Estejamos prontos ou não, a inteligência artificial conquistou o mundo. A IA foi adotada por 78% de empresas globais, o que representa um aumento acentuado em relação ao 55% em 2023. Seu enorme potencial indica que sua taxa de adoção continuará a subir.
Mas neste boom tecnológico reside uma crescente preocupação e necessidade de utilização ética da IA, especialmente porque já demonstrou o seu potencial para preconceito, discriminação e erro.
Como resultado disso e de muitas outras questões relacionadas à privacidade de dados, formuladores de políticas em todo o mundo estão desenvolvendo novas regulamentações e regras para controlar o desenvolvimento e o uso da IA.
Vamos analisar mais de perto a conformidade regulatória da IA e como ela está afetando o cenário empresarial atual.
Como definimos a conformidade regulatória da IA
Como Governança de IA especialistas, definimos a conformidade regulatória da IA como um conjunto de práticas que mantêm o uso e o gerenciamento de tecnologias de IA por uma organização em conformidade com as leis, regulamentações e políticas aplicáveis.
E por falar em confiança, a implementação de regulamentações de IA também requer uma forte segurança cibernética e gestão de riscos estratégias para garantir que os sistemas de IA permaneçam protegidos contra exploração maliciosa.
Da IA paralela às lacunas de conformidade, a maioria das organizações está voando às cegas — e exposta. Analise mais de perto o estado atual da governança da IA: seus principais riscos, regulamentações atuais, pontos problemáticos específicos do setor e muito mais.
Por que devemos nos preocupar com IA e conformidade regulatória
Responsável e uso ético da IA e desenvolvimento estão no centro dessas políticas de conformidade.
A conformidade regulatória (IA especificamente) foi criada para ajudar as empresas a mitigar os riscos (legais, financeiros, etc.) associados ao uso de modelos de IA, como:
- Violações de dados
- Manuseio indevido de dados pessoais
- Vieses humanos em dados de treinamento
As estruturas de conformidade com a IA protegem as empresas de potenciais penalidades e responsabilidades, que podem ser substanciais. Um dos exemplos mais famosos de multas relacionadas à IA é o que envolve Clearview AI, uma empresa de tecnologia de reconhecimento facial que extraiu fotos de rostos de pessoas de toda a internet sem o consentimento delas para criar um banco de dados biométrico. A empresa foi multada em € 22 milhões.
Não são apenas multas pesadas que as empresas precisam se preocupar. Alcançar e manter a conformidade protege as empresas de danos à reputação, pois demonstra seu comprometimento com práticas éticas.
Regulamentos de IA existentes
No cenário regulatório, a IA pode ser difícil de controlar devido à velocidade da inovação. É difícil para os reguladores criar leis abrangentes, o que também dificulta o trabalho das empresas.
Algumas regulamentações específicas de IA já estão em vigor, mas as empresas também devem estar cientes de requisitos adicionais de conformidade com as regulamentações, por exemplo, aquelas que regem a segurança cibernética e a privacidade de dados. Como acontece com muitas leis de proteção de dados, a conformidade nem sempre depende da localização da sua empresa, mas sim do local onde você conduz seus negócios.
Vamos analisar mais de perto alguns requisitos de conformidade regulatória existentes para sistemas de IA:
Nos Estados Unidos
O Lei de Pesquisa, Inovação e Responsabilidade em Inteligência Artificial de 2024 (AIRIAA) fornece uma estrutura para equilibrar transparência, responsabilidade e mitigação de riscos com inovação de IA.
A primeira lei estadual a exigir a divulgação de dados de treinamento para sistemas de IA generativa entrará em vigor em 2026. Lei de Transparência de Dados de Treinamento de IA Generativa da Califórnia promoverá o desenvolvimento transparente da IA, criará proteções específicas relacionadas às informações pessoais e dará aos usuários uma melhor compreensão de como a IA funciona.
No Colorado, o Proteções ao consumidor para a lei da IA, que visa proteger os moradores da discriminação algorítmica, entrará em vigor em 2026.
