O papel das Leis de Proteção de Dados no desenvolvimento de Inteligência Artificial

*Nathália Criscito é analista Sênior de Privacidade e Proteção de Dados na TIVIT

Na era da abundância de dados e aplicações que funcionam de forma autônoma com Inteligência Artificial, pode ser um desafio garantir a proteção de dados.

As soluções baseadas em inteligência artificial precisam de grandes volumes de dados para funcionar de forma assertiva. Quado falamos de dados pessoais, porém, pode ser difícil ter 100% de certeza sobre a forma como a IA está tratando esses dados.

Diante das Leis de Proteção de Dados como a Lei Geral de Proteção de Dados e o GDPR Europeu, empresas e profissionais de tecnologia precisam redobrar o cuidado com o desenvolvimento de soluções de automação de processos.

Neste post, abordaremos o impacto e a importância das leis de proteção de dados pessoais no desenvolvimento de inteligência artificial.

O que são leis de Proteção de Dados Pessoais?

O Regulamento Geral de Proteção de Dados da União Europeia (General Data Protection Regulation, conhecida como GDPR) e a Resolução do Parlamento Europeu (14.03.2017), são consideradas hoje um dos marcos dessa nova onda.

Essa nova onda normativa tem como um de seus pilares o chamado “princípio da autodeterminação informacional”.

Esse princípio impulsionou toda a movimentação feita pelas grandes empresas para revisitarem ou criarem suas políticas de privacidade e proteção de dados.

Em suma, o princípio visa garantir que o cidadão tenha o controle sobre os seus dados pessoais, a fim de que possa autodeterminar suas informações.

Considerando a inviolabilidade da vida privada e da intimidade prevista na Lei, os direitos de personalidade e as noções de dignidade humana, garantias presentes em nossa Constituição, abrem margem para discussões sobre a proteção dos dados dos titulares ser formalmente incluída como um direito fundamental.

Proteção de Dados no Brasil

Antes dessa onda de proteção de dados, nossa Constituição Federal Brasileira já considerava a proteção de Dados Pessoais. 

Ela previa o habeas data, ferramenta jurídica que pode ser utilizada pelos indivíduos para exercer seu direito de acesso e correção de dados pessoais; e o direito ao recebimento dos órgãos públicos de informações de seu interesse particular, ou de interesse coletivo ou geral.

PEC 17

Não por acaso que, foi proposta, em março de 2019, a Proposta de Emenda a Constituição (PEC) nº 17, que tem como objetivo conferir à proteção de dados o rótulo formal de  direito fundamental, de modo a atualizar o artigo 5º, XII e 22, XXX, da Constituição.

Código de Defesa do Consumidor

Ainda no âmbito das legislações brasileiras, nosso ordenamento já visava a proteção a esses direitos em outras regulamentações, como por exemplo, o Código de Defesa do Consumidor.

Esse código já previa o direito do consumidor de ter acesso às informações existentes sobre si (art. 43), bem como sobre a fonte desses dados.

Lei do Cadastro Positivo

Além desta, a Lei do Cadastro Positivo (nº 12.414/2011) já trazia a ideia de que as informações trazidas nos bancos de dados devem ser claras, objetivas, verdadeiras e de fácil compreensão (art.3º, §2º), de modo a trazer mais transparência ao processo decisório. 

Marco Civil da Internet

Por sua vez, o Marco Civil da Internet (MCI – Lei nº 12.965/2014), foi o marco inicial brasileiro da regulamentação do uso da tecnologia, disciplinando as relações de pessoas físicas e jurídicas por meio da rede mundial de computadores.

Ele adotou princípios que tratam sobre:

• a inviolabilidade da intimidade e da vida privada
• a inviolabilidade e sigilo do fluxo de suas comunicações pela internet
• a proibição do compartilhamento desautorizado de dados pessoais a terceiros sem consentimento do usuário ou sem previsão legal
• transparência na coleta, uso, armazenamento, tratamento e proteção de dados pessoais.

LGPD

Por fim, recentemente foi sancionada a Lei nº 13.709/2018, a Lei Geral de Proteção de Dados (LGPD), que constitui um novo marco regulatório da proteção de dados no país.

Antes dela, de alguma forma, ainda poderia ser entendido que os dados pessoais poderiam ser livremente coletados, extraídos e analisados sem qualquer preocupação prévia com nossos direitos individuais.

Desse modo, cidadãos setiam-se obrigados a optar entre estar conectados e ter o mínimo de privacidade.

Hoje, o que se busca através dessas normas é dar equilíbrio a esse novo cenário.

A Lei Geral de Proteção de Dados, LGPD

Vale esclarecer que todos os esforços para regulamentar essa nova era digital tem como objetivo dar equilíbrio às novas formas de relação que foram criadas com o ambiente digital.

Parte-se da ideia de que os indivíduos são considerados como o polo mais vulnerável dentro do mercado informacional onde atuam as grandes empresas merecendo, portanto, um olhar mais cuidado nessa relação.

A LGPD é hoje o que poderia ser chamado da integração de todas essas preocupações em forma de lei.

