O impacto e o atravessamento das novas tecnologias é hoje inevitável, e nesse horizonte, marcado pela presença de Inteligência Artificial (IA), torna-se necessário pensarmos na construção de documentos que possam materializar as regras e restrições sobre o tema, especialmente considerando o funcionamento imbricado com dados pessoais e os riscos crescentes de violações de direitos envolvidos.
De acordo com Coutinho, os "Programas de Compliance visam sobremaneira o controle e supervisão de condutas éticas e jurídicas para que desvios, fraudes, ilícitos não sejam cometidos e se o forem, sejam adotadas respostas imediatas para sanar as irregularidades (...)" (COUTINHO, 2023, p. 184).
Desde o início do uso corporativo em maior escala das IAs, tivemos diversos casos de empresas que vetaram e mesmo proibiram completamente o uso, inclusive por questões de sigilo, segredo comercial e contenção de vazamentos de dados (ainda que depois tenham recuado e repensado). Ou seja, apesar do amplo e crescente uso social, podemos dizer que muitas empresas assumiram posições de cautela, que são inclusive reafirmadas pelas próprias tecnologias, em seus documentos e direcionamentos públicos e privados aos usuários[1].
Certas ferramentas de IA encontraram barreiras mesmo de países (não cabendo abordar aqui essas especificidades, que são muitas e incluem eventuais discussões sobre transparência, segurança, legalidade em sentido amplo e cumprimento ou não de decisões judiciais e de órgãos de regulamentação, protagonizadas por Estados e autoridades associadas à razão de governo em caráter político público).
Contudo, nos focaremos aqui no uso corporativo associado a empresas, respeitando esse quadro maior, mas visando o campo privado.
Conforme Coutinho, "As regras que ditam os comportamentos advêm tanto de uma normatividade jurídica vigente emanada do poder público, quanto daquelas fixadas no campo privado no espaço reconhecido da autonomia pela autorregulação" (COUTINHO, 2023, p. 182).
Exemplificativamente, existe a LGPD, uma lei, normatividade jurídica vigente, que precisa ser respeitada. Mas existe ainda o importante conteúdo do que pode ser fixado no campo privado, que se torna cada dia mais vital.
Nesse sentido, um documento (seja ele nomeado como Política de Inteligência Artificial ou outra designação dentro do assunto tratado) em ambientes corporativos deve ser cuidadosamente estruturado de modo a abordar uma ampla gama de aspectos, inclusive ligados à nossa relação com as novas tecnologias e o tratamento de dados pessoais (que incluem proteção de dados, ética empresarial, gestão e compliance).
O documento pode especificar mecanismos e diretrizes para o acompanhamento contínuo e versar sobre a auditoria dos sistemas (assegurando controle corporativo acerca de IA), de modo que tudo ocorra dentro das normas e regulamentos aplicáveis (em caráter de complementaridade com as regras e direcionamentos manifestados nos demais documentos).
Esse documento específico sobre IA idealmente deve compor o conjunto amplo e rigoroso de documentos permitindo rastreabilidade e formas de evitar violações de sigilo corporativo (e ao ordenamento jurídico), sobretudo com dados pessoais sensíveis e IAs, de modo efetivo, eficaz, eficiente e documentado.
Ainda que outros documentos existam versando sobre riscos, como é comum nos documentos de LGPD, caso do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), é importante que o documento da política de IA (ou como chamemos) verse especificamente sobre o uso corporativo de IA[2].
A criação de um comitê dedicado à governança de IA pode ser uma medida interessante para ajudar a supervisionar o uso corporativo. Antes de consolidar a adoção de uma ferramenta, deve ser realizada uma avaliação abrangente de impacto, que considere não apenas a eficiência operacional, mas o impacto e os riscos envolvidos. Esse comitê pode influir em como os dados estão sendo protegidos e como os riscos estão sendo gerenciados, com relatórios transparentes, e medidas que não deixem dados pessoais e corporativos, desprotegidos. Registrar o progresso e os desafios associados ao uso das ferramentas adotadas pode ajudar na melhoria contínua do uso corporativo e da organização.
