Vazamentos de dados, violação a direitos autorais, acidentes em infraestruturas, desrespeito a direitos humanos. Estes são alguns dos riscos associados à Inteligência Artificial (IA), cujo uso vem sendo cada vez mais crescente nas organizações – e levantando alertas entre lideranças empresariais.
“Quando a gente fala de risco, tem um elemento relevante que é o apetite das organizações. Tem organizações que de fato querem ser protagonistas desta onda, não querem estar por fora. Eventualmente os concorrentes também estão desafiando esses limites, e elas se veem ingressando e dando passos neste sentido, de um uso mais contundente e até arriscado em alguns pontos. O apetite vai calibrar o quanto a organização irá endurecer ou não esse uso, porque se de um lado tem o risco, do outro tem a preciosa oportunidade de se colocar como uma empresa inovadora”, analisou Paulo Vidigal, sócio do Prado Vidigal Advogados, em entrevista exclusiva ao Decisor Brasil.
O escritório comandará uma mesa redonda intitulada “Como gerenciar riscos em IA?” na 5ª edição do Finance & Law Summit and Awards (FILASA), evento organizado pela Leaders League Brasil, que acontece em São Paulo no dia 18 de junho. O intuito é o de discutir com os participantes os principais pontos de atenção sobre a IA em um ambiente de incertezas – principalmente face à iminência de uma nova legislação sobre o tema.
“De fato, há uma tendência natural das organizações promoverem maiores investimentos quando há uma provocação regulatória clara. Isso dá argumento e um peso bastante relevante internamente para movimentar toda uma máquina neste sentido e criar estruturas de governança”, disse o advogado.
Confira a entrevista na íntegra:
Quais os principais riscos e pontos de atenção nas organizações em relação ao uso de IA dos pontos de vista técnico e jurídico?
A gente tem a IA surgindo como uma tecnologia, que não é assim tão nova – na verdade se a gente pegar em termos de ciência da computação esse é um tema que surgiu no meado do século passado, então é um tema bastante conhecido – mas houve avanços recentes muito significativos. Por exemplo, a IA generativa, ferramentas utilizadas para criação de conteúdo original. Podemos citar o ChatGPT como protagonista dessa onda. Isso trouxe à tona novos riscos, e a gente tem algumas abordagens regulatórias surgindo, justamente com a percepção de que, se há riscos, é preciso regular.
Na perspectiva das pessoas que são afetadas pelo uso de sistemas de IA, por exemplo, é possível ter como resultado da aplicação desse sistema uma possível discriminação. Pode haver questões relacionadas a sistemas de IA aplicadas a estruturas críticas. Imagine um componente de segurança de um sistema de abastecimento de energia elétrica ou de gás. Então isso se trata de uma infraestrutura crítica para a nossa sociedade, que evidentemente pode falhar e desencadear uma série de desastres. E a gente pode se referir a riscos relacionados a direitos fundamentais, como privacidade e proteção de dados.
Também existem os riscos corporativos, que podem levar à responsabilização daquela empresa. Imagina que um colaborador está utilizando uma ferramenta de IA que não passou por uma homologação corporativa, não foi avaliada. Isso evidentemente pode gerar riscos para a organização. Por exemplo, pensando em uma IA generativa, ela pode vir a violar algum direito autoral, algum direito de propriedade intelectual de uma obra.
Outro risco é você eventualmente inserir dados sigilosos do ponto de visto corporativo para trabalhar nesses modelos. Todo esse controle e gestão da informação – tanto aquela que pode ser cara aos indivíduos, como dados pessoais, quanto aquela informação que é importante do ponto de vista do negócio – se vê agora tencionada pelas ferramentas de IA.
Então aí entra em jogo a chamada gestão de terceiros. Hoje se você tem um fornecedor que provê uma solução que se utiliza de inteligência artificial, você também vai ter que se preocupar em mapear essas soluções e entender que espécie de controles esse terceiro aplicou, para que você possa ter segurança no uso daquela ferramenta.
O que a gente vê de uma regulação que deve vir no Brasil é que hoje a gente tem projetos de lei, sendo o mais maduro deles o PL 2338 do Senado. Este projeto traz deveres que são tanto voltados para fornecedores, quem desenvolve essa tecnologia, quanto para os operadores. Então no fim do dia a gente vê que é uma regulação que vai ser bastante transversal. A exemplo do que foi a LGPD, é difícil a gente pensar que alguma organização moderna venha a escapar dos tentáculos da regulação, justamente porque o uso presente já é bastante intenso, e o uso projetado já é maior ainda.
