Fonte: RM Magazine - RIMS  Por Neil Hodge 

https://www.rmmagazine.com/articles/article/2024/10/31/managing-the-risks-of-emerging-ai-regulations

Conformidade regulatória da IA 

À medida que as aplicações de inteligência artificial continuam a proliferar, jurisdições ao redor do mundo estão cada vez mais considerando novas regulamentações para garantir que as organizações usem a tecnologia de forma responsável. O mosaico resultante de leis tornará a conformidade mais complicada e, como resultado, as empresas podem correr sério risco de multas de vários reguladores sobre a maneira como processam dados em seus sistemas baseados em IA. 

A dificuldade geralmente decorre de uma falta de entendimento em torno do escopo dos regulamentos. Muitas organizações podem enfrentar sanções se pensarem erroneamente que as regras de IA visam apenas empresas de tecnologia e outros desenvolvedores, em vez daqueles que usam a tecnologia. Como resultado, elas podem, em última análise, ser sancionadas por reguladores de dados em diferentes jurisdições, bem como em diferentes setores e áreas de supervisão regulatória.

Um exemplo disso é o uso de dados pessoais por uma empresa de serviços financeiros. Suas práticas de uso de dados devem estar em conformidade com quaisquer regras específicas de IA e também devem estar alinhadas com a legislação de proteção de dados e segurança cibernética, legislação de serviços financeiros e possivelmente legislação de proteção ao consumidor. Em última análise, isso significa que os processos podem ser supervisionados por três ou mais reguladores, dependendo da jurisdição, e há um risco de multas paralelas pelas mesmas violações. 

O uso de IA por uma empresa também pode levantar bandeiras vermelhas com outros reguladores para práticas comerciais que podem parecer ter pouco em comum com a tecnologia. Por exemplo, de acordo com Michael Cordeaux, associado sênior na equipe de regulamentação e conformidade do escritório de advocacia Walker Morris, as empresas devem ser extremamente cuidadosas com suas comunicações de marketing para garantir que não façam nenhuma alegação enganosa sobre os recursos de IA. Essas alegações podem estar sujeitas a sanções de órgãos de fiscalização de transmissão, publicidade e marketing. Enquanto isso, as autoridades de concorrência e proteção ao consumidor podem examinar como as empresas usam algoritmos e sistemas de IA para definir preços, atingir consumidores ou fazer ofertas personalizadas. 

“As empresas geralmente assumem que os próprios desenvolvedores de tecnologia são os únicos responsáveis ​​por quaisquer problemas relacionados à IA”, disse Hilary Wandall, diretora de ética e conformidade da empresa de análise de dados Dun & Bradstreet. “Na realidade, qualquer empresa que use IA e aprendizado de máquina em suas operações é diretamente responsável. É vital que todas as empresas que usam IA — seja internamente ou por meio de soluções de terceiros — entendam como essas regulamentações sobrepostas se aplicam para que possam aderir a padrões de conformidade rigorosos.” 

Enfrentando os desafios de conformidade

A Lei de IA da UE, que entrou em vigor em 1º de agosto de 2024, é o primeiro grande conjunto de regras a governar explicitamente o uso de IA e permite que os reguladores imponham multas de até € 35 milhões ou 7% do faturamento mundial do grupo, o que for maior. Embora a legislação categorize o nível de risco associado às aplicações de IA, ela não se preocupa com todos os sistemas de IA, concentrando-se, em vez disso, naqueles que são "proibidos" e "de alto risco". As empresas precisam julgar em qual categoria seus sistemas e uso de IA se enquadram e fazer quaisquer revisões necessárias para garantir a conformidade.  

Em geral, no entanto, as leis de dados existentes em muitos países já têm disposições sobre como os dados pessoais são coletados, usados, armazenados e compartilhados que se aplicariam à supervisão e execução da IA. O problema é que há diferentes entendimentos sobre o que constitui “dados pessoais”, “proteção de dados” e “consentimento” ao redor do mundo. 

De acordo com Sarah Pearce, sócia do escritório de advocacia Hunton Andrews Kurth, embora o conceito do que constitui processamento legal de dados seja diferente nas leis de proteção de dados dos países, um tema comum é que o processamento deve ser baseado no consentimento de um indivíduo e iniciado para a execução de um contrato com o indivíduo ou para os interesses legítimos do negócio relevante. No entanto, isso pode ser difícil de demonstrar no contexto da IA, "já que os propósitos do processamento tendem a se desenvolver e mudar ao longo do tempo, o que significa que o fundamento ou base original pode nem sempre ser suficiente para o processamento pelo sistema de IA", disse ela. 

Da mesma forma, também pode ser difícil atender aos requisitos típicos de transparência sobre como os dados pessoais serão coletados, usados ​​e compartilhados. A própria natureza e complexidades técnicas da IA ​​“significam que o propósito do processamento pode muito bem mudar ao longo do tempo, tornando desafiador ser totalmente transparente sobre como os dados pessoais das pessoas serão usados”, explicou Pearce.

Outro problema é que as empresas provavelmente precisarão provar que não são culpadas pelo uso indevido de IA, em vez de qualquer reclamante precisar provar sua culpa, o que significa que cabe às empresas explicar seu uso de IA e sua compreensão de conformidade. Como tal, Richard Kerr, diretor sênior da Kroll, aconselhou as empresas a configurar funções de IA com habilidades interdisciplinares para permitir o gerenciamento de risco proativo e reativo. As empresas devem configurar políticas e sistemas de mapeamento, medição, monitoramento e governança de risco. "O resultado de um caso dependerá da qualidade e robustez das evidências, portanto, ter uma estratégia forte e defensável sobre como a IA foi treinada e suas ações tomadas se tornará essencial para resultados bem-sucedidos", explicou ele. "É uma questão de grau, mas, como sempre, a ignorância da lei não é defesa alguma." 