Em suma, um documento sobre o uso corporativo de IA é algo crucial e cada vez mais comum nas empresas, almejando assim fazer bom uso dos poderosos recursos tecnológicos que hoje crescem exponencialmente e que são integrados cada vez mais ao trabalho.
Como esse avanço não cessa nem por um segundo, as atualizações, revisões e
acompanhamentos são uma constante que impedem um documento estático engavetado, ou digitalmente fechado e abandonado.
O documento precisa evoluir e se modificar junto com a vida e as pessoas na sociedade.
As medidas, por exemplo, para proteger dados pessoais no uso corporativo de IAs podem ser mais robustas e substanciais que as exigidas pelo Estado, tratando-se de questão privada interna, contudo, não podem ser menores.
De modo a tornar a elaboração do documento mais didática e prática, partindo do pressuposto de que existe o fator humano, de pessoas que devem aderir e entender o documento, é recomendável uma breve introdução abrangente do propósito e justificativa da criação desse documento.
Se pensarmos no formato de checklist com requisitos importantes para esse documento corporativo, este seria um dos primeiros itens, no caso, o primeiro na organização que propomos.
Podemos pensar em um checklist corporativo desse documento com regras envolvendo dados pessoais da seguinte forma (mera sugestão de organização não vinculativa):
1. Breve Introdução (justificativa e propósito), contendo uma sucinta e clara explicação do objetivo do documento, sua abrangência, qual a importância das regras e a quem se aplica de modo específico (funcionários, jurídico, marketing, determinado setor etc.) e em quais contextos (que operações diárias, quando, como etc., com referências legais ligadas ao objetivo, no que podemos Indicar leis e regulamentações relevantes (ex: LGPD, CDC, CP etc.).
2. Definições e Termos Técnicos, palavras relevantes à compreensão do documento. Assim como é comum em documentos de LGPD trazer parte do glossário conceituados pela própria LGPD (ou pela ANPD em sua interpretação), no caso, por se tratar de um tema técnico, é interessante trazer os conceitos e significados dos termos mais utilizados ou mais determinantes (por exemplo, a definição de dados pessoais e dados pessoais considerados sensíveis pela LGPD tende a estar presente nos documentos relativos a essa lei).
3. Princípios e Premissas: sugere-se uma breve exposição de princípios que orientam o tema (e à luz dos quais deve ser interpretado o documento), bem como, fixar premissas que são pontos de partida e não objetos de discussão, por exemplo, adotar como princípio a Minimização de Dados ou Mínimo Necessário (dados estritamente necessários às operações e sempre dentro da legalidade) e como uma premissa o dever de garantir que dados pessoais sejam protegidos. No caso, não está em discussão com quem o documento é direcionado, se a Proteção de Dados pessoais é importante, a própria Constituição Federal trata como Garantia Fundamental.
Longe de arbitrário, é importante explicitar que partimos sempre de certos lugares e já-ditos fixados, e no caso, cujo consenso não está em discussão, senão que como melhor aplicar, respeitar e zelar pela Proteção de Dados envolvendo IA.
Tanto é possível dividir e apresentar os princípios e premissas separadamente, como em um conjunto, dado que no final, o importante é que sejam compreendidos e considerados, manifestados nas operações e funcionamentos reais do cotidiano.
Esta parte depende bastante da cultura da empresa que se busca criar e especificamente do negócio e operações, de modo que os princípios e premissas a serem ressaltados irão variar a depender da empresa. Por exemplo, uma empresa pode situar como premissa que a presença midiática é importante, e outra pode destacar que é desaconselhável e atrapalha o negócio. Por isso é personalizado, depende da empresa esse tipo de inscrição de diferença, ainda que possamos falar de denominadores comuns básicos decorrentes do próprio ordenamento jurídico.
