A tomada de subsídios da Autoridade Nacional de Proteção de Dados (ANPD) sobre Inteligência Artificial (IA) e Proteção de Dados Pessoais objetiva coletar as contribuições de diferentes segmentos da sociedade, inclusive especialistas, para o desenvolvimento da regulamentação específica. Com a minha bagagem teórica e prática em programas de privacidade e proteção de dados e fortemente interessada na pauta da IA desde minhas pesquisas acadêmicas de mestrado e doutorado, me senti pessoalmente convocada a participar. Assim, iniciei a leitura do documento, me propus a aprender e participar por tanto que essas interseções proporcionam.
Pois bem, me deparo com a questão 13, do bloco 4, relativa a boas práticas e governança, qual seja, “De que forma programas de governança em privacidade podem ser utilizados como um mecanismo de promoção da conformidade do desenvolvimento e uso de sistemas de IA com a LGPD? Quais requisitos, especificamente relacionados ao desenvolvimento e uso de sistemas de IA, devem ser observados nesses casos?”. E desse ponto partem minhas honestas reflexões.
É possível afirmar que as discussões sobre o tema têm sido realizadas com um tímido envolvimento tecnológico. E esse ponto me chama a atenção, uma vez que esse fato evidencia o hiato entre a proposta de regulação e o desenvolvimento de sistemas e, no papel, cabe tudo. Estamos assistindo ao ovo e à galinha nascerem de forma concomitante.
Tenho o hábito de, informalmente, conversar com um especialista ou envolvido com o assunto que está na pauta. Dessa vez, me foi dito que um determinado escopo que se planejava aplicar em IA era composto por “muitos dados sensíveis”. Para um total de zero surpresa não havia um só item do rol taxativo da LGPD ou um conjunto de elementos de dados que, reunidos, tivessem uma capacidade discriminatória em tal contexto.
Já vivenciei o privacy e security by design e situações questionáveis apareciam. Já também tive a oportunidade de vivenciar o oposto, cujas pautas não conversavam. E ainda, quando elas tampouco existiam. Eu não sou advogada e nem profissional de tecnologia da informação e não restam dúvidas de que um programa de privacidade e proteção de dados tem muito a contribuir justamente por sua perspectiva interdisciplinar.
Cabe lembrar que houve um tempo em que os assuntos nas empresas eram departamentalizados. Não mais. Além dos espaços fisicamente integrados, os riscos dos processos são avaliados sob as diferentes perspectivas que sustentam o negócio em que estão inseridos. É inconcebível, atualmente, ouvir declarações de profissionais de TI ou afins que desconsiderem questões de privacidade, imagem e outros.
Não importa o tamanho ou complexidade da organização para pautas cujas temáticas estão em pleno fomento e impactam o negócio e suas iniciativas. O alinhamento entre as expectativas, a viabilidade técnica e a regulatória se faz essencial: levantamento de requisitos funcionais, requisitos não funcionais e de segurança da informação, adequação conforme LGPD, avaliação de compliance e análise de riscos tanto aos titulares quanto ao negócio são essenciais para trazer o projeto de IA à realidade.
O normativo específico está em construção, mas existem regramentos intimamente relacionados que norteiam, sustentam e impactam não só em projetos de inteligência artificial, mas de analytics, internet das coisas e por aí vai…