O advento da Transformação Digital tem trazido consigo funcionalidades e também desafios inéditos, aonde as leis e regulamentos vigentes não dão cobertura. Isso se aplica, por exemplo, a adoção de sistemas e soluções utilizando Inteligência Artificial ou IA.
Se discute atualmente a ética por traz dos algoritmos, onde observa-se que não estamos falando apenas da necessidade de práticas de Governança na IA, por conta de seu uso indevido ou desalinhado com os valores de integridade da empresa, mas da necessidade de obter regramentos e limites que possam equalizar as ações de mercado em todo país.
No Brasil, se analisarmos o contexto histórico, temos nos inspirado em regulamentações em vigor ao redor do mundo, como foi o caso da Lei da Empresa Limpa, conhecida popularmente como lei anticorrupção de 2013, a qual foi inspirada na lei norte americana FCPA (Foreign Corrupt Practices Act) de 1977.
O mesmo aconteceu com a Lei Geral de Proteção de Dados Pessoais brasileira de 2018, que teve forte influência da GDPR (General Data Protection Regulation) instituída nos países da União Europeia e seus cidadãos em 2016.
Neste sentido, recentemente houve um marco importante sobre os aspectos da Inteligência Artificial, validado pelo parlamento europeu, que no dia 13/03/2024 aprovou o IA Act, contendo normatização no uso da Inteligência Artificial nos países da União Europeia, com base em metodologia de análise de riscos e suas classificações e limitações.
A partir desses movimentos, é possível vislumbrar tendências, ou mesmo práticas recomendadas que poderão ser regulamentadas num futuro próximo no Brasil na utilização da Inteligência Artificial.
Na sequência elencamos as seis principais delas:
O primeiro ponto esperado na regulamentação é análise e a definição sobre o que se enquadra na IA, para que haja parâmetros que as difiram de outras atividades provenientes dos componentes de transformação digital.
A IA de forma geral é projetada para imitar o pensamento humano e a partir destes gatilhos realizar tarefas de forma automática. Outros componentes como Aprendizado de Máquina, por exemplo, busca realizar tarefas específicas e fornecer resultados precisos a partir de padrões.
Importante estabelecer a estrutura de governança adequada definindo metodologia para transações de IA, incluindo a documentação apropriada principalmente para casos sensíveis e/ou de alto risco, seguindo os critérios de classificação mencionados a seguir.
Sobre os pilares de Governança, importante considerar aquilo que chamamos das “regras do jogo”, pautando aspectos como classificação de riscos, limites, restrições, metodologia de análise de riscos, ações de transparência e outras elencadas nos aspectos adiante.
Baseado no regramento da AI Act, recomenda-se realizar a classificação de risco vinculado as atividades de IA por categorias, possibilitando priorização e monitoramento da evolução destes riscos. Para sua mensuração critérios de classificação sobre eventuais impactos e seus desdobramentos são necessários.
Aqui pode haver grande sinergia com os critérios de classificação e análise de riscos já utilizadas por empresas com nível de Governança de Riscos mais maduras, como aquelas que utilizam framework ERM por exemplo, para que as informações e dados de análise tenham convergência, onde é claro que no caso da IA haverá especificidades que deverão ser tratadas e consideradas de forma mais individual, mas não impede a congruência.
O alinhamento das ações de Governança na IA e a atividade operacional, técnica e metodológica com outras regulamentações, como a LGPD, por exemplo, deve ser observada. A soma desses elementos facilitam a adequação e o cumprimento de regulamentações e a convergência em suas obrigações de conformidade.
Recomenda-se que as empresas tenham formalizado e estabeleçam limites e restrições na utilização da IA, normalmente este direcionamento costuma ser apresentado de forma aberta ao mercado, como a maior parte das empresas fazem com seu código de Ética, por exemplo, seguindo seus padrões de transparência e reporting.
Alguns exemplos de riscos inaceitáveis ou restrições vinculadas a seu uso, estão sistemas de categorização biométrica que utilizam dados sensíveis, como orientação sexual, raça, opção política, etc. Ou mesmo algoritmos que manipulam o comportamento humano para contornar seu livre arbítrio. E até mesmo utilização da IA para explorar vulnerabilidades de indivíduos em razão de idade, deficiência, situação social ou econômica.
Aqui, uma vez definidos os critérios não deve haver espaço pra exceções, lembre-se que não existem decisões “meio-éticas”, uma vez de frente aos dilemas é preciso consistência nas ações de integridade com a devida transparência e documentação para utilização em caso de inspeções, fiscalizações, auditorias, etc. inclusive sobre o fluxo registro de atividades e tomada de decisão.
Dentre os danos causados pela utilização indevida da IA estão as sanções financeiras, que normalmente variam de acordo com a gravidade da ocorrência, mas principalmente deve ser considerado o risco de imagem, contendo para cada um deles em nível de atividade, plano de resposta aos riscos considerando fatores de prevenção, detecção e resposta.
Neste contexto o estabelecimento de uma matriz de riscos nas atividades de IA é altamente recomendada, elencando itens como classificação de risco, impacto, origem, atividade de controle, resposta ao risco, periodicidade de monitoramento, entre outros.
A partir dos diretivos de Governança é recomendável estabelecer requisitos de acordo com a classificação das atividades de IA, com direcionadores específicos principalmente para os casos sensíveis, resguardando sempre sua documentação técnica no nível de detalhe que se fizer necessário.
Assim como em outras frentes relacionadas a tecnologia, como o Big Data por exemplo, a preparação de dados na aplicação e gerenciamento da IA é fundamental, e possibilita análises gerenciais com a composição de indicadores, os quais podem ser tanto apreciados pela administração quanto compartilhados com o mercado, reiterando o compromisso da empresa com as ações de Ética, Integridade.
Importante ressaltar que na era atual, da transformação tecnológica ocorrendo numa velocidade nunca antes vista, a probabilidade de novos componentes emergirem complementando este range anteriormente descrito, é alta.
O ponto positivo para empresas com nível de Governança mais avançados, é que novas regulamentações tendem a ser convergentes com os demais requerimentos regulatórios vigentes, gerando sinergia entre as práticas. Por outro lado, empresas que não possuem estes itens na pauta, provavelmente terão dificuldade de operar, se relacionar com o mercado e em alguns casos até passíveis de riscos de continuidade.
Danos prováveis provenientes de eventual regulamentação emergente são multas e Sanções financeiras, mas também aqueles vinculados ao capital reputacional das empresas, o risco de imagem, principalmente ao considerar a velocidade e abrangência que as notícias fluem. Aqui ações preventivas são sempre o melhor e menos oneroso caminho.
Conte com nossos especialistas para ajudar nos diversos tópicos relacionados.
Sócio líder de Serviços Forenses da Grant Thornton Brasil
