IA e Proteção de Dados: Qual o Papel do Encarregado/DPO na Governança de IA?
José Eduardo Pauletto
Advogado | Privacidade e Proteção de Dados | LGPD (Lei Geral de Proteção de Dados) | Encarregado de Proteção de Dados (DPO - Data Protection Officer) |
❗️Com a crescente utilização de Inteligência Artificial nas empresas brasileiras, muitas organizações já adequadas à LGPD (Lei Geral de Proteção de Dados), podem pensar que estão prontas para lidar com a governança de IA, que está prestes a ser normatizada.
É importante ressaltar que a IA traz consigo riscos específicos para a proteção de dados.
Por exemplo, modelos de IA podem inadvertidamente revelar informações pessoais através de inferências precisas, ou perpetuar vieses presentes nos dados de treinamento.
Além disso, a opacidade de alguns algoritmos de IA (o chamado "efeito caixa-preta") pode dificultar a explicação de decisões que afetam indivíduos, potencialmente violando princípios de transparência da LGPD.
No entanto, é crucial nos perguntarmos agora: a governança de IA deve ser automaticamente atribuída ao Encarregado/DPO?
🔍Vamos aprofundar!
O projeto de Lei 2.338/23 (que dispõe sobre o uso da Inteligência Artificial), em tramitação no Senado Federal, e ainda sujeito a alterações, atribui à Autoridade Nacional de Proteção de Dados (ANPD) a coordenação do Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA).
No entanto, não há dúvida que existe uma sobreposição significativa entre as regulamentações de proteção de dados e as novas exigências que serão impostas pela nossa Lei de IA, uma vez que a IA envolve, essencialmente, o processamento de grandes volumes de dados, muitos dos quais incluem dados pessoais.
Embora muito positivo privilegiar a privacidade – uma garantia Constitucional do cidadão – na coordenação da IA, não parece aconselhável replicar tal cenário no ambiente corporativo.
Isso porque, apesar da interseção entre proteção de dados e IA, o Encarregado/DPO tem a responsabilidade de garantir a conformidade com a LGPD, de maneira independente, sem autoridade para influenciar diretamente as operações de processamento de dados.
Entretanto, o responsável pela IA precisará fazer exatamente isso: determinar como os dados são utilizados e processados por sistemas de IA.
Acrescente-se que um gestor de IA terá responsabilidades distintas das do Encarregado/DPO, e podem incluir:
Recomendados pelo LinkedIn
Essa distinção nas atribuições é crucial porque evidencia que o acúmulo de funções por uma mesma pessoa provavelmente acarretará um conflito de interesses, que pode repercutir em penalização para a empresa, conforme disposições contidas no Regulamento do Encarregado, aprovado recentemente pela ANPD.
⚖️ Como as empresas podem se preparar?
Algumas empresas na Europa, um pouco mais adiantadas no enfrentamento desse tema por conta do EU AI Act, têm começado a adotar estruturas organizacionais que integram proteção de dados e IA sob um guarda-chuva mais amplo, denominado "Gestão de Dados".
Isso cria uma distinção clara entre as responsabilidades de proteção de dados e a governança de IA, mantendo o Encarregado/DPO em seu papel independente enquanto ainda facilita a supervisão integrada da conformidade com a IA.
🚀 Minha recomendação:
Se sua empresa está adequada à LGPD, aproveite esse momento para revisar a estrutura de governança e se preparar para as novas camadas de conformidade e processos que a IA está trazendo.
Além dessa revisão estrutural, será importante, também:
O Encarregado/DPO continuará tendo um papel crucial com os novos desafios trazidos pela Inteligência Artificial, mas a governança de IA exige uma abordagem também cuidadosa e especializada!