A Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP) encaminhou uma série de considerações, a uma consulta pública da Autoridade Nacional de Proteção de Dados (ANPD), em torno da tomada de subsídios sobre Inteligência Artificial (IA) e revisão de decisões automatizadas.  

Esse mecanismo da ANPD visa avaliar a implementação da tecnologia conforme a Lei Geral de Proteção de Dados (LGPD), focando em decisões automatizadas baseadas em dados pessoais. Com isso, o órgão busca entender como os agentes de tratamento interpretam e aplicam regras sobre revisão de decisões, fornecimento de informações acerca de critérios e procedimentos utilizados e prevenção de discriminação. A consulta também pretende identificar práticas atuais dos agentes de tratamento e avaliar o seu alinhamento com a governança e os direitos dos titulares. 

Dentre as suas considerações, a FecomercioSP defende uma visão equilibrada do Poder Público sobre o papel da ferramenta no ambiente empresarial, reconhecendo o seu potencial transformador e a necessidade de parâmetros claros para o uso responsável. Isso inclui a utilização da IA em Recursos Humanos (recrutamento, análise de desempenho, monitoramento de produtividade etc.); automação de processos operacionais e industriais; gerenciamento de inventário; atendimento ao usuário (chatbots); automação e aprimoramento de processos internos com grandes modelos de propósito geral; e gestão de relacionamento com clientes (predição de comportamentos, análise de voz para satisfação etc.). 

Confira, a seguir, os destaques encaminhados à ANPD. 

Princípios da LGPD 

1) Compatibilização do treinamento de IA com o princípio da necessidade 

Para alinhar o treinamento de sistemas da ferramenta com o princípio da necessidade, é fundamental garantir que os dados pessoais tratados sejam adequados, relevantes e limitados ao necessário para o objetivo pretendido. Para tanto, a adaptação das informações deve ser comprovada previamente, por meio da definição de hipóteses que justifiquem a escolha de categorias de dados. Medidas complementares, como anonimização, pseudonimização, estudos-piloto com volumes menores de dados, exclusão de elementos irrelevantes e higienização das bases, são recomendadas para reduzir os riscos e garantir a observância do princípio da necessidade. 

2) Boas práticas na definição de finalidades e divulgação de informações 

Para sistemas de IA destinados a usos operacionais específicos, a finalidade do tratamento de dados corresponde ao objetivo operacional da tecnologia. Por exemplo, usar gravações de um SAC para desenvolver uma solução que monitore a conformidade dos atendentes tem como finalidade o próprio monitoramento. Já a comunicação sobre o tratamento deve ser clara e similar a outros tratamentos tradicionais, incluindo detalhes a respeito da finalidade, da duração, das formas de tratamento e das categorias de agentes com quem os dados podem ser compartilhados. O aviso de privacidade deve ser atualizado conforme novas finalidades forem identificadas. 

3) Compatibilização dos princípios de finalidade e transparência em IA de propósito geral 

Para sistemas de IA de propósito geral, é necessário fornecer informações gerais sobre o modelo e suas capacidades por meio de documentos técnicos detalhados, como relatórios e model cards. Esses documentos ajudam a definir os limites de uso da solução, estabelecendo propósitos permitidos ou proibidos. Quando esses modelos são adaptados para aplicações específicas, devem seguir os padrões de transparência aplicáveis a sistemas especializados, comunicando claramente as finalidades e os contextos de utilização. 

4) Prevenção de discriminações ilícitas em sistemas de IA 

Para evitar vieses discriminatórios em sistemas de IA, é essencial garantir que esses representem adequadamente a realidade e sejam precisos. Boas práticas incluem elaborar um Relatório de Impacto à Proteção de Dados Pessoais (RIPD), usar bases de dados representativas e isentas de erros, evitar dados pessoais sensíveis, realizar testes exaustivos e monitorar continuamente a solução. A ANPD pode permitir o uso de dados sensíveis para testes e validação, garantindo que a precisão não varie para grupos minoritários. 

Hipóteses legais 

5) Consentimento como base legal no tratamento de dados para a IA 

O uso do consentimento como base legal no desenvolvimento da ferramenta é tecnicamente possível, mas apresenta limitações práticas relevantes. A necessidade de um relacionamento prévio com o titular e a possibilidade de revogação tornam a sua aplicação inviável, especialmente para startups e empresas menores. O consentimento requer informações claras e detalhadas. Além disso, a revogação pode ser tecnicamente complexa e comprometer o desempenho do sistema. Portanto, outras bases legais, como o legítimo interesse, são geralmente mais adequadas. 

6) Legítimo interesse como base legal no tratamento de dados para a IA 

O legítimo interesse é a base legal mais adequada para o desenvolvimento da IA, desde que os requisitos legais sejam cumpridos, como evitar dados sensíveis e realizar o teste de balanceamento. A coleta de informações públicas também deve evitar elementos sensíveis e higienizar as bases de dados. Medidas adicionais incluem oferecer o direito de oposição, implementar controles de segurança proporcionais aos riscos e proteger contra ataques adversariais. A coleta de dados por raspagem também pode ser fundamentada no legítimo interesse, com salvaguardas adequadas. 