Em relação à IA Generativa, como as empresas podem se precaver face à possibilidade de violação de Propriedade Intelectual?
O primeiro ponto é chegar às áreas centrais que utilizam estes sistemas e, a partir daí, ter uma proximidade com essas áreas para entender o que elas pretendem fazer. Tendo essa clareza, é necessário criar políticas internas, normativos que vão disciplinar esse uso.
Em matéria de propriedade intelectual, ainda não temos um cenário ultra consolidado de entendimentos jurídicos; há demandas que ainda estão por se resolver. No Brasil a nossa lei de direitos autorais ainda é bastante antiga. Há até certa tensão no sentido de que é preciso atualizar essas regras, porque elas vêm com uma noção que foi cultivada lá atrás.
Outro debate relevante é se um sistema de inteligência artificial pode ser autor de alguma coisa. Quem seria o autor de uma obra: o sistema ou a pessoa? Ou os dois, a pessoa se utilizando do sistema?
Quando a gente fala de risco, tem um elemento relevante que é o apetite das organizações. Tem organizações que de fato querem ser protagonistas desta onda, não querem estar por fora. Eventualmente os concorrentes também estão desafiando esses limites, e elas se veem ingressando e dando passos neste sentido, de um uso mais contundente e até arriscado em alguns pontos. O apetite vai calibrar o quanto a organização irá endurecer ou não esse uso, porque se de um lado tem o risco que a gente comentou, do outro tem a oportunidade de se colocar como uma empresa inovadora.
Até outro dia a gente achava que IA não seria capaz de criar algo original e que fosse realmente, não uma cópia, mas uma reprodução da forma de pensar do ser humano. E hoje a gente vê que essa capacidade está aí – claro, com discussões. Mas acho que a resposta é essa: aferir o contexto de uso, entender um pouco do apetite de risco, a visão corporativa do tema, o que se quer alcançar com IA, onde quer se posicionar e, a partir daí, desenvolver manuais, práticas e códigos de boa conduta relacionados ao tema.
Como as legislações de proteção de dados, como a GDPR e a LGPD, influenciam a implementação e o uso de algoritmos de inteligência artificial? E como esta nova regulamentação da IA dialoga com as legislações de privacidade dados já em vigor?
Existe uma tensão clara no ar, porque quando se pensa em proteção e privacidade de dados, tem alguns princípios que regem essa noção. Podemos citar o princípio da necessidade, também chamado minimização de dados. Há uma lógica na legislação de privacidade e proteção de dados que diz que se deve usar o mínimo necessário de dados pessoais para desempenhar as atividades, para chegar aos objetivos. E quando a gente vê a realidade de um sistema de inteligência artificial, a tendência é ter uma massa volumosa de dados para treinamento e alimentação daquela tecnologia. Existe uma tensão nessa parte principiológica, que merece uma recontextualização.
Como as preocupações com viés e discriminação em algoritmos de IA são abordadas sob uma perspectiva jurídica seja em órgãos públicos ou nas corporações?
Esse é um tema bastante latente, justamente porque o argumento vem de uma perspectiva de que, se há um sistema que não é um ser humano realizando avaliações, diagnóstico, suportando – ou até tomando – decisões, você carece de um elemento subjetivo que é próprio do humano que nos permite fazer julgamentos que vão além daquela massa de dados bruta e fria, que está ali disposta. O que é preciso avaliar é que muito se fala do risco de discriminação, mas acho que, primeiro, decorre do fato de que a tecnologia é um produto humano e, portanto, acaba herdando nossas maiores virtudes e, também, nossas maiores falhas, infelizmente. Então a tecnologia vai, sim, estar sujeita a algum grau de falhas. Mas em muitos contextos, esse nível de falha da tecnologia é, por vezes, inferior ao nível de falha do ser humano – e isso tem que ser considerado também. Não propriamente falando em viés, mas em segurança: a gente tem a discussão dos carros autônomos que, quando ocorre um acidente, o pessoal já demoniza a tecnologia. Mas, no comparativo, a gente deve avaliar também os índices de acidentes com veículos conduzidos por seres humanos, que, infelizmente, não são irrisórios. Se a gente transporta essa reflexão também para falar de vieses, a gente precisa admitir que o ser humano já vem praticando discriminações há tempos, sem precisar da tecnologia. Com a tecnologia, eu entendo esse desafio, e como a regulação endereça? Mais uma vez impondo o dever de gestão de risco.
