Inteligência artificial e machine learning: A regulação internacional sob os aspectos éticos, morais, sociais e econômicos

Neste artigo, o vice-presidente de Serviços da Câmara de Comércio Brasil-Canadá (CCBC), Paulo Perrotti, discute os impactos das novas tecnologias


Por Paulo Salvador Ribeiro Perrotti*

O primeiro ponto de relevância a ser observado é a aplicação prática e palpável de inteligência artificial (IA) e do machine learning no ambiente econômico, comercial e financeiro. Como a base desta tecnologia é coletar e diagnosticar padrões lógicos por meio da análise massiva e estatística de dados, bem como de hábitos de consumo, e prover soluções customizadas repetitivas e automatizadas, uma das principais preocupações são os outliers ou a aplicação de vieses condicionados.  

Os outliers são dados que se diferenciam drasticamente de todos os outros e que fogem da normalidade, podendo causar anomalias nos resultados obtidos por meio de algoritmos e sistemas de análise. Os vieses condicionados podem induzir a tecnologia a conclusões abstratas, pouco práticas e preconceituosas; isto ocorre porque o tratamento dos dados é feito de forma genérica, abrangente e repetitiva, deixando de lado dados e preferências específicas ou de minorias – que podem sofrer abusos ou tratamentos inadequados quando estas informações são contabilizadas e aplicadas de forma automatizada e sem filtros. Neste sentido, os sistemas de IA podem criar resultados tendenciosos com base enviesada de discriminação em fatores como sexo, gênero e raça. 

Assim sendo, têm surgido, cada vez mais, ferramentas que tentam diagnosticar um modelo e identificar se há algum viés. Atualmente, essa questão é uma preocupação para quase todos os profissionais de tecnologia da informação. A recém-divulgada pesquisa Global AI Adoption Index 2021 apontou que 94% dos profissionais de tecnologia da informação relatam que é importante para seus negócios ser capaz de explicar como a inteligência artificial chegou a uma determinada decisão, a fim de justificar se houve ou não um viés condicionado. 

Seguindo este mesmo ponto de vista, corre-se o risco de que determinadas conclusões, baseadas em machine learning, não sejam inclusivas ou tratem de forma inadequada um indivíduo ou até mesmo uma coletividade, justamente por ela não se adequar aos padrões dos demais usuários, uma vez que ele não se adequou às regras impostas como padrão para aquele determinado ambiente tecnológico. 

O exemplo canadense

O mundo depende cada vez mais da tecnologia digital para se conectar, trabalhar e inovar. Neste sentido, em meus estudos sobre o assunto – e principalmente durante minha participação no C2 Montreal, um dos mais representativos festivais de criatividade e inovação para negócios do mundo – tomei conhecimento de que o governo do Canadá, país de vanguarda e que adota soluções tecnológicas de forma consistente, está implementando uma série medidas para garantir que os canadenses possam se beneficiar das tecnologias mais recentes, e estejam seguros de que suas informações pessoais estão protegidas, e que as empresas estão agindo com responsabilidade. 

O  ministro da Inovação, Ciência e Indústria, François-Philippe Champagne, juntamente com o ministro da Justiça e procurador-geral do Canadá, David Lametti, apresentaram o  Digital Charter Implementation Act, 2022, que fortalecerá significativamente a privacidade de dados no país, além de criar novas regras para o desenvolvimento e uso responsável da inteligência artificial. 

O Digital Charter Implementation Act, 2022 incluirá três propostas básicas:  

  1. Criação do Consumer Privacy Protection Act (lei de Proteção à Privacidade do Consumidor);  
  1. Estabelecimento de um tribunal de proteção de dados e informações pessoais; e  
  1. Regulação da IA por meio do Artificial Intelligence and Data Act  (Aida). 

A proteção à privacidade do consumidor atenderá às necessidades dos canadenses que dependem da tecnologia digital para desempenhar suas atividades. Esta normativa garantirá que a privacidade dos canadenses seja protegida e que empresas inovadoras possam se beneficiar de regras claras à medida que a tecnologia continue a evoluir, e abordará ainda os seguintes tópicos: 

  1. Aumento do controle e a transparência quando as informações pessoais dos canadenses são tratadas por organizações; 
  2. Liberdade de mover os dados de uma organização para outra de maneira segura; 
  3. Garantir que possam ser solicitadas suas informações e que estas sejam descartadas quando não forem mais necessárias; 
  4. Estabelecer níveis de proteção mais fortes para menores de idade, inclusive limitando o direito das organizações de coletar ou usar estes tipos de informações, e mantendo as organizações em um padrão mais alto ao lidar com informações de menores; 
  5. Fornecer ao Privacy Commissioner of Canada (trata-se do comissário de privacidade de dados do Canadá, que é um “ombudsman” apartidário e funcionário do parlamento canadense) amplos poderes para fazer pedidos, incluindo a capacidade de ordenar que uma empresa pare de coletar dados ou usar informações pessoais;
  6. Estabelecer multas significativas para organizações em desconformidade – com multas de até 5% da receita global ou US$ 25 milhões, o que for maior, para as infrações mais graves. 

