A IA e a conformidade com as leis de proteção de dados: Um guia para as organizações

A utilização de ferramentas de Inteligência Artificial (IA) está a tornar-se cada vez mais frequente, tanto em contextos organizacionais como pessoais. A gama de ferramentas de IA e os tipos de informação que processam estão a expandir-se rapidamente. 

Este artigo explora as principais considerações que as organizações devem ter em mente quando utilizam ferramentas de IA para garantir a conformidade com as leis de proteção de dados. 

Leis de proteção de dados do Reino Unido 

O quadro de proteção de dados do Reino Unido é constituído pelo seguinte: 

• A versão actualizada da legislação da UE Regulamento Geral sobre a Proteção de Dados (UE 2016/679); 

• O Lei da Proteção de Dados de 2018 (DPA 2018); 

• O Regulamentos de 2003 relativos à privacidade e às comunicações electrónicas (Diretiva CE) (SI 2003/2426) 

É importante notar que o Regulamento Geral sobre a Proteção de Dados da UE (UE 2016/679) tem efeitos extraterritoriais e pode também aplicar-se aos responsáveis pelo tratamento de dados e subcontratantes do Reino Unido que operam na UE. 

Ferramentas e dados de IA 

Nos últimos anos, temos assistido ao desenvolvimento de ferramentas de IA que dependem fortemente de dados pessoais. Por exemplo, a Alexa da Amazon, amplamente utilizada pelos residentes no Reino Unido, recolhe regularmente quantidades substanciais de dados, incluindo: 

• Informações sobre o pagamento 

• Localização em direto 

• Registos de pedidos de comunicação, que podem incluir dados pessoais 

• Histórico de compras 

• Hábitos de compra 

Do mesmo modo, a Meltwater, uma ferramenta de IA para os meios de comunicação social, as redes sociais e os consumidores, gera informações sobre o comportamento dos clientes através do processamento de dados de várias fontes, incluindo conversas em direto, contas de redes sociais e históricos de compras. 

À medida que as ferramentas de IA evoluem rapidamente, a recolha de dados continua a ser parte integrante da sua função. É quase certo que os dados recolhidos por algumas ferramentas de IA incluirão dados pessoais, dados de categorias especiais e, potencialmente, dados sobre crianças. 

Assim, é fundamental que as organizações garantam o cumprimento da legislação em matéria de proteção de dados. 

A orientação da IA 

O Gabinete do Comissário da Informação (ICO) elaborou orientações sobre a IA e a proteção de dados (o "Orientação por IA") para ajudar as organizações a interpretar a legislação relevante em matéria de proteção de dados aplicável à IA. As Orientações sobre a IA também fazem recomendações sobre boas práticas para medidas organizacionais e técnicas destinadas a atenuar os riscos que a IA pode representar para as pessoas. 

O ICO define a IA em termos gerais, reconhecendo-a como um termo normalizado do sector que engloba várias tecnologias. Uma área fundamental da IA é a "aprendizagem automática", que envolve a utilização de técnicas computacionais para criar modelos estatísticos a partir de grandes conjuntos de dados. Estes modelos são depois utilizados para fazer previsões ou classificações sobre novos dados, e muito do interesse atual na IA gira em torno da aprendizagem automática. 

Por conseguinte, as Orientações sobre a IA abordam principalmente os riscos e desafios em matéria de proteção de dados colocados pela IA baseada na aprendizagem automática. No entanto, também reconhece que outras formas de IA podem apresentar desafios adicionais em matéria de proteção de dados. 

A quem se aplica o Guia de IA? 

As Orientações sobre a IA destinam-se a dois grandes públicos: 

1. Os que têm como objetivo a conformidade, incluindo: 

• Responsáveis pela proteção de dados 

• Advogado geral 

• Gestores de risco 

• Direção de topo 

• Os próprios auditores do ICO, que utilizarão o Guia de IA para informar as suas funções de auditoria ao abrigo da legislação sobre proteção de dados. 

2. Especialistas em tecnologia, incluindo: 

• Programadores de aprendizagem automática e cientistas de dados 

• Programadores/engenheiros de software 

• Gestores de riscos de cibersegurança e de TI 

O presente artigo concentra-se nos aspectos das Orientações sobre a IA relevantes para quem se dedica à conformidade. No entanto, as organizações são encorajadas a considerar as Orientações sobre a IA na sua totalidade. 

Aspectos fundamentais das orientações sobre a IA 

As Orientações sobre a IA são extensas e pormenorizadas. De seguida, destacamos os pontos-chave para as organizações que utilizam a IA. 

Quais são as implicações da IA em termos de responsabilidade e governação? 

As organizações devem: 

• Alinhar as suas estruturas internas, funções e responsabilidades, requisitos de formação, políticas e incentivos com as suas estratégias de governação da IA e de gestão de riscos. 

• Demonstrar continuamente como abordaram a proteção de dados desde a conceção e as obrigações por defeito. 

