IA e Privacidade: Riscos à LGPD e Propriedade Intelectual

Na atual era digital, a interseção entre a Inteligência Artificial (IA) e negócios, tanto a Proteção de Dados Pessoais quanto a Proteção à Propriedade Intelectual têm gerado dilemas para empresas que buscam inovar em seus negócios. A urgência de se desenvolver produtos e serviços de uma forma mais rápida e mais ‘inteligente’ podem, potencialmente, criar riscos ocultos para as organizações.

O poder das ferramentas de Inteligência Artificial é inquestionável! Empresas se veem cada vez mais compelidas a utilizar esta miríade de soluções, dada a intensa competição em seus mercados. ChatGPT, Bard, Copilot estão à um clique de distância de departamentos de marketing, IT, desenvolvimento de software, vendas etc. Mas nem tudo são flores… e estes exemplos são apenas a ponta do iceberg. Há milhares de soluções de IA no mercado, para diferentes tipos de necessidade.

A primeira preocupação pode ser vista com a LGPD. A Lei Geral de Proteção de Dados está em vigor desde 2020 e define como empresas podem processar dados pessoais de funcionários, colaboradores, parceiros, clientes, prospects, entre outros. Transferir dados pessoais para um serviço terceiro pode – inadvertidamente – causar o vazamento do mesmo e torná-lo disponíveis a outros usuários.

A segunda preocupação é como as empresas irão lidar com a Propriedade Intelectual – de terceiros, ou próprias. Com a perda ou o uso não autorizado de materiais em que alguém investiu tempo, esforço e recursos financeiros para produzi-los.

Em Fevereiro de 2023, o Canadá lançou investigação sobre o ChatGPT e em Março, a Itália baniu temporariamente o ChatGPT com temores de que a empresa teria violado as determinações da GDPR, legislação equivalente à LGPD nacional, treinando seus modelos de dados e coletando informações de indivíduos sem a transparência necessária ou autorização dos titulares. Na ocasião, a OpenAI informou estar comprometida com as regulamentações de privacidade vigentes.

Um recente artigo do site especializado ARS Technica aponta que algumas das preocupações de privacidade vão girar ao redor de:

• • • Modificações de termos de uso e bases legais de como um dado for originariamente publicado para quando ele é ingerido e disponibilizado pela IA;
    • Que aparentemente, não há canais existentes para um titular exercer seus direitos, principalmente sobre os dados que estão ingeridos pelas plataformas;

Adicionalmente, para trazer resultados tão relevantes, é incerto, por exemplo, como é feita a remuneração dos criadores originais dos conteúdos que as IA’s ingeriram e trataram assim como de quem é a propriedade intelectual do conteúdo por fim gerado.

Dependendo dos produtos ou serviços utilizados, o próprio utilizador da solução de Inteligência Artificial pode estar alimentando a base de dados pública da solução com dados confidenciais sem conhecimento explícito. Em Maio deste ano, a Samsung restringiu temporariamente o uso de soluções públicas de IA depois que funcionários foram identificados realizando o upload de um código confidencial, para a ferramenta, possivelmente abrindo meses de investimento e desenvolvimento, expondo sua propriedade intelectual publicamente e sem que a Samsung possa excluí-las após o fato. A Samsung não é a única empresa seguindo essa abordagem, que já conta com diversos bancos, por exemplo, nos Estados Unidos.

Sob a ótica de desenvolvimento de software, há uma disputa em torno de soluções que geram códigos “automaticamente”. A solução utiliza bases de dados de sua própria plataforma, alimentada por seus usuários, para treinar seus modelos e oferecer “respostas” a seus usuários. Desde Novembro de 2022 enfrenta um ação nos Estados Unidos por não incluir as referências autorais nos códigos retornados. Desenvolvedores ao redor do mundo podem estar utilizando blocos de códigos de terceiros, cobertos por determinadas licenças, que podem não estar sendo consideradas. Isso sem contar os riscos de segurança envolvidos pela incorporação de códigos de terceiros, sem validação prévia.

