Machine Translated by Google

Bonn, Bucareste, Dublin, Lisboa, Madrid, Milão, Paris, Haia, Viena, Varsóvia

IA e dados pessoais
Um guia para DPOs
"Perguntas frequentes"

Grupo de Trabalho CEDPO AI

16 de junho de 2023

Informações de
contato: https://
cedpo.eu info@cedpo.eu

1
Machine Translated by Google

Sobre esta orientação

Estas orientações foram preparadas pelo Grupo de Trabalho sobre IA e Dados da Confederação Europeia da
Organização Europeia para a Proteção de Dados. Destina-se aos responsáveis pela proteção de dados e
responde, para eles, às questões fundamentais que surgirão à medida que o seu trabalho se cruzar inevitavelmente
cada vez mais com a inteligência artificial e o software de aprendizagem automática.

As tecnologias de inteligência artificial e de aprendizagem automática estão a crescer rápida e exponencialmente

e, embora nem sempre processem dados pessoais, quando o fazem, muitas vezes o fazem numa vasta escala e
num nível de complexidade.

Isto introduz novos riscos para os titulares dos dados, bem como novos desafios para o EPD que, normalmente,
pode não ter necessariamente formação em ciências informáticas, mas espera-se, no entanto, que analise e
compreenda o funcionamento interno e as implicações destas tecnologias. Os DPOs enfrentam um duplo desafio:
enfrentam uma curva de aprendizagem acentuada e estão inseridos numa área dinâmica de tecnologia que evolui
diariamente diante dos seus olhos.

Embora exista um ónus para os EPD de aplicar os princípios de proteção de dados à inteligência artificial, o que
já é uma tarefa complexa (e algo que esta orientação explica), uma nova regulamentação também está no
horizonte.

A Lei da Inteligência Artificial da UE está a avançar no aparelho legislativo da UE, com uma data de promulgação
prevista para 2024. Uma vez aprovada, esta lei sobrepor-se-á ao RGPD em aspectos importantes, conduzindo a
obrigações adicionais para os EPD. Estas orientações procuram apontar as conjunturas entre estes dois pilares
principais e interligados do quadro regulamentar da UE.

As empresas e os organismos públicos estão a avançar rapidamente para compreender e implementar soluções
de inteligência artificial para alcançar todo o tipo de eficiências e oportunidades de crescimento de receitas. O
DPO não tem escolha senão acompanhar o ritmo; a tecnologia não vai esperar. Esta orientação, portanto,
representa um ponto de partida para os OPDs começarem a navegar no mundo cada vez mais crítico e complexo
da inteligência artificial.

2
Machine Translated by Google

Índice

1. O GDPR regulamenta a inteligência artificial e o aprendizado de máquina?...........4

2. O processamento automatizado sempre envolve IA ou aprendizado de máquina?...5

3. A IA e a aprendizagem automática envolvem sempre o tratamento de dados pessoais?

6

4. Algum artigo e considerando do GDPR se aplica especificamente à IA e ao aprendizado de

máquina? .................................................. .................................................. .......8

5. Se o GDPR já regulamenta a IA e o aprendizado de máquina, então por que o fazemos?

precisa da Lei AI também ?......................................... .................................................. .............10

6. Como alguns dos princípios fundamentais da proteção de dados se aplicam à IA e

aprendizado de máquina ?................................................ .................................................. ....................11

7. IA e aprendizado de máquina! Eles são a mesma coisa, certo?....................................12

8. Sou um DPO. Devo me preocupar com o crescimento da IA e das máquinas?

aprendizado?................................................ .................................................. ....................................13

9. Ouvi falar do ChatGPT e da IA generativa. Como DPO, devo ser

preocupado?................................................ .................................................. ........................................14

10. Ok, então quais são as principais conversas que eu deveria ter internamente para
preparar-se para o surgimento da IA e do aprendizado de máquina?...................................15

3
Machine Translated by Google

1. O GDPR regulamenta a inteligência artificial e o

aprendizado de máquina?

Sim, o GDPR regulamenta a IA e o aprendizado de máquina. O GDPR regula todas as formas de tecnologia que
processam dados pessoais. Sendo uma regulamentação horizontal, baseada no risco e abrangente, que rege a
nível geral e não a nível específico, o RGPD defende princípios amplos que se aplicam independentemente do
contexto específico em que os dados pessoais são processados. Isto contrasta com a regulamentação vertical
baseada em regras que legisla especificamente para tecnologias ou sectores definidos.

O efeito disto é que, no que diz respeito à tecnologia, o GDPR é explicitamente neutro em termos tecnológicos.
As palavras 'IA' ou 'aprendizado de máquina' não aparecem em nenhum lugar do texto do GDPR, mas também
não há referências a blockchain, Internet das Coisas, tokens não fungíveis (NFTs), realidade virtual, nem quaisquer
outras tecnologias emergentes . A ausência de tais referências é intencional e não acidental. A lógica dos
legisladores era que, se fossem mencionadas tecnologias específicas, isso poderia permitir que tecnologias
futuras, ainda desconhecidas, escapassem ao âmbito do regulamento. Tal como afirma o considerando 15: «A fim
de evitar a criação de um risco grave de evasão, a proteção das pessoas singulares deverá ser tecnologicamente
neutra e não deverá depender das técnicas utilizadas.»

O princípio acima mencionado da neutralidade tecnológica do RGPD também foi examinado e confirmado pelo
Tribunal de Justiça da União Europeia no processo C-25/17, Tietosuojavaltuutettu e Jehovan todistajat —
uskonnollinen yhdyskunta. A Grande Secção do Tribunal observou que, no que diz respeito à «protecção dos
indivíduos… o âmbito desta protecção não deve, de facto, depender das técnicas utilizadas, caso contrário, isso
criaria um sério risco de evasão»1.

