Ilustração: Rodrigo Auada

O que era ficção científica já invadiu o cotidiano das pessoas no mundo todo: a inteligência artificial (IA) é hoje uma realidade. No Brasil, muitas empresas usam a tecnologia para otimizar processos e gerir de uma maneira mais eficiente o atendimento aos clientes, além de recorrer à ferramenta para tomar decisões de compra e venda de ativos. Como qualquer outro avanço, entretanto, a IA traz consigo riscos que podem passar despercebidos. Um exemplo simples: quem, na empresa que adota a tecnologia, seria responsabilizado no caso de a IA ter direcionado uma decisão equivocada? No mercado nacional, a novidade também gera preocupações relacionadas à adequação às regras da Lei Geral de Proteção de Dados (LGPD), que entra em vigor em agosto de 2020. Quais seriam as melhores estratégias para essa adaptação?

Esses questionamentos basearam o mais recente Grupo de Discussão de Inovação e Tecnologia promovido pela CAPITAL ABERTO, com o tema “Cuidados na adoção da inteligência artificial”. Participaram do encontro Suzi Tiba, sócia do BSH Law; Fabrício Lira, líder de Data e Inteligência Artificial da IBM; Ricardo Santana, sócio de Inteligência Artificial e Advanced Data & Analytics da KPMG Lighthouse; Bruno Cavalhero, diretor da prática de Cyber Risk da Kroll; e Alexandro Romeira, cofundador e vice-presidente da I2AI Brasil. Confira a seguir os principais trechos do debate.

CAPITAL ABERTO: Quais são, em linhas gerais, as preocupações de reguladores e advogados em relação ao uso da IA?

Suzi Tiba: As novas tecnologias surgem num ritmo muito acelerado e as pessoas encontram formas de usá-las também numa velocidade bastante alta. Os reguladores simplesmente não conseguem acompanhar esse ritmo na proteção de privacidade e dados pessoais e na garantia da segurança da informação. Do ponto de vista jurídico, é hoje um desafio receber clientes que têm produtos e serviços novos num mercado regulado, mas ao mesmo tempo sem regulação específica. É um cenário que vai mudar com a LGPD, já que as questões em torno de dados pessoais, privacidade, consentimento do titular e uso de dados em massa terão de fato uma diretriz legal. Será a partir disso que veremos como a lei será interpretada em diversos casos. E, para nós, advogados, o desafio é justamente entender a tecnologia envolvida para saber onde e como procurar a questão legal correspondente.

CAPITAL ABERTO: Em que ponto está o uso da IA no Brasil?

Fabrício Lira: O Brasil já desponta como um dos principais players no mundo quando se fala em IA. Estamos bem avançados. Essa tecnologia pode ser aplicada tanto em front office quanto em back office, e hoje no País já existem aplicações muito maduras no front office — exemplos são os sistemas de atendimento de algumas empresas, que contam com assistentes virtuais muito bem treinados, capazes de interagir com os clientes sem que eles percebam que uma máquina está do outro lado. No back office da área jurídica, especificamente, a IA é utilizada na leitura de peças legais e na análise de decisões da magistratura.

CAPITAL ABERTO: É um tema novo a ligação entre IA e proteção de dados?

Bruno Cavalhero: Não. A novidade aqui é a proteção do dado pessoal. Já trabalhamos há muito tempo com privacidade de dados e existem grandes frameworks no mercado que servem de referência, como os sistemas de vendas online com cartões. Não estamos reinventando a roda; apenas ampliamos o escopo desses frameworks já reconhecidos. Um outro ponto importante: as organizações sempre pensam em captar e acumular o máximo de dados possível, sem mesmo saber se precisarão deles depois. Com a LGPD, elas precisarão mudar essa mentalidade, passando a coletar somente os dados realmente necessários, e com o devido embasamento legal.

CAPITAL ABERTO: Do ponto de vista do desenvolvedor, o que representa a nova legislação?

Lira: Hoje ninguém modela um sistema pensando na privacidade e no dado. Esse tipo de preocupação acaba entrando apenas em algum momento durante o ciclo de desenvolvimento. A lei tem um elemento que vai ajudar muitas empresas a amadurecer a disciplina de gestão de dados internamente. Ao selecionar o que se quer armazenar para não guardar informação sem necessidade, a empresa deixa de ser um acumulador para virar realmente um custodiante da informação. Isso quebra padrões arraigados.

