Qual será o impacto da inteligência artificial no gerenciamento de riscos dentro da estrutura regulatória?

A evolução da inteligência artificial (IA) transformou vários setores, prometendo avanços tecnológicos sem precedentes e, com isso, foram levantadas sérias questões sobre a privacidade e a segurança dos dados pessoais. A capacidade da IA para processar e analisar grandes volumes de informação permite uma exploração massiva de dados, algo que preocupa tanto os usuários quanto os reguladores. Diante desse panorama, a legislação busca estabelecer um marco regulatório que proteja os direitos fundamentais dos indivíduos, incluindo o direito à privacidade, sem impedir o potencial da IA. Nesse sentido, a União Europeia (UE), com o Regulamento Geral de Proteção de Dados (RGPD), tem sido pioneira nessa área, estabelecendo diretrizes rígidas sobre o tratamento de dados pessoais e dando aos cidadãos controle sobre suas informações pessoais.

Por outro lado, a exploração de dados pessoais por parte dos governos suscitou um importante debate ético e legal. Em nome da segurança nacional e do interesse público, alguns governos justificaram o uso extensivo de tecnologias de vigilância e análise de dados. Essa prática, no entanto, gerou preocupações sobre o equilíbrio entre segurança e privacidade, bem como sobre o potencial de abuso de poder. A introdução de uma nova legislação tem como objetivo estabelecer um marco regulatório específico na aplicação da IA.

O novo Regulamento sobre IA da União Europeia é o primeiro marco jurídico integral do mundo destinado a regular essa tecnologia. Aprovado em Bruxelas pelo Parlamento Europeu no dia 14 de março, com mais de 500 votos a favor e com entrada em vigor a partir de 1º de agosto — com diferentes prazos para aplicação efetiva de acordo com cada obrigação —, essa legislação permite garantir que os sistemas de IA implantados no mercado europeu sejam seguros e respeitem os direitos fundamentais dos cidadãos. Para isso, introduz uma classificação dos sistemas de IA baseada em níveis de risco:

• Risco inaceitável: certas aplicações da IA serão completamente proibidas devido à sua capacidade potencial de transgredir os direitos fundamentais, como o rastreamento indiscriminado de imagens faciais obtidas da internet.
• Alto risco: sistemas com um impacto significativo na segurança e nos direitos dos cidadãos, que requererão uma avaliação exaustiva de seu impacto nos direitos fundamentais e transparência antes de sua introdução no mercado.
• Risco limitado: aplicações que devem cumprir com obrigações de transparência, por exemplo, os sistemas conversacionais (tipo ChatGPT) que devem informar aos usuários que estão interagindo com uma máquina.
• Risco mínimo ou nulo: a maioria dos sistemas de IA entra nesta categoria, na qual o Regulamento de IA propõe uma regulamentação mínima para promover a inovação e o desenvolvimento tecnológico.

A legislação terá um impacto relevante no uso de tecnologias baseadas em biometria, especialmente aquelas consideradas de alto risco ou inaceitáveis. Essas aplicações enfrentarão controles rigorosos ou proibições para proteger a privacidade e outros direitos fundamentais. A criação de um Escritório de IA na Comissão Europeia, além das autoridades de controle nacionais que também deverão ser criadas, garantirá o cumprimento dessas normas, supervisionando a aplicação da regulamentação pelos Estados membros e pela União Europeia.

Na Espanha, já foi criada uma autoridade de controle específica em matéria de inteligência artificial: a Agência Espanhola de Supervisão da Inteligência Artificial (AESIA), com sede em A Coruña.

A indústria de seguros, particularmente nos âmbitos de vida e saúde, é classificada como de alto risco no Anexo 3 do regulamento, exceto em casos excepcionais em que o desenvolvimento ou a implantação de um sistema de IA não represente um risco significativo para a saúde, segurança ou os direitos e liberdades fundamentais. As seguradoras precisam trabalhar para atuar de acordo com a normativa, entender essas exceções e operar em conformidade.

O novo Regulamento de IA da União Europeia terá, previsivelmente, uma influência considerável nas empresas ao exigir uma rigorosa classificação dos sistemas de IA baseada no nível de risco que apresentam, bem como a aplicação obrigatória, para os sistemas de IA de alto risco, de sistemas de gestão de riscos. Este marco normativo visa assegurar a proteção da privacidade e dos demais direitos e liberdades fundamentais das pessoas, forçando as organizações a adotarem medidas que garantam a proteção dos dados, a transparência na gestão dos dados, a gestão dos riscos derivados do desenvolvimento e implantação da IA, e a adoção de modelos de responsabilidade proativa no cumprimento da normativa.

Sua aplicação representará um desafio importante — especialmente para startups e pequenas e médias empresas (PMEs), devido aos custos de adaptação — e, sob a nova regulação de IA, as empresas que desenvolvem ou utilizam sistemas de IA na UE precisarão:

• Avaliar o nível de risco de seus sistemas de IA de acordo com os critérios estabelecidos no regulamento.
• Implementar medidas de mitigação adequadas para aqueles sistemas identificados como de alto risco, como técnicas para assegurar a qualidade dos dados, mecanismos para corrigir vieses e formas de garantir a transparência e a justificação das decisões tomadas por sistemas de IA.
• Garantir o cumprimento contínuo do RGPD, especialmente no que diz respeito ao processamento de dados pessoais por meio de sistemas baseados em IA.

Na MAPFRE, adotamos uma estratégia proativa em relação às futuras regulamentações de inteligência artificial, aproveitando o modelo corporativo de privacidade e proteção de dados e as sinergias existentes entre a regulamentação de proteção de dados e a de IA.  Estamos nos adaptando antecipadamente à normativa, analisando os rascunhos associados ao Regulamento à medida que se tornam disponíveis. Essa proatividade se evidencia na identificação precoce de controles específicos para mitigar os riscos associados aos sistemas de IA. Além disso, contamos com uma equipe multidisciplinar com foco particular na classificação e gestão dos sistemas de IA, bem como na modificação dos procedimentos existentes para incorporar os requisitos específicos associados a essa tecnologia.

Simultaneamente, na MAPFRE, avançamos na avaliação de riscos e na adoção de uma IA responsável, testando inclusive ferramentas externas para uma gestão eficiente e ética. Estamos explorando a adaptação e a possível fusão de metodologias de gestão de riscos específicas para os sistemas de IA com outras estratégias de risco corporativas, com a intenção de integrar completamente a IA no esquema de gestão de riscos existente.

A iniciativa é liderada pelo departamento de Privacidade e Proteção de Dados, onde criamos o grupo de trabalho para tratar os diversos requisitos aplicáveis e definir as diferentes diretrizes de uso desses sistemas.

Na Diretoria Corporativa de Segurança, estamos convencidos de que antecipar as normativas nos permite uma melhor gestão dos riscos, especialmente devido aos prazos apertados de aplicação regulatória. Com isso, podemos agilizar e tornar mais eficiente a implementação de determinados requisitos.

ARTIGOS RELACIONADOS: