O relatório de impacto como abordagem regulatória preventiva

Migalhas de IA e Proteção de Dados

Introdução

O Brasil não possui regulação jurídica sobre o uso de inteligência artificial (IA). Dessa forma, surge a necessidade de se buscar soluções preexistentes na legislação brasileira que podem se consolidar futuramente como ferramentas indispensáveis para a identificação de eventuais falhas. É onde entra a implementação obrigatória do relatório de impacto quanto aos riscos da IA como potencial solução para a análise pormenorizada de sistemas de inteligência artificial.

As arquiteturas de softwares programados para realizarem decisões automatizadas por meio de técnicas de machine learning, por exemplo, apresentam certos riscos; porém, o grau do risco é desconhecido, justamente pela falta de transparência acerca do funcionamento de suas arquiteturas internas. Dessa forma, uma avaliação de risco contínua e devidamente documentada propiciará análises imprescindíveis tanto para consubstanciar um sistema preventivo que sobreviva ao desgaste do tempo em relação ao inexorável avanço tecnológico, quanto para servir como regulamentação ampla e precisa, que funcione como instrumento jurídico para toda e qualquer contenda jurídica que venha a surgir nos anos vindouros.

Ainda é forte no contexto brasileiro a cultura remediadora de problemas. Os legisladores e juristas ainda prezam por um ordenamento que tipifique dispositivos claros e completos em prol da solução de contendas. É necessário evoluir para uma legislação focada na prevenção de problemas, e não na remediação deles. A remediação deve existir como solução residual apenas para problemáticas que não puderam ser sanadas antes de eclodirem. Para tanto, um dos mais eficientes instrumentos de prevenção contra a lesão de direitos fundamentais de titulares de dados pessoais é o Relatório de Impacto.

A prática do uso de relatórios de impacto tem crescido cada vez mais no âmbito da proteção de dados pessoais, figurando como um dos principais meios de análise de risco para a documentação pela qual o controlador - aquele que tem poder de tomada de decisão na cadeia de tratamento de dados - registra os processos envolvendo o tratamento de dados, bem como suas respectivas ferramentas adotadas em prol da mitigação de risco que uma operação poderia acarretar aos direitos dos titulares de dados.

Uma abordagem regulatória baseada em gestão de riscos

Melvin Kranzberg¹ afirmou que "a tecnologia não é boa nem má; bem como não é neutra'', em pouco tempo, levou a um afastamento tanto do determinismo tecnológico quanto da visão instrumentalista da neutralidade dos artefatos tecnológicos. Resta a conclusão de que uma implementação sustentável e justa² de novas tecnologias só pode ser realizada por meio de regulações específicas que definam de forma clara e objetiva as metodologias de implantação, as restrições de uso, o nível de risco e relação às finalidades esperadas e, por fim, a responsabilização por meio de sanções justas e cabíveis para as partes envolvidas.

Para uma melhor compreensão das ferramentas de gestão de risco, há que se compreender a dicotomia entre as abordagens regulatórias baseadas nos direitos fundamentais (rights-based approach) e aquelas baseadas nos riscos (risk-based approach).

Ao passo que todo e qualquer controlador, em prol do respeito aos direitos fundamentais tutelados pela Constituição Federal, deve se ater em observar os princípios que regem a disciplina da proteção de dados pessoais por meio de juízos de adequação de necessidade e da razoabilidade do tratamento de dados de acordo com a finalidade específica (rights-based approach), é dever também do controlador determinar o tipo de processamento e os riscos à privacidade³ dos titulares dos dados pessoais para que possam implementar corretamente as medidas de responsabilidade, tais como a avaliação de impacto (risk-based approach).

Os sistemas de IA, tais como aqueles utilizados para reconhecimento facial e profiling, possuem caráter altamente imprevisível⁴ e, portanto, nas avaliações de risco, torna-se complexo nivelar o risco que uma decisão automatizada ou proveniente de processos de machine learning poderia acarretar em situações específicas, potencializando a possibilidade de catástrofes em que pese as possíveis violações diretas (non-compliance) aos direitos e liberdades fundamentais dos titulares de dados.

Dessa forma, compreende-se que o ponto medular das ferramentas risk-based deve abordar de maneira escalável e proporcional para o controlador em prol de um compliance estável e perene⁵. Isto é, quanto maior for o risco que determinado processamento de dados poderá vir a oferecer de acordo com a amplitude de eventos que se pode prever em determinada arquitetura de software que baseie suas conclusões por IA, maior será a necessidade de prevenção e documentação pelo controlador. Portanto, o nível de obrigação de prestação de contas estará atrelado ao nível de risco que a operação apresentar.