As empresas devem ter como objetivo integrar conformidade e redução de risco em todos os estágios do desenvolvimento de produtos e serviços, em grande parte adotando a abordagem de “privacidade por padrão e por design”, de acordo com Alexander Roussanov, sócio do escritório de advocacia Arnold & Porter. Outras etapas para reduzir os riscos de conformidade com IA podem incluir a implementação de programas de conformidade e análise de risco holísticos (em oposição a políticas e procedimentos isolados), tendo due diligence robusta de fornecedores/parceiros, auditorias e acordos de modelo em vigor. 

As organizações também devem acompanhar os desenvolvimentos legislativos em jurisdições relevantes porque a regulamentação da IA ​​está definida para se desenvolver país por país e os detalhes e requisitos de conformidade podem diferir significativamente, disse Adam Penman, advogado trabalhista da McGuireWoods. Além disso, as empresas precisam auditar de forma abrangente seu uso existente e previsto de sistemas de IA. “Muitas vezes surpreende os usuários de IA o quão prevalente a tecnologia já é”, disse ele. “De ferramentas de recrutamento e RH a processos contábeis e marketing, a IA de baixo nível foi integrada à vida profissional há algum tempo e pode não ser imediatamente aparente.” 

Ele acrescentou que nomear uma pessoa de IA “de referência” dentro do negócio que seja suficientemente capacitada para tomar decisões sobre a navegação do risco de IA e que será responsabilizada por gerenciar esses riscos também será cada vez mais importante. Penman comparou isso ao recente aumento em funções como oficiais de proteção de dados dedicados e oficiais de relatórios de lavagem de dinheiro, similarmente alimentados por maiores requisitos regulatórios, escrutínio e penalidades financeiras. 

Assim como acontece com a regulamentação de lavagem de dinheiro e proteção de dados, o gerenciamento eficaz de risco de IA dará muito valor à codificação dos processos. “Nunca haverá um momento ruim para classificar, avaliar e documentar o nível de risco associado de toda a IA para informar uma estratégia de mitigação de risco”, disse Penman. “Documentar o uso de IA na política agora é importante para acompanhar as políticas de governança de privacidade de dados existentes — o princípio-chave é a transparência para o usuário final e o cliente. Uma política holística de IA, definindo linhas claras de relatórios e responsabilidades, será fundamental.” As empresas que se apoiam fortemente na IA também precisarão considerar as implicações de seguro de seu modelo de negócios, uma vez que “os potenciais passivos e custos precisarão ser fatorados na estratégia de negócios”, disse ele. 

A incerteza permanece

Um dos principais problemas para as empresas em termos de conformidade é que há pouco histórico legal de ação regulatória para fornecer orientação sobre o que não fazer.

Até agora, o GDPR e o EU AI Act têm relativamente pouco a dizer sobre os riscos emergentes em torno da IA ​​generativa. “Estamos esperando julgamentos sobre alguns dos novos processos”, disse a Dra. Clare Walsh, diretora de educação do Institute of Analytics. “Tradicionalmente, sob as leis internacionais de proteção de dados, os juízes não têm medo de usar 'devolução algorítmica', que exige que as empresas excluam um algoritmo que treinaram em dados obtidos ilegalmente. Isso é importante, pois muito tempo e dinheiro são gastos no treinamento de uma máquina. Essa ameaça de exclusão tem sido uma punição eficaz e um impedimento.”

No entanto, isso ainda não foi imposto. “Estamos em uma posição em que as empresas admitem abertamente que usaram dados ilegalmente porque não tinham condições de obtê-los legalmente. Elas argumentam que o objetivo final valeu a pena quebrar a lei, pois ninguém foi prejudicado”, ela explicou. “Ainda não tivemos um julgamento definitivo se o despejo algorítmico está fora de questão para tecnologias de IA generativas. Isso é extraordinário, considerando quantas empresas já incorporaram a tecnologia em seu modelo de negócios.” 

Há pouca dúvida de que os reguladores estão examinando mais de perto o uso da IA ​​— e o uso indevido. A ameaça de multas múltiplas e paralelas significa que as empresas precisam rever como usam a tecnologia e entender as circunstâncias sob as quais podem ser responsabilizadas. Deixar de reconhecer suas próprias responsabilidades pelo uso seguro da IA ​​pode representar um risco regulatório e comercial significativo.  

“Seria tolice pensar que somente as empresas de tecnologia estão no gancho”, disse Lee Ramsay, advogado de desenvolvimento de prática no escritório de advocacia Lewis Silkin. “Ignorar sinais de perigo e deixar de realizar verificações usuais de conformidade e gerenciamento de risco significa exposição potencial a risco legal e operacional significativo. Isso, por sua vez, pode levar a ações regulatórias, danos à reputação e perda de confiança do consumidor.”

Neil Hodge é um jornalista freelancer baseado no Reino Unido.

https://www.rmmagazine.com/articles/article/2024/10/31/managing-the-risks-of-emerging-ai-regulations

------------------------------------------------------------------------------

Fonte: