A inteligência artificial (IA) oferece oportunidades transformadoras para os negócios, mas também introduz riscos significativos, especialmente no que diz respeito à conformidade com a Lei Geral de Proteção de Dados (LGPD), a Lei n.º 13.709, de 14 de agosto de 2018. Este artigo explora os cinco maiores riscos relacionados à LGPD, associados ao uso de ferramentas de IA, fornecendo orientações práticas sobre como enfrentar esses desafios enquanto protegemos os dados pessoais e dados pessoais sensíveis sob nossa governança.
Por Léo Farias
Ao considerar a implementação da IA em seu negócio, é imprescindível que você garanta a gestão dos riscos relacionados. E não me refiro ao receio de que ela aprenda o que você faz, furte seus clientes, tome seu emprego, crie um exército universal de inteligência artificial conectada, que controle todas as máquinas ligadas à internet ao redor do mundo, inicie uma insurreição e comece a cultivar a humanidade como fonte de energia.
Refiro-me ao risco de expor os dados pessoais e talvez até dados pessoais sensíveis tratados por sua organização através dessas ferramentas. A IA evoluiu e não é surpreendente que as organizações com maior capacidade de investimento neste tipo de tecnologia colham os frutos do aumento do desempenho e da assertividade nos resultados. De certa forma, guardando as devidas proporções, elas são justamente aquelas que mais lucram.
O problema é que tudo isso traz aspectos mais sensíveis a um negócio, em termos de proteção de dados, especialmente em setores altamente regulados. Portanto, se você deseja utilizar IA, não adote a primeira ferramenta que lhe for apresentada. É essencial considerar os riscos.
Risco 1 – Saiba qual é o destino dos dados processados
Por aqui, no Brasil, no que se refere à regulamentação de IA, temos o Projeto de Lei n.º 2338, de 2023. Este projeto, de autoria do senador Rodrigo Pacheco, visa estabelecer normas gerais para o desenvolvimento, implementação e uso responsável de sistemas de inteligência artificial no país. Aprovado pelo Senado Federal em 10 de dezembro de 2024, o PL 2338/2023 segue agora para análise na Câmara dos Deputados.
O referido PL propõe a criação do Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA), coordenado pela Autoridade Nacional de Proteção de Dados (ANPD). Seu objetivo é proteger direitos fundamentais, assegurar a implementação de sistemas seguros e confiáveis, além de promover benefícios para a sociedade e fomentar o progresso científico e tecnológico. No entanto, organizações da sociedade civil alertam para possíveis retrocessos no texto, apontando que algumas alterações podem enfraquecer a legislação, limitando sua aplicação e flexibilizando mecanismos essenciais de governança e proteção de direitos.
De acordo com as melhores práticas de proteção de dados pessoais, recomenda-se que as ferramentas de IA não sejam integradas diretamente ao ecossistema de dados pessoais da organização. Em vez disso, o ideal é que seu uso ocorra de forma controlada, com a inserção manual e sob demanda das informações necessárias, garantindo maior segurança e mitigando riscos de exposição indevida.
Ao mesmo tempo, muitas organizações que utilizam a IA em seus serviços devem estar atentas que a maioria das empresas criadoras dessas ferramentas de IA deixam claro, em seus termos e condições, que retêm os dados inseridos para melhorar o treinamento do modelo, sendo estes dados pessoais ou não.
Com base no exposto, convém que as organizações de fato conheçam os pormenores das ferramentas adotadas, de modo a garantir a transparência aos titulares, os princípios previstos no Art. 6º, da LGPD, a prestação de contas perante os órgãos de controle e para onde estes dados pessoais estão indo. Ao negligenciar este contexto, o controlador assume um risco considerável.
Risco 2 – O processamento por IA provavelmente exigirá um Relatório de Impacto à Proteção de Dados Pessoais (RPID)
Carregar dados confidenciais de titulares em uma ferramenta de IA significa que seu uso pode envolver um tipo de processamento que representa alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados. Isso aciona a recomendação, por parte da ANPD, de realização de um RPID, contendo as medidas, salvaguardas e mecanismos de mitigação de risco, nos termos dos artigos 5º, inciso XVII, e 38 da LGPD.
A ANPD lista, ainda, situações específicas em que o RIPD poderá ser exigido por esta Autoridade, como, por exemplo:
- nas operações de tratamento efetuadas para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (art. 4º, § 3º);
- quando o tratamento tiver como fundamento a hipótese de interesse legítimo (art. 10, § 3º);
- para agentes do Poder Público, incluindo determinação quanto à publicação do RIPD (art. 32); e
- para controladores em geral, quanto às suas operações de tratamento, incluindo as que envolvam dados pessoais sensíveis (art. 38).
Assim, o controlador deverá elaborar o RIPD em determinadas situações, seja para atender a uma exigência da ANPD, seja em conformidade com o princípio da responsabilização e prestação de contas (art. 6º, X) da LGPD. Isso ocorre sempre que identificar que o tratamento de dados pode representar um alto risco à observância dos princípios gerais de proteção de dados pessoais, bem como às liberdades civis e aos direitos fundamentais do titular. Ou seja, mesmo nos casos em que a avaliação indicar que um determinado uso da IA não envolve alto risco, é fundamental documentar como essa avaliação foi realizada.
Cabe destacar que o controlador é o agente de tratamento responsável pela elaboração do RIPD, nos termos dos art. 5º, inciso XVII, e 38, da LGPD.
