A maioria das empresas não está preparada para as regras de IA à medida que cresce a pressão do GDPR
Uma pesquisa realizada com profissionais de compliance, jurídicos e de TI revelou que apenas uma pequena minoria considera suas organizações totalmente preparadas para os requisitos regulatórios que estão moldando o uso da inteligência artificial (IA). Muitos também relataram que o treinamento de funcionários é limitado ou ineficaz.
Preparação para as regras de IA
A pesquisa, conduzida por um fornecedor de eLearning de compliance, entrevistou 230 profissionais sobre a preparação para as regras que afetam o uso da IA em indústrias reguladas. Apenas 3,5% descreveram suas organizações como totalmente preparadas para o atual cenário regulatório de IA.
A incerteza era generalizada. Cerca de 29% disseram que ainda estão tentando descobrir quais regras se aplicam a suas organizações. Outros 28% estavam cientes das regras relevantes, mas não tinham um plano claro, enquanto 6% estavam inseguros sobre sua posição. No total, 63% afirmaram que não poderiam descrever suas organizações como preparadas para o ambiente emergente.
Deficiência de treinamento
Os resultados apontam para uma lacuna significativa em treinamento e conscientização interna. Apenas 22% afirmaram que suas organizações oferecem treinamento sobre a IA que consideram eficaz. Quase metade (48%) disse que suas organizações não têm treinamento em IA, mas gostariam de oferecê-lo. Outros 12% afirmaram que não há planos para oferecer treinamento, enquanto 12% disseram que existe algum treinamento, mas não é muito eficaz.
Os dados sugerem que muitas organizações estão dependendo de conhecimentos informais à medida que as ferramentas de IA se espalham por funções de negócios. Para equipes de compliance e TI, a falta de treinamento estruturado pode complicar a governança, a manutenção de registros e a garantia interna, especialmente onde dados pessoais estão envolvidos.
Pressão do GDPR
Os entrevistados identificaram várias áreas onde os requisitos de proteção de dados criam dificuldades práticas para o uso da IA. O problema mais comum foi as regras de tomada de decisão automatizada (27%). A minimização de dados e a retenção seguiram (23%), com a supervisão de fornecedores e prestadores de modelos em seguida (21%).
Esses resultados apontam para desafios em várias partes do quadro de proteção de dados, em vez de um único ponto de atrito. Sistemas de IA podem se basear em grandes conjuntos de dados, produzir resultados difíceis de explicar e depender de fornecedores terceirizados, aumentando a carga de mapeamento de fluxos de dados e documentação de decisões de compliance.
Organizações que utilizam IA para processar dados pessoais já enfrentam expectativas dos reguladores sob a legislação existente. As obrigações de proteção de dados se aplicam quando as organizações usam sistemas de IA que processam dados pessoais.
Disrupção operacional
Embora algumas organizações relatem impacto imediato limitado nas operações de compliance, um grupo menor já está enfrentando disrupções significativas. Quase dois terços (64%) descreveram a IA como apenas ligeiramente disruptiva ou não disruptiva para seu programa de compliance até agora. Em contraste, 12% disseram que a IA foi muito ou extremamente disruptiva.
Os números sugerem uma adoção desigual. Algumas organizações ainda estão testando casos de uso e definindo políticas, enquanto outras avançaram mais em sua implantação por meio de funções. Isso afeta a quantidade de trabalho de compliance necessário, incluindo avaliações de risco, verificações de aquisição e revisões de como as ferramentas de IA interagem com dados pessoais.
A confiança também foi mista. Apenas 9% disseram se sentir muito confiantes de que o uso da IA em suas organizações está em conformidade. Um terço (33%) afirmou que não estava muito confiante ou não estava confiante, enquanto o maior grupo (30%) disse estar apenas um pouco confiante.
Os entrevistados também destacaram o desafio de acompanhar a mudança regulatória. A governança da IA na Europa e no Reino Unido está evoluindo por meio de uma combinação de novas regras específicas de IA e a aplicação de regimes existentes, como a proteção de dados. Na prática, as organizações podem precisar gerenciar a governança em várias equipes, incluindo jurídico, compliance, proteção de dados, segurança e aquisição.
Os resultados refletem a pressão convergente de uma aplicação contínua do GDPR, a fase de implementação da Lei de IA da UE e a abordagem setorial do Reino Unido para a governança da IA. As empresas relataram baixos níveis de prontidão e treinamento limitado enquanto avaliam como seu uso da IA se encaixa nas obrigações atuais.