Estas preocupações se tornam um ponto de atenção dada a facilidade de uso das soluções. Em pesquisa recente, 92% dos desenvolvedores em grandes companhias americanas reportaram utilizar algum tipo de IA em seu trabalho ou projetos pessoais, sendo que 70% veem benefício significativo no uso destas ferramentas.

Fazendo o link deste número com uma pesquisa da empresa de tecnologia Synopsys publicada em fevereiro de 2023, mostra que, dentro do escopo de aproximadamente 1700 bases de códigos de 17 diferentes segmentos de mercado, temos:

• • • 54% dos repositórios continham conflitos de licenciamento;
    • 91% dos repositórios continham códigos que não eram atualizados ou mantidos há, pelo menos, 2 anos;
    • 11% dos repositórios com soluções em Java continham uma versão vulnerável da biblioteca Log4J;
    • 87% dos repositórios continham algum tipo de vulnerabilidade.

Neste mesmo paralelo, o risco de cascatear problemas em códigos, sem termos visibilidade e sem questionarmos as soluções, cresce em proporções preocupantes.

Desta forma, se empresas não estabelecerem processos claros para a aquisição e uso de soluções de IA, além de definirem processos claros de Governança, elas podem:

• • • Estar expondo propriedade intelectual e/ou materiais confidenciais em ambientes públicos;
    • Estar incorporando códigos desatualizados e/ou vulneráveis em seus sistemas e produtos;
    • Estar utilizando material sob licença sem os devidos créditos (no caso de open-source) ou sem a devida permissão do autor;
    • Estar transferindo dados pessoais para ambientes públicos;

E é óbvio que a solução não é simplesmente restringir, regular ou frear a inovação. Mas sim termos processos robustos construídos que nos ajudam a tomar decisões informadas, balanceando oportunidades e riscos.

O primeiro passo nesta jornada é envolver as equipes de privacidade, tecnologia e do jurídico para revisão de cada provedor de serviço, entendendo como os dados são utilizados, armazenados e se estarão em ambiente segregado ou público. Evitar contratações diretas e Shadow IT, centralizando soluções e provedores de serviço.

Em linhas práticas e simplificadas, ter uma listagem divulgada a todos os colaboradores com as soluções “Aprovadas” e “Não Aprovadas” para finalidades de negócio ajuda na compreensão, além de incorporar treinamentos no tema e investir em conscientização ajudam a minimizar o risco de desvios.
Pelo lado de software e serviços de terceiros, é importante:

• • • Implementar processos de “code review” e scans de segurança para prevenir que vulnerabilidades, códigos maliciosos ou propriedade intelectual de terceiros sejam incorporadas ao software / produto, inadvertidamente;
    • Auditar frequentemente os provedores de serviço, tanto frente à qualidade do software entregue quanto pelos demais riscos de TI (IA incluído). Afinal de contas, em caso de vazamentos de dados, o controlador é responsável pelos riscos e omissões de seus contratados além da possibilidade de responsabilização conjunta.
    • Incorporar os riscos decorrentes da utilização de modelos de Inteligência Artificial no framework de gestão de riscos corporativos.
    • E por fim, estabelecer processos de governança de IA, assim como tempos governança de TI, de dados, etc. Neste ponto particular, já há diversos frameworks como pontos de partida, não sendo necessário criar algo totalmente novo.

Se sua empresa necessita de consultoria nesta jornada, entre em contato com a Macher Tecnologia. Auxiliamos empresas em suas jornadas digitais, oferecendo consultoria para adequação à LGPD e DPO-as-a-Service. 

Precisa de ajuda na mensuração dos riscos e no seu projeto de privacidade?

Se você precisa de ajuda na adequação e na manutenção da conformidade, nós da Macher Tecnologia podemos ajudar! Contamos com um time altamente capacitado na lei, com experiência hands-on em privacidade e proteção de dados, tanto do lado jurídico quanto do lado de TI e projetos.