Risco 3 – Se você não consultar os titulares, possivelmente afetados com o uso da IA, pode violar a LGPD
Recomenda-se a elaboração do RIPD antes do início do tratamento dos dados pessoais, permitindo ao controlador avaliar antecipadamente os riscos envolvidos. Dessa forma, ele poderá identificar a probabilidade de ocorrência de cada fator de risco e seu impacto sobre as liberdades e direitos fundamentais dos titulares, além de adotar medidas e salvaguardas adequadas para mitigação.
Caso a elaboração prévia não seja possível, o RIPD deve ser realizado assim que for identificado um tratamento que represente alto risco à observância dos princípios da LGPD e aos direitos dos titulares.
Se a avaliação indicar um risco residual elevado que não possa ser suficientemente reduzido, recomenda-se consulta à ANPD antes de iniciar o processamento. Além disso, salvo justificativa válida, é necessário buscar e documentar a opinião dos titulares ou de seus representantes sobre a operação de tratamento durante a realização do RIPD.
A descrição do processamento deve ser clara e acessível aos consultados. No entanto, caso a consulta comprometa a confidencialidade comercial, a segurança ou se revele desproporcional ou impraticável, esses fatores podem ser considerados para sua dispensa.
Risco 4 – Documentação dos processos para evitar violações das responsabilidades do controlador de dados
É essencial documentar os processos, fluxos e seus resultados de maneira auditável. Isso ajudará a demonstrar que o processamento é justo, necessário, proporcional, adequado, relevante e limitado.
Essa obrigação integra as responsabilidades do controlador de dados, exigindo documentação detalhada e compatível com os requisitos da LGPD. O RIPD deve ser elaborado sempre que o tratamento envolver alto risco aos direitos e liberdades dos titulares, conforme previsto no artigo 38 da LGPD. Além disso, caso o tratamento tenha como hipótese legal o legítimo interesse, é recomendável realizar uma Avaliação de Legítimo Interesse (LIA) para demonstrar a necessidade, a adequação e o equilíbrio entre os interesses do controlador e os direitos dos titulares, conforme orientações da ANPD.
A documentação deve abranger:
- A análise dos riscos associados ao tratamento dos dados pessoais e seus impactos sobre os direitos dos titulares;
- A metodologia utilizada para avaliar e justificar as escolhas adotadas ou descartadas na implementação do tratamento;
- Os critérios de priorização e a fundamentação da decisão final sobre a viabilidade do processamento;
- A relação entre a decisão final e a tolerância ao risco da organização.
Além disso, é essencial que o controlador esteja preparado para suspender a implementação de qualquer sistema de IA ou outro tratamento de dados caso não seja possível garantir a conformidade com os requisitos da LGPD.
Na avaliação de soluções de IA disponíveis no mercado, têm sido identificados desafios significativos para atender aos critérios de due diligence e assegurar conformidade com a legislação vigente.
Risco 5 – Avaliações das ferramentas de IA são uma responsabilidade contínua, não apenas no momento da compra
Ao adquirir uma solução de IA de terceiros, é essencial realizar uma avaliação independente dos riscos e compromissos envolvidos como parte do processo de due diligence. Além disso, a especificação dos requisitos de conformidade deve ser feita na fase de aquisição, evitando a necessidade de ajustes posteriores que possam comprometer a proteção de dados pessoais.
A LGPD exige que os agentes de tratamento adotem medidas preventivas para garantir a segurança e a privacidade dos dados desde a concepção e durante todo o ciclo de vida do tratamento, conforme os princípios da segurança (art. 6º, VII) e da prestação de contas e responsabilização (art. 6º, X). Dessa forma, ao contratar uma solução de IA, os desenvolvedores e fornecedores devem:
- Incorporar a proteção de dados desde a concepção e o design dos sistemas (privacy by design);
- Assegurar que controladores e operadores possam cumprir suas obrigações legais e regulatórias de proteção de dados;
- Disponibilizar mecanismos de mitigação de riscos para garantir o uso responsável e seguro da IA.
É fundamental que qualquer sistema adquirido esteja alinhado com os requisitos da LGPD e com as diretrizes estabelecidas pela ANPD.
Caso não seja possível avaliar se a solução de terceiros está em conformidade com a legislação vigente, a melhor prática é optar por uma alternativa que garanta maior transparência e governança no tratamento de dados pessoais.
Dado que novos riscos e exigências regulatórias podem surgir ao longo da implementação, recomenda-se a revisão periódica dos serviços terceirizados, assegurando a possibilidade de modificação ou substituição do fornecedor caso a ferramenta deixe de atender aos requisitos de conformidade.
A conformidade com a LGPD representa um dos principais desafios para a adoção de soluções de IA no Brasil. No entanto, uma abordagem estratégica e bem estruturada pode minimizar riscos e garantir a proteção dos direitos dos titulares.
Conclusão
A Inteligência Artificial pode impulsionar negócios e otimizar processos, mas sua adoção exige governança, transparência e conformidade com a LGPD para evitar riscos e garantir a proteção dos dados pessoais. Implementar boas práticas e documentar cada etapa do tratamento são passos essenciais para um uso responsável e seguro da IA. Se você gostou deste conteúdo, compartilhe com sua rede e deixe seu comentário! Sua opinião é valiosa para continuarmos promovendo discussões sobre privacidade e segurança da informação.