Estejamos prontos ou não, a inteligência artificial conquistou o mundo. A IA foi adotada por 78% de empresas globais, which is a steep increase from 55% in 2023. Its massive potential indicates that its adoption rate will continue to climb, necessitating a robust AI risk management framework.
Mas neste boom tecnológico reside uma crescente preocupação e necessidade de utilização ética da IA, especialmente porque já demonstrou o seu potencial para preconceito, discriminação e erro.
Como resultado disso e de muitas outras questões relacionadas à privacidade de dados, formuladores de políticas em todo o mundo estão desenvolvendo novas regulamentações e regras para controlar o desenvolvimento e o uso da IA.
Vamos analisar mais de perto a conformidade regulatória da IA e como ela está afetando o cenário empresarial atual.
Como definimos a conformidade regulatória da IA
Como Governança de IA especialistas, definimos a conformidade regulatória da IA como um conjunto de práticas que mantêm o uso e o gerenciamento de tecnologias de IA por uma organização em conformidade com as leis, regulamentações e políticas aplicáveis.
E por falar em confiança, a implementação de regulamentações de IA também requer uma forte segurança cibernética e gestão de riscos estratégias para garantir que os sistemas de IA permaneçam protegidos contra exploração maliciosa.
Da IA paralela às lacunas de conformidade, a maioria das organizações está voando às cegas — e exposta. Analise mais de perto o estado atual da governança da IA: seus principais riscos, regulamentações atuais, pontos problemáticos específicos do setor e muito mais.
Por que devemos nos preocupar com IA e conformidade regulatória
Responsável e uso ético da IA e desenvolvimento estão no centro dessas políticas de conformidade.
A conformidade regulatória (IA especificamente) foi criada para ajudar as empresas a mitigar os riscos (legais, financeiros, etc.) associados ao uso de modelos de IA, como:
- Violações de dados
- Manuseio indevido de dados pessoais
- Vieses humanos em dados de treinamento
As estruturas de conformidade com a IA protegem as empresas de potenciais penalidades e responsabilidades, que podem ser substanciais. Um dos exemplos mais famosos de multas relacionadas à IA é o que envolve Clearview AI, a facial recognition tech company that scraped pictures of people’s faces from all over the internet without their consent to create a biometric database, raising significant compliance risks. The company was fined €22 million.
Não são apenas multas pesadas que as empresas precisam se preocupar. Alcançar e manter a conformidade protege as empresas de danos à reputação, pois demonstra seu comprometimento com práticas éticas.
Regulamentos de IA existentes
No cenário regulatório, a IA pode ser difícil de controlar devido à velocidade da inovação. É difícil para os reguladores criar leis abrangentes, o que também dificulta o trabalho das empresas.
Algumas regulamentações específicas de IA já estão em vigor, mas as empresas também devem estar cientes de requisitos adicionais de conformidade com as regulamentações, por exemplo, aquelas que regem a segurança cibernética e a privacidade de dados. Como acontece com muitas leis de proteção de dados, a conformidade nem sempre depende da localização da sua empresa, mas sim do local onde você conduz seus negócios.
Vamos analisar mais de perto alguns requisitos de conformidade regulatória existentes para sistemas de IA:
Nos Estados Unidos
O Lei de Pesquisa, Inovação e Responsabilidade em Inteligência Artificial de 2024 (AIRIAA) fornece uma estrutura para equilibrar transparência, responsabilidade e mitigação de riscos com inovação de IA.
A primeira lei estadual a exigir a divulgação de dados de treinamento para sistemas de IA generativa entrará em vigor em 2026. Lei de Transparência de Dados de Treinamento de IA Generativa da Califórnia promoverá o desenvolvimento transparente da IA, criará proteções específicas relacionadas às informações pessoais e dará aos usuários uma melhor compreensão de como a IA funciona.
No Colorado, o Proteções ao consumidor para a lei da IA, que visa proteger os moradores da discriminação algorítmica, entrará em vigor em 2026.
