Para especialistas, avanço da inteligência artificial exige proteção proativa de dados
Conceito de “Privacy by Design” deve ser aplicado por empresas que buscam resguardar dados dos usuários frente à inteligência artificial
Um “pesadelo em potencial”. Foi assim que Ann Cavoukian, diretora executiva do Global Privacy & Security By Design Center, de Toronto, no Canadá, definiu o possível impacto do mal uso da inteligência artificial na privacidade e proteção de dados de usuários caso medidas de segurança não sejam amplamente adotadas por organizações.
“A inteligência artificial pode ter implicações sérias para a privacidade porque ela poderá remover a capacidade dos indivíduos de controlar seus dados – e a privacidade tem tudo a ver com o controle pessoal sobre o uso e sobre a divulgação de informações pessoais”, disse a especialista, que participou do evento DPOday, organizado pela DPOnet, nesta terça-feira (23). “O potencial da IA de empregar seus dados sem seu conhecimento ou consentimento é enorme.”
Por conta disso, Ann defende uma abordagem ampla da indústria em direção à uma proteção de dados proativa – em busca da chamada “privacidade por design”. Hoje reconhecido pelo padrão internacional ISO 31700, o conceito de “privacidade por design” foi originalmente criado pela própria Ann Cavoukian, quando ocupou o posto de Comissária de Informação e Privacidade da província de Ontário, no Canadá. Para ela, a ideia principal por trás da concepção é trazer mais proatividade à proteção de dados.
“A questão é ser proativo. Incorporar, proativamente, medidas necessárias de proteção de dados e de privacidade em suas operações e nos dados, para que não seja apenas uma reflexão tardia. Para que seja possível proteger dados antecipadamente, antes que sejam liberados ou divulgados”, argumentou.
Leia mais: Apesar de orçamentos maiores, CIOs avaliam capacidade de recuperar dados
Essa concepção, segundo ela, ajudaria organizações e indivíduos a evitar vazamentos de dados, e não apenas “correr atrás do prejuízo” após uma ocorrência. Na prática, isso significa que organizações devem trabalhar para “desidentificar” dados, removendo identificadores pessoais, antes de tratá-los – o que permitiria extrair valor das informações, mas sem o risco de vazamento de informações privadas.
“A ‘privacidade por design’ não busca eliminar as incríveis técnicas e ferramentas de dados que estão surgindo a partir da IA”, defendeu. “Ela busca trabalhar com IA para garantir que seja possível obter vários benefícios dos dados, mas ainda proteger a privacidade das pessoas”.
Advogada especialista em proteção de dados e Data Protection Officer na Alphanumeric Systems, Patrícia de Miranda Alves Pereira alerta que para que empresas aprendam a aderir às normas regionais e globais de proteção de dados, é preciso um trabalho interno de cultura. “
Percebi que, de início, as empresas que processam dados não sabiam como aplicar os princípios da GDPR”, disse Patrícia, que hoje atua em Portugal. “Para que haja a integração é necessário uma cultura interna de conformidade. Um dos grandes desafios é criar um plano estratégico para que passo a passo e os processos internos se adaptem a essas novas regras legais”.
Para Nuria López, sócia e head de Tecnologia, Privacidade e Proteção de Dados na Daniel Advogados, o primeiro passo para enfrentar o desafio da proteção de dados relacionada à inteligência artificial é entender como o assunto impacta sua empresa. “Quando falo sobre IA, o primeiro ponto importante é mapear quais são os usos de IA dentro da organização”, disse.
Através do mapeamento, é possível determinar quais são as áreas que utilizam ferramentas de IA e quais são as ferramentas empregadas. Com isso, é possível avaliar o potencial de risco do tema para a empresa, desenhar uma metodologia para endereçar estes riscos e as regras para avaliação de fornecedores.
“A gente trabalha com análise de risco todos os dias. Se as empresas estão adotando IA para lidar com seus funcionários, há risco trabalhista e de proteção de dados. Se você adota a IA para falar com consumidores, há um risco envolvido. A gente vai esperar a legislação para tomar uma providência e atuar no tema?”, provocou. “Meu convite é que não esperem, o momento é agora. Endereçamento de risco é agora”.
“Awareness” precisa avançar
Além dos novos desafios impostos pela inteligência artificial, o avanço da compreensão da população geral sobre o tema também é visto como fundamental para a evolução da proteção de dados. “A proteção de dados não pode acontecer sem a participação do conjunto dos cidadãos”, pontuou Daniel Terrón, professor titular da Universidade de Salamanca. “Nós precisamos de uma verdadeira cultura de privacidade de dados.”
Além do avanço da inteligência artificial, Terrón se diz preocupado com o impacto das redes sociais e da disseminação de deep fakes e fake news, em especial entre jovens sem capacitação sobre dados. “A universidade deve se converter em uma referência não só para os alunos, mas para a sociedade sobre os riscos inerentes ao uso de dados”, reforçou. “Não se trata de gerar medo para que cidadãos restrinjam seu comportamento, mas abordem com cuidado o compartilhamento de determinados dados.
Reconhecida pelo alto índice de digitalização de suas estruturas e sistemas governamentais, a Estônia também tem enfrentado este desafio. “Um dos maiores desafios é a conscientização sobre temas de dados. O controle sobre os dados tem que ser de posse do sujeito dos dados. Essa é a ideia da proteção de dados”, disse Maarja Kirss, chefe de cooperação do órgão de proteção de dados da Estônia, que também participou virtualmente do encontro desta terça.
Veja também: 92% das empresas estão aumentando seu orçamento de proteção de dados
Um dos esforços do país europeu para promover essa conscientização é o chamado “Data Tracker“. A ferramenta foi criada pelo próprio governo da Estônia e permite a qualquer cidadão conferir quem está processando seus dados pessoais relacionados ao poder público.
“Acredito que é uma ferramenta importante para aumentar a conscientização de dados e a promoção do controle, porque quando alguém vê algo interessante, essa pessoa começa a fazer perguntas”, explicou Maarja. “E quando o sujeito dos dados começa a fazer perguntas difíceis, esse é o momento em que controladores e processadores de dados começam a se perguntar se são transparentes”.
A preocupação é a mesma no governo do Uruguai, que estabeleceu sua Lei de Proteção de Dados há mais de 15 anos, em 2008. Segundo Gonzalo Sosa, coordenador de Proteção de Dados da Agência de Governo Eletrônico e Sociedade da Informação e Conhecimento (Agesic) do Uruguai, ao longo da última década, o país realizou pesquisas para mensurar a compreensão da população geral sobre temas relacionados ao mundo digital a cada dois anos.
“Sistematicamente, apenas cerca de 50% da população sabe sobre a existência da legislação”, disse Sosa. “Nós temos muito trabalho pela frente para aumentar esse percentual. Um dos caminhos para isso é o trabalho junto às pequenas empresas que o país tem promovido. As pequenas empresas representam hoje cerca de 90% das companhias do Uruguai, e, segundo o coordenador da Agesic, têm dificuldades em aderir à lei, mesmo após tanto tempo.
“As pequenas empresas têm problemas relacionados à compliance, que pode ser muito complexo para elas”, explicou. Para mitigar esse problema, o governo do país sul-americano trabalhou no desenvolvimento de ferramentas e instrumentos específicos para ajudá-las na governança de dados, além de cursos, workshops e treinamentos gratuitos, colaborando com outros países para alinhar adequações.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!