O modelo de regulamentação da IA adotado no PL 2.338/2023 traz impacto direto ao dia a dia das empresas
Guilherme Guidi ¹ e Rodrigo Pôssas ²
O tema IA, Inteligência Artificial, apesar da sua contemporaneidade, não é novo. A tecnologia, teorizada desde a década de 1950, já é utilizada, especialmente no âmbito corporativo, há alguns anos. A disseminação da chamada Inteligência Artificial Generativa (comumente conhecida como GenAI), traz um novo fôlego ao assunto nas rodas de especialistas da tecnologia e do direito, especialmente com os esforços do Congresso Nacional para regulamentar a matéria na forma do Projeto de Lei nº 2.338 de 2023.
No entanto, como bem reconheceu a Autoridade Nacional de Proteção de Dados (ANPD) já em duas ocasiões (em julho e outubro de 2023), discutir a regulação da IA sem atentar à proteção dos dados pessoais que muitas vezes são utilizados para treinar esses modelos computacionais é absolutamente inviável. Como, então, contrastar o PL 2.338 com a LGPD? Teremos o dobro de obrigações e ônus para as empresas? Como compatibilizar esses temas?
O assunto foi tema de debates também durante o Dia Internacional da Proteção de Dados, comemorado em 28 de janeiro. O seminário “Proteção de Dados em Pauta: Avaliando o Impacto do Projeto de Lei de IA na LGPD“, realizado em comemoração da data, debruçou-se especificamente sobre o tema. O evento contou com a presença de especialistas do mercado corporativo, do setor público e da academia: Samanta Oliveira, DPO Brasil do Mercado Livre; Glauce Vieira, Compliance Officer do Hospital Infantil Sabará; Victor Vieira, Pesquisador e DPO no Instituto de Referência em Internet e Sociedade (IRIS); e Victor Mulin, Coordenador de Programa de Privacidade do TJMG, com moderação do advogado Guilherme Guidi (a.k.a. este que vos fala).
Mais do que encontrar respostas definitivas para tema ainda bastante novo e por vezes pouco compreendido, o evento se dedicou ao entendimento dos objetivos do PL e os seus possíveis impactos na proteção de dados pessoais. As temáticas possuem diversos pontos comuns e indissociáveis. No entanto, os temas não se confundem nem são sinônimos, mas representam sim domínios interdependentes.
Parece impossível, por exemplo, falar na construção de modelos de IA que não exijam a utilização de certa parcela de dados pessoais, especialmente no caso dos large language models (LLMs), tecnologia por trás de ferramentas populares como o ChatGPT. Também não é razoável falar de governança em IA que não inclua, em alguma medida, preocupações com aspectos jurídicos de proteção de dados. Mas como buscar tal harmonia regulatória na prática?
Uma das primeiras questões a enfrentar em qualquer discussão sobre regulação de tecnologia é síndrome do vira-lata dos juristas, advogados e legisladores brasileiros. É ponto pacífico que a simples importação de leis estrangeiras, como o AI Act da União Europeia, não só ignora a possibilidade de almejar soluções diferentes e mais adequadas ao cenário brasileiro, mas pode mesmo ser prejudicial.
Nesse aspecto, é preciso reconhecer que o tratamento destoante de certos temas pelo PL pode ser mais adequado que a linha da legislação estrangeira. A título de exemplo, especialistas citam os direitos de acesso, correção e atualização em sistemas de IA e a inclusão de um direito de revisão humana para revisões algorítmicas no PL. Em uma sociedade diversa como a brasileira, é louvável também uma abordagem mais cuidadosa quanto a questões envolvendo desigualdades socioeconômicas e segregação racial.
Um segundo obstáculo a se vencer diz respeito à burocracia. O modelo de regulamentação da IA adotado no PL traz impacto direto ao dia a dia das empresas, incluindo de seus departamentos como Jurídico, Compliance e Proteção de Dados. Durante o evento, discutiu-se que os principais desafios da governança de IA no ambiente corporativo se devem ao dinamismo e ao volume de transações permitidos pela tecnologia atual.