A LGPD tem como objetvo proteger os direitos fundamentais como os da liberdade, privacidade, honra, imagem, autodeterminação informativa e o livre desenvolvimento da personalidade (art.2º).

Trata-se de uma lei específica com um olhar voltado para as necessidades atuais, como as relativas às decisões automatizadas, inclusive no que tange à prevenção e correção de vieses algorítmicos e seus impactos negativos na vida das pessoas.

10 princípios básicos da LGPD

Nessa linha, a LGPD cumpre importante papel ao trazer 10 princípios (art. 6º) que são a base de todas as novas regras envolvendo a proteção de dados e privacidade do brasileiro. Confira:

• Finalidade: garantia de que dados sejam utilizados apenas para objetivos;
• Adequação: garantia de que a finalidade de uso informada não seja descumprida;
• Necessidade, de modo a garantir que apenas os dados pessoais estritamente necessários para cada finalidade sejam captados, evitando a criação de enormes bancos de dados sem qualquer razão,
• Livre acesso, o que garante que qualquer indivíduo tenha o direito de saber quais dados empresas e organizações tem a seu respeito,
• Qualidade dos dados, para que as empresas se comprometam a manter apenas dados corretos e atualizados,
• Transparência, de modo a garantir que empresas e organizações sejam claras com os indivíduos ao cumprirem suas obrigações de informar,
• Segurança, visando garantir que o mínimo de cuidado seja conferido aos dados pessoais,
• Prevenção, para obrigar as empresas a atuarem olhando para esses princípios de forma a prevenir danos e não a remediar,
• Não discriminação, para lembrar sobre a necessidade de considerar possíveis discriminações decorrentes do uso de sistemas automatizados e,
• Responsabilização e prestação de contas, para garantir que o seguimento dessas práticas vire rotina.

Proteção de Dados Sensíveis

Existe, ainda, a preocupação com os chamados “dados sensíveis” (art. 11), que são considerados como aqueles que podem de alguma forma gerar algum tipo de discriminação ao indivíduo.

Esse tipo de discriminação pode acontecer mesmo que de forma indireta, como em relação à religião, raça ou opinião política, por exemplo.

Neste ponto, a lei se preocupou em tornar obrigatória a necessidade de consentimento específico e destacado para que empresas e organizações possam utilizá-los, ressalvadas as hipóteses legalmente autorizadas por conta do interesse social.

A relação entre LGPD, Proteção de Dados e Inteligência Artificial

Outro direito essencial trazido pela lei (art. 20) da LGPD é o de revisão de decisões tomadas com base em tratamento automatizado de dados (algoritmos).

Essas decsiões podem afetar os interesses do titular, inclusive de decisões destinadas a garantir o seu perfil pessoal, profissional, de consumo e de crédito ou aspectos da sua personalidade.

Afinal, muitas decisõs relacionadas a servços digitais, desde as redes sociais até serviços de recomendação de produtos, por exemplo, hoje são feitas com Inteligência Artificial.

Ocorre que, esse dispositivo é falho ao não tornar obrigatório que essa revisão seja feita por um humano ou trazer alternativas que garantam que essa revisão seja eficaz.

Aqui, o que precisamos nos perguntar é se, considerando o que entendemos até aqui sobre o funcionamento da IA e algoritmos, é possível que uma inteligência apresente um novo resultado de análise sobre um conjunto de dados idêntico ao anteriormente imputado.

A importância da curadoria de resultados

Traçado o panorama atual legislativo que temos hoje para nos auxiliar no convívio com a era digital e o que entendemos até aqui, torna-se inevitável pensarmos sobre como é possível a garantia desses direitos.

Embora a tecnologia assuma um caráter cada vez mais autônomo de funcionamento, o ser humano não pode abrir mão do controle remoto tecnológico que mencionamos no início deste trabalho.

Mas isso não precisa ser visto como um fardo, já que é possível também a criação de ferramentas que atuem não apenas sob o algoritmo, mas também sobre seus resultados.

É importante haver mecanismos de governança e curadoria de resultados. Essas técnicas de accountability envolvem medidas e instrumentos visando a redução de eventuais danos que possam ser causados pela IA e seus resultados.

Na trajetória pelo equilíbrio das relações entre indivíduos e empresas nessa nova era, as boas práticas que envolvem:

• a auditoria do algoritmo
• a revisão das decisões automatizadas
• adoção dos relatórios de impacto à proteção de dados pessoais (RIPDP).

Privacy by Design e Privacy by Default

Os conceitos de Privacy by Design e Privacy by Default tem origem canadense e foi disseminado na Europa em função da GDPR.

O primeiro, basicamente, traz o entendimento de que qualquer empresa, ao iniciar um novo projeto que envolva o uso de dados pessoais, deve ser pensado desde a sua concepção inicial através de um olhar que leve em consideração  os princípios norteadores da privacidade e proteção de dados pessoais.

Isso inclui o desenvolvimento de produtos, desenvolvimento de software, sistemas de TI, dentre outros.

Assim, as grandes corporações devem garantir que configurações mais conservadoras e seguras de privacidade seja agora o padrão de seus produtos.

