A Autoridade Nacional de Proteção de Dados tem se posicionado com frequência em relação ao PL nº 2338/2023, que dispõe sobre o uso da Inteligência Artificial. Em uma de suas últimas colocações, ocorrida em julho, a instituição especificou vários pontos de contato entre o PL e a LGPD. Seu objetivo é ser a autoridade-chave da norma.
O primeiro ponto de interação entre as normativas seria o estabelecimento de uma ‘regulação baseada em riscos’ e uma ‘modelagem regulatória baseada em direitos’ na normativa do Marco Legal da IA.
A regulação baseada em riscos é uma regulação a partir da qual os procedimentos aos quais os sistemas estão submetidos coincidam ou estejam condizentes com uma classificação de riscos. Por este motivo no projeto se propõe critérios para classificação de riscos, além de regras para avaliação de impacto algorítmico, direcionadas para alto risco.
Já a modelagem regulatória baseada em direitos diz respeito a uma metodologia recomendada pela ONU para projetos de cooperação técnica nacional e internacional para o desenvolvimento em vários setores e que respeita – sobretudo - os direitos humanos.
A proposta de regulação da AI no Brasil parte da premissa de que não abandonará a proteção de direitos e liberdades fundamentais, da valorização do trabalho e da dignidade da pessoa humana para beneficiar a ordem econômica e a criação de novas cadeias de valor. Seus fundamentos e princípios, pelo contrário, buscam uma harmonização entre os direitos, traçando, no entender da ANPD, uma grande aproximação com a norma de proteção de dados pessoais.
Desta maneira, o PL nº 2338/2023 proíbe sistemas de IA de risco excessivo, especifica quais são os sistemas considerados de alto risco e suas obrigações e antecipa direitos às pessoas naturais afetadas pelo (mau) funcionamento destes mesmos sistemas.
Por sua vez, a LGPD estabelece diferenças de regime jurídico ou de carga regulatória com base no nível de riscos gerado pela atividade de tratamento de dados executada pelo agente de tratamento. E garante direitos aos titulares mesmo que atividade seja de baixo risco a direitos, garantias e liberdades fundamentais.
A ANPD também destaca um outro ponto de interação entre a LGPD e o PL: são os mecanismos de governança previstos, como o RIPD (Relatório de Impacto à Proteção de Dados) e a avaliação de impacto algorítmico, que, respectivamente, auxiliam na conformidade ao regime de proteção de dados e às determinações da proposta de marco legal de IA.
Em resumo, são três importantes correspondências entre as duas leis (uma ainda em fase de tramitação) que devem ser destacadas e a importância de se fazer este paralelo se deve ao fato de que existe a possibilidade de eventuais convergências, sobreposições e conflitos com as atribuições legais da ANPD quando sistemas de Inteligência Artificial realizarem tratamento de dados pessoais:
direitos da pessoa afetada por sistema de IA e os direitos dos titulares;
a correlação entre sistemas de IA de alto risco e o tratamento de dados pessoais;
e mecanismos de governança.
Tutela de direitos no PL nº 2338/2023 e os direitos dos titulares na LGPD
A ANPD, em sua análise preliminar sobre o PL2338/23, atenta para os direitos à informação, à explicação, e à contestação e de solicitar revisão. São direitos que se destinam à tutela das pessoas naturais afetadas por sistemas de IA e que possuem semelhanças com alguns dispositivos da LGPD relativos aos direitos dos titulares.
As similaridades, na visão da Autoridade, dão margem a convergências e a possíveis conflitos.
A proposta de lei prevê que ao afetado pelos sistemas de IA devem ser garantidas informações claras e adequadas, previamente a contratação ou utilização dos sistemas, sobre vários aspectos, como:
o caráter automatizado da interação com o sistema;
sua descrição geral;
os tipos de decisões, recomendações ou previsões que se destina a fazer e consequências de sua utilização para a pessoa natural.
A identificação dos operadores do sistema e a informação sobre medidas de governança adotadas no desenvolvimento e emprego do sistema também são garantidas. A observância deste direito tem relação com o direito de acesso, consagrado na LGPD, que também garante ao titular de dados receber informações relevantes sobre as operações de tratamento de seus dados pessoais.
Um bom exemplo são os casos de investigação por autoridades de proteção de dados italianas, espanholas e canadenses envolvendo questões com as aplicações baseadas em IA generativa (por exemplo, o ChatGPT).
O direito de contestação e de solicitar revisão do texto do PL também possui direta ligação com o direito de solicitar a revisão de decisões automatizadas previsto na LGPD. Neste caso, na visão da ANPD, o confronto das normas ‘aponta para uma possível tensão’. É que, no primeiro, o direito de contestar e de solicitar a revisão de decisões, recomendações ou previsões geradas por sistema de IA é garantido desde que produzam “efeitos jurídicos relevantes” ou que “impactem de maneira significativa os interesses da pessoa”.
E a previsão da Lei de Dados estabelece que o direito de revisão se aplica em hipóteses de “decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses”. O PL estipula requisitos mais estritos e não menciona a LGPD, o que poderia causar incerteza jurídica nas situações em que sistemas de IA tratam dados pessoais. Neste caso, a ANPD sugere uma revisão do texto do PL, criando-se compatibilidade jurídica e assegurando as competências da ANPD em regular tema que já lhe cabe.
