Como a relação entre proteção de dados pessoais e IA pode beneficiar os agentes regulados?

Muitas são as manifestações no sentido de se relacionar a Inteligência Artificial (IA) à proteção de dados pessoais, sendo a última e mais relevante delas a publicação, pela Autoridade Nacional de Proteção de Dados (ANPD), do documento de Análise Preliminar do PL 2.338/23.

A intersecção entre a proteção de dados pessoais - regulada pela lei 13.709/18 (LGPD) - e a Inteligência Artificial - (PL 2.338/23) - parece ser evidente, tendo em vista a utilização em massa de dados - pessoais e não pessoais - pelos sistemas de IA, como matéria-prima necessária ao seu funcionamento e aprimoramento (quanto mais, melhor!). E sendo inescapável a existência dessa relação, para além do relevante ponto de conexão entre esses campos de estudo - os dados em si -, resta compreender quais seus reais benefícios aos agentes regulados, se bem aproveitada.

A ANPD, embora tenha dado visibilidade a inúmeros pontos de convergência entre as áreas e as normas regulamentadoras a elas pertinentes, voltou sua abordagem para justificar as razões pelas quais seria a autoridade-chave para regulação de Inteligência Artificial no Brasil. Seu entendimento é no sentido de que a eventual criação de um novo órgão ou a atribuição de competências a outra entidade poderia ocasionar uma fragmentação regulatória e uma sobreposição de competências com a ANPD.

De fato, há boas razões para se concluir que a ANPD se adequaria ao papel de órgão regulador e fiscalizador da IA. Não obstante, os motivos mais relevantes a serem extraídos da relação entre proteção de dados pessoais e IA, timidamente pincelados pela ANPD no documento publicado, podem - e devem - ser observados por qualquer que seja o órgão regulador da IA, quais sejam, a segurança jurídica, a previsibilidade e a redução de custos de transação (não apenas monetários) aos agentes regulados e aos titulares de direito.

Nesse sentido, um olhar, ainda que breve, voltado às conexões entre esses dois temas permite que se chegue a importantes conclusões.

O primeiro ponto de conexão é a relação entre os direitos dos titulares - de dados pessoais e aqueles afetados por sistema de IA -, a exemplo do direito à informação, previsto nos artigos 5º, I, 7º e 8º do PL 2.338/23, e o direito de acesso e princípio da transparência, previstos nos arts. 9º e art. 6º, IV, da LGPD, respectivamente. Ambos os sistemas preveem que ao titular de direitos devem ser asseguradas informações claras e adequadas, sendo a este possibilitado o acesso facilitado às informações.

No mesmo sentido, o PL 2.338/23, nos arts. 5º, II e 9º, prevê ao titular o direito de contestar e solicitar revisão de decisões tomadas com base em Inteligência Artificial, o que está diretamente relacionado com o direito de solicitar revisão ou pedir informações sobre decisões automatizadas, previsto no art. 20 da LGPD. Aqui, como salientado pela ANPD em sua análise, existe um ponto de tensão quanto às condicionantes previstas no PL 2.338/23 para que seja possível o exercício desse direito ("efeitos jurídicos relevantes" e que "impactem de maneira significativa os interesses das pessoas") e a desnecessidade delas para o exercício do direito no âmbito da LGPD.

As definições de risco no espectro da IA também têm relação direta com os dados pessoais, especialmente sensíveis, tendo em vista que o seu tratamento é fator de agravamento de risco em sistemas de IA. Portanto, a adequação de um agente de tratamento que utiliza sistemas de IA à LGPD é fator-chave para mitigar riscos. A própria classificação de risco no tratamento de dados pessoais, a exemplo do tratamento do "alto risco" previsto pela Resolução CD/ANPD 02, e as futuras definições, conforme previsto no item "8" ("Definição de alto risco e larga escala") da agenda regulatória da ANPD para o biênio 23-24, deverão servir de linha interpretativa à compressão da quantificação dos riscos relacionados aos sistemas de IA, facilitando o seu entendimento e a sua observância pelos agentes regulados.