No Texas, o Lei de Governança de IA Responsável, que supervisionará o desenvolvimento, a implantação e o uso de sistemas de inteligência artificial no estado, também será transformada em lei em 2026.
Em termos de leis de privacidade de dados, a Lei de Privacidade do Consumidor da Califórnia (CCPA) e o Lei de Privacidade de Dados do Consumidor da Virgínia (VCDA) Até recentemente, os Estados Unidos eram os únicos estados com leis oficiais de proteção de dados de consumidores. No momento em que este texto foi escrito, havia um total de 20 estados com leis abrangentes de privacidade, e espera-se que mais leis sejam aprovadas em breve.
Na Europa
Na UE, existem duas regulamentações principais que regulam a IA: A Lei da IA da UE e o RGPD.
A Lei da IA da UE
A Europa abriga o primeiro do mundo estrutura abrangente de IA e impacta provedores e implantadores de IA dentro e fora da União Europeia (caso seus sistemas de IA sejam colocados no mercado da UE). Conhecida simplesmente como Lei de IA da UE, esta legislação classifica a IA em quatro categorias:
Risco inaceitável: Todas as práticas de IA que se enquadram nesta categoria são proibidas na UE.
Atualmente, existem oito aplicações de IA proibidas na Europa, incluindo:
- Manipulação subliminar para alterar o comportamento
- Exploração de vulnerabilidades (por exemplo, idade ou deficiência)
- Pontuação social que leva a tratamento injusto.
- Previsão de atividade criminosa
- Inferir estados emocionais em escolas ou locais de trabalho.
- Coletar imagens de pessoas da internet ou de CFTV para expandir um banco de dados de reconhecimento facial
- Identificação biométrica e categorização de pessoas em tempo real com base em atributos sensíveis, como raça, religião ou orientação sexual.
Alto risco: Estes são os sistemas mais regulamentados na UE. A IA de alto risco inclui qualquer sistema que possa ter consequências potencialmente negativas para a saúde e a segurança de uma pessoa, seus direitos e o meio ambiente. Considera-se que esta categoria apresenta mais benefícios do que riscos, razão pela qual não é proibida.
Risco limitado: Um subconjunto menor de aplicações de IA se enquadra nessa categoria. IA de risco limitado é considerada qualquer sistema que ainda apresente risco de manipulação ou fraude. Implantadores e desenvolvedores também devem fornecer documentação aos legisladores e usuários para manter um nível de transparência e garantir que os usuários compreendam os riscos envolvidos no uso da IA.
Risco mínimo: Todos os outros sistemas de IA se enquadram nesta categoria. Atualmente, esses sistemas não são regulamentados, mas a supervisão humana e a não discriminação são recomendadas.
Onde se encaixam a ChatGPT (IA generativa) e a IA de propósito geral (GPAI)? Historicamente, tem sido difícil classificar essa forma de inteligência artificial, pois seu risco depende do seu caso de uso.
GDPR
O GDPR é uma regulamentação importante que supervisiona a coleta, o processamento, o armazenamento e o gerenciamento de dados pessoais de residentes europeus. Ele concede aos titulares dos dados (residentes da UE) certos direitos e controles sobre seus dados, como o direito de:
- Rejeitar e retirar o consentimento para processar dados pessoais
- Saiba quais informações são coletadas sobre eles
- Alterar as informações coletadas sobre eles
- Seja esquecido
- Negar certos processos automatizados
As empresas que processam dados pessoais de cidadãos da UE devem estar em conformidade com o GDPR e atender a determinados requisitos, como:
Ter uma base legal (da qual o consentimento é uma) para coletar e processar dados pessoais; coletar apenas a quantidade mínima necessária para sua finalidade (limitação da finalidade); e não manter os dados por mais tempo do que o necessário (minimização de dados)
- Ser transparente sobre a finalidade dos dados
- Manter dados precisos e atualizados
- Permitir que os titulares dos dados exerçam os seus direitos sem prejuízo
- Documentar suas políticas de manutenção de registros para processos de auditoria
- Em caso de violação de dados, notificar as autoridades no prazo de 72 horas
- Contratação de encarregados da proteção de dados (EPD) quando envolvidos em processamento de dados de alto risco
- Facilitando o gerenciamento de consentimento para usuários
- Atualizando as políticas de privacidade para incluir os requisitos do GDPR
- Nomeação de um representante da UE se a empresa estiver fora da UE
Embora o GDPR não seja explicitamente uma regulamentação de IA, o desenvolvimento e a implantação de modelos de IA devem aderir aos requisitos do GDPR em termos de direitos dos titulares dos dados e minimização de dados.
