Preparação para que os estados tracem o roteiro regulatório da IA
Estamos em um ano que se define rapidamente pelo que não é: claro, previsível ou alinhado federalmente, quando se trata de regulamentações sobre IA e privacidade de dados.
Com a mudança de administração, houve uma reversão significativa nas políticas relacionadas à IA. Um dos primeiros atos do novo presidente foi revogar a Ordem Executiva anterior que regulamentava a IA, substituindo-a por uma nova diretiva que buscava deregulamentar o desenvolvimento da IA.
Essa oscilação entre as administrações criou uma espécie de whiplash político, especialmente para líderes de segurança, privacidade e conformidade que precisam interpretar o que é aplicável, o que é simbólico e o que está por vir.
Uma das realidades difíceis enfrentadas pelos CISOs e líderes de governança, risco e conformidade (GRC) é a crescente desconexão entre a ambição federal e a conformidade prática. Com cortes orçamentários e autoridade reduzida para os reguladores federais, como a FTC e a CFPB, é improvável que vejamos uma legislação abrangente sobre privacidade de dados em 2025.
Desde 2018, o Congresso introduziu cinco propostas legislativas principais sobre privacidade de dados, destinadas a unificar o emaranhado de regulamentações estaduais do país. Cada tentativa falhou em comissão, mesmo com a pressão do setor privado por um padrão unificado.
No que diz respeito à IA, a recente tentativa da Câmara de impor uma moratória de 10 anos sobre a aplicação de regulamentações estaduais de IA foi bloqueada pelo Senado, o que permitiu que muitos estados seguissem em frente com suas próprias regulamentações de IA. Isso resultou em um foco regulatório nos estados, que se caracteriza pela falta de uniformidade. Em todo o país, legisladores estão introduzindo uma onda de projetos de lei sobre privacidade e IA, cada um com suas próprias definições, obrigações e mecanismos de aplicação.
Exemplos de Esforços Estaduais em Curso
Para as organizações empresariais que estão investindo pesadamente em IA, isso cria uma rede complexa de requisitos que muitas vezes se sobrepõem, ocasionalmente entram em conflito e estão sempre em evolução. Aqui estão alguns dos esforços estaduais mais significativos atualmente em andamento:
- California AB 2930: Este projeto de lei proposto exigiria que desenvolvedores e implementadores de sistemas de decisão automatizados (ADS) realizassem avaliações de impacto antes da implantação e anualmente após isso. Também exige notificação ao usuário quando um ADS desempenha um papel substancial em decisões consequentes, como contratação ou determinações médicas.
- Colorado Artificial Intelligence Act SB 24-205 (CAIA): Enacted in 2024 e com efeito a partir de 2026, CAIA impõe obrigações rigorosas sobre desenvolvedores e implementadores de sistemas de IA de “alto risco”, exigindo avaliações de impacto e medidas afirmativas para prevenir discriminação algorítmica.
- New York AB 3265 – The “AI Bill of Rights”: Esta proposta abrangente inclui o direito de optar por sair de sistemas automatizados e introduz proteções contra práticas de dados abusivas.
- A Lei de IA da UE: Embora não seja uma legislação estadual, a Lei de IA da UE apresenta classificações de risco para sistemas de IA, com obrigações de conformidade que variam de requisitos de transparência a proibições totais.
Três Maneiras de se Manter à Frente em um Clima Regulatório Incerto
Aqui estão três melhores práticas que ajudarão equipes de segurança e GRC a navegar melhor em um ambiente regulatório confuso:
- Conectar os pontos na pilha de IA da organização: A visibilidade não se trata apenas de saber onde os dados sensíveis residem, mas também de entender como esses dados alimentam os sistemas de IA da organização. O mapeamento das interconexões é essencial para construir confiança e garantir a conformidade.
- Trazer ordem ao caos não estruturado: Dados não estruturados estão cada vez mais sendo ingeridos por modelos de IA, mas permanecem a parte menos governada de muitos ambientes. Ferramentas de gerenciamento de postura de segurança de dados de próxima geração podem classificar e sinalizar informações sensíveis.
- Contextualizar o risco: As regulamentações não dizem respeito apenas ao que, mas também ao quem, onde e por quê. Ferramentas que constroem gráficos de conhecimento em tempo real são necessárias para permitir que as organizações apliquem controles dinâmicos e automatizados.
O restante de 2025 provavelmente permanecerá uma zona cinzenta regulatória para a IA. No entanto, os riscos reputacionais e legais da não conformidade são muito reais.
As organizações que tratam a governança da IA como uma mera formalidade legal ficarão para trás. Aqueles que integram segurança, privacidade e conformidade em uma camada única de inteligência de dados estarão melhor posicionados para inovar de forma responsável.
Independentemente do que acontecer com todas essas leis conflitantes, as empresas não devem ficar paradas. Fazer o que é certo em relação à governança da IA e dados não é apenas uma boa prática comercial; ajuda a construir confiança e mantém o negócio à frente das mudanças.