• Assegurar que as suas capacidades de governação e de gestão dos riscos são proporcionais à sua utilização da IA. 

• Desenvolver um quadro geral de responsabilização como base para demonstrar a sua responsabilização ao abrigo das leis de proteção de dados, com base no qual podem desenvolver a sua abordagem à responsabilização da IA. 

Como garantir a transparência na IA? 

• As organizações são obrigadas a ser transparentes sobre a forma como processam os dados pessoais nos sistemas de IA para cumprir o princípio da transparência. 

• Antes de iniciar qualquer tratamento de dados pessoais, uma organização deve considerar as suas obrigações de transparência para com os indivíduos cujos dados pessoais tenciona tratar. 

• A organização deve incluir na sua informação sobre privacidade detalhes sobre as finalidades do processamento de dados pessoais, os períodos de retenção desses dados e as entidades com quem serão partilhados. 

• Se os dados forem recolhidos diretamente das pessoas, a informação sobre a privacidade deve ser fornecida no momento da recolha, antes de ser utilizada para treinar um modelo ou aplicar esse modelo. Se os dados forem recolhidos de outras fontes, a informação sobre a privacidade deve ser fornecida num prazo razoável, não superior a um mês. 

Como garantir a legalidade na IA? 

• Para cumprir o princípio da legalidade, uma organização deve discriminar cada operação de processamento distinta, identificando o objetivo e uma base legal adequada para cada uma. 

• Sempre que os dados pessoais são tratados, seja para treinar um novo sistema de IA ou para fazer previsões utilizando um sistema existente, a organização deve ter uma base adequada para o fazer. 

O que é que as organizações precisam de saber sobre equidade e exatidão estatística? 

• A precisão estatística refere-se à proporção de respostas corretas e incorrectas produzidas por um sistema de IA. 

• Os sistemas de IA devem ser suficientemente exactos do ponto de vista estatístico para garantir que o tratamento dos dados pessoais respeita o princípio da equidade. 

• Para respeitar o princípio da equidade, as organizações devem garantir que os dados pessoais são tratados da forma que as pessoas razoavelmente esperam e não de forma que tenha efeitos adversos injustificados sobre elas. 

• As organizações devem evitar o tratamento de dados pessoais de formas que sejam indevidamente prejudiciais, inesperadas ou enganosas para as pessoas em causa. Melhorar de forma consistente a exatidão estatística dos resultados de um sistema de IA é uma forma de garantir o cumprimento do princípio da equidade. 

Como é que as organizações devem avaliar a segurança e a minimização de dados na IA? 

• Quando tratam dados pessoais, as organizações devem garantir níveis de segurança adequados contra o tratamento não autorizado ou ilegal, a perda acidental, a destruição ou os danos. 

• As medidas de segurança que uma organização adopta devem ser proporcionais ao nível e ao tipo de riscos decorrentes de actividades de tratamento específicas. 

• Para proteger os dados de formação, as equipas técnicas devem registar e documentar todos os movimentos e armazenamento de dados pessoais. Além disso, todos os ficheiros intermédios que contenham dados pessoais que já não sejam necessários devem ser eliminados. 

• Independentemente de os sistemas de IA serem desenvolvidos internamente, externamente ou através de uma combinação de ambos, as organizações têm de os avaliar quanto aos riscos de segurança. 

• O pessoal deve estar equipado com as competências e os conhecimentos necessários para fazer face a eventuais riscos de segurança. 

Como é que as organizações garantem os direitos individuais nos seus sistemas de IA? 

• A legislação em matéria de proteção de dados confere às pessoas vários direitos relativos aos seus dados pessoais. No contexto da IA, estes direitos aplicam-se sempre que os dados pessoais são utilizados em qualquer fase do desenvolvimento e da implantação de um sistema de IA. 

• O direito à retificação, por exemplo, pode aplicar-se aos dados pessoais utilizados para treinar um sistema de IA. Quanto maior for a importância da exatidão destes dados, mais esforços as organizações devem investir na verificação da sua exatidão e na sua retificação, se necessário. 

• As organizações podem também receber pedidos de apagamento de dados pessoais no âmbito de dados de formação. Embora o direito ao apagamento não seja absoluto, esses pedidos devem ser considerados, a menos que os dados estejam a ser tratados no âmbito de uma obrigação legal ou de uma missão pública. 

• Para garantir a equidade e a transparência, as organizações devem informar as pessoas se os seus dados pessoais estão a ser utilizados para treinar um sistema de IA. Esta informação deve ser fornecida no momento da recolha dos dados. 

Contacte-nos - Solicitadores de IA e proteção de dados 

Sali Zaher, Contencioso comercial Associate, pode prestar assistência em litígios relacionados com a IA e a proteção de dados. Se tiver alguma dúvida sobre este assunto, contacte Sali Zaher por correio eletrónico para S.Zaher@rfblegal.co.uk ou pelo telefone 020 7467 5766.