para implementar o programa de PPD. O que aconteceu? Esse orçamento se confundiu com o orçamento de TI, passou a “moda”, perdeu-se o foco… O que aconteceu que muita gente ainda não concluiu o processo?
Não tem nada específico. Tem uma conjuntura econômica. Passamos por uma pandemia e a lei entrou em vigor bem na pandemia, foi muito ruim. Todas as empresas cortaram orçamento e reajustaram suas prioridades. Acho que agora, de alguma forma, temos as empresas trabalhando com 100% da sua capacidade, fazendo a economia girar e vemos o crescimento de alocação de budget. Estamos vendo o motor esquentando para terminar as implantações nessas empresas, até porque a ANPD também está estruturada e começou a soltar algumas sanções, ainda que de forma bem educativa. Mas é um ponto importante também.
No contexto que temos hoje, tendemos a tratar da IA de forma fria e técnica, ou ela ainda é uma discussão que está mais no campo da política e da geopolítica? Porque se isso caminhar mais para um lado ou para o outro, isso pode refletir em quem irá cuidar disso, não?
Eu acho que a política e a técnica estão caminhando juntos. As discussões políticas foram aceleradas, é verdade. No ano passado tivemos um caso importante numa escola de classe alta no Rio de Janeiro, bem tradicional, na qual um grupo de alunos pegou fotos de algumas alunas e por meio de app’s começaram a divulgar fotos delas nuas. Mas nas redes sociais, via-se que elas estavam vestidas nas fotos, que se tratava de imagens alteradas por IA. Isso criou um alerta e a reação política brasileira é sempre pensar numa lei, para que se possa gerar a responsabilidade do ponto de vista de ilícito penal. Mas o Brasil não consegue discutir esse assunto sem pensar no que acontece lá fora. Os grupos de estudo sobre essa legislação trazem experiência do que acontece lá fora. E foi o mesmo com a LGPD, que tem muita coisa similar a GDPR. Acho que vai caminhar junto a discussão geopolítica e técnica. Daí a demora. Não dá para tomar decisão sobre legislação de uma hora para outra. Tenho que ter contribuições técnicas, do mercado, tenho que ouvir a sociedade, para que no mínimo eu tenha uma lei geral sobre IA.
Conheça agora o Curso de Proteção de Dados e conquiste a sua Dupla Certificação.
