A regulamentação da IA pelo parlamento europeu e os desafios éticos do compliance digital

A atual expansão da IA abriu novas engrenagens de combate ao cibercrime e na proteção dos dados pessoais dos titulares. Além do mais, a era digital trouxe consigo não apenas avanços tecnológicos admiráveis, mas também desafios significativos, dos quais os crimes digitais e o vazamento de dados são os mais significativos. 

À medida que as empresas lidam com uma quantidade cada vez maior de informações confidenciais, a segurança cibernética tornou-se uma preocupação central para boards, organizações, autoridades Governamentais e legisladores em todo o mundo. 

Na União Europeia, a Regulamentação Geral de Proteção de Dados (GDPR) estabeleceu padrões rigorosos para proteger os dados pessoais dos cidadãos europeus, enquanto o Comissário Europeu continua a impulsionar a implementação eficaz dessas medidas, tecnologias de ponta indicam para mais disrupções, escala e inovadoras possibilidades de uso combinando dados pessoais (muitas vezes sensíveis) e modelos que aplicam Inteligência artificial.

Perceba: o Parlamento Europeu aprovou a primeira lei para regulamentação da inteligência artificial, sendo aprovada por 523 votos a favor, 46 votos contra e 49 abstenções¹, com o objetivo de proteger os direitos fundamentais, a democracia, o Estado de direito e a sustentabilidade ambiental contra a IA de alto risco, promovendo inovação na medida em que cria novas obrigações às empresas.

O regulamento gera obrigações e deveres tendo como base os riscos e o impacto que o processamento de dados por inteligência artificial pode acarretar. Assim, o armazenamento de dados pessoais biométricos, como imagem faciais e o reconhecimento de emoções por software no local de trabalho e nas escolas, tornaram-se proibidas, principalmente sem o consentimento prévio do titular.  Há um especial foco no princípio da transparência sob a tutela dos dados diante a solicitações do titular. Mas, será que a transparência precisa ser exercida apenas diante da solicitação do titular?

Durante a sessão plenária, o relator da Comissão do Mercado Interno, Brando Benifei², asseverou: 

"Finalmente, temos a primeira lei vinculativa do mundo em matéria de inteligência artificial, a fim de reduzir os riscos, criar oportunidades, combater a discriminação e trazer transparência. Graças ao Parlamento, as práticas inaceitáveis de IA serão proibidas na Europa e os direitos dos trabalhadores e dos cidadãos serão protegidos. O Gabinete de Inteligência Artificial será agora criado para ajudar as empresas a começarem a cumprir as regras antes de entrarem em vigor. Garantimos que os seres humanos e os valores europeus estão no centro do desenvolvimento da IA".

Nota-se uma preocupação na tutela dos direitos dos titulares, gerando requisitos básicos para serem seguidos, como instalar sistemas de segurança eficazes que evitem ataques hackers, criação de políticas de uso dessas informações, respeitando a transparência no manuseio dos dados pessoais trafegados oriundos dos cidadãos europeus, mitigando ao máximo a possibilidade do processamento de dados indevidos e os crimes digitais.

E nesse contexto, a IA e o Compliance Digital revelam atributos perfeitos para uso no combate ao cibercrime e no vazamento de dados: de detecção de ameaças e vulnerabilidades a criação de watermarks de confiabilidade³, há campo de exploração e positividade neste ambiente também.

Eis como:

• Eficiência analítica: aplicando inteligência artificial consegue-se analisar grandes volumes de dados em tempo real, criando parâmetros e indicadores essenciais para uma avaliação de risco eficaz.
• Desvios de rota: A IA atuaria identificando padrões suspeitos e comportamentos anômalos, ou seja, fora dos esperados pela empresa e pelo mercado, que estejam em desacordo com as regulamentações diretivas de uma determinada localidade. Categorias de dados, como sensíveis, pessoais e confidenciais podem ser escalonados e mais cautelosamente monitorados para fins de identificação de potenciais inadequações de uso, ou mesmo monitoramento.
• Portas fechadas: Os algoritmos de aprendizado de máquina podem detectar atividades maliciosas, malwares, phishing, como tentativas de invasão ("Data Breach"). Essa capacidade de detecção precoce é fundamental para prevenir ataques cibernéticos. Algoritmos de IA podem examinar padrões de acesso aos dados, histórico de atividades de usuários e outras métricas relevantes para identificar pontos fracos que poderiam ser explorados por invasores.

Essas capacidades de análise em escala e com confiabilidade, detecção de anomalias e proatividade na proteção cibernética permitem às organizações agir rapidamente para neutralizar a ameaça antes que ela cause danos significativos. Desde que bem equipadas com times eficientes em gestão de crises e bons reportes/controles associados aos modelos de gestão.

Entretanto, enquanto avança o desenvolvimento tecnológico de programas que tomam decisões automatizadas, aumenta o risco da exposição desnecessária de informações com viés discriminatório, considerado dados pessoal sensível. Gestão de dados responsável pressupõe conhecer dos fluxos ("Data Mapping"), estipulando as devidas responsabilidades dos agentes de tratamentos e seus respectivos parceiros, explicando a finalidade especifica para tal processamento, legitimando cada manuseio dessas informações com determinada base legal especifica. 

Nessa linha de raciocínio, muitos países, principalmente europeus, vem adotando iniciativas de regulamentação da inteligência artificial, criando requisitos básicos para serem seguidos, claramente, utilizando as mesmas diretrizes aduzidas na LGPD e/ou GDPR. Nota-se que no Brasil há o projeto de lei 2338 de 2023, que visa criar um arcabouço de medidas de segurança, para tutela dos dados pessoais.

Monitorar leis e regulamentos e estabelecer um time de Compliance Digital focado em acompanhar os avanços tecnológicos são medidas relativamente básicas neste novo panorama. Alcançar os padrões da ISO 27001 e 27701 também. Concomitantemente, deve-se aumentar o engajamento da chamada cultura de privacidade ("Privacy By Design") com treinamentos e conscientização de times e parceiros de negócios (já pensou em quantos dados sensíveis os escritórios de advocacia carregam de seus clientes?).

Por fim, a medida que o mundo digital continua a evoluir, a segurança cibernética se torna uma prioridade cada vez maior para organizações e legisladores. Nesse contexto, technologias como IA e Blockchain, entre outras devem ser vistas como oportunidades no combate aos riscos de negócios. Investir recursos para melhor compreender e usar as tecnologias disponíveis é fundamental para garantir a segurança e a privacidade dos dados no mundo digital em constante mudança.

-------------------------

1 https://www.europarl.europa.eu/news/pt/press-room/20240308IPR19015/regulamento-inteligencia-artificial-parlamento-aprova-legislacao-historica

2 https://www.europarl.europa.eu/meps/pt/124867/BRANDO_BENIFEI/home 

3 https://about.fb.com/news/2024/02/labeling-ai-generated-images-on-facebook-instagram-and-threads/