A Lei de IA da UE e o GDPR: colisão ou harmonia?
A IA é a palavra da moda onipresente na indústria jurídica. Consequentemente, a Lei de IA da UE é um dos principais itens na radar de muitos profissionais jurídicos. Mas o que dizer sobre o outro conjunto de legislações que foi um tópico muito quente em 2018, o Regulamento Geral sobre a Proteção de Dados (GDPR)?
Após mais de sete anos, a conformidade com o GDPR se tornou um território familiar para muitos consultores internos e outros profissionais. Existem várias semelhanças e interações entre a recém-introduzida Lei de IA e o GDPR, além de referências explícitas ao GDPR na Lei de IA. Neste artigo, discutiremos algumas das interações mais significativas.
Geral
É impressionante a extensão em que a estrutura geral da Lei de IA é influenciada pelo GDPR. Muitos dos princípios de dados (transparência, precisão, segurança) são espelhados na Lei de IA, que, assim como o GDPR, adota uma abordagem baseada em risco.
A interseção óbvia em termos de conformidade com a Lei de IA é devido ao fato de que desenvolver e usar sistemas de IA provavelmente envolve treinar modelos de IA em dados, alguns dos quais certamente serão dados pessoais, que devem ser processados em conformidade com o GDPR. Isso requer salvaguardas adequadas de privacidade de dados, não apenas internamente, mas também na relação com fornecedores e outras partes envolvidas no ecossistema de IA.
Significativamente, o Artigo 47 da Lei de IA exige que os provedores de sistemas de IA de alto risco elaborem uma declaração de conformidade que deve incluir uma declaração de conformidade com o GDPR, onde o sistema incluir dados pessoais (Anexo V) e, além disso, em muitos Estados-Membros, a Autoridade de Proteção de Dados também será a autoridade de vigilância do mercado da Lei de IA.
Transparência
O GDPR e a Lei de IA possuem seus próprios regimes de transparência. Em ambos os casos, a necessidade é que os indivíduos recebam informações adequadas sobre como seus dados pessoais são processados e como o uso de IA os afeta.
— Sob o GDPR (Artigos 12-14), os titulares de dados devem receber informações claras e acessíveis sobre o processamento de seus dados pessoais, incluindo propósitos, base legal, destinatários, períodos de armazenamento e direitos dos titulares de dados.
— Sob a Lei de IA, várias obrigações de transparência se aplicam. Por exemplo, o Artigo 13 exige que os deployers recebam instruções para o uso de sistemas de IA de alto risco. Além disso, o Artigo 50 exige que os deployers informem as pessoas naturais que estão interagindo com um sistema de IA (a menos que seja óbvio pelo contexto).
Gestão de Risco
De uma perspectiva de gestão de risco, tanto o GDPR quanto a Lei de IA adotam uma abordagem baseada em risco em termos de conformidade. No entanto, há uma diferença fundamental entre os dois em termos de estágio em que o risco é abordado.
— O GDPR é baseado em risco, exigindo avaliação prévia e contínua dos riscos associados ao processamento de dados pessoais. Isso gera a necessidade de medidas técnicas e organizacionais para abordar o risco de forma proporcional.
— Sob a Lei de IA, os sistemas de IA são categorizados em diferentes níveis de risco: risco inaceitável, que é proibido, alto risco ou baixo/minimal risco. As obrigações mais onerosas estão ligadas a sistemas de IA de alto risco, que devem cumprir obrigações abrangentes relacionadas à gestão de risco, avaliação e mitigação.
Responsabilidade
Tanto o GDPR quanto a Lei de IA exigem responsabilidade. De maneira ampla, isso envolve documentar os vários passos, processos e políticas para demonstrar conformidade.
— Onde o GDPR exige que acordos de processamento de dados sejam estabelecidos entre controladores e (sub)processadores, a Lei de IA exige que salvaguardas contratuais suficientes sejam estabelecidas entre os vários papéis conforme definido na Lei de IA.
— Enquanto o GDPR exige a documentação de elementos, incluindo Avaliações de Impacto sobre a Proteção de Dados (DPIAs) e registros de processamento, a Lei de IA exige uma documentação mais elaborada, como escolhas de desenvolvimento e design para sistemas de IA de alto risco e modelos de IA de propósito geral (GPAI) para poder demonstrar responsabilidade.
DPIA e Avaliações de Direitos Fundamentais
Tanto o GDPR quanto a Lei de IA exigem avaliações de risco.
— Sob o GDPR, em situações específicas, os controladores devem realizar uma Avaliação de Impacto sobre a Proteção de Dados (DPIA).
— O Artigo 26(8) da Lei de IA afirma que, quando aplicável, os deployers de sistemas de IA de alto risco devem usar as informações fornecidas sob o Artigo 13 da Lei de IA para cumprir sua obrigação de GDPR de realizar uma DPIA.
— Além disso, a Lei de IA exige que certos deployers realizem uma “avaliação de impacto sobre direitos fundamentais” (FRIA) antes de implantar sistemas de IA de alto risco mencionados no Anexo III da Lei de IA. Quando o deployer já tiver realizado uma DPIA do GDPR que atenda a qualquer um dos requisitos de FRIA da Lei de IA sob o Artigo 27, a FRIA complementará a DPIA (Artigo 27(4) da Lei de IA).
Processamento de Dados Pessoais Sensíveis
A Lei de IA (Artigo 10(5)) excepcionalmente permite o processamento de dados pessoais sensíveis, mas apenas se for estritamente necessário para garantir a detecção e correção de viés em sistemas de IA de alto risco e sob certas condições. Estas se aplicam além dos requisitos do Artigo 9 do GDPR, que fornece exceções à proibição geral de processamento de dados pessoais sensíveis (especiais).
Decisões Automatizadas e Supervisão Humana
Tanto a Lei de IA quanto o GDPR possuem uma forma de mecanismo de supervisão humana.
— O Artigo 22 do GDPR dá aos titulares de dados o direito de não serem submetidos a uma decisão exclusivamente automatizada que tenha um efeito legal ou semelhante sobre eles. Eles têm o direito de solicitar uma nova decisão que esteja sujeita a intervenção humana se se opuserem a tal decisão automatizada.
— A Lei de IA possui um regime mais rigoroso no Artigo 14, sob o qual os sistemas de IA de alto risco devem ser projetados com ferramentas de interface humano-máquina que possibilitem uma supervisão eficaz, e os deployers devem designar pessoal competente para a supervisão. Por exemplo, os humanos devem ser capazes de monitorar a operação do sistema de IA e corrigir resultados ou até decidir não usar o sistema ou empregar um botão de ‘parada’ como medida de emergência. Além disso, sob o Artigo 86, os indivíduos têm o direito a uma explicação quando os deployers tomam decisões com base na saída de um sistema de IA de alto risco (sujeito a exceções limitadas).
Relato de Incidentes
Ambos os regimes implementam um sistema de relato de incidentes, permitindo a apresentação de relatos iniciais, bem como relatos subsequentes, se o escopo total ou a extensão de um incidente ainda não forem conhecidos no momento do relato exigido.
— Sob o GDPR (Artigo 33), o principal incidente que pode ocorrer é uma violação de dados. Em princípio, a notificação de tal violação de dados deve ser feita à Autoridade de Proteção de Dados (DPA) relevante sem demora injustificada e, quando viável, não mais tarde que 72 horas após o controlador de dados ter tomado conhecimento da violação; e notificações adicionais aos indivíduos podem ser necessárias quando a violação provavelmente resultar em um alto risco para seus direitos e liberdades.
— Sob a Lei de IA (Artigo 73), incidentes graves devem ser relatados às autoridades reguladoras imediatamente após estabelecer um vínculo causal entre o sistema de IA e o incidente grave (ou uma probabilidade razoável de tal chance) e, em qualquer caso, não mais tarde que 15 dias. No entanto, esse prazo final depende da gravidade do incidente e é ajustado para dois dias no caso de infração generalizada ou uma interrupção grave e irreversível da gestão ou operação de infraestrutura crítica; e dez dias no caso da morte de uma pessoa.
Gerenciando o Duplo Ônus de Conformidade
Este é apenas um resumo de algumas das áreas onde os conceitos do GDPR se sobrepõem aos da Lei de IA. Em termos do ônus de conformidade, no entanto, existem situações limitadas em que a conformidade sob uma legislação será suficiente para cumprir a outra. O que é mais provável é que os processos de conformidade do GDPR possam ser expandidos, se necessário, para fins de conformidade com a Lei de IA. No entanto, para fins de responsabilidade, será importante distinguir entre os requisitos do GDPR e da Lei de IA.
Ações úteis incluem:
- Mapear os papéis da Lei de IA (fornecedor, implantador, importador/distribuidor) com os papéis do GDPR (controlador/processador).
- Coletar informações adequadas e processar essas informações em orientações relevantes para usuários/titulares de dados. Revisar regularmente se as informações estão atualizadas.
- Garantir que os dados de treinamento de IA que contêm dados pessoais (o que é frequentemente o caso) estejam sujeitos a salvaguardas adequadas de privacidade de dados, tanto do ponto de vista contratual quanto técnico.
- Alinhar os requisitos do Artigo 30 do GDPR para manter um registro de processamento com os requisitos de governança de dados do Artigo 10 da Lei de IA.
- Documentar o desenvolvimento e monitoramento da IA de forma a poder demonstrar conformidade, tanto durante a fase de desenvolvimento quanto na fase de implantação.
- Garantir que a FRIA da Lei de IA e a DPIA do GDPR sejam mapeadas e agilizar o trabalho onde apropriado. A DPIA do GDPR deve ser conduzida primeiro usando informações do Artigo 13 da Lei de IA, seguida pela FRIA.
- Verificar se o processamento de dados pessoais sensíveis no contexto da Lei de IA é permitido tanto sob o GDPR quanto sob a Lei de IA.
- Distinguir claramente entre a intervenção humana pós-processamento sob o GDPR e a supervisão humana sob a Lei de IA. Esta última exige um conjunto mais amplo de habilidades e um conhecimento de produto mais detalhado.
- Implementar uma gestão adequada de prazos dentro da sua organização, levando em consideração as diferenças fundamentais entre os tipos de incidentes que podem ocorrer em relação aos sistemas de IA tanto do ponto de vista do GDPR quanto da Lei de IA. Garantir que ambos os conjuntos de requisitos sejam incluídos no seu planejamento de preparação para violações.
- Compreender quem é (ou são) seus reguladores sob o GDPR e a Lei de IA.