Nesse sentido, extraindo-se dos princípios da segurança, da prevenção e da responsabilização e da prestação de contas presentes no artigo 6º, a sistemática legal da Lei Geral de Proteção de Dados (LGPD) preconiza a obrigação de que sejam implementadas medidas mínimas de segurança que resguardem os direitos do titular de dados pessoais a partir da documentação das atividades de processamento, independentemente do nível de risco da operação. Assim, a pergunta que surge é: se o fator "alto risco ao titular de dados pessoais" determinaria a escalabilidade de obrigação de adequação à lei que o controlador de dados deve se submeter, qual seria, então, a forma de identificação desses riscos para que possam ser devidamente avaliados e mitigados? A resposta inferida pela interpretação da legislação seria a avaliação de impacto, gênero no qual o Relatório de Impacto de Proteção de Dados (RIPD) é espécie. Mas seria razoável "reciclar" essa documentação, ou deveríamos adaptar para um assessment voltado especificamente para sistemas de IA que tratem dados pessoais?

Implementando o relatório de impacto no uso de inteligência artificial

Tendo em vista que a base teórica do dispositivo legal que rege a proteção de dados no Brasil foi inspirada na experiência europeia de elaboração do General Data Protection Regulation (GDPR)⁶ a partir de outros textos como a ISO/IEC 29.134/2017, que versa sobre as Guidelines for Privacy Impact, e a ISO 31.000, sobre princípios e orientações acerca da gestão de risco, dentre as obrigações e instrumentos semelhantes entre as duas legislações, uma das adaptações trazida pela legislação brasileira foi o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), que por sua vez equivale ao seu homônimo criado primeiro pelas autoridades europeias, o Data Protection Impact Assessment (DPIA).

A regulação do RIPD ainda enfrenta desafios em razão de se figurar como um instrumento ainda incompreendido, em que não se sabe ainda seu alcance, tampouco suas limitações. Sobre isso, os principais desafios para a regulação pelo Relatório de Impacto à Proteção de Dados Pessoais (RIPD) sugerem que a ferramenta seja identificada em suas reais funções de acordo com seu papel na LGPD, amparado na noção de risco a partir de sua análise e documentação, baseada nas hipóteses de obrigatoriedade de elaboração de acordo com uma metodologia definida de forma adequada e que, por fim, tal prestação de contas à Autoridade Nacional de Proteção de Dados (ANPD) seja demonstrada a partir de parâmetros bem estabelecidos, visto que, com a recente publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas⁷, existe a possibilidade de que a não apresentação de Relatório de Impacto, quando solicitado, possa configurar obstrução à fiscalização da ANPD.

É perceptível que, no cenário brasileiro, o emprego de IA para automatização de decisões não são antecedidos pela elaboração de relatórios de impacto, principalmente, quando empregado pela iniciativa pública, vez que, de acordo com a previsão da Lei Geral de Proteção de Dados brasileira, existe a possibilidade de se justificar o uso de dados pessoais sensíveis - como dados biométricos - quando o tratamento compartilhado de dados for interpretado como necessário à execução de políticas públicas previstas em leis ou regulamentos pela administração pública, conforme disposição do artigo 11, inciso II, alínea b).

Existem, de fato, instrumentos já conhecidos pela experiência europeia⁸, como avaliações de impacto para implementação ética, responsável e segura⁹. O Relatório de Impacto da IA criado pela Plataforma para a Sociedade da Informação (ECP)¹⁰, uma plataforma holandesa independente, por exemplo, é ferramenta pelo qual empresas, desenvolvedores e projetistas podem esclarecer quais padrões legais e éticos são importantes na criação e aplicação de sistemas de IA e robótica inteligente. Esse relatório, em conjunção com o Código de Conduta de Inteligência Artificial, também esclarecem quais motivos e considerações formam a base para as escolhas e decisões a serem tomadas durante o processo de implementação de IA.

No entanto, no panorama brasileiro, a LGPD não definiu os procedimentos para a elaboração do relatório de impacto para o uso de IA, apesar de constar em seu artigo 20 a previsão acerca da possibilidade de auditoria de decisões resultantes de tratamento automatizado de dados pessoais. É necessário, portanto, diferenciar o relatório de impacto previsto na LGPD daquele que deverá ser previsto em eventual regulação do uso de IA. Ao passo que o Relatório de Impacto de Proteção de Dados (RIPD) previsto na LGPD tem a finalidade de descrever os processos de tratamento de dados pessoais que apresentam potencial de risco às liberdades civis e aos direitos fundamentais, o relatório de impacto que eventualmente será implementado a partir de regulação específica para o uso de IA, para além da atenção ao tratamento de dados pessoais, deverá focar não só na obrigação de uma descrição pormenorizada do output do processo decisório e da metodologia utilizada para o desenvolvimento do sistema para mitigar o enviesamento de decisões, como também na descrição das formas e modalidades pelas quais serão feitas o treinamento de sistemas que utilizem técnicas de machine learning ou deep learning¹¹.