Por outro lado, a Aida introduzirá novas regras para fortalecer a confiança dos canadenses no desenvolvimento e implantação de sistemas de IA, a fim de: 

  1. Proteger os cidadãos, garantindo que sistemas de IA de alto impacto sejam desenvolvidos e implantados de forma a identificar, avaliar e mitigar os riscos de danos e preconceitos; 
  1. Estabelecer um comissário de IA para apoiar o ministro da Inovação, Ciência e Indústria no cumprimento das responsabilidades da pasta, inclusive monitorando a conformidade da empresa, ordenando auditorias de terceiros e compartilhando informações com outros reguladores; e 
  1. Delinear proibições e imputações criminais em relação ao uso de dados obtidos ilegalmente para o desenvolvimento de IA, ou quando a implantação imprudente de IA acarretar danos graves, bem como quando houver intenção fraudulenta de causar perdas econômicas substanciais por meio de sua implantação. 

Os propósitos declarados da Aida são: (i) regular o comércio internacional e interprovincial e o comércio em sistemas de IA, estabelecendo requisitos comuns aplicáveis ​​em todo o Canadá para o projeto, desenvolvimento e uso desses sistemas; e (ii) proibir certas condutas em relação aos sistemas de IA que possam resultar em sérios danos aos indivíduos ou aos seus interesses. A Aida define “dano” como (a) dano físico ou psicológico a um indivíduo, (b) dano à propriedade de um indivíduo ou (c) perda econômica a um indivíduo. 

A regulamentação da IA se concentrará nas pessoas que realizam uma “atividade regulamentada”, o que significa qualquer entidade que desempenhar alguma das seguintes atividades:  

  1. processamento ou disponibilização para uso de quaisquer dados relacionados a atividades humanas com o objetivo de projetar, desenvolver ou usar um sistema de IA; ou  
  1. projetar, desenvolver ou disponibilizar para uso um sistema de IA ou gerenciar suas operações. 

Essas referências são tão amplas que é fácil imaginar que muitos sistemas de IA se enquadram no significado de uma atividade regulamentada. A Aida impõe requisitos regulatórios para os sistemas de IA em geral e para os sistemas de IA especificamente referidos como “sistemas de alto impacto”, cuja avaliação ainda é subjetiva e depende de vários fatores. Seus níveis de impacto variam com base no efeito do sistema sobre os direitos, saúde e bem-estar de indivíduos ou comunidades, interesses econômicos e sustentabilidade de um ecossistema, reversibilidade e duração.  

Quando um sistema de IA atende à definição de “alto impacto”, a responsável deve: 

  1. Estabelecer medidas para identificar, avaliar e mitigar os riscos de danos ou resultados tendenciosos que podem resultar do uso do sistema;  
  1. Estabelecer medidas para monitorar o cumprimento das medidas de mitigação e a eficácia dessas medidas de mitigação;  
  1. Onde o sistema é disponibilizado para uso, publicar em um site público uma descrição em linguagem simples do sistema que explique, dentre outras definições, como o sistema deve ser usado, os tipos de conteúdo que ele pretende gerar e os tipos de decisões, recomendações ou previsões que se pretende fazer e as medidas de mitigação de risco estabelecidas;  
  1. Onde está sendo gerenciada a operação do sistema, publicar em um site público uma descrição em linguagem simples do sistema que explique, dentre outras coisas, como o sistema é usado, os tipos de conteúdo que ele gera e as decisões, recomendações ou previsões que faz e as medidas de mitigação estabelecidas; e  
  1. Notificar a autoridade responsável se o uso do sistema resultar ou for provável que resulte em dano material. 

Neste sentido, a autoridade pode exigir que qualquer pessoa responsável por um sistema de alto impacto deixe de usá-lo (ou de disponibilizá-lo para uso) quando tiver motivos razoáveis ​​para acreditar que seu uso dá origem a um sério risco de dano iminente. Da mesma forma, pode também exigir que a pessoa auditada implemente qualquer medida especificada no pedido para tratar de qualquer coisa mencionada em um relatório de auditoria; ou ainda que uma pessoa publique em um site publicamente disponível determinadas informações, incluindo detalhes de auditoria, desde que não determine  a divulgação de informações comerciais confidenciais. 

