A proteção de dados pessoais e a IA não são amigos, nem inimigos
Cristina De Luca
09/11/2019 20h17
A primeira vista, proteção de dados pessoais e Inteligência Artificial parecem forças opostas, incompatíveis. Muitos dos princípios fundamentais que sustentam as legislações de proteção de dados parecem estar em desacordo com aqueles que regem o desenvolvimento da IA.
Parecem…
Há muito debate sobre o quanto o Regulamento Geral de Proteção de Dados da União Europeia (o GDPR) e a nossa Lei Geral de Proteção de Dados (LGPD) desconsideraram a IA, concentrando-se em regulamentar o Big Data. O analista Cezar Taurion escreveu a respeito, no artigo "LGPD e Deep Learning. Podem conviver?", publicado no LinkedIn. Oren Etzioni, CEO do Allen Institute for Artificial Intelligence, também se aventurou no tema, em "Point: Should AI Technology Be Regulated?: Yes, and Here's How".
Em alguns casos, legislações como o GDPR e a LGPD realmente restringem – ou pelo menos complicam – o processamento de dados pessoais em um contexto de IA. Mas também podem ajudar a criar a confiança necessária para a aceitação da IA por consumidores e governos, à medida que continuamos a avançar em direção a um mercado de dados totalmente regulamentado.
Afinal de contas, garantir a qualidade dos dados, abordar vieses algorítmicos e aplicar e aprimorar métodos relacionados à interpretabilidade do código que ajudam a reconstruir o algoritmo podem desempenhar um papel fundamental no uso justo e ético da IA.
Um pouco de todas essas questões foram debatidas na última semana, durante o 2º Congresso Internacional de Proteção de Dados (CIPD), realizado em São Paulo. E embora todos os participantes fossem advogados, me surpreendi com amplo conhecimento prático que já acumulam sobre Ciência de Dados e produção algorítmica.
Depois do debate saí convencida de que proteção de dados e a IA serão parceiros inseparáveis ao longo da vida. E que o relacionamento deles amadurecerá e se solidificará à medida que a educação sobre o uso justo e ético dos dados pessoais se disseminar na sociedade. Até lá, no entanto, há muito a ser feito, e em várias frentes.
Antes de mais nada, será preciso compreender que, de fato, a dificuldade de regular a IA não nos isenta de nossa responsabilidade de controlar aplicativos de IA. E talvez esse controle passe por definições mais claras do que esperar sobre a explicabilidade da IA e das decisões algorítmicas. E de como aplicar princípios jurídicos como o da autodeterminação informativa, entendido como o "direito de cada indivíduo de controlar e de proteger os próprios dados pessoais, tendo em vista a moderna tecnologia e processamento de informação".
Os fundamentos desse direito, conforme definidos pela OCDE, parecem hoje mais simples de compreender do que de serem aplicados pela Ciência de Dados. São eles:
Princípio da correção: deve ser facultado ao cidadão o direito de retificar quaisquer dados coletados a seu respeito, a qualquer tempo sem quaisquer ônus;
Princípio da exatidão: os dados coletados devem guardar pertinência exata com os dados fornecidos pelo cidadão àquele destinatário, vedando-se o uso de meios suplementares não autorizados de coletas de dados;
Princípio da finalidade: deve haver uma relação direta de pertinência entre as finalidades da ação executada pelo coletor das informações e os dados que podem ser legitimamente coletados. Este princípio veda a licença indiscriminada, genérica e ampla para coletar dados pessoais em quaisquer formulários.
Princípio da publicidade dos bancos de dados: existência de um registro público prévio, com amplo acesso, dos bancos de dados;
Princípio do acesso individual: deve o indivíduo conhecer quais são as informações coletadas sobre si próprio, obter cópias e correção das informações, a integração das incompletas e a eliminação daquelas coletadas ilegitimamente;
Princípio da segurança física e lógica: os bancos de dados devem ser mantidos sob estruturas seguras o suficiente para impedir o acesso não autorizados dos dados por terceiros.
Não será fácil permitir ao cidadão que exerça real controle sobre a exatidão das informações que dele são coletadas, distribuídas e utilizadas. A regulamentação desse direito não se dará do dia para noite, nem de forma uniforme, para todas as situações cobertas pela IA e, até mesmo, por processos automatizados mais simples.
Da mesma forma, não será nada fácil garantir a implantação segura e ética da IA sem sufocar a inovação. Mas também não será impossível.