Também há convergência entre o dever imposto aos controladores no contexto de tomada de decisão automatizada e o direito à explicação sobre a decisão, previsão ou recomendação, com informações a respeito dos critérios e dos procedimentos utilizados (artigo 20, § 1º, da LGPD).
Assim, a ANPD possuiria papel relevante na regulação do direito à explicação. Por fim, tanto o PL nº 2338/2023 quanto a LGPD mencionam o princípio da não discriminação. No PL, o princípio é mencionado como fundamento e direito. No contexto da revisão de decisões automatizadas, conforme a LGPD, a ANPD possui competência para realizar auditorias com o objetivo de verificar se existem aspectos discriminatórios no tratamento automatizado.
Importante ressaltar que o PL associa efeitos discriminatórios aos usos ilegítimos e abusivos de dados pessoas sensíveis, definidos no art. 5º, II, da LGPD. Ou seja, fica claro que a identificação de efeitos discriminatórios de sistemas de inteligência artificial envolve avaliação dos riscos associados ao tratamento de dados pessoais sensíveis, tema cuja competência regulatória é da ANPD.
IAs de alto risco e tratamento de dados pessoais
Característica frequente nos sistemas considerados de alto risco é o tratamento de dados pessoais e de dados sensíveis. Isto porque eles são projetados para tomar decisões automatizadas que podem ter impacto significativo em direitos e interesses de indivíduos (decisões relacionadas a crédito, emprego, segurança pública e saúde).
Esses sistemas normalmente são treinados por meio de bases de dados com grandes quantidades de dados pessoais, usados para treinar algoritmos e ajudá-los a identificar padrões e tomar decisões mais precisas.
Dois dos critérios fixados pelo PL para que a autoridade competente atualize as listas dos sistemas de IA de risco excessivo ou de alto risco envolvem a utilização de dados pessoais: alto nível de identificabilidade dos titulares dos dados; e quando existirem expectativas razoáveis do afetado quanto ao uso de seus dados pessoais.
Ou seja: as questões de proteção de dados devem ser consideradas desde o início e monitoradas ao longo dos ciclos de vida dos sistemas de IA para garantir a conformidade com os direitos humanos e direitos fundamentais. E é por isto que há grande preocupação regulatória com os efeitos dos sistemas de IA para os direitos fundamentais.
E não apenas de seus usuários imediatos, mas de indivíduos e/ou grupos que possam ser sujeitos às decisões dos sistemas.
A não discriminação, a privacidade, a proteção de dados pessoais e mesmo o acesso a determinados benefícios sociais podem ser afetados por decisões automatizadas.
Governança
As medidas de governança propostas pelo PL também conversam com dispositivos da LGPD:
princípios, tais como transparência, segurança e não discriminação;
direitos dos titulares, em particular os relativos a decisões baseadas em tratamento automatizado de dados pessoais; e
o princípio da privacidade desde a concepção.
A instituição de programas de governança mediante códigos de conduta de agentes de IA também tem muitas semelhanças com a disciplina da LGPD sobre regras de boas práticas e governança em proteção de dados.
Nos dois casos se percebe a escolha de política legislativa em favor da autorregulação regulada*, a fim de promover nos agentes regulados atitude preventiva e de antecipação de riscos a direitos e liberdades fundamentais.
Outro aparato de governança é a avaliação de impacto algorítmico (AIA), tratada em seção específica do PL.
A LGPD, de acordo com a Autoridade de Dados, apresenta um instrumento análogo: o relatório de impacto à proteção de dados pessoais (RIPD), definido como a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.
A LGPD discrimina o conteúdo mínimo do RIPD e, embora ele envolva casos em que existam tratamento de dados pessoais e sua análise seja limitada à gestão de riscos a liberdades e direitos fundamentais afetados, não há dúvidas da ligação entre as duas ferramentas, tanto no aspecto metodológico de sua elaboração, quanto no conteúdo (casos em que sistemas de IA tratem dados pessoais).
No relatório produzido pela ANPD é citado o exemplo das tecnologias de reconhecimento facial e aplicações de IA na área da saúde, que certamente exigirão a elaboração de AIA e RIPD.
Portanto, seja qual for a autoridade supervisora de IA, ela deverá se alinhar às atividades da ANPD, garantindo que os instrumentos de governança sejam compatíveis com os princípios, obrigações e mecanismos de governança da LGPD.
Enfim, estes são os pontos de contato entre o projeto de lei sobre o uso da Inteligência Artificial e a Lei de Dados. A ANPD, após apresenta-los, recomenda que seja ela própria a escolhida para o papel de autoridade-chave no que se refere à regulação e à governança da IA no Brasil.
No seu entender, será a melhor maneira de garantir segurança jurídica e convergência regulatória. Sobre o PL, no momento está no Senado para votação.
*Autorregulação regulada é a adoção de regras privadas com a finalidade de gerenciar riscos e evitar o descumprimento da legislação vigente.
Gostou deste texto? Faça parte de nossa lista de e-mail para receber regularmente materiais como este. Fazendo seu cadastro você também pode receber notícias sobre nossos cursos, que oferecem informações atualizadas e metodologias adaptadas aos participantes.
Temos cursos regulares já consagrados e modelamos cursos in company sobre temas gerais ou específicos relacionados ao Direito da Educação Superior. Conheça nossas opções e participe de nossos eventos.