IA: Plano de Ação para Proteção Dados

2024-01-26T17:21:00
Portugal
Novo Paradigma de Proteção de Dados na era da IA
IA: Plano de Ação para Proteção Dados
26 de janeiro de 2024
  • Lavínia Pinto Marques
  • Catarina Castanheira Lopes

Desafios da IA em matéria de Proteção de Dados:

Agora que o paradigma da atividade diária das empresas se alterou, tendo a inteligência artificial (“IA”) passado a fazer parte dos seus negócios, a utilização desta tecnologia tem gerado uma série de novos desafios em matéria de proteção de dados.

A IA processa informações para aprender, adaptar-se e fazer previsões ou recomendações. Porém, a capacidade de a IA requerer um volume imensurável de dados para o treino dos seus algoritmos, levanta preocupações sobre a privacidade e a segurança dessas informações.

Embora nem todos os sistemas de IA necessitem de se alimentar de dados pessoais, em muitos casos, a informação recolhida poderá estar direta ou indiretamente ligada ao tratamento de dados de pessoas singulares (“titulares dos dados”). Diante deste cenário, sem prejuízo de aguardarmos a publicação oficial do AI Act (Regulamento IA), que estará para breve, é já sabido que este Regulamento irá prever ab initio que os sistemas de IA devem ser desenvolvidos em conformidade com as obrigações e princípios do Regulamento Geral sobre a Proteção de Dados (“RGPD”).

Assim, é desde logo reconhecido o direito à privacidade e à proteção de dados pessoais, em particular, que estes devem ser garantidos ao longo de todo o ciclo de vida do sistema de IA, cumprindo os princípios da minimização de dados e da proteção de dados por design e por defeito.

Atualmente, importa considerar que a prática comum de treinar sistemas de IA faz-se através de diversas fontes, em particular do web scraping, que consiste na extração de dados, incluindo pessoais, da Internet.

A falta de interação direta entre a entidade que extrai os dados (aqui responsável pelo tratamento) e os titulares dos dados dificulta a conformidade com várias obrigações previstas no RGPD, desde logo (i) o cumprimento do direito de informação, que requer transparência na obtenção de dados pessoais, (ii) a falta de uma base de licitude para a recolha e tratamento dos dados, (iii) o não cumprimento dos termos e condições de determinados websites (que podem especificar o que pode e o que não pode ser extraído) e (iv) potenciais violações de dados pessoais.

Embora o RGPD isente os responsáveis pelo tratamento de dados de fornecerem informações quando tal medida é desproporcional, a interpretação restritiva pelas autoridades de controlo cria diversas incertezas.

Requisitos de conformidade essenciais na perspetiva de proteção de dados e IA:

Para fazer face aos riscos existentes, importa considerar os requisitos de conformidade essenciais na perspetiva de proteção de dados e IA:

  • Transparência: Garantir a transparência perante o utilizador dos termos subjacentes ao tratamento dos seus dados pessoais, promovendo sistemas de IA mais transparentes e confiáveis, tendo em consideração o impacto nos titulares dos dados.
  • Base de licitude: Deverá ser sempre analisada e ponderada a base de licitude aplicável, dentro das previstas no RGPD. Desta forma, os sistemas de IA devem tratar os dados pessoais de forma legítima, o que pode limitar a disponibilidade de certos conjuntos de dados para o desenvolvimento, treino e exploração de sistemas de IA.
  • Limitação das finalidades: A IA, que muitas vezes descobre novas aplicações e correlações em dados existentes, deve adaptar as suas funcionalidades para não transgredir esta limitação, podendo representar um desafio na expansão das suas capacidades e aplicações.
  • Minimização dos dados: Embora os sistemas de IA sejam capazes de processar grandes volumes de dados, o RGPD define que apenas os dados estritamente necessários para o propósito declarado sejam recolhidos. Assim, deverão implementar-se abordagens mais seletivas, apostando na minimização dos dados pessoais tratados
  • Exercício de direitos: Devem ser estabelecidos os mecanismos necessários para cumprimento dos pedidos de exercício de direitos à escala do tratamento realizado como resultado da utilização dos sistemas de IA. A IA pode ser usada para tomar decisões automatizadas com base em dados e algoritmos, o que pode gerar preocupações éticas, de igualdade e de equidade.
  • Avaliação de impacto sobre a proteção de dados: Importa, por isso, identificar (previamente à sua implementação) os riscos inerentes à adoção e utilização da IA no seio das empresas, com base nos princípios fundamentais e requisitos aplicáveis em matéria de proteção de dados pessoais. Para isso, deverá ser avaliada a necessidade de realizar-se uma Avaliação de Impacto sobre a Proteção de Dados (AIPD). Efetuando uma AIPD, e conforme o seu resultado, deverá (i) prosseguir com os tratamentos de dados pessoais tal e qual como estão previstos, (ii) definir e implementar medidas de mitigação do risco, (iii) efetuar uma consulta prévia à CNPD ou (iv) repensar o projeto de desenvolvimento da plataforma com base em IA.

Plano de Ação para as organizações:

Por fim, sugere-se o seguinte plano de ação para as organizações que desenvolvem ou utilizam sistemas de IA que tratam dados pessoais:

  1. Definir de forma clara a base de licitude para o tratamento de dados pessoais;
  2. Aplicar os princípios de proteção de dados, desde a definição do sistema de IA;
  3. Desenvolver mecanismos de transparência e evidência (accountability);
  4. Estabelecer um procedimento eficaz e adequado para a gestão e execução dos pedidos de exercício de direitos em matéria de proteção de dados;
  5. Garantir a formação dos trabalhadores e promover a sensibilização destes temas de proteção de dados;
  6. Realizar as avaliações de impacto sobre a proteção de dados necessárias;
  7. Definir um modelo de governo e monitorização contínua.
26 de janeiro de 2024