As plataformas digitais, sejam elas voltadas ao comércio eletrônico, mídias sociais ou prestação de serviços, têm como um de seus pilares a escalabilidade e naturalmente enfrentam dificuldades quando a regulação não permite soluções de conformidade igualmente escaláveis. Nessa linha, a complexidade de implementar avaliações de impacto algorítmico e garantir os direitos dos titulares se destacam como pontos significativos a serem observados, uma vez que vão exigir alguma regulamentação além das regras do PL.
Na ausência de regulamentação das regras previstas no PL, a proatividade das empresas no cumprimento das exigências legais deve ser essencial para moldar as práticas consideradas adequadas, influenciando, possivelmente, a própria direção de eventual regulamentação futura. Alinhar os padrões do aceitável, no entanto, fica mais difícil quando a proatividade vem geralmente de empresas grandes com estrutura para acomodar tantos mecanismos e controles, e não de startups e empresas menores.
Em qualquer caso, parece inevitável que cada vez mais as empresas internalizem discussões éticas e regulatórias sobre IA, sendo que o modelo dos conselhos de governança ou de supervisão parecem sair na frente em termos de popularidade.
O uso de dados sensíveis em projetos relacionados a IA representa outro grande desafio. Em 2016, por exemplo, o Google anunciava uma parceria entre a DeepMind, uma de suas subsidiárias focada no desenvolvimento e pesquisa sobre redes neurais e aprendizado de máquina, e o University College London Hospital, no Reino Unido. O objetivo? Aplicar modelos de IA e machine learning à identificação e recomendação de tratamentos em certos tipos de câncer, melhorando a assertividade nos diagnósticos e as chances de sucesso no tratamento da doença.
Nesse campo, emendas ao PL atualmente em discussão abordam especificamente o tema, ressaltando como os benefícios em diagnósticos, prescrições médicas e resumos de prontuários produzidos por IA podem beneficiar a sociedade como um todo. Mesmo com essas emendas, entretanto, permanece uma questão relevante: será necessário recorrer ao consentimento para permitir o treinamento de modelos de IA com base em dados de saúde?
Diante do enorme potencial da tecnologia para intensificar a busca por curas e tratamentos para doenças que há décadas desafiam especialistas, é apenas esperado que se busque um equilíbrio adequado entre os interesses da sociedade e os direitos do indivíduo. Isso pode vir na forma do uso de privacy enhancing technologies (PETs), discussão sobre os limites da IA e como ela se integra aos conceitos de responsabilidade médica e autonomia profissional e do caráter essencial da revisão humana em diagnósticos assistidos por IA.
O PL 2.338/2023 resta assim como uma tentativa válida de chegar a algum lugar na regulação da IA, sem que isso signifique que não há melhorias possíveis ou mesmo definições faltantes (como a própria identidade da autoridade competente, uma novela para outro dia). Mesmo assim, é impossível deixar de reconhecer que IA e proteção de dados são temas profundamente ligados e que, juntos, demandarão atenção não só no desenvolvimento, mas na aplicação dessa tecnologia no contexto público e privado. A aposta parece ser que os dois temas dançarão em círculos, a cada momento trazendo preocupações éticas e regulatórias diferentes, mas sempre complementares e interdependentes.
_________
1 Guilherme Berti de Campos Guidi é Doutor em Direito Internacional e Comparado e Mestre em Direito Civil pela Faculdade de Direito da USP. Professor de Pós-Graduação da PUC-MG. Pesquisador com passagem por instituições como ITSRio, FGV e USP. Membro da International Association of Privacy Professionals (IAPP), pela qual reconhecido como Fellow of Information Privacy (FIP). CIPP/E, CIPM, CDPO/BR. Head de Direito Digital do Freitas Ferraz Advogados.
2 Rodrigo Pôssas é bacharel em Direito pela Faculdade de Direito Milton Campos, possui pós-graduação em Direito Digital, Proteção de Dados e Cibersegurança pela PUC-PR e é Certificado em Cibersegurança (Certified in Cybersecurity) pelo instituto (ISC)². Advogado associado da equipe de Direito Digital do Freitas Ferraz Advogados.
