Vulnerabilidade nas Regras da UE para IA Requer uma Abordagem Bem Documentada
A regulação da inteligência artificial na União Europeia (UE) apresenta desafios complexos para organizações que utilizam dados pessoais sensíveis para detectar e corrigir viés.
Com o Regulamento da UE sobre IA regulando a tecnologia e o estabelecido Regulamento Geral sobre a Proteção de Dados (GDPR) regulando dados pessoais, líderes empresariais e profissionais jurídicos enfrentam a tarefa de garantir conformidade dupla, especialmente com o aumento do processamento de dados pessoais sensíveis pela IA.
Desafios Regulatórios
Os desafios regulatórios muitas vezes giram em torno da tensão fundamental entre a justiça algorítmica—garantindo que os sistemas de IA tratem todos de forma igual, livres de discriminação—e a proteção de dados pessoais sensíveis.
Para abordar essa questão, o Artigo 10(5) do Regulamento de IA permite o processamento de categorias especiais de dados pessoais quando “estritamente necessário” para detectar e corrigir viés em sistemas de IA de alto risco. No entanto, isso parece contradizer a proibição geral do GDPR no Artigo 9 sobre o processamento de tais dados sem consentimento explícito ou outra base legal específica.
Assim, o Artigo 10(5) cria o que alguns interpretam como uma nova base legal para o processamento de dados sensíveis, ao expandir os princípios de processamento justo do Artigo 5 para incluir a detecção ou correção de viés.
No entanto, as opções de exceção da base legal no Artigo 9 do GDPR não incluem explicitamente a detecção ou correção de viés. E permanece incerto se a detecção ou correção de viés pode ser considerada um interesse público substancial reconhecido.
Essa lacuna regulatória cria incertezas para as organizações que se esforçam para garantir que seus sistemas de IA sejam justos e estejam em conformidade com os requisitos de proteção de dados e regulamentação de IA da UE.
Caminhos de Processamento
Embora o Regulamento de IA reconheça a supremacia do GDPR em casos de conflito, as organizações devem identificar as bases legais apropriadas sob o Artigo 9 ao processar dados sensíveis para detecção e correção de viés.
Em um recente estudo, foi destacado que o jogo de forças entre essas regulamentações pode exigir intervenção legislativa. Enquanto isso, as organizações precisarão lidar com esse ato de equilíbrio.
Uma solução prática pode envolver uma abordagem mais sutil para interpretar “interesse público substancial” sob o Artigo 9(2)(g) do GDPR. O Supervisor Europeu de Proteção de Dados elaborou sobre como esse artigo poderia permitir o processamento sob “interesse público substancial”, com o Regulamento de IA servindo potencialmente como a base legal.
A sugestão do Supervisor Europeu de Proteção de Dados é um movimento positivo, mas essa interpretação requer que as autoridades de supervisão cheguem a essa conclusão e forneçam certeza jurídica confiável.
Uma segunda opção se baseia em uma perspectiva de uma autoridade de supervisão belga, que observa que corrigir viés é consistente com o princípio de processamento justo do GDPR. No entanto, o processamento justo não é uma base legal reconhecida sob o Artigo 9. Portanto, assim como na primeira opção, um consenso mais amplo é necessário entre as autoridades de supervisão para ajudar as organizações a ter certeza regulatória.
Conformidade Dupla
Na ausência de orientações regulatórias definitivas, as organizações devem considerar uma abordagem abrangente que aborde ambos os quadros regulatórios.
Aqueles que implementam sistemas de IA de alto risco devem continuar a realizar avaliações de risco minuciosas que considerem os requisitos do Regulamento de IA e do GDPR. Isso inclui identificar a classificação de alto risco, determinar se o processamento de categorias especiais de dados é necessário para a detecção de viés, realizar avaliações de impacto sobre a proteção de dados e documentar os processos de tomada de decisão e estratégias de mitigação de risco.
Medidas técnicas e organizacionais, importantes sob o GDPR, são vitais ao processar dados pessoais sensíveis através de uma plataforma de IA. É razoável concluir que as autoridades de supervisão—os reguladores individuais de proteção de dados localizados em cada país da UE que interpretam e aplicam a lei da UE—continuarão a enfatizar a importância de fortes salvaguardas de cibersegurança.
As organizações devem aplicar medidas de segurança de última geração, garantir controles de acesso robustos para o processamento de dados sensíveis, implementar princípios fortes de minimização de dados, excluir dados de categoria especial prontamente após a correção de viés e explorar técnicas de anonimização, quando viável.
Ao considerar as bases legais apropriadas para o processamento de dados pessoais especiais dentro de uma plataforma de IA, as organizações podem precisar de uma abordagem híbrida. Isso envolve obter consentimento explícito quando viável e explorar a exceção de “interesse público substancial” onde o consentimento é impraticável para documentar como a detecção de viés atende a interesses sociais importantes.
Paralelamente, pode ser prudente também documentar que corrigir viés é consistente com o princípio de processamento justo do GDPR, seguindo a perspectiva da autoridade de supervisão belga.
Nenhuma dessa análise é útil se a documentação e a transparência falharem em demonstrar conformidade. As organizações devem manter registros detalhados das atividades de processamento envolvendo dados de categorias especiais, documentar avaliações de necessidade e análises de base legal, comunicar de forma clara e transparente sobre como utilizam os dados e desenvolver estruturas de governança que supervisionem sistemas de IA que processam dados sensíveis.
A falta de clareza regulatória sobre o uso de dados pessoais sensíveis para mitigação de viés em IA é um desafio para organizações que se esforçam para cumprir tanto o Regulamento de IA da UE quanto o GDPR. Enquanto as organizações aguardam orientações necessárias de legisladores e autoridades de supervisão, devem adotar uma abordagem proativa e bem documentada para avaliação de riscos, minimização de dados e transparência.