Quanto ao tema da “anonimização”, de acordo com o Aida uma pessoa que realiza uma atividade regulamentada e que processa ou disponibiliza para uso dados anônimos no curso dessa atividade será obrigada a estabelecer medidas com relação (a) à maneira como os dados são anonimizados, e (b) ao uso ou gerenciamento de dados anônimos. 

Como bem sabemos, a IA tem inúmeras áreas de aplicação, como reconhecimento facial ou de fala, veículos autônomos, chatbots, navegação, marketing direcionado, aprendizado personalizado e suporte ao recrutamento e seleção de candidatos. Uma das principais preocupações que ela gera é o potencial de uso indevido de informações pessoais, uma vez que são necessárias grandes quantidades de dados para desenvolver um sistema de machine learning.  

Assim sendo, aqueles que violarem a Aida podem ser responsabilizados por penalidades monetárias administrativas. A autoridade poderá criar um modelo de execução destas penalidades, que levará em conta: classificar as violações como leves, graves ou muito graves; instituir inquéritos investigativos; definir o direito de defesa; determinar o alcance e o valor das penalidades administrativas que podem ser impostas; regular revisões ou apelações de constatações de que uma violação foi cometida; impor penalidades monetárias administrativas; e regular acordos de compliance

A Aida está contando com colaborações internacionais notáveis, que ​​incluem a Parceria Global em Inteligência Artificial (GPAI, que tem 25 países-membros, incluindo o Canadá), o trabalho da Unesco em IA e projetos de organizações de definição de padrões – incluindo o Instituto de Engenheiros Elétricos e Eletrônicos (IEEE) e o International Telecommunication Union (UIT).  

Desafios regulatórios 

Existe um amplo consenso internacional sobre os principais desafios legais e regulatórios da IA, tais como segurança (incluindo robustez do desempenho e segurança cibernética), transparência, responsabilidade, controle humano, mitigação de preconceitos e proteção da privacidade.  

Há, contudo, menos consenso sobre como lidar com o seu amplo potencial e com os efeitos sociais e econômicos da adoção generalizada da IA.  

A proposta mais avançada e abrangente para a regulamentação “transversal” da IA ​ é a Artificial Intelligence Act (Lei de Inteligência Artificial) proposta pela União Europeia (UE). Da mesma forma como ocorre com as leis de privacidade da UE, como a General Data Protection Regulation (GDPR), espera-se que isso se torne um requisito de fato para empresas em caráter internacional – o chamado “efeito Bruxelas”. O projeto de lei proíbe alguns dos usos da IA, como as “técnicas subliminares”, e define outros sendo “de alto risco”, como a identificação biométrica. Para estes a legislação exige medidas especiais, incluindo gerenciamento de risco, governança de dados, documentação, manutenção de registros, transparência, supervisão humana, precisão, robustez e segurança cibernética.  

O rascunho mais recente da lei também inclui requisitos para sistemas gerais de IA, que podem ser usados ​​para aplicativos de alto risco. A Artificial Intelligence Act não deve entrar em vigor antes de 2024, mas as empresas devem começar a abordá-la agora, uma vez que sua entrada em vigor exigirá o desenvolvimento e a implementação de soluções técnicas que podem ter um efeito material no desenvolvimento de produtos e serviços.  

No entanto, a escassez de especialistas em inteligência artificial dificulta o trabalho regulatório em caráter internacional. Como a IA é de aplicação geral, em todos os setores e atividades, todas as leis se aplicam potencialmente ao seu uso; e algumas, particularmente relacionadas à privacidade, já são considerações significativas. 

*Paulo Salvador Ribeiro Perrotti é vice-presidente de Serviços da CCBC, entidade na qual ocupou a presidência entre 2017 e 2021, CEO da LGPD Solution e auditor-líder ISO 27001 (certificação internacional ISO referente à segurança da informação).  Além disso, atua como professor de Cyber Security na pós-graduação da Faculdade de Engenharia de Sorocaba (Facens) e de Cibersegurança Ofensiva com Certificação (CEH) pela Acadi-TI. Tem especialização em Direito Canadense e de Québec pela Université de Québec à Montreal (Uqàm), possuindo MBA pela FGV-SP, especialização em Direito de Informática (LLM) pelo Ibmec-SP, em Mercado Financeiro pelo Instituto Finance e em Responsabilidade Social pela ESPM-SP, além de ser Certified Secure Computer User (CSCU) pela EC-Council e integrante da Comissão Especial de Relações Internacionais e da Comissão de Privacidade e Proteção de Dados da OAB-SP. Possui título de especialização em Business  Intelligence pela Dominican College of San Raphael e em Técnicas de Negociação pela Berkley University. É responsável por ESG (environment, social and governance) do Blockchain Research Institute (BRI) no Brasil, e também atua como colunista fixo desse tema nos portais Procurement Digital e SolutionHub. Contato: [email protected]