Falando em termos técnicos, vamos ter sempre uma etapa contínua de testes e avaliação para que se possa apurar essas métricas e até pegar feedback das pessoas afetadas sobre esses resultados. Existem etapas de controle antes, durante e após que terão que ser observadas para se buscar a mitigação deste risco que, de fato, existe. Contudo, não é algo exclusivo da tecnologia; é um componente humano, que sempre mereceu atenção.
Muitas empresas utilizam ferramentas proprietárias de IA, desenvolvidas internamente; outras, no entanto, usam soluções contratadas, desenvolvidas por terceiros. Que cláusulas contratuais são essenciais ao lidar com fornecedores de soluções de inteligência artificial?
Vai haver uma divisão de responsabilidades importante aí, e esses agentes acabam até se confundindo em muitos termos. Por exemplo: no nosso projeto de lei 2338, muitas obrigações são endereçadas indiscriminadamente tanto para o fornecedor quanto para o operador da tecnologia. Então onde se deve debater isso com clareza? No contrato. A questão de responsabilidade é algo relevante para se tratar.
Outro ponto é que, quando você vai contratar um sistema ou ferramenta que embarca IA, você precisa que aquele fornecedor declare primeiro conformidade à legislação aplicável. Será preciso ter tudo bem documentado para demonstrar como ela opera, quais são as instruções de uso, os limites, a acurácia, várias questões relevantes que precisam ser documentadas na ponta do fornecedor. E quando se fala em atendimento à legislação, vai ter inclusive uma etapa de avaliação preliminar de risco daquele sistema. O fornecedor tem que avaliar preliminarmente o risco, frente aos critérios de risco da regulação para que consiga saber quais os desafios e em que medida é possível se utilizar daquele sistema.
Dada a ausência de uma legislação e regulação específicas, objetivamente dedicadas à IA, como as empresas podem adequar o uso de IA em suas criar estruturas de governança e compliance?
De fato, há uma tendência natural das organizações promoverem maiores investimentos quando há uma provocação regulatória clara. Isso dá argumento e um peso bastante relevante internamente para movimentar toda uma máquina neste sentido e criar estruturas de governança.
Hoje a gente tem um cenário como uma colcha de retalhos, com várias legislações que são aplicáveis ao tema e que dão conta de muitos efeitos da tecnologia. No contexto do consumo, por exemplo, temos o Código de Defesa do Consumidor; tem a LGPD, já comentada. Setorialmente, sempre que se fala de desenvolvimento de modelos, a gente vai encontrar diretrizes, normativas também das autoridades respectivas. No âmbito das instituições financeiras, por exemplo, não se desenvolve de maneira livre e desassistida um modelo de crédito que eventualmente usa IA. Tem todo um arcabouço normativo para atender e gerir riscos.
Vale dizer que essa realidade não é propriamente negativa. Na verdade, a abordagem setorial acaba fazendo sentido dada a natureza particular dos efeitos da tecnologia em cada setor.
Seja como for, eu tenho observado que as organizações aprenderam bastante com o movimento que foi de adequação à LGPD e estão tentando se antecipar a esse movimento regulatório que é iminente. E essas organizações estão buscando sinergias com programas existentes, como é o programa de privacidade.
Eu tenho visto nas organizações mais maduras esse movimento de antecipação dessa demanda regulatória que vai surgir. Podemos pensar hoje em uma estrutura de governança que seja agnóstica, que venha a acomodar seja quais forem esses requisitos legais.
No caminho inverso, como a IA pode dar suporte a times de Gestão de Riscos?
De fato, a gente vê surgindo soluções diversas, para contextos diversos, que, se é verdade que são úteis para os times de negócios, também podem e devem ser úteis para os times que atuam nesta segunda linha, de supervisão e controle. Acredito que não podemos fechar os ouvidos para inovação nestas áreas também.
Apenas para exemplificar, podemos pensar em um time consultivo dentro da organização que tem de emitir pareceres de risco (jurídico, compliance etc.); se tiver um histórico dessas opiniões que possa ser canalizado a uma tecnologia, como um assistente, em que você insere uma consulta e ele te devolve uma ideia – claro, sempre sujeita a revisão e controle – do que seria essa resposta ao seu time, isso pode ser bastante interessante.
Acho que vão surgir cada vez mais soluções que apoiem não só os times de negócios, mas também os times que têm um encargo de serem dinâmicos e acomodarem esse volume incrível de demandas.
