🗞️ Edição Especial Onboard #25: Coleção no Medium, Especial Compliance: Avaliando Riscos de IA, Contratos Pós-Visuais e +

Chegamos à 25 edições!

Parece que foi ontem, né? Agora, se você quiser ver edições anteriores do onboard, temos mais um recurso: o nosso blog 😀

Todas as edições, incluindo as dicas, ficarão nesse link, assim como outros artigos e reflexões que não couberem aqui. Espero que gostem!

Agora vamos para o que importa: a edição da semana!

• 🧠 Especial Governança de IA: mensurando riscos de IA
• 🔗 dicas e leituras: contratos pós-visuais? E também herança digital, PL 2630/20 e muito mais!
• 📡 radar de oportunidades: chamadas de artigos da CGU e ONU, e curso sobre direitos autorais e redes sociais na ESA/OAB

Especial Governança Corporativa Responsável em Inteligência Artificial

Essa é uma série de artigos sobre governança corporativa em IA, em co-autoria com Sophia Melucci, pesquisadora do Gtech - Grupo de Estudos de Direito e Tecnologia do Ibmec SP. O objetivo é organizar um pouco todo o mar de informações sobre o tema, trazendo algumas sugestões de melhores práticas.

A agenda será a seguinte:

• 16/ago: Governança Digital e IA: Definições ✅
• 23/ago: Identificação de Riscos em IA ✅
• 30/ago: Mensuração de Riscos 👇🏻👇🏻
• 6/set: Perfis de Maturidade de Empresas

Avaliando Riscos de IA

Na edição anterior nós introduzimos a temática da gestão de riscos coorporativos em IA.

Recapitulando, riscos são elementos da atividade empresarial: implicam em responsabilidades e obrigações perante credores, afetam o desempenho das atividades e a capacidade de inovação e competitividade das empresas.

Gestão de riscos significa equilibrar incertezas econômicas com com segurança jurídica. E segurança jurídica não é a ausência de riscos, mas a existência de proteções para lidar com riscos.

Um grande pilar para a gestão de riscos é a norma internacional ISO 31000, pois oferece princípios e diretrizes que auxiliam as organizações em suas análises e avaliações de riscos. Independentemente do tipo de empresa, seja ela pública, privada ou comunitária, a ISO 31000 pode ser aplicada em uma variedade de atividades de negócios, desde o planejamento até as operações de gerenciamento e os processos de comunicação.

Em gestão de riscos, costumamos falar em três etapas: identificar, mensurar e controlar.

• identificar: reconhecer os riscos e categorizar ✅
• mensurar: calcular sua probabilidade e impacto 👈
• controlar: mitigar efeitos e atribuir responsabilidade

Já que na edição passada falei sobre o primeiro ponto, hoje vamos focar no segundo, mensurar riscos de IA.

Mensurando riscos de IA

Existem diversas maneiras de mensurar riscos, com metodologias e fatores diversos. Muitas empresas utilizam de métodos padronizados, diretrizes e critérios de aceitação para todos os tipos de riscos dentro da empresa. Uma das metodologias empregadas é a matriz de risco produzida pela ISO 3100, que consiste em uma tabela com categorias para probabilidade (ou frequência) em um eixo (x) e com impacto (gravidade ou consequências) no outro eixo (y).

Não é incomum que empresas utilizem a padronização de uma única matriz de riscos para análise, o que não é considerada uma prática efetiva, especialmente pela qualidade da informação disponível.

Para aumentar a qualidade dos modelos, as empresas desenvolvem modelos mais complexos. O problema é que tendem a acreditar que, desde que tenha o desempenho esperado, os benefícios que o modelo proporciona superam a falta de um fator essencial: a explicabilidade.

E explicabilidade é a chave pra IA. E não sou só eu que digo isso, 4 a cada 5 profissionais identificam explicabilidade como o fator mais importante para a governança da IA.

IA e explicabilidade

Explicabilidade de IA é um conceito que busca garantir que pessoas humanas mantenham a supervisão intelectual sobre as decisões automatizadas de um sistema. O foco geralmente é sobre o raciocínio por trás das decisões ou previsões feitas pela IA.

