A governança envolve a elaboração de políticas e processos internos que visam garantir a ética, a transparência e a conformidade jurídica durante todo o projeto
Por Juliana Costa Martins
Os sistemas de inteligência artificial têm demonstrado grande potencial para o aprimoramento de processos, aumento de eficiência e de produtividade, além da entrega de valor em diversos segmentos, o que fomenta um ecossistema propício para o desenvolvimento de sistemas de I.A próprios, seja por empresas ou startups que buscam oferecer novas soluções no mercado.
Por outro lado, estes sistemas apresentam riscos de coleta, armazenamento e tratamento indevido de dados pessoais, o que pode gerar grandes prejuízos aos titulares em caso de incidentes de segurança.
Diante da necessidade de regularização do tema, está em tramitação no Senado Federal a Proposta de Regulamentação do uso da Inteligência Artificial (PL nº 2338/23), que visa estabelecer normas gerais sobre o desenvolvimento, implementação, utilização e a governança de sistemas de IA no país. No entanto, quando se trata de privacidade e proteção de dados pessoais, este projeto se remete à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18), que já está em vigor desde 2018, o que reforça a sua aplicação em relação a sistemas de I.A.
Neste contexto, evidencia-se que durante o desenvolvimento de um sistema de inteligência artificial, a empresa deve adotar medidas de governança para a garantia de conformidade com a legislação.
A governança envolve a elaboração de políticas e processos internos que visam garantir a ética, a transparência e a conformidade jurídica durante todo o projeto, além de possibilitar a sua melhoria contínua. Sob a ótica do mercado, é importante ressaltar que a mitigação de riscos por meio da governança eleva a confiabilidade de seus produtos e serviços, e torna a empresa mais competitiva no mercado.
Na construção do programa de governança é primordial prezar pela segurança de dados, tanto na avaliação da infraestrutura quanto na análise de riscos do sistema.
Todo o projeto deve ser norteado pelo privacy by design, princípio adotado pela LGPD (art. 46, §2º), que visa garantir a privacidade e a proteção de dados pessoais desde a concepção do sistema. Em consonância com a LGPD, pode-se utilizar como referência as diretrizes do CNIL (Comission Nationale Informatique & Libertés), a Autoridade de Proteção de Dados francesa, que traça os principais objetivos de segurança no desenvolvimento de I.A.
A partir disso, propõe-se um framework de governança que engloba todas as fases de criação, desenvolvimento, implementação e disponibilização do sistema de I.A., sob a ótica de segurança dos dados pessoais.
De início, é importante formar uma equipe multidisciplinar com profissionais de áreas que envolvam o projeto analisado, como membros especialistas em inteligência artificial, em segurança da informação, em governança, compliance, e privacidade e proteção de dados. Assim, institui-se um comitê responsável pela governança de I.A que estabelecerá os princípios, processos internos e regras para o seu funcionamento.
O comitê deve elaborar o estudo de viabilidade do projeto, com a atuação preponderante do setor jurídico, para a verificação da conformidade legal do sistema de I.A que se propõe a desenvolver, o que levará em conta: 1) o objetivo do sistema; 2) o método a ser utilizado para o seu desenvolvimento; 3) as fontes de dados e os critérios de seleção (que já considerem os potenciais impactos aos titulares e o princípio da minimização de dados pessoais); dentre outras variáveis.
Por conseguinte, aliado ao desenvolvimento do sistema de I.A, deverá ser elaborado o programa de privacidade e proteção de dados, no qual serão realizados: 1) o mapeamento e a avaliação de riscos; 2) o registro de todas as medidas de segurança adotadas para a verificação da confiabilidade dos dados; 3) a identificação e mitigação das vulnerabilidades das ferramentas e protocolos utilizados, inclusive, de componentes externos do sistema, como backups, interfaces e comunicações; 4) a classificação das bases legais; 5) a implementação de medidas de prevenção e protocolos de respostas a incidentes de segurança. A construção de uma documentação robusta e fiel às práticas realizadas pela empresa é essencial para a demonstração de sua conformidade perante as autoridades responsáveis.
A análise de riscos deve incluir o detalhamento das fontes de risco – como por exemplo, uma base de dados vulnerável – e os impactos que podem ser gerados aos seus usuários, como a exposição de dados pessoais ou a discriminação algorítmica. Além disso, a atenção deve ser redobrada em relação ao uso de ferramentas e ambientes que envolverem o tratamento de dados pessoais sensíveis (dado referente à saúde ou à vida sexual, dado genético ou biométrico, dentre outros).
Considerando ainda que falhas de segurança no sistema possam levar à quebra de confidencialidade de dados pessoais e de dados sigilosos, também é imprescindível a realização de testes de segurança contínuos, principalmente, tratando-se de sistemas que incorporem aprendizagem contínua de máquina (machine learning), o que exige o monitoramento de seu desempenho e a elaboração de avaliações de riscos periódicas. Da mesma forma, a auditabilidade do sistema é importante tanto para a sua avaliação interna quanto para a compreensão de terceiros.
O comitê deve, ainda, estabelecer rotinas que prezem pela melhoria contínua dos processos, além de fomentar a transparência e a comunicação eficaz entre os setores. A realização de treinamentos com as equipes envolvidas também é crucial para o envolvimento de todos e a eficácia do programa de governança.
Todas essas medidas visam resguardar a empresa e promover a adoção de boas práticas em todas as fases de desenvolvimento e implementação do sistema. Além disso, têm o objetivo de construir as políticas e procedimentos que serão adotados em caso de incidentes de segurança e/ou impacto aos titulares de dados pessoais.
Revela-se, portanto, imprescindível elaborar um programa de governança de I.A, com o apoio de um jurídico especializado, com o objetivo de desenvolver sistemas embasados no privacy by design e em consonância com as melhores práticas e legislações de proteção de dados pessoais. A governança eleva a confiabilidade e a qualidade do sistema, além de torná-lo mais competitivo e íntegro no mercado.
*Juliana Costa Martins, Advogada no DMS Advogados. Graduada em Direito pela UFJF. Pós-graduada em Direito Digital pela Fundação Escola Superior do Ministério Público com formação em Compliance de Dados e Data Protection Officer (DPO) pela PUC-Rio. Especialista em Advocacia Consultiva e Membro da Comissão de Direito, Inovação, Tecnologia e Empreendedorismo da OAB Subseção Juiz de Fora/MG.
No Crypto ID você lê excelentes artigos sobre a legislação brasileira e internacional relacionada à tecnologia e a segurança da informação, também novidades sobre ferramentas e aplicações da tecnologia na prática jurídica. Acesse agora mesmo!
doc9 marca presença na CON24, evento estratégico para a expansão da atuação da empresa
Advogado, esperar que os clientes venham ao escritório para assinar documentos é coisa do passado!
Direito Digital, Inovação e Proteção de Dados: desafios e oportunidades na era da informação
Lançado o Regulamento da ANPD sobre o Encarregado pelo Tratamento de Dados Pessoais ou DPO
Leia mais sobre Privacidade e Proteção de Dados em nossa coluna dedicada a esse tema. São artigos sobre o que acontece no Brasil e no Mundo. Aqui!
