O uso crescente de Inteligência Artificial (IA) tem gerado transformações significativas nos processos de gestão de dados e informações. Com a expansão do tratamento automatizado de dados e o aumento do volume de informações geridas, as lideranças da área de Privacidade e Proteção de Dados (PPD) se veem diante da necessidade de readequar seus processos, estratégias de conformidade e práticas de segurança, de modo a garantir que o uso de tecnologias emergentes esteja alinhado às regulamentações de proteção de dados, como o GDPR na União Europeia ou a LGPD no Brasil. Essa integração de IA a diferentes aspectos da rotina corporativa traz novos desafios e oportunidades.
Para quem vive o dia a dia da área, a implementação de IA pode facilitar a realização de tarefas rotineiras de monitoramento e auditoria de dados, um dos pilares da atuação do DPO. Ferramentas baseadas na nova tecnologia podem automatizar a análise de grandes volumes de dados em tempo real, identificando possíveis riscos de não conformidade com as normas de proteção de dados, como o uso indevido ou a falta de consentimento adequado.
Viviane Sá, Gerente Geral de Privacidade e DPO na Petrobras, conta que a IA oferece diversos benefícios que podem otimizar a eficiência e a produtividade nas organizações. A executiva destaca alguns benefícios tangíveis e possíveis de utilizar nas suas atividades, como na automatização de processos, na gestão das informações obtidas no inventário de dados pessoais, na análise dos dados produzidos nas mais diversas frentes de um programa de privacidade, identificando padrões, riscos e facilitando a tomada de decisões mais eficientes e precisas em relação à proteção de dados pessoais.
Além disso, na visão da DPO, a tecnologia auxilia no monitoramento de atividades críticas para detecção de eventuais vazamentos e na gestão de terceiros, com análise dos documentos encaminhados para avaliação de maturidade, entre outros assuntos. “Mas não há mágica ou receita de bolo. O DPO precisa conhecer a realidade de sua instituição e ver a melhor utilização da ferramenta nas suas atividades”, alerta a DPO da companhia estatal.
Além disso, o aumento da eficiência, no entanto, também impõe um desafio adicional ao DPO: a necessidade de compreender profundamente como esses sistemas funcionam, para poder supervisioná-los e garantir que não resultem em brechas na segurança ou violações de privacidade.
Outro aspecto relevante da influência da IA na rotina do DPO está relacionado à gestão de dados sensíveis. Sistemas inteligentes podem ser programados para identificar, classificar e até anonimizar dados pessoais de maneira mais eficaz, o que representa uma vantagem significativa em termos de proteção e segurança. Profissionais do setor dizem, entretanto, que a dependência de IA também aumenta a complexidade das tarefas de governança de dados, pois isso requer uma supervisão contínua e detalhada, feita por pessoas, para evitar erros ou falhas que possam comprometer a conformidade legal. Assim, além de suas funções tradicionais, o DPO precisa se adaptar a um cenário em que a tecnologia se alia à governança de dados. O desafio fica em equilibrar inovação e segurança em um ambiente cada vez mais dinâmico e regulado. Para a DPO da Petrobras, algumas cautelas devem ser observadas desde a concepção dos sistemas e durante todo o ciclo de vida dos dados. “Com a automatização de processos e a possibilidade de avaliar grandes quantidades de dados de forma mais rápida e precisa, é importante conhecer os algoritmos para que as análises sejam auditáveis, transparentes e compreensíveis, implementando medidas para corrigir vieses algorítmicos e garantir a qualidade dos dados utilizados, com sistemas de monitoramento e verificação desses vieses”, afirma.
Viviane ressalta ainda a importância de entender que o atendimento ao princípio da segurança previsto na LGPD é essencial. Existe o risco de exposição de informações, inclusive de dados pessoais sensíveis, com eventual vazamento. “Portanto, é fundamental adotar práticas robustas de segurança para garantir a proteção dos dados pessoais, a integridade e a confiabilidade desses modelos, bem como uma efetiva gestão de acesso às informações”, diz a executiva da Petrobras.
O DPO e a área dedicada à proteção de dados pessoais nas organizações são fundamentais para a análise de potenciais riscos no uso de IA e a adoção de medidas para que essa prática seja ética e transparente. Para quem já conta com um bom programa de privacidade, a tarefa tende a ser facilitada (embora continue sendo desafiadora), por conta de já contar com mapeamento dos processos, identificação dos riscos, implementação de medidas de segurança e análise de eventuais violações já ocorridas, dentre outros. “Assim, frente a uma ferramenta que usa IA naquele processo, a área de privacidade consegue atuar com mais propriedade e eficiência”, acredita Viviane, para quem as empresas não podem ver no DPO um entrave para o uso de IA, mas sim um parceiro importante para a atuação de acordo com a legislação. “O DPO deve participar de toda a discussão sobre a governança na utilização ética de IA na organização e na elaboração de diretrizes com regras sobre o uso de IA, garantindo que os sistemas de IA estejam em conformidade com a legislação de privacidade desde a concepção (privacy by design) e com normas de segurança da informação”, reforça Viviane.