4. Regras e Responsabilidades: é de se esperar um conteúdo abrangente de regras fixadas envolvendo IAs e dados pessoais, com responsabilidades balanceadas e não abusivas em caso de descumprimento. Nesse sentido, é importante estabelecer obrigações éticas e dentro da legalidade, que não configurem coerção ou sejam exageradas, como ainda é comum se ver em muitos documentos e até contratos, por exemplo, contendo punições draconianas, desbalanceadas e unilaterais para situações vagas descritas, ou sem uma delimitação que faça sentido juridicamente, pensando-se no nexo de causalidade e no papel de cada um na organização. Por exemplo, é lícita a obrigação de relatar incidentes com dados pessoais (violações à LGPD), mas uma multa de R$ 100.000,00 para cada colaborador da empresa, ainda que tenha agido corretamente, sem atuar com dolo, e sem violar qualquer dever objetivo de cuidado, simplesmente não faz nenhum sentido, sendo escancaradamente abusivo. Não é porque uma regra é apresentada enquanto tal que ela é legal, mesmo apresentada como cláusula imperativa, diga-se de passagem. O papel (ou a tela) aceita tudo, mas nem tudo tem efeito jurídico.
5. Itens e ferramentas (aprovados e proibidos): além da listagem de itens e ferramentas cujo uso corporativo é aceito (indicando como, em que condições e conforme quais critérios, ainda que se referindo a outros documentos ou anexos). Isso pode poupar tempo e trazer mais transparência para a organização. Por exemplo, se a empresa entende que o risco de utilização de uma ferramenta é alto e existe comprometimento da segurança (apenas a título de exemplo), pode indicar que não é uma ferramenta de uso para o trabalho (ainda que a pessoa, em sua vida particular, possa usar por hobbie, curiosidade ou o que for, desde que não comprometa dados pessoais e informações corporativas que devem ser resguardados com seriedade. O que um funcionário faz no seu horário livre não diz respeito à empresa. Agora, se por exemplo ele causa um vazamento de dados no seu horário livre, isso já é uma questão corporativa e legal. Exemplo de regra plausível: em caso de dúvida (se a ferramenta não figurar como permitida ou proibida ainda), considere que trabalhamos com a necessidade de aprovação prévia antes de implementar novas ferramentas.
6. Dos direitos e riscos envolvendo IA: é recomendada uma apresentação do quadro geral de riscos, uma descrição específica dos direitos envolvidos, bem como uma breve explicação das possíveis consequências em caso de violações de direitos e incidentes de segurança. Logo, isso pode incluir prováveis responsabilidades legais.
7. Da atualização, monitoramento e revisões: é importante que o documento seja datado, que as novas versões sejam submetidas novamente ao público alvo a quem o documento é direcionado, e que inclua se possível informações sobre atualizações técnicas da equipe, como periodicidade de treinamentos, fatos geradores de incidentes, de auditorias etc. Os tópicos podem dialogar entre si, podendo por exemplo ocorrer uma descrição de direitos e obrigações aplicáveis ao contexto.
8. Disposições finais: abarcando expectativas no uso corporativo, em batimento com as regras fixadas e demais questões suscitadas, reiterando aspectos centrais.
9. Contato e Suporte para dúvidas: a transparência nesse sentido é sempre bem-vinda, com canais de fácil acesso e utilização, respostas suficientes e nos prazos estabelecidos. Obviamente esse checklist pode ser adaptado conforme as necessidades específicas e a estrutura de governança da empresa, e são apenas um desenho de coisas a serem usualmente consideradas.
10. Canal de Reclamações e de Denúncias: pode ser interessante separar isso dos canais do suporte padrão para dúvidas, dado que em geral, a natureza, complexidade e sensibilidade das questões podem ser bastante diversas. Enquanto no canal de suporte para dúvidas podem ser levantadas questões mais procedimentais ou de consulta, denúncias de violações e más práticas podem resultar em questões bem mais delicadas e problemas internos.
Feito esse esboço geral, destaca-se que não existe uma forma ideal única desse documento (que muitos chamam de IA Policy). A própria presença de IAs em documentos corporativos é relativamente nova, mas lembrando que a importância do tema não deve ser subestimada, pois os avanços e os riscos estão em parâmetros inimagináveis há pouquíssimo tempo.
Consideremos ainda que a centralidade das novas tecnologias cresce de modo absurdo em todo o planeta. Dito de outro modo, consideremos que um documento sobre o uso corporativo é importante para assegurar que o uso de IA na organização esteja dentro dos limites éticos e corporativos fixados. A ética no uso de IA é um campo delicado sem respostas prontas, um vasto continente ainda pouco explorado e problematizado, e que ainda se desenvolverá radicalmente (estamos apenas no início de tudo). Vivemos hoje numa espécie de pré-história da IA. Estamos vivenciando um acontecimento discursivo, algo que instaura um novo ponto de partida no tempo, fatiando temporalidades. Ainda que alguns acusem o baixo impacto econômico prometido pelas IAs para 2024, o impacto cotidiano e nas empresas pode ser sentido.