Para que aconteça, no entanto, será preciso ter um olhar prático sobre questões como a proteção de dados por design e por padrão, a limitação da quantidade de dados pessoais processados como parte do modelo de IA, a anonimização dos dados pessoais sempre que possível, a auditabilidade e a explicabilidade dos algoritmos, comentam Miriam Wimmer, Diretora de Serviços de Telecomunicações na Secretaria de Telecomunicações do MCTIC e Juliano Maranhão, professor da Faculdade de Direito da USP e presidente da Comissão de Inteligência Artificial do Instituto dos Advogados de São Paulo (IASP), durante o CIPD.
Muitos esforços e uma estratégia nacional
"São muitos os esforços no sentido de buscar a compatibilização entre a proteção de dados pessoais e a IA. Precisamos construir pontes entre esses diferentes universos. E para isso busca-se construir uma série de elementos procedimentais, métodos, técnicas e ferramentas que nos permitam mitigar a tensão e criar um diálogo construtivo entre essas duas áreas", diz Miriam.
Entre essas práticas, segundo ela, está o design orientado por valores. "Já se fala muito sobre Privacy by Design e Security by design, mas também na ideia de que o design incorpore questões éticas e aplicações socialmente orientadas. Falamos agora em Human Rights by Design e Ethics by Design", diz ela.
Vale lembrar que, nessa linha, o Information Commissioner's Office (ICO), órgão de proteção de dados britânico, trabalha em um sandbox projetado para apoiar organizações que usam dados pessoais a desenvolverem produtos e serviços inovadores e com benefício público demonstrável, como parte de sua "Technology Strategy 2018-2021".
A outra prática é a conscientização sobre a real necessidade de coleta e armazenamento de "todos os dados". Por que não coletar apenas aqueles dados que se prestam ao propósito da aplicação? Quanto maiores forem o volume e a diversidade dos dados coletados e a complexidade do processamento, maior o tal efeito "caixa preta" que dificulta entender as razões das decisões automatizadas.
A análise de Big Data tende a coletar e analisar todos os dados disponíveis. Isso pode incluir novos tipos de dados, como dados observados, derivados e inferidos, já enviesados… Por outro lado, há preocupações legítimas em algumas áreas, como segurança e combate a fraudes, de que muita transparência sobre os dados usados permita que indivíduos manipulem o sistema. O equilíbrio será definido caso a caso… "Há formas de minimizar a quantidade de dados pessoais necessários para o treinamento de sistemas de IA. Para o treinamento de inferências, por exemplo, é possível usar dados anônimos. Ou o uso de dados sintéticos. Dados que permitam que a máquina aprenda sem expôr indivíduos identificados", comenta Miriam.
E, por fim, segundo Miriam, a ideia de controle dos resultados dos sistemas de IA. "Muitos países têm adotado lógicas de supervisão participativa, principalmente quanto às aplicações de IA que façam uso de dados sensíveis. Comitês consultivos, de especialistas…", diz ela. E a ideia do uso de Privacy-enhancing technologies, ferramentas que dão aos usuários transparência quanto às decisões algorítmicas, que também podem ser exploradas…
O MCTIC vem trabalhando na construção de uma estratégia brasileira de IA que olhe para as diferentes dimensões de políticas públicas que possam contemplar esse pontos. Ainda é cedo para dizer como esse trabalho evoluirá. Mas não deixa de ser reconfortante ver gente, no seio do setor público federal, endereçando essas questões. Não estamos parados, e isso é bom.
"Esse trabalho está sendo desenvolvido por uma consultoria contratada pela Unesco, e nós temos iniciado o diálogo com os diferentes stakeholders para já no fim deste ano, ou no início do ano que vem, promover uma consulta pública mais ampla sobre essa estratégia", revela Míriam. "Certamente a diversidade de opiniões e visões sobre esses assuntos nos ajudarão a desenvolver uma estratégia bastante robusta", avalia.
Responsabilidades e a prestação de conta
Certamente existirão várias maneiras pelas quais as organizações poderão demonstrar responsabilidade no uso de dados pessoais pelos algoritmos dos sistemas de IA. A ICO, por exemplo, está desenvolvendo uma nova estrutura para auditoria de sistemas de IA que terá dois componentes principais:
• Governança e responsabilidade, que discutirão as medidas que uma organização deve ter para estar em conformidade com os requisitos da proteção de dados.