Regulação favorece avanço do uso da IA
“A IA é um caminho sem volta”, afirma Alexandre Vicente, DPO da Prefeitura de Londrina, no Paraná. E embora sua aplicação já ofereça benefícios para diversos setores, ela ainda é um campo de conhecimento novo. “A própria ANPD (Autoridade Nacional de Proteção de Dados) abriu tomada de subsídios sobre inteligência artificial para entender e observar a necessidade de uma regulação em cima dela, principalmente voltada à produção de dados pessoais de uma organização”, explica o servidor da prefeitura paranaense. Na visão do DPO, é preciso ter normas. “A AI pode nos auxiliar nos processos, na tomada de decisão, na busca da informações, principalmente quando elaboramos um RIPD (Relatório de Impacto à Proteção de Dados), que demonstra onde você está forte e onde está vulnerável. A inteligência artificial pode nos trazer de maneira mais ágil respostas para essas questões que ainda estão em aberto, mas a falta de uma normatização, de uma padronização, faz com que cada um procure atuar da melhor forma e aliar essa ferramenta a seu dia a dia”, afirma.
A Tomada de Subsídios traz 15 questionamentos organizados em quatro blocos: Princípios da LGPD; Hipóteses Legais; Direitos dos Titulares; Boas Práticas e Governança. Espera-se com isso que a Coordenação-Nacional de Normatização da ANPD, responsável pelo chamamento, e os demais envolvidos no projeto possam orientar a atividade regulatória de modo a equilibrar a livre-iniciativa e o desenvolvimento tecnológico com a proteção aos direitos do titular de dados, além de auxiliar na identificação de potenciais riscos associados ao uso de IA e decisões automatizadas com base em tratamento de dados pessoais, incluindo inclusive problemas relacionados a viés algorítmico e discriminação ilícita ou abusiva. “Apesar de a Tomada de Subsídios não ser obrigatória como a Consulta Pública e a Audiência Pública, ela permite que a ANPD reúna contribuições detalhadas de especialistas, organizações sociais e até mesmo de outros órgãos governamentais que trabalham com IA e proteção de dados. Esses participantes podem fornecer informações técnicas, estudos de caso e práticas internacionais que ajudam a fundamentar a regulamentação e tornam-na mais robusta e tecnicamente atualizada”, explica Rodrigo Santana, Coordenador-Geral de Normatização do regulador. Alexandre Vicente afirma que a regulamentação vai facilitar o entendimento sobre como se pode utilizar a tecnologia e até onde é possível avançar com a IA na questão da produção de dados pessoais. “Vejo isso como um entrave benéfico, em favor das instituições de titulares de dados e até mesmo dos próprios DPOs”, reforça.
Uma melhor normatização pode exercer papel fundamental para que as próprias empresas deem mais atenção aos riscos de privacidade e proteção de dados pessoais relacionados à rápida adoção pelas companhias de ferramentas baseadas em IA, algo que, para parcela significativa dos responsáveis pelos temas de PPD, ainda não aconteceu. “Há muito desconhecimento sobre o assunto”, pontua Gustavo Godinho, DPO da empresa de apostas Blaze no Brasil. Para ele, faltam letramento, awareness e treinamento sobre o tema. “Precisamos olhar com mais cuidado para o tópico, pensando em IA ética, IA responsável e garantindo accountability para os atores da empresa”, acredita.
Existem explicações para isso que vão além da mera questão normativa e regulatória. “As empresas brasileiras e seus respectivos profissionais buscam sempre acompanhar a tendência, sem antes entender todo seu contexto”, esclarece Remilina Yun, Gerente de Privacidade e Proteção de Dados da fabricante de papel e celulose Suzano.
Essa “afobação” implica muitos riscos possíveis para as organizações, como o uso ilimitado e inadvertido de ferramentas e aplicações sem o devido conhecimento e treinamento, além da contratação de terceiros que se utilizam de IA sem a devida checagem, apontados por Gustavo. Já Remilina vê claramente, entre esses riscos, o ponto da origem das fontes. “Considerando a ausência clara da falta de uma estrutura de governança de dados nas organizações, o risco fica majorado quando envolve a adoção de IA, pois sem entender quais são os dados e como eles entram e saem, não temos como identificar e avaliar os entregáveis de uma IA”, pontua a gerente da Suzano.