CAPITAL ABERTO: Quais são os riscos mais relevantes relacionados à adoção das ferramentas de IA?

Ricardo Santana: As tecnologias emergentes são vistas pelos gestores como algo novo e difícil de entender. Existem dúvidas sobre as motivações e as funcionalidades da IA. Por isso acredito que a adoção deve ser gradual, pois depende de um processo de educação dos executivos. Com isso eles começam a entender os benefícios da tecnologia e a perceber que podem melhorar seus julgamentos contando com uma máquina capaz de processar um enorme volume de dados. Existem várias situações em que inferências são facilitadas pela IA.

Lira: Diria que atualmente os dois grandes limitadores da adoção da IA em grande escala nas empresas são a cultura e as estruturas organizacionais, que não são desenhadas para serem colaborativas. E as melhores aplicações dessa tecnologia estão nas empresas em que as pessoas idealizam e concebem produtos e serviços focados no cliente final e no core do negócio.

Leia também

Cuidados na adoção da inteligência artificial

A vez da “maioria precoce” na adaptação à LGPD

Inteligência artificial: da ficção à economia real

CAPITAL ABERTO: Enquanto a legislação pretende assegurar a privacidade dos dados, existe uma tendência à personificação, refletida no uso das informações para oferta de soluções específicas para cada necessidade. De que forma esses dois aspectos se relacionam?

Lira: Já há tecnologias capazes de gerar recomendações personalizadas e assertivas. Esse não é mais um desafio da tecnologia; trata-se agora de uma discussão social. Como as empresas vão coletar o consentimento para o uso de dados pessoais? De que tipo de dado uma empresa realmente precisa, de acordo com a lei? As empresas têm uma boa governança para lidar com as informações? Sabem quais são todos os dados que têm? Os debates vão sair da seara tecnologia-regulação para chegar a temas como ética, viés, transparência. E são assuntos que nem sempre o mundo corporativo está preparado para enfrentar.

Tiba: Trata-se da questão do legítimo interesse, prevista na LGPD. Até que ponto o legítimo interesse é uma carta branca para uma empresa coletar e tratar os dados? Hoje esse é um desafio regulatório, pois a discussão é subjetiva. Em algum momento, vai extrapolar a questão meramente regulatória para se tornar uma questão filosófica.

Cavalhero: Esse ponto mostra um pouco do grau de maturidade dessa discussão neste momento. Hoje as organizações se preparam para a LGPD, mas elas ainda não estão prontas.

CAPITAL ABERTO: Qual deve ser o foco das empresas em relação a dados: seguir a legislação ou se proteger de ataques virtuais?

Cavalhero: A IA, assim como qualquer outra tecnologia, pode ser usada para o bem e para o mal. Na segurança cibernética, hoje usamos inteligência artificial para otimizar alguns trabalhos. E, da mesma forma que o lado do bem está usando isso como uma medida protetiva, o lado do mal — hackers, principalmente — pode utilizar para explorar alguma vulnerabilidade. A preocupação das empresas tem que ser muito mais ampla do que apenas cumprir uma lei ou se preocupar com um vazamento de dados dos clientes. Na minha visão, a maior preocupação da organização precisa ser com o indivíduo e com a proteção do dado daquele indivíduo.

Lira: A maior mudança que a LGPD representa é fazer a preocupação com os dados integrar a lista de obrigações das empresas. Antes o esforço estava concentrado no convencimento das empresas de que fazer uma boa gestão de dados era relevante. Empresas que passaram por muitas fusões e aquisições, por exemplo, têm muitas vezes um sistema que mais parece uma colcha de retalhos — a maioria não sabe nem quais dados armazena. Nesse aspecto a IA pode ser muito útil, assim como para escalonar o conhecimento deixando mais visíveis para a empresa as informações que tem guardadas. A máquina interpreta muito bem padrões de recorrência. E, posteriormente, o trabalho da IA pode ser usado para geração e captura de valor.

CAPITAL ABERTO: Existe a possibilidade de, com o passar do tempo, a IA se tornar enviesada?

Alexandro Romeira: O viés é algo que muito nos preocupa na IA. Como o algoritmo se baseia nas informações coletadas, ele acaba criando um viés orientado a um grupo de pessoas específico, mas o uso dessas aplicações acaba impactando toda a sociedade.