Além disso, verifica-se a existência de relação entre os mecanismos de governança de uma e outra (futura) regulação. Enquanto o uso de sistemas de Inteligência Artificial de alto risco para os titulares de direitos obriga a realização de uma "avaliação de impacto algorítmico" (AIA), o tratamento de dados pessoais que "possa gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais da LGPD e às liberdades civis e aos direitos fundamentais do titular"^[1] sugere a elaboração de "relatório de impacto à proteção de dados" (RIPD).

A instituição do programa de governança por meio de códigos de boas práticas e de governança dos agentes de Inteligência Artificial, previsto no artigo 30 do PL nº 2.338/2023, é outro ponto que se assemelha diretamente à formulação de regras de boas práticas e governança prevista no art. 50 da LGPD.

Com esses pontos de contato, o que se espera, independentemente da autoridade reguladora, é que está se utilize, dentro do possível, da experiência e das práticas já existentes no mercado que possibilitem seu aproveitamento e adaptação.

O surgimento da LGPD ocasionou mudanças estruturais nas empresas e entidades que tratam dados pessoais, acarretando uma série de novas obrigações, incontáveis custos para a devida adequação, dúvidas quanto à implementação e elaboração de documentos para atendimento à nova lei, e, portanto, grandes preocupações sobre a nova forma de proceder e fazer negócios. A LGPD ocasionou uma mudança cultural em toda a sociedade.  

O que se espera com relação à regulação da IA é uma recepção menos traumática pelo mercado, considerando que os agentes de tratamento ainda seguem tentando se adequar à LGPD - até por não ser a adequação um fim em si mesmo, mas um processo contínuo. E, tendo em vista os pontos de contato acima elencados, denota-se que isso é possível, desde que exista o devido cuidado, pelo órgão regulador e fiscalizador, de se valer daquilo que já existe e já vem sendo praticado pelos agentes regulados em outros campos ligados à IA, como é o caso da proteção de dados, que conversa com a nova regulação.

Da mesma forma, aquilo que não funciona como se esperava, como a conceituação dual de agentes de tratamento prevista na LGPD - controlador e operador -, especialmente quando estamos falando de um compartilhamento de dados em cadeia, deve servir de aprendizado, de forma que seja analisado com cuidado o PL 2.338/23 em relação a esse ponto, já que, também, traz apenas duas figuras relacionadas aos agentes de sistemas de IA - desenvolvedor e operador.

Na União Europeia, a proposta de Regulamento Geral da Inteligência Artificial (AI Act) apresenta uma conceituação plural, com a definição de cinco agentes que compõem a relação: fornecedor, utilizador, mandatário, importador e distribuidor, podendo todos ser enquadrados na figura genérica de "operador". É interessante repensarmos essa definição de figuras na futura regulação brasileira de IA, para que possamos ter uma experiência mais técnica e precisa, que funcione melhor na prática.

É fundamental que sejam analisadas as conexões existentes entre a LGPD e a futura regulação da IA para que sirvam como experiência, possibilitando aos agentes que operam dados pessoais e sistemas de IA que se aproveitem dos documentos que hoje já conhecem e manuseiam com maior propriedade, das intepretações, inicialmente sinuosas, que vêm sendo fixadas, das formas de reclamação dos afetados e riscos de sancionamento, e das conceituações já estabelecidas - inclusive para evitar a fragmentação regulatória, como referido pela ANPD. Da mesma maneira, essa relação pode (e, onde possível, deve) servir, principalmente, como redutor de custos à adequação dos agentes regulados a um novo marco regulatório, a fim de que ocorra de forma menos abrupta do que foi a proteção de dados pessoais, e para que se obtenha a almejada segurança jurídica e previsibilidade, o que se estende, também, aos titulares de direitos.

______________