A capacidade de explicar os resultados do modelo às partes interessadas é muito importante para garantir a conformidade com as expectativas regulatórias e públicas em expansão e para promover a confiança para acelerar sua a adoção.

Ao se desenvolver um modelo de mensuração de riscos, deve-se existir um compromisso entre a precisão de um algoritmo e a transparência da sua tomada de decisão, ou a facilidade com que as previsões podem ser explicadas às partes interessadas.

Acontece que explicar os modelos de mensuração de riscos de IA não é simples. Modelos matemáticos avançados são de difícil rastreabilidade, e trazem um problema de assimetria de informação: quando a tecnologia não é explicável, a matriz de risco clássica não é suficiente já que, quanto menos explicável, maior o risco daquela análise não ser verdadeira.

É bom deixar claro que essa opacidade não significa que há, necessariamente, um segredo de negócio, e nem sempre o modelo é opaco porque quer “esconder” algo. É matemática: os modelos mais preditivos são difíceis de interpretar mesmo.

E por isso muita gente confunde o princípio da explicabilidade na IA com o "direito à explicação", presente em algumas legislações de proteção de dados pessoais (como GDPR e LGPD). Enquanto a explicabilidade da IA se concentra na compreensão dos processos de tomada de decisão do software, o direito de explicação informa titulares sobre o tratamento de seus dados pessoais.

Embora explicações "centradas no titular", focadas em aspectos específicos de um modelo, possam equilibrar ambos os temas, deve-se tomar cuidado: a busca por um "direito à explicação" de IA pode ser, na melhor das hipóteses, uma distração, e na pior das hipóteses, alimentar um novo tipo de "falácia da transparência".

Como calcular risco em IA considerando a explicabilidade?

Tem um texto bacana de Oxford Internet Institute, em que os autores desenvolveram três metáforas para falar de abordagens de cálculo de riscos de IA. Embora minhas conclusões vão inovar um pouco, é um excelente ponto de partida pensarmos em como incluir a explicabilidade dentro da matriz ISO x,y:

• Interruptor 🖲️

O interruptor é uma análise binária: o sistema é ou não uma IA. Ele não é explicável, logo não pode ser usada ou risco não é calculado. (e.g. auditorias contábeis). Se não é possível extrair um número mínimo de informações sobre os riscos de um sistema, esse sistema não deve ser avaliado.

Problema: não ajuda na mensuração, apenas no veto ou não a um sistema.

• Escada🪜

A escada é uma análise linear de nível de explicabilidade, sem conexão com a matriz de risco. (e.g. etapa anterior de avaliação). A classificação de explicabilidade é feita em uma matriz própria (ex. alta, média ou baixa) e, em seguida, a avaliação de risco é feita nos parâmetros tradicionais.

Ou seja, a ideia básica por trás da escada é classificar os casos de uso em diferentes níveis de risco. Quanto maior for o potencial de danos, maior será o alcance das intervenções prescritas.

Problema: exige necessariamente duas ou mais etapas de avaliação e, logo, não permite avaliações integradas.

• Cubo🎲

O cubo é a inclusão de um eixo z na matriz, aumentando o número de possibilidades da análise de riscos.

Eu particularmente gosto desse modelo. Isso pode funcionar para incluir a explicabilidade na matriz de risco, criando uma análise integrada. Para cada combinação no cubo, um quadro analítico pode especificar quais medidas preventivas são necessárias medidas para garantir que um determinado sistema de IA seja concebido e implementado de forma responsável.

Ou seja, adicionando a questão de assimetria de informação na avaliação, temos o seguinte: Quanto mais explicável um sistema, menor risco de que a análise de probabilidade e impacto esteja errada.

Problema: é complexo 😅😅

Eu particularmente penso que o caminho para uma avaliação de riscos corporativos de IA passa por uma matriz integrada. Utilizar um eixo z na matriz de risco ISO 3100 não é uma inovação, já que aproveita algo que muitos departamentos de compliance e risco corporativo já estão acostumados a fazer (inclusive com matrizes mais complexas ainda).