Santana: Mas já existem técnicas para se identificar e prevenir os vieses dos modelos de IA. Há uma pesquisa que concluiu que 80% dos modelos da amostra estavam enviesados. Para contornar esse problema, hoje as empresas podem adotar a estratégia de conectar e compartilhar dados com outras empresas em vez de apenas coletar informações. Para além da questão do viés, a IA não avança mais porque seu modelo pode não ser tão preciso em algumas situações — as novas tecnologias ainda apresentam uma taxa de erro que deve ser considerada.

CAPITAL ABERTO: Voltando à LGPD: as empresas precisam implementar todos os mecanismos de segurança antes da lei entrar em vigor?

Cavalhero: Acho que as empresas não devem implementar todos os procedimentos de segurança ao mesmo tempo; se escolherem esse caminho correm o risco de criar uma complexidade muito grande, que pode até inviabilizar o negócio. Garantido um controle mínimo, a empresa pode melhorá-lo ao longo do tempo. Em vez de fazer tudo de uma vez, melhor a empresa pensar numa escala evolutiva compatível com sua realidade.

Romeira: Primeiro a empresa precisa organizar a casa, começando pelo inventário dos dados, de forma que possa ter níveis de controle de cada ativo de dado. Se a empresa já tem um procedimento, uma governança e uma política bem implementadas, está preparada para se defender diante de um eventual questionamento de autoridade. Por mais que a empresa esteja envolvida em algum episódio de vazamento, se fez a preparação terá justificativas e condições para anular ou minimizar o problema.

Tiba: Quando a LGPD ainda era um projeto em discussão, havia uma preocupação das empresas em relação à responsabilização. Existem vários mecanismos de segurança a que as empresas podem recorrer para diminuir responsabilidades ou até se eximir delas. Seja qual for o produto ou serviço da empresa, quando for oferecido a grandes massas de consumidores sempre vai haver um oportunista. A legislação tem mecanismos que permitem à empresa se defender, se justificar e até responsabilizar um processador, um controlador ou um usuário que não soube utilizar o sistema. Além disso, a proteção de dados começa com a educação do titular de dados, que precisa estar protegido e se prevenir também. Cada um precisa cumprir o seu dever.

Romeira: Bom lembrar que a lei protege todo tipo de informação, não apenas o dado digital. A cultura da proteção tem que ser uma cultura das pessoas. Elas devem ser treinadas para assumir a responsabilidade pelo uso da informação, independentemente de onde ela estiver.

Lira: Fala-se muito em segurança da informação, mas a base da pirâmide é a governança dos dados. A LGPD obriga as empresas a ter uma figura responsável pelo dado, para assumir as responsabilidades. Além disso, vale destacar que 90% dos vazamentos de informação saem de dentro da empresa.

CAPITAL ABERTO: Em um caso de vazamento de dados ou de uso inadequado das informações, quem pode ser responsabilizado juridicamente?

Tiba: Do ponto de vista da responsabilidade civil, quando há uma falha em um algoritmo todos os que participam da cadeia de construção desse algoritmo podem ser responsabilizados. A parte lesada vai procurar obter ressarcimento de todos da cadeia, por meio do conceito de direito de regresso, chegando até a origem do problema. Em questões relacionadas a dados, há duas grandes figuras, na LGPD e na GDPR [lei da União Europeia para proteção de dados pessoais]: o controlador do dado e o processador do dado. Se houver um vazamento ou um dano causado por um tratamento inapropriado da informação, é possível colocar na mesma cadeia de responsabilização a empresa que coletou o dado — a quem o dono do dado deu consentimento — e também quem subcontratou o dado numa nuvem. E essas duas pontas da cadeia se entendem entre si.

CAPITAL ABERTO: De que maneira as empresas devem reagir diante de um vazamento de informações?

Cavalhero: Cada organização leva um tempo para identificar um incidente que se transformou num vazamento. A LGPD não estabelece prazos nesse aspecto. Quando ocorre um vazamento numa empresa de grande porte, recomenda-se que localize o problema e, com base num mapeamento prévio — medida que ajuda a confirmar se aquele grupo de dados estava em seu sistema, a identificar os ativos relacionados e a montar uma cronologia do caso —, comunique os usuários afetados. A primeira coisa que a organização deve fazer é uma notificação transparente, por mais que essa transparência prejudique sua imagem. Isso atende ao que diz a LGPD.

Leia também

Como fica o compliance com a LGPD

Um olhar para 2035: como estará o ambiente de negócios em 16 anos

Como lidar com a ruidosa LGPD