Sobre a tomada de decisões humanas para questões delicadas: ainda que com apoio tecnológico, embora a IA possa auxiliar no processo decisório, devemos assegurar que as decisões finais em contextos delicados e críticos (especialmente com implicações éticas significativas) sejam assumidas por humanos com especial olhar crítico. É prudente que as empresas assim o entendam, ainda que não seja uma obrigação estatal.
Não conseguimos competir com a capacidade de processar grandes volumes de dados e nem com a capacidade produtiva das novas tecnologias, mas isso torna ainda mais importante o filtro humano na utilização das novas tecnologias, o olhar crítico e a capacidade de questionar os efeitos de evidência.
No final, existe uma questão de quem é realmente o instrumento e quem é o sujeito, e não podemos inverter essa lógica.
Enquanto atuarmos como sujeitos em um mundo marcado por esses instrumentos, é possível pensarmos no bom uso com olhar crítico e regras, permitindo efeitos majoritariamente positivos na sociedade.
Se algum dia nos tornarmos o instrumento, sequer haverá mais espaço para o debate.
De todo modo, hoje somos os sujeitos e devemos estar no controle disso tudo.
Notas e referências:
ANITUA, Gabriel Ignacio. Historias de los pensamientos criminológicos. Prólogo de E. Raúl Zaffaroni. 2a reimp. Ciudad Autónoma de Buenos Aires: Del Puerto, 2010.
COUTINHO, Aldacy Rachid. Compliance jurídico: entre eficácia, efetividade e eficiência. In: TRINDADE, André Karam; BUSSINGUER, Elda Coelho de Azevedo; SARLET, Ingo Wolfgang. (Orgs.). Estado, regulação e transformação digital: o futuro das democracias: hipervigilância, fake news e outras ameaças. 1ed. São Paulo: Tirant Lo Blanch, 2023, v. 1, p. 182-191.
PÊCHEUX, Michel. Semântica e discurso: uma crítica à afirmação do óbvio. Tradução Eni Puccinelli Orlandi. 5. ed. Campinas: Editora da Unicamp, 2014.
RESENDE, Paulo Edgar da Rocha. Introdução à vida não punitiva (posfácio). In:
CORDEIRO, Patrícia; PIRES, Guilherme Moreira. Abolicionismos e Cultura Libertária: inflexões e reflexões sobre Estado, democracia, linguagem, delito, ideologia e poder. Florianópolis: Empório do Direito, 2017.
RESENDE, Paulo Edgar da Rocha. Epílogo I: Punitivismo Narcisista e o Racismo de Estado. In: PIRES, Guilherme Moreira. Abolicionismos e Sociedades de Controle: entre aprisionamentos e monitoramentos. Florianópolis: Editora Habitus, 2018.
ZAFFARONI, Eugenio Raúl. La Cuestión Criminal. Buenos Aires: Editorial Planeta, 2011.
ZAFFARONI, Eugenio Raúl. La Palabra de los Muertos: Conferencias de
Criminología Cautelar. Prólogo de Juan Gelman. Buenos Aires: Ediar, 2012.
ZAFFARONI, Eugenio Raúl. En busca de las penas perdidas: Deslegitimación y Dogmática Jurídico-Penal. Buenos Aires: Ediar, 2013.