Todavia, a confusão teórica entre o que se qualificaria como risco e o que seria, por essência, uma violação direta (non-compliance) faz com que a análise de risco seja postergada para fase subsequente à avaliação de impacto. Essa negligência é também razão para o enfraquecimento dos mecanismos de prevenção e de mitigação de danos aos titulares de dados.

Nessa perspectiva, a fim de se garantir o direito do titular de entender a lógica do processo decisório e o significado das consequências pretendidas, caberá a essa nova regulação do uso de IA impor ao controlador o ônus da prova da legitimidade do tratamento totalmente automatizado por sistemas de IA, cabendo ao controlador demonstrar não só as fontes e as maneiras de coleta de dados pessoais, como também a) as linhas gerais de programação dos algoritmos e seus objetivos; b) as explicações acerca do desenvolvimento desses algoritmos; c) a possibilidade do algoritmo modificar seu próprio código sem a intervenção humana, bem como a previsibilidade e a verificabilidade dessas modificações; d) as categorias relevantes dos perfis e seus critérios; e) os outputs do processo decisório e suas respectivas possibilidades de avaliação de adequação e acurácia; f) os mecanismos de feedback; g) o nível de intervenção humana; h) os principais impactos para os titulares de dados e as respectivas medidas para mitigação de riscos.

Conclusões

A necessidade primeira e a finalidade última do relatório de impacto é conceber, a partir da documentação e análise dos tratamentos de dados realizados, um instrumento efetivo de governança de dados que propicie um solo fértil e seguro para que haja, cada vez mais, tomadas de decisões seguras, previsíveis e potencialmente menos danosas, principalmente em se tratando de decisões automatizadas. Portanto, a cultura de análise de risco e de elaboração de relatório de impacto deverá consistir no balizamento perene de um desenvolvimento saudável do tratamento de dados pessoais no Brasil pela atualização constante dos relatórios de impacto durante todo o percurso do processo de implementação de tecnologias de inteligência artificial que produzam decisões automatizadas no tratamento de dados em todo e qualquer setor da sociedade, seja ele privado ou público.

Deve-se aprender com as regulações preexistentes de outros países¹²; porém, é preciso ir além da mera paráfrase. É necessário identificar concepções jurídicas semelhantes e adequá-las à realidade jurídica brasileira atendendo a pressupostos legais de responsabilidade, tipificações sancionatórias, e alcance jurisdicional.

É necessário tempo e cautela para a elaboração de dispositivos normativos que visem a regulamentar o uso de tecnologias com tamanho potencial de evolução e modulação arquitetônica de software. No entanto, mais importante que criar leis com restrições e sanções severas, é necessário implementar mecanismos de atuação preventiva, tal como os relatórios de impacto específicos para o tratamento de dados pessoais por IA.

__________

1 Kranzberg, Melvin. Technology and History: "Kranzberg's Laws". Johns Hopkins University Press, v. 27, n. 3, p. 544-560, 1986, p. 545.

2 Weinberger, D. Playing with AI Fairness. Google's PAIR (People and AI Research), 2021. Disponível aqui.

3 Wright, David; De Hert, Paul (Orgs.), Privacy Impact Assessment, Dordrecht: Springer Netherlands, 2012.

4 Haugeland, J. Artificial Intelligence: The Very Idea. Cambridge: Bradford Books, 1985.

5 Frazão, Ana; Cueva, Ricardo. Compliance e Políticas de Proteção de Dados. São Paulo (SP): Editora Revista dos Tribunais. 2022.

6 Bioni, Bruno; Leite Monteiro, Renato; Oliveira, Maria Cecília. GDPR Matchup: Brazil's General Data Protection LAW, IAPP, 2018.

7 Brasil, República Federativa do. Disponível aqui. Acesso em 12 de março de 2023.

8 Comissão Europeia. Disponível aqui. Acesso em 12 de março de 2023.

9 Algorithmwatch. AI Ethics Guidelines Global Inventory, s/c, s/d. Disponível aqui.

10 Plataforma para a Sociedade da Informação. Holanda. Disponível aqui. Acesso em 12 de março de 2023.

11 Mitchell, T. Machine Learning. New York: McGraw Hill, 1997.

12 Kuner, Christopher. The European Commission's Proposed Data Protection Regulation: A Copernican Revolution in European Data Protection Law. Bloomberg BNA Privacy and Security Law Report, v. 6, n. 11, p. 1-15, 2012.

COORDENAÇÃO

Cintia Rosa Pereira de Lima , professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira , professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Evandro Eduardo Seron Ruiz , professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo - PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca , professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.

outras edições

APOIADORES

FOMENTADORES

COLUNAS

Migalhas de IA e Proteção de Dados

A Inteligência Artificial no Brasil: O relatório de impacto como abordagem regulatória preventiva