Na Ásia
Em China, o Medidas Provisórias para a Gestão de Serviços de Inteligência Artificial Generativa (2023) promove um equilíbrio semelhante ao AIRIAA dos EUA, pois busca equilibrar inovação com transparência e uso responsável de serviços de IA generativa voltados ao público.
Na Coreia do Sul, o Lei Básica de IA da Coreia do Sul (SKAIA) busca mitigar os riscos da IA e promover práticas confiáveis de IA, ao mesmo tempo em que aumenta a inovação e as exportações do setor. A lei consiste em três pontos principais:
- Estabelece o Comitê Nacional de IA e um Instituto de Pesquisa de Segurança de IA.
- Promove o desenvolvimento da IA.
- Estabelece medidas de segurança quanto ao uso de IA de alto risco e generativa.
Não importa quando você ler isto, a governança da IA continuará sendo um alvo em movimento, então o primeiro passo na criação de políticas internas para seus sistemas de IA deve ser revisar as regulamentações mais atualizadas que se aplicam à sua organização.
Etapas para atender aos requisitos de conformidade de IA
Agora que exploramos algumas das principais regulamentações de IA e privacidade de dados ao redor do mundo, vamos discutir como as empresas podem fortalecer seus esforços de conformidade com IA:
Identificar e inventariar dados existentes e sistemas baseados em IA
O primeiro passo para usar a IA de forma responsável na sua organização é realizar uma auditoria de IA. O objetivo é garantir que o uso da IA pela empresa esteja alinhado aos princípios estabelecidos.
Isso também inclui uma auditoria de como sua organização coleta, gerencia e cataloga dados não estruturados, ou informações que não possuem formatação padrão, como e-mails e documentos.
Entender quais dados você tem e onde encontrá-los pode ajudar a mitigar riscos e evitar violações de conformidade.
Estabelecer estruturas de governança de IA
A governança de IA estabelece as estruturas, os processos e as políticas que mantêm os sistemas de IA de uma empresa em conformidade com as regulamentações de IA.
Numa indústria conhecida pela sua complexidade e potencial para uso indevido ético, a melhor forma de garantir que os sistemas de IA são desenvolvidos e utilizados de forma legal, ética e no melhor interesse das pessoas é criar uma Estrutura de governança de IA. Isso incentiva a transparência, o que, por sua vez, gera confiança na IA.
Sua estrutura deve delinear claramente os valores, princípios e políticas da sua empresa em relação ao desenvolvimento responsável de IA e deve fornecer diretrizes para gerenciamento de riscos, privacidade de dados, responsabilidade, etc.
Invista em ferramentas de segurança e governança de IA
Por que complicar a proteção e a governança de dados com processos manuais e fluxos de trabalho desatualizados quando você pode investir em uma solução simples que gerencia sistemas de IA e dados em todo o seu ambiente?
Incluir IA em soluções de conformidade regulatória proporciona à sua empresa um sistema de governança de dados mais dinâmico e preciso. Por exemplo, o BigID Segurança e governança de IA A solução gerencia confiança, risco e segurança com recursos e funcionalidades avançadas como:
- Descoberta automática para dados e ativos de IA
- Proteção e governança
- Melhoria da higiene de dados
- Catalogação e curadoria
- Identificação e remediação de riscos
- Redução de risco para o Microsoft Copilot
Nossas soluções colocam a privacidade, a segurança e a conformidade dos dados na vanguarda das suas iniciativas de conformidade regulatória de IA.
Descubra como proteger e governar seus dados de IA com contexto e controle conscientes de riscos.
Autor