Conclusão: criatividade corporativa?

É lindo ver trabalhos como esse, e muitos outros que estão estudando a fundo como avaliar e controlar riscos de IA de forma real e efetiva. Mas tenho medo de como isso vai ficar no futuro próximo.

Uma das coisas que me incomoda em algumas propostas de regulamentos sobre são as listas detalhadas e exaustivas de ferramentas de compliance e avaliação de risco, que são lá colocadas como se fossem (i) padrões imutáveis e (ii) isentos de erro. Não são.

Na verdade, quando viram obrigação legal, deixam de ser instrumentos de avaliação real de riscos para se tornarem trabalho de advogados - nenhum problema com isso, apenas uma constatação de que advogados (como eu) são pagos (e jurados) para encontrar argumentos e defender seu cliente. Ou seja: se não houver muito cuidado, há um conflito ético aí que pode tornar avaliações de risco menos eficientes e mais papelada para prevenir litígios.

A verdade é que existe muita, muita inovação em governança e compliance. Instrumentos estão toda hora sendo criados, matrizes novas são desenvolvidas, políticas e padrões são experimentados. E essas discussões que estou trazendo aqui são hiper recentes - imagina o tanto de coisa nova que irá surgir nos próximos anos.

Espaços de experimentação em metodologias de identificação, mensuração e controle de riscos precisam ser preservados e fomentados - até porque o risco jurídico não é o único quando falamos de governança digital (listamos outros na semana passada).

Se muitas vezes defendemos regulações agnósticas em termos de tecnologia, porque não defendemos o mesmo para instrumentos de avaliação de risco?

Enfim, o papo continua semana que vem...

📸Fotografia resolvendo questões jurídicas de obras feitas por IA. Artistas estão usando IA generativas para criar trabalhos artísticos, mas eles pertencem aos artistas ou são de domínio público? Há  direitos autorais? A regulamentação da fotografia pode ajudar a responder essas questões. 

🖤Imortalidade digital. A empresa MindBank Ai está tentando usar a IA para tornar a vida após a morte um pouco mais fácil. Não para nós, mas para aqueles que se foram, através de um produto que nos permitirá lidar mais facilmente com o luto e a saudade. 

🙈Contratos na era pós-visual. Geralmente, usamos nossos olhos para ler (ou, com muita frequência, para não ler) contratos. Porém, há o crescimento do uso de dispositivos não visuais para interação, como áudio, sensores, contratos inteligentes, inteligência artificial e agentes inteligentes e isso traz desafios para a interação e contratação atual. 

💵Capitalismo regulatório, não! A advogada Flávia Lefèvre compartilhou sua opinião sobre o modelo de regulação a ser adotado no PL 2630/2020. Ela traz reflexões no sentido de demonstrar que as agências reguladoras não dão conta dos diversos direitos afetados pelas atividades das plataformas. 

🔏Publicação de trabalhos sobre a LAC. No embalo das comemorações dos dez anos da Lei Anticorrupção, foi prorrogado prazo para submissão de trabalhos à edição especial da Revista da CGU sobre o assunto. Os trabalhos podem ser enviados até 10 de setembro. 

📚Direitos autorias e redes sociais. Os advogados Ana Paula Silveira e Luiz Guilherme Valente darão o curso “direitos autorais e redes sociais”, a convite da OAB ESA São Paulo. E o melhor, é online, gratuito e com emissão de certificado! Increva-se aqui! 

📢Chamada de artigos sobre Governança de IA. O Gabinete do Secretário-Geral da ONU para a Tecnologia abriu uma chamada de artigos sobre governança de IA. Eles servirão como material (com o devido crédito) para o Órgão Consultivo de Alto Nível sobre IA. Envio de artigos até 30 de setembro. 

***

👋 tchau! Gostou dessa experiência? Comenta aí e assine para continuar acompanhando os próximos testes e me segue no LinkedIn e Instagram 👨🏻🏫