Isso vale inclusive para o  tempo em que o produto manterá esses dados armazenados, prazo este que deverá sempre estar diretamente ligado a existência de finalidade e necessidades legítimas.

Exemplo: cookies de navegação

Por exemplo, as barras de cookies que hoje dominam os sites virtuais devem conter como configuração opções de uso de dados mais conservadoras, sendo que isso só deve ser alterado por uma ação direta do usuário.

Ou seja, o usuário precisa habilitar manualmente a permissão para que o site colete dados além dos necessários para o funcionamento da ferramenta.

Essa necessidade é nada mais que um reflexo da cultura que a lei quer provocar de que as empresas passem a adotar uma postura preventiva em sua atuação no mercado.

Nessa linha, se a análise dos inputs contribui decisivamente para a avaliação da discriminação direta, é o controle dos outputs que irá garantir a mitigação da discriminação indireta, muitas vezes através de análises estatísticas.

A importância do olhar para diversidade no desenvolvimento de IA

Para além disso, quando pensamos na garantia do direito de igualdade e não discriminação desde a concepção, precisamos lembrar, ainda, que cada indivíduo diverge do outro com relação a sua visão de mundo.

Assim, há de se considerar a importância da diversidade de olhares sobre a construção dessas ferramentas que hoje movem nossa sociedade.

Essa igualdade só poderá ser efetiva se os atores envolvidos na construção dessas ferramentas também forem diversos, o que dá margem para que tais ferramentas sejam construídas considerando necessidades que muitas vezes estão além do nosso poder de compreensão imediato.

Por fim, torna-se incontestável o papel das grandes empresas e organizações na disseminação de uma cultura de relacionamentos interpessoais mais éticos e informados.

Isso passa pela utilização de ferramentas de conscientização, como por exemplo, programas de integridade, código de conduta e treinamentos.

Uma corrente científica também defente a Inteligência Artificial Explicável, através do qual a aplicação deve ter funcionalidades e recursos que expliquem sua tomada de decisão.

Diferença de funcionamento da Inteligência Artificial como é hoje e Inteligência Artificial Explicável

Checklist de boas práticas para desenvolver produtos de IA

Trazer a concepção e desenvolvimento de produtos de forma segura e ética para a realidade é uma missão importante nessa nova trajetória tecnológica, de modo a não a tornar um fardo.

Assim, métodos de treinamento dessas Inteligências são essenciais para auxiliar não só na criação, mas também na manutenção de padrões éticos.

Por mais avançados que estejamos em relação ao aprendizado de máquina, o monitoramento humano ainda é essencial.

Algumas perguntas básicas podem nos ajudar a pensar com maior clareza sobre os pontos trazidos até aqui, como por exemplo:

• Qual é a finalidade que busco atingir através desse novo produto? O resultado fere de alguma forma a dignidade humana e o direito à privacidade e igualdade?
• Os dados que planejei utilizar para alimentar esse sistema são os estritamente necessários ou posso substitui-los por dados menos invasivos ou até suprimi-los?
• Caso um indivíduo cujo dados são utilizados pelo produto solicite informações sobre esses dados, a ferramenta está preparada para fornecer essas informações de forma prática e eficaz?
• Existem mecanismos no produto que me auxiliam a manter um monitoramento sobre a exatidão e atualização dos dados usados?
• O produto possui mecanismos de segurança aptos a prevenir eventuais incidentes de vazamento ou acesso indevido?
• Até que ponto o produto pode ser considerado autônomo?
• O produto é sustentável?
• O produto possui mecanismos que possibilitam a demonstração de que todos esses cuidados foram tomados?

Conclusão: a importância da educação tecnológica

Quando pensamos em todas essas mudanças e reflexos sociais decorrentes da evolução sofrida pela IA nas últimas décadas, não podemos deixar também de pensar nos impactos que ainda estão por vir nos próximos anos.

Da mesma forma, não podemos desconsiderar a importância dessa evolução tecnológica e o enorme leque de possibilidades trazidas quando olhamos para ela como nossa aliada.

Logo, aprender a viver nessa nova era através de um convívio saudável e consciente torna-se essencial na trajetória da humanidade.

Assim, a educação tecnológica focada na conscientização dos indivíduos é tão essencial quanto a conscientização de responsabilidade das empresas e dos desenvolvedores de programas da atualidade.

Se o combustível principal da IA são os dados, faz-se essencial trazer a luz dos verdadeiros produtores desses dados o quanto cada informação pessoal é extremamente valiosa.

A criação e disseminação de uma cultura que dá importância a privacidade e proteção de dados é essencial para conciliar os avanços tecnológicos de forma equilibrada e humana.

A IA é uma ferramenta maravilhosa fruto de décadas de trabalho da humanidade, mas apenas enquanto tivermos controle sobre ela e não ela sobre nós.

Crie um roadmap de Proteção de Dados

Quer saber mais sobre proteção de dados? Baixe o eBook Guia para Elaboração de RIPD e saiba tudo sobre como criar um Relatório de Impacto à Proteção de Dados, um dos requisitos para a Lei Geral de Proteção de Dados.