Outro grande desafio que se coloca hoje para quem precisa entender melhor o funcionamento das IAs para, a partir daí, estabelecer suas estratégias de privacidade frente ao uso dessas ferramentas diz respeito a uma certa névoa das big techs em relação ao desenvolvimento atual da tecnologia. “Não vemos da parte dessas empresas demonstrações dos testes realizados e das garantias de que a IA (dessas empresas) não tornará suas avaliações enviesadas ou incorretas, baseadas em estereótipos determinantes conhecidos e desconhecidos”, alerta Adriana Medeiros Gonçalves, Gerente de Compliance e DPO da epharma PBM, uma operadora que gerencia a conexão de benefícios entre indústrias farmacêuticas, varejistas, operadores de saúde e consumidores. Outro aspecto crítico dessa falta de demonstração técnica é que é possível, tecnicamente, impor limites à forma como a IA se comporta e estuda os dados dos quais se alimenta. “Sem essas medidas, com o tempo, as IAs passarão a desmascarar dados pessoais anteriormente anonimizados, apresentar perfis predefinidos dos quais o próprio titular do dado não conseguirá se desvincular”, emenda Adriana.
Particularmente em relação à IA generativa, o avanço dessas ferramentas tem se tornado exponencialmente maior do que a proteção de dados em torno da tecnologia. “Muitas empresas têm utilizado a IA para alavancar seus negócios e se tornarem mais competitivas frente aos seus concorrentes, sem dar a devida atenção aos futuros efeitos colaterais irreversíveis que podem acontecer por não terem incluído adequadamente os aspectos da proteção de dados”, pontua Igor Gutierrez, Information Security Officer & DPO da B. GROB do Brasil, fabricante de equipamentos e máquinas-ferramentas para diferentes indústrias, como a automotiva e a aeroespacial. Para o executivo, o principal risco é quando uma IA faz parte de uma rede neural de baixo viés com alta variância, o que pode fazer com que o administrador do recurso perca o pleno controle sobre o manuseio dos dados pessoais. “Isso pode, simplesmente, eliminar a possibilidade de se cumprir algumas obrigatoriedades exigidas pela lei”, alerta Igor.
Um desafio importante que se coloca, não apenas aos profissionais de PPD, mas também aos operadores jurídicos que precisam lidar com essas questões, diz respeito à capacidade desses agentes em executar uma integração e uma interpretação do direito partindo dos princípios e dos preceitos estabelecidos na Constituição Federal, uma vez que o ordenamento jurídico é um só. “Os advogados que trabalham na área do direito digital, com novas tecnologias, privacidade e proteção de dados, têm grandes desafios pela frente”, explica Humberto de Jesus Ortiz Rodriguez, Legal Data & Privacy Sr. Manager e DPO da Whirlpool para América Latina, dona das marcas Consul e Brastemp. Para ele, além das normas já existentes, será preciso incorporar as práticas e ferramentas que surjam a partir da nova regulamentação da IA, ao mesmo tempo que precisarão ser desenvolvidas competências para entender sua essência, a matriz algorítmica e o funcionamento da IA, para que consigam fixar responsabilidades nas negociações e desenvolver propostas de novas normas regulatórias complementares à lei stricto sensu. “Os processos trabalhistas, cíveis e de propriedade intelectual (para citar apenas alguns) serão cenários de profundos debates sobre a matéria. A IA trará para o tabuleiro do jogo discussões amplas, que englobem desde a perspectiva filosófica-jurídica, para resolver os conflitos derivados da evolução científico-tecnológica”, reforça Humberto.
Diante de todos os desafios já elencados e de muitos outros ainda desconhecidos, é preciso dizer que esse é apenas o ponto inicial de discussões acerca de uma tecnologia que já se demonstrou poderosa, a ponto de ser hoje tratada também como questão geopolítica e de segurança nacional. E essas discussões precisam ir muito além das empresas. “Precisamos coletivamente moldar o caminho em direção à inovação verdadeiramente responsável. O desafio é grande, pois significa também definir os parâmetros que consideramos aceitáveis enquanto sociedade e impulsionar oportunidades para que os usos de sistemas com IA sejam verdadeiramente benéficos”, acredita Aline Fuke Fachinetti, Regional Data Protection Manager da empresa de serviços e meios de pagamento Edenred. “Tenho um pouco de receio da utilização da IA no nosso dia a dia. Mais do que uma ferramenta importante, enxergo seu uso como algo sem volta, mas vejo com muita cautela a sua aplicação”, conclui Alexandre, da Prefeitura de Londrina.
Conheça o Proteção de Dados e Governança de Inteligência Artificial + Dupla Certificação
Artigo publicado originalmente no Anuário Compliance On Top 2024 com o título “Muitas vantagens e muitos riscos”.
Imagem: Canva