[1] Como além de razão lógica, isso pode diminuir os riscos de eventuais responsabilizações legais ou as minorar, não é novidade nem constitui qualquer surpresa, que as próprias tecnologias recomendem essa cautela sobre as informações reveladas pelos usuários, aconselhando-os que evitem ao máximo expor dados pessoais (sobretudo se delicados e facilitadores de incidentes de segurança, ilícitos e mesmo crimes), a exemplo da recomendação das ferramentas, de os usuários jamais compartilharem dados financeiros e bancários, com números de cartão, senhas, titularidades, PINs, informações de contas de pagamento digital, transações e quantias disponíveis. Bem como, destacam a cautela não expor credenciais de Login e acesso a sistemas, plataformas ou quaisquer dispositivos, senhas, nem respostas a perguntas de segurança ou quaisquer coisas que ampliem os riscos ao próprio usuário. Embora comumente exista todo um cuidado em descrever também outros dados potencialmente delicados e mesmo sensíveis nos termos da LGPD, como dados de saúde, religião, filiação política etc., fiquemos com o básico para prosseguir: como justificativa, compartilhar esses dados, como credenciais de login, pode facilitar o comprometimento da segurança de contas, assim ensejando acessos não autorizados e potenciais violações de privacidade tipificadas inclusive criminalmente. Evidentemente não é boa prática compartilhar senhas, que devem ser mantidas em sigilo e jamais compartilhadas com IAs, dado inclusive que eventual comprometimento do sistema pode gerar vulnerabilidades que terceiros podem explorar para ilícitos penais em geral. Embora em tese a proteção de dados seja um dos pilares no desenvolvimento e mesmo critério de legalidade de IAs, inclusive para que esses dados tratados não sejam reproduzidos por exemplo em outras conversas ou fiquem vulneráveis acerca de acessos indevidos e falhas na proteção, é prudente que todas as organizações se esforcem para materializar as regras e direcionamentos pertinentes sobre o uso de IA no ambiente corporativo e de trabalho (não restrito às referências físicas da empresa, no caso dos que realizam operações em casa ou na rua por exemplo, quase todos se pensarmos na centralidade do trabalho remoto). Dito de outro modo, embora não verse especificamente sobre Proteção de Dados, e embora em tese ela seja uma premissa para as IAs, os documentos corporativos devem considerar questões ligadas à proteção, inclusive de informações corporativas valiosas, ainda que não remetam a dados pessoais protegidos pela LGPD.
[2] E isso, traçando procedimentos para a avaliação contínua dos riscos desse uso, como a ampliação de violências, a exemplo do Racismo de Estado abordado por Resende (2017, 2018), agora, dentro de um diagrama bem mais complexo da Sociedade de Controle, marcado pela crescente centralidade do uso de IA. Como exemplo de evitação ou mitigação desse risco (Racismo), deve ser considerado por exemplo, se a ferramenta a ser adotada possui histórico marcado por discriminação algorítmica nesse encaixe do racismo estrutural, a mero título de exemplo, como grave problema a ser equacionado na correção de possíveis vieses nos algoritmos de IA, visando que não repitam, reproduzam ou ampliem discriminações e violências sociais existentes. Isso envolve noções, por exemplo, sobre a diversidade dos dados utilizados no treinamento de IA, a qualidade do controle, a reputação da ferramenta com diagnóstico real da equipe de desenvolvimento e se já houve incidentes de segurança e outros eventos negativos relatados, que ameacem a privacidade, a segurança e a dignidade das pessoas etc. Isso deve ser especialmente pensado dentro dos desafios latino-americanos e brasileiros, situados na periferia do poder planetário, e com violências associadas a esse posicionamento, conforme aborda a criminologia zaffaroniana (ZAFFARONI, 2011, 2012, 2013). Hoje, o poder punitivo historiado por Anitua (2010) tem em seu quadro planetário uma centralidade do digital que modifica o quadro do Estado moderno e seu direito penal tradicional, tudo indicando que no âmbito público novos tipos penais abordarão cada vez mais violações com dados, e que no âmbito privado, os danos decorrentes dessas violações (a partir de dados), serão cada vez maiores. No final, existe o entrelaçamento desses âmbitos próprios da Sociedade de Controle, onde as fronteiras inclusive conceituais das terminologias modernas recebem novas interrogações e desafios (inclusive para se manterem enquanto conceitos autônomos). Ou seja, conforme Pêcheux (2014) o faz na teoria materialista do discurso (Análise de Discurso Francesa), é tempo de questionar os efeitos de evidência das divisões e conceitos modernos, frente ao real contemporâneo.
Imagem Ilustrativa do Post: sem nome // Foto de: CopperScaleDragon // Sem alterações
Disponível em: https://www.flickr.com/photos/copperscaledragon/26749818602
Licença de uso: http://creativecommons.org/licenses/by/4.0/legalcode