No Texas, o Lei de Governança de IA Responsável, que supervisionará o desenvolvimento, a implantação e o uso de sistemas de inteligência artificial no estado, também será transformada em lei em 2026.
Em termos de leis de privacidade de dados, a Lei de Privacidade do Consumidor da Califórnia (CCPA) e o Lei de Privacidade de Dados do Consumidor da Virgínia (VCDA) Até recentemente, os Estados Unidos eram os únicos estados com leis oficiais de proteção de dados de consumidores. No momento em que este texto foi escrito, havia um total de 20 estados com leis abrangentes de privacidade, e espera-se que mais leis sejam aprovadas em breve.
Na Europa
Na UE, existem duas regulamentações principais que regulam a IA: A Lei da IA da UE e o RGPD.
A Lei da IA da UE
A Europa abriga o primeiro do mundo estrutura abrangente de IA e impacta provedores e implantadores de IA dentro e fora da União Europeia (caso seus sistemas de IA sejam colocados no mercado da UE). Conhecida simplesmente como Lei de IA da UE, esta legislação classifica a IA em quatro categorias:
Risco inaceitável: Todas as práticas de IA que se enquadram nesta categoria são proibidas na UE.
Atualmente, existem oito aplicações de IA proibidas na Europa, incluindo:
- Manipulação subliminar para alterar o comportamento
- Exploração de vulnerabilidades (por exemplo, idade ou deficiência)
- Pontuação social que leva a tratamento injusto.
- Previsão de atividade criminosa
- Inferir estados emocionais em escolas ou locais de trabalho.
- Coletar imagens de pessoas da internet ou de CFTV para expandir um banco de dados de reconhecimento facial
- Real-time biometric identification and categorization of people based on sensitive attributes such as race, religion, or sexual orientation.
Alto risco: Estes são os sistemas mais regulamentados na UE. A IA de alto risco inclui qualquer sistema que possa ter consequências potencialmente negativas para a saúde e a segurança de uma pessoa, seus direitos e o meio ambiente. Considera-se que esta categoria apresenta mais benefícios do que riscos, razão pela qual não é proibida.
Risco limitado: Um subconjunto menor de aplicações de IA se enquadra nessa categoria. IA de risco limitado é considerada qualquer sistema que ainda apresente risco de manipulação ou fraude. Implantadores e desenvolvedores também devem fornecer documentação aos legisladores e usuários para manter um nível de transparência e garantir que os usuários compreendam os riscos envolvidos no uso da IA.
Risco mínimo: Todos os outros sistemas de IA se enquadram nesta categoria. Atualmente, esses sistemas não são regulamentados, mas a supervisão humana e a não discriminação são recomendadas.
Onde se encaixam a ChatGPT (IA generativa) e a IA de propósito geral (GPAI)? Historicamente, tem sido difícil classificar essa forma de inteligência artificial, pois seu risco depende do seu caso de uso.
GDPR
O GDPR é uma regulamentação importante que supervisiona a coleta, o processamento, o armazenamento e o gerenciamento de dados pessoais de residentes europeus. Ele concede aos titulares dos dados (residentes da UE) certos direitos e controles sobre seus dados, como o direito de:
- Rejeitar e retirar o consentimento para processar dados pessoais
- Saiba quais informações são coletadas sobre eles
- Alterar as informações coletadas sobre eles
- Seja esquecido
- Negar certos processos automatizados
As empresas que processam dados pessoais de cidadãos da UE devem estar em conformidade com o GDPR e atender a determinados requisitos, como:
Ter uma base legal (da qual o consentimento é uma) para coletar e processar dados pessoais; coletar apenas a quantidade mínima necessária para sua finalidade (limitação da finalidade); e não manter os dados por mais tempo do que o necessário (minimização de dados)
- Ser transparente sobre a finalidade dos dados
- Manter dados precisos e atualizados
- Permitir que os titulares dos dados exerçam os seus direitos sem prejuízo
- Documentar suas políticas de manutenção de registros para processos de auditoria
- Em caso de violação de dados, notificar as autoridades no prazo de 72 horas
- Contratação de encarregados da proteção de dados (EPD) quando envolvidos em processamento de dados de alto risco
- Facilitando o gerenciamento de consentimento para usuários
- Atualizando as políticas de privacidade para incluir os requisitos do GDPR
- Nomeação de um representante da UE se a empresa estiver fora da UE
Even though the GDPR is not explicitly an AI regulation, the development and deployment of Modelos de IA must adhere to GDPR regulatory requirements in terms of data subject rights and data minimization.
