ANPD apresenta considerações da Tomada de Subsídios sobre Inteligência Artificial e Revisão de Decisões Automatizadas

Promovendo um debate mais aprofundado e abrangente sobre a regulamentação da Inteligência Artificial no país, a Coordenação-Geral de Normatização (CGN) da Autoridade Nacional de Proteção de Dados (ANPD) oficializou os resultados da Tomada de Subsídios sobre Inteligência Artificial e Revisão de Decisões Automatizadas, realizada entre 6 de novembro do ano passado e 24 de janeiro deste ano.

A Tomada de Subsídios foi realizada visando auxiliar na identificação de potenciais problemáticas associados ao uso de IA em termos de privacidade e proteção de dados, incluindo viés algorítmico, opacidade dos sistemas de IA, delimitação específica para o tratamento de dados pessoais sensíveis e para o tratamento de dados pessoais de crianças, adolescentes e idosos, e questões relacionadas, por exemplo, aos direitos de eliminação e revogação do consentimento.

A consulta foi estruturada em 15 perguntas agrupadas em quatro blocos: princípios da LGPD, Hipóteses Legais, Direitos dos Titulares, Boas Práticas e Governança. As respostas para cada indagação foram reunidas conforme apresentaram convergências ou divergências entre si. 

Você pode consultar a Consolidação das contribuições recebidas neste link.

O documento organiza os Pontos de Convergência e Pontos de Divergência para as seguintes questões:

1) Como compatibilizar o treinamento de sistemas de IA com o princípio da necessidade, haja vista se tratar de atividade que, muitas vezes, demanda o tratamento de quantidades massivas de dados pessoais? Quais salvaguardas podem ser adotadas de modo a assegurar a observância desse princípio e viabilizar o desenvolvimento adequado de sistemas de IA, considerando, ainda, a importância da qualidade e diversidade dos dados utilizados?

2) Quais boas práticas e salvaguardas devem ser observadas visando à definição de finalidades específicas e à divulgação de informações claras e adequadas e facilmente acessíveis aos titulares a respeito do tratamento de dados pessoais realizado durante o desenvolvimento e o uso de sistemas de IA? 

3) Como compatibilizar os princípios da finalidade e da transparência com o uso de sistemas de IA de propósito geral, isto é, sistemas que possam realizar uma ampla variedade de tarefas distintas e servir a diferentes finalidades?

4) Quais boas práticas e salvaguardas, bem como parâmetros ou critérios, devem ser considerados ao longo de todo o ciclo de vida de sistemas de IA para prevenir discriminações ilícitas ou abusivas?

5) O tratamento de dados pessoais no contexto de sistemas de IA pode ser amparado pela hipótese legal do consentimento? Em quais circunstâncias? Quais as limitações para a utilização dessa hipótese legal nesses contextos e quais salvaguardas devem ser observadas?

6) O tratamento de dados pessoais, no contexto de sistemas de IA, pode ser amparado pela hipótese legal do legítimo interesse? Em quais circunstâncias? Em caso afirmativo, quais salvaguardas devem ser adotadas nessas situações com vistas à proteção de direitos dos titulares, especialmente considerando a vedação de tratamento de dados pessoais sensíveis com base na hipótese legal do legítimo interesse? Em particular, a coleta de dados pessoais para o treinamento de sistemas de IA, especialmente mediante técnicas de raspagem de dados, pode ser fundamentada na hipótese legal do legítimo interesse?

7) De que maneira os direitos do titular, previstos na LGPD, se aplicam a sistemas de IA?

8) Quais as boas práticas e as salvaguardas a serem observadas na disponibilização de canais de atendimento ao titular para exercício dos seus direitos, a exemplo dos direitos de acesso, de oposição e de revisão de decisões automatizadas, no contexto do tratamento de dados pessoais por sistemas de IA? Se possível, descreva as ferramentas utilizadas para implementação de tais canais de atendimento, com os respectivos parâmetros utilizados.

9) Deve haver salvaguardas e limites específicos para o tratamento de dados pessoais sensíveis e para o tratamento de dados pessoais de crianças, adolescentes e idosos durante as etapas do ciclo de vida de sistemas de IA? 

10) Quais os requisitos a serem observados para a garantia e a aplicação do direito à revisão de decisões automatizadas (art. 20 da LGPD)? O que pode ser considerado como decisão tomada unicamente com base em tratamento automatizado de dados pessoais? Quais interesses poderiam ser afetados? 

11) Em que hipóteses e sob quais condições pode ser necessária a revisão humana de decisões automatizadas com vistas à adequada garantia de direitos dos titulares?

12) Quais os parâmetros a serem observados para o fornecimento de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, nos termos do § 1º do art. 20 da LGPD? Quais limites e parâmetros de segredo comercial e industrial justificam a não observância do fornecimento de informações, conforme disposto no mesmo dispositivo legal? 

13) De que forma programas de governança em privacidade podem ser utilizados como um mecanismo de promoção da conformidade do desenvolvimento e uso de sistemas de IA com a LGPD? Quais requisitos, especificamente relacionados ao desenvolvimento e uso de sistemas de IA, devem ser observados nesses casos?

14) Considerando o princípio da responsabilização e prestação de contas, quais informações devem ser documentadas durante o ciclo de vida de um sistema de IA? Em quais contextos específicos relacionados a sistemas de IA é recomendada a elaboração de RIPD? Neste caso, é possível estabelecer requisitos específicos a serem observados na elaboração do RIPD?

15) Considerando o ciclo de vida de um sistema de IA, em que momento e contexto do tratamento seria viável ou necessária a anonimização? Qual a técnica utilizada? Quais outras medidas de segurança poderiam ser eventualmente utilizadas visando à proteção da privacidade de titulares de dados?

Como divulgou a ANPD, a iniciativa coletou 124 contribuições, 61% originadas da Região Sudeste. Do total de participantes, 56% representam algum  Agente de Tratamento de Dados, e metade pertence ao Terceiro Setor. Estrangeiros contribuíram com 7% das sugestões.