O desenvolvimento simultâneo dos padrões globais de inteligência artificial e estruturas de IA responsáveis moldarão o futuro dessa tecnologia, diz o estudo “Privacy in the new world of AI” publicado pela KPMG. O material evidencia as implicações da generalização da adoção da IA quanto à privacidade, assim como busca entender o que isso representa para as empresas.
O estudo ainda descreve as principais etapas que as organizações podem seguir para usar a inteligência artificial com segurança. São medidas que visam mitigar os riscos para as instituições aproveitarem a tecnologia enquanto conseguem proteger a privacidade dos indivíduos.
“Existem alguns cuidados que devem ser observados na hora da implementação de projetos de IA nas instituições, a fim de reduzir as chances de vazamento de informações sensíveis e proteger os dados dos consumidores, garantindo assim a preservação da privacidade dos envolvidos”, afirma Leandro Augusto, sócio-líder de Cyber Security & Privacy da KPMG no Brasil e na América do Sul.
Medidas para auxiliar na proteção
É importante identificar quais são as normas regulatórias que dizem respeito à vertical da empresa. Com esse conhecimento, será mais viável definir quais políticas de privacidade em IA serão implementadas na organização. A base de referência para o uso de IA deve ser feita de modo a satisfazer diferentes regimes, pensando, inclusive, na simplificação do desenvolvimento das atividades relacionadas a ela.
Para o momento de idealização, é importante analisar o impacto que ele terá sobre a privacidade e as questões de compliance. Isso pode ser feito usando a Avaliação Sistemática do Impacto sobre a Privacidade (PIA) ou com a Avaliação do Impacto da Proteção de Dados (DPIA). Isso vale também para empresas que acreditam utilizar apenas dados não pessoais ou anônimos.
Caso seja uma avaliação mais completa, recomenda-se inserir nessa parte do projeto uma modelagem das ameaças à segurança e a privacidade e, se necessário, uma consulta das partes interessadas. Todas essas questões devem ser observadas e mantidas por todo o tempo de uso da IA no projeto.
Em seguida, é o momento de assegurar que o projeto está contemplando as principais normas, práticas e códigos de conduta que tornam os requisitos operantes. Isso vale tanto ao desenvolvedor quanto ao cliente que está solicitando um projeto de IA na instituição. Aos clientes, importante solicitar do prestador desse serviço a documentação de suporte da PIA ou DPIA. Já existem países em que a legislação exige essas avaliações e no Brasil está se encaminhando para a regulação do uso desses dados.
Além disso, deve-se realizar uma análise independente do próprio sistema de IA, com uma empresa externa validando se o trabalho de criação e implementação foi baseado com toda a segurança e protocolos vigentes. É recomendado aos desenvolvedores para que seus clientes estejam assegurados junto aos órgãos reguladores e às boas práticas existentes.
Por fim, é necessário que as empresas estejam aptas a responder quais são os moldes que guiam a tecnologia na tomada de decisão. A explicação deve trazer clareza quanto aos métodos usados para que a IA tenha feito uma decisão, recomendação ou previsão. Uma boa forma de fazer isso é por meio de fluxos de trabalho que documentem, identifiquem e expliquem as maneiras que os dados foram utilizados com relação ao usuário final e as possibilidades de contestação dessa decisão.
“Quando as empresas permanecem atualizadas sobre as práticas de segurança na adoção da IA para a privacidade e antecipam-se aos possíveis riscos conseguem aproveitar melhor o potencial da tecnologia e ao mesmo tempo protegem a privacidade dos usuários”, diz Ricardo Santana, Sócio-líder de Data & Analytics da KPMG no Brasil.