• Áreas de risco específicas da IA. No momento, oito estão sendo examinadas em detalhes. São elas:
1 Justiça e transparência no perfil, incluindo questões de preconceito e discriminação, a interpretação de aplicativos de IA e a capacidade de explicar as decisões para os titulares dos dados;
2 – Precisão, incluindo a precisão dos dados usados em aplicações de IA (dados de entrada) e a precisão dos dados derivados deles (saídas);
3 – Modelos de tomada de decisão totalmente automatizados, incluindo a classificação das soluções de IA com base no grau de intervenção e questões em torno da revisão humana dos modelos de tomada de decisão totalmente automatizados;
4 – Segurança e risco cibernético, incluindo testes e desafios de verificação, riscos de terceirização e riscos de identificação;
5 – Trade-offs, cobrindo os desafios de equilíbrio das restrições usadas para otimizar modelos de IA;
6 – Minimização de dados e limitação de propósitos;
7 – Exercício dos direitos, incluindo o direito ao esquecimento, à portabilidade de dados e de acesso aos dados pessoais;
8 – Impacto sobre interesses e direitos públicos mais amplos no que se refere à legislação de proteção de dados, tais como liberdade de associação e liberdade de expressão.
Está cada vez mais claro, portanto, que o aumento do uso de dados para IA tem dado origem a questões éticas e econômicas que não podem nem devem ser tratadas apenas pelas leis de proteção de dados, embora o Machine Learning aumente a performance da IA pela experiência adquirida no uso dos dados pessoais.
"Só as legislações de proteção de dados não serão suficientes para coibir prováveis irregularidades ou abusos", comenta Juliano Maranhão. Um dos caminhos para lidar com isso é usar a própria IA no reconhecimento de violações e na aplicação de ações capazes de impedi-las, à luz da lei, ou de optar pela sanção, sabendo que está infringindo algum preceito legal. A a ideia é fazer o sistema raciocinar a partir da aplicação de regras. Para isso é preciso tornar o direito e a interpretação do direito computáveis", explica Maranhão.
Assim como o direito à explicação, esse é um aspecto que também terá que ser debatido no Brasil. Nos dois casos, será preciso permitir aos detentores dos dados contestar uma decisão automatizada. E a explicação terá que ser pautada por critérios que sejam humanamente inteligíveis, afirma Maranhão.
Todos os envolvidos com o desenvolvimento de sistemas de IA devem considerar, desde já, como deverão lidar com uma solicitação de direitos do titular de dados em diferentes estágios do desenvolvimento dos sistemas. O direito à explicação, como vimos, não é menos importante que os direitos à retificação ou exclusão de dados. Embora venha haver sempre a necessidade de avaliações caso a caso, as organizações que considerarem essa questão e implementarem processos para lidar com tais solicitações estarão melhor posicionadas que aquelas que não pensarem sobre a questão com antecedência.
De certo, a comunidade da IA precisará se preparar também para mais leis regulando questões específicas essenciais para o uso e desenvolvimento da tecnologia. Por exemplo, na Europa, a lei recentemente proposta sobre a promoção de justiça e transparência para usuários comerciais de serviços de intermediação online inclui disposições que exigem que a transparência e o acesso aos dados sejam incorporados nos algoritmos usados.
Outro exemplo é a revisão recentemente proposta da Diretiva de Direitos do Consumidor da UE, que prevê que os contratos celebrados em mercados online devem fornecer informações sobre os principais parâmetros e algoritmos subjacentes usados para determinar a classificação das ofertas apresentadas a um consumidor que faz uma pesquisa online.
Certamente o que está por vir será ainda mais impactante que as legislações de proteção de dados pessoais que tanto afligem os desenvolvedores.
Sobre a autora
Cristina De Luca é jornalista especializada em ambiente de produção multiplataforma. É diretora da ION 89, startup de mídia com foco em transformação digital e disrupção. Foi diretora da área de conteúdo do portal Terra; editora-executiva da área de conteúdo da Globo.com; e editora-executiva da unidade de Novos Meios da Infoglobo, responsável pela criação e implantação do Globo Online. Foi colunista de tecnologia da Rádio CBN e editor-at-large das publicações do grupo IDG no Brasil. Master em Marketing pela PUC do Rio de Janeiro, é ganhadora do Prêmio Comunique-se em 2005, 2010 e 2014 na categoria Jornalista de Tecnologia.
Sobre o blog
Este blog, cujo nome faz referência à porta do protocolo Telnet, que é o protocolo de comunicação por texto sem criptografia, traz as informações mais relevantes sobre a economia digital.