Na Ásia
Em China, o Medidas Provisórias para a Gestão de Serviços de Inteligência Artificial Generativa (2023) promove um equilíbrio semelhante ao AIRIAA dos EUA, pois busca equilibrar inovação com transparência e uso responsável de serviços de IA generativa voltados ao público.
Na Coreia do Sul, o Lei Básica de IA da Coreia do Sul (SKAIA) busca mitigar os riscos da IA e promover práticas confiáveis de IA, ao mesmo tempo em que aumenta a inovação e as exportações do setor. A lei consiste em três pontos principais:
- Estabelece o Comitê Nacional de IA e um Instituto de Pesquisa de Segurança de IA.
- Promove o desenvolvimento da IA.
- It establishes safety measures regarding the use of high-risk and IA generativa.
Não importa quando você ler isto, a governança da IA continuará sendo um alvo em movimento, então o primeiro passo na criação de políticas internas para seus sistemas de IA deve ser revisar as regulamentações mais atualizadas que se aplicam à sua organização.
Etapas para atender aos requisitos de conformidade de IA
Agora que exploramos algumas das principais regulamentações de IA e privacidade de dados ao redor do mundo, vamos discutir como as empresas podem fortalecer seus esforços de conformidade com IA:
Identificar e inventariar dados existentes e sistemas baseados em IA
The first step for using AI responsibly within your organization is to conduct an AI audit as part of your compliance program. The goal is to ensure that the company’s use of AI is aligned with established principles.
Isso também inclui uma auditoria de como sua organização coleta, gerencia e cataloga dados não estruturados, ou informações que não possuem formatação padrão, como e-mails e documentos.
Entender quais dados você tem e onde encontrá-los pode ajudar a mitigar riscos e evitar violações de conformidade.
Estabelecer estruturas de governança de IA
A governança de IA estabelece as estruturas, os processos e as políticas que mantêm os sistemas de IA de uma empresa em conformidade com as regulamentações de IA.
Numa indústria conhecida pela sua complexidade e potencial para uso indevido ético, a melhor forma de garantir que os sistemas de IA são desenvolvidos e utilizados de forma legal, ética e no melhor interesse das pessoas é criar uma Estrutura de governança de IA. Isso incentiva a transparência, o que, por sua vez, gera confiança na IA.
Sua estrutura deve delinear claramente os valores, princípios e políticas da sua empresa em relação ao desenvolvimento responsável de IA e deve fornecer diretrizes para gerenciamento de riscos, privacidade de dados, responsabilidade, etc.
Invista em ferramentas de segurança e governança de IA
Por que complicar a proteção e a governança de dados com processos manuais e fluxos de trabalho desatualizados quando você pode investir em uma solução simples que gerencia sistemas de IA e dados em todo o seu ambiente?
Incluir IA em soluções de conformidade regulatória proporciona à sua empresa um sistema de governança de dados mais dinâmico e preciso. Por exemplo, o BigID Segurança e governança de IA A solução gerencia confiança, risco e segurança com recursos e funcionalidades avançadas como:
- Descoberta automática para dados e ativos de IA
- Proteção e governança
- Melhoria da higiene de dados
- Catalogação e curadoria
- Identificação e remediação de riscos
- Redução de risco para o Microsoft Copilot
Nossas soluções colocam a privacidade, a segurança e a conformidade dos dados na vanguarda das suas iniciativas de conformidade regulatória de IA.
Descubra como proteger e governar seus dados de IA com contexto e controle conscientes de riscos.
Autor