Direitos dos titulares 

7) Aplicação dos direitos do titular em sistemas de IA 

Os direitos previstos na LGPD aplicam-se ao ciclo de vida das soluções da tecnologia que tratam dados pessoais, mas devem ser interpretados de forma equilibrada, considerando a capacidade técnica do agente de tratamento e os impactos sobre os titulares. O direito de acesso deve fornecer informações compreensíveis, como históricos de compras, em vez de dados internos do sistema. Direitos como oposição, revogação e eliminação não devem exigir a completa remoção de informações que inviabilizariam o sistema. Já o direito de retificação aplica-se apenas a dados objetivos, e não a predições probabilísticas. 

8) Canais de atendimento para exercício dos direitos do titular 

Não há um tipo específico de canal exigido para que os titulares exerçam os próprios direitos no contexto da IA. O canal escolhido deve ser simples e acessível, podendo ser um formulário, um e-mail do encarregado de dados ou uma combinação dessas opções. A definição do canal mais apropriado cabe ao controlador, considerando as possibilidades financeiras e a conveniência. 

9) Salvaguardas para dados sensíveis, crianças, adolescentes e idosos 

Não devem ser impostas limitações específicas ao tratamento de dados em IA além das previstas na legislação. Para dados de crianças e adolescentes, o tratamento precisa observar o melhor interesse do menor, conforme a LGPD e a Convenção das Nações Unidas. Para dados de idosos, não há requisitos adicionais específicos. Dados sensíveis têm restrições significativas, como a não aplicação da base legal do legítimo interesse, reduzindo as situações em que podem ser usados em IA. 

10) Requisitos para a revisão de decisões automatizadas 

Decisões automatizadas são aquelas sem interferência humana significativa e com impacto jurídico ou prático relevante para o titular. A revisão de tais decisões deve ser feita de fato, independentemente de ser por humanos ou máquinas, e os argumentos do titular devem ser analisados e incorporados ao processo decisório quando aplicável. Incluir outras formas de automação no artigo 20 da LGPD inviabilizaria sua aplicação operacional, pois exigiria altos investimentos das organizações para atender aos direitos de revisão e explicação, sem oferecer benefícios proporcionais aos titulares. 

11) Necessidade de revisão humana em decisões automatizadas 

A revisão humana não é um requisito legal obrigatório, mas uma boa prática opcional. A ANPD pode incentivar a sua adoção como medida de mitigação de risco, especialmente para soluções classificadas como “IA de alto risco”, mas não pode impô-la obrigatoriamente. 

12) Fornecimento de informações sobre decisões automatizadas 

Não existe uma metodologia única para fornecer informações sobre decisões automatizadas. O controlador deve escolher o método mais adequado à tecnologia, proporcionando ao titular dados claros e suficientes para avaliar e, se necessário, contestar a decisão. Explicações podem ser fundamentadas no raciocínio lógico ou baseadas nos elementos utilizados, respeitando as restrições tecnológicas e garantindo que o titular possa questionar a decisão. 

Boas práticas e governança 

13) Governança em privacidade para conformidade com a LGPD 

Programas de privacidade com profissionais capacitados são efetivos para garantir a conformidade das soluções de IA com a LGPD e promover boas práticas de ética. Guias e toolkits de autoridades de dados de outros países ajudam a assegurar essa conformidade em todas as etapas do ciclo de vida da ferramenta. Na fase de design, é importante definir a finalidade da solução, os dados necessários e os processos do sistema, além de mapear atividades de tratamento, identificar e gerenciar ameaças e atender aos direitos dos titulares. Na seleção e aquisição de dados, é importante garantir a definição apropriada das bases de informações, bem como sua exatidão e representatividade, e elaborar avisos de privacidade. Durante o treinamento e os testes, deve-se verificar a conformidade com princípios de qualidade e não discriminação. Na fase de produção, é necessário monitorar continuamente e revisar os riscos de forma periódica. 

14) Documentação e RIPD para sistemas de IA 

Durante o ciclo de vida de uma solução de IA, é obrigatório documentar o registro de atividades de tratamento e a base legal do tratamento. Em situações específicas, pode ser necessário elaborar o teste de balanceamento e o RIPD para tratamentos de alto risco. A interpretação restritiva dos critérios de alto risco evita a classificação indevida dessas atividades, focando em soluções inovadoras ou que causem impacto substancial. 

15) Anonimização e medidas de segurança 

A anonimização deve ser tratada como uma boa prática para minimizar o uso de dados pessoais e atenuar perigos. Recomenda-se sua aplicação na coleta de dados, desde que não comprometa os objetivos do sistema. A técnica de k-anonimato é suficiente para bases de informações estruturadas. Medidas adicionais de segurança incluem controles típicos de TI, como criptografia e backups, e controles específicos contra ataques adversariais, como higienização de dados de treinamento e inspeção de modelos de terceiros, conforme recomendações do guia do National Institute of Standards and Technology (NIST).