O GDPR está, portanto, preparado para o futuro, fornecendo princípios de alto nível que podem ser adaptados
para qualquer tecnologia emergente ou, na verdade, para quaisquer fins imprevistos de processamento de dados.
Por exemplo, a resposta à pandemia de Covid-19 em 2020 demonstrou como os princípios gerais existentes do
RGPD poderiam ser aplicados com sucesso a uma emergência inesperada que levou à rápida criação de novas
tecnologias potencialmente invasivas da privacidade, como a tecnologia de rastreio Covid-19. aplicativos de
rastreamento e rastreamento.

1
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62017CJ0025

4
Machine Translated by Google

Independentemente, então, do modo, aparência, técnica, contexto ou uso, se qualquer IA ou tecnologia de aprendizado
de máquina processar dados pessoais, o GDPR se aplica. Por exemplo, a evolução atual de modelos poderosos de
linguagem grande, como o ChatGPT, não foi especificamente prevista ou prevista quando o RGPD se tornou lei em
2018, no entanto, é claro que este e outros desenvolvimentos estão sujeitos ao âmbito do RGPD , e deve estar em
conformidade com seus princípios.

2. O processamento automatizado sempre envolve IA ou

aprendizado de máquina?

Não, há muitos casos em que o processamento automatizado não envolve IA ou aprendizado de máquina.
O considerando (15) do RGPD da UE confirma que o tratamento automatizado se refere ao tratamento através de
meios automatizados, em contraste com o tratamento que é realizado manualmente. As operações de processamento
de dados serão frequentemente “automatizadas” sem qualquer componente de IA ou aprendizagem automática. Por
exemplo, as ferramentas de gestão de relacionamento com o cliente (CRM) envolverão o processamento automatizado
de dados pessoais (através de sistemas informáticos), sem necessariamente envolver IA ou aprendizagem automática.

O mesmo raciocínio se aplica aos dois conceitos principais descritos nas Orientações sobre tomada de decisão
individual automatizada e criação de perfis do Conselho Europeu para a Proteção de Dados (EDPB) para efeitos do
regulamento 2016/679:2 Embora se possa esperar que a IA e a aprendizagem automática se tornem cada vez mais
importantes , tanto a tomada de decisão automatizada como a definição de perfis foram e ainda podem ser aplicadas
sem recorrer à IA.

O perfil é definido no art. 4 do RGPD da UE como “qualquer forma de tratamento automatizado de dados pessoais
que consiste na utilização de dados pessoais para avaliar certos aspectos pessoais relativos a uma pessoa singular,
em particular para analisar ou prever aspectos relativos ao seu desempenho no trabalho, situação económica, saúde ,
preferências pessoais, interesses, confiabilidade, comportamento, localização ou movimentos.' No entanto, como
afirmado, a criação de perfis nem sempre envolve IA ou aprendizagem automática e isto é confirmado por muitos
casos de utilização.

Por exemplo, as empresas de comércio eletrónico têm utilizado perfis para compreender os interesses e preferências
dos indivíduos e, em seguida, sugerir produtos relevantes, muito antes de a IA ou a aprendizagem automática se
tornarem mais predominantes.

A tomada de decisões baseada «exclusivamente no tratamento automatizado e que produza efeitos jurídicos, ou que
afecte de forma semelhante indivíduos», é abrangida pelo RGPD da UE, em particular, no Considerando (71) e no
Artigo 22. O Considerando (71) fornece dois exemplos: o « recusa automática de um pedido de crédito online»

2
https://ec.europa.eu/newsroom/article29/items/612053/en

5
Machine Translated by Google

ou a utilização de “práticas de recrutamento eletrónico sem qualquer intervenção humana”. É evidente que tais decisões
nem sempre envolverão IA ou aprendizagem automática.

Por exemplo, e conforme detalhado nas orientações do CEPD acima referidas sobre a tomada de decisão individual
automatizada e a definição de perfis, uma recusa automática de um pedido de crédito online pode ser implementada com
um algoritmo que avalia um pedido em função de um conjunto de critérios, tais como informações fornecidas no formulário
de inscrição ou informações sobre a conduta anterior da conta, incluindo pagamentos em atraso. Eles podem ser
implementados sem IA ou aprendizado de máquina.

O diagrama a seguir mostra como os conceitos de processamento automatizado, IA e aprendizado de máquina convergem
e divergem:

3. A IA e o aprendizado de máquina sempre envolvem o

tratamento de dados pessoais?
Não, os sistemas de IA e de aprendizagem automática nem sempre envolvem o tratamento de dados pessoais. Eles podem
ser utilizados para diversos fins, que podem não ter ligação com dados pessoais, como previsão do tempo, onde a entrada
de dados consiste em medições atmosféricas de sensores, ou agricultura de precisão para otimização do uso de pesticidas
e nutrientes. Portanto, há numerosos casos em que os sistemas de IA e de aprendizagem automática processam dados
não pessoais.

6
Machine Translated by Google

No entanto, os conjuntos de dados processados pelos sistemas de IA devem ser examinados mais detalhadamente,
mesmo quando estes sistemas não envolvem, a priori, dados pessoais. É importante notar que os dados não
pessoais podem ser de dois tipos: dados que originalmente não diziam respeito a uma pessoa singular identificada
ou identificável e dados que eram originalmente pessoais mas foram posteriormente anonimizados. Os dados
anonimizados não podem ser atribuídos a uma pessoa específica, mesmo utilizando dados adicionais. No entanto,
se os dados não pessoais puderem ser associados de alguma forma a uma pessoa, tornando-a direta ou
indiretamente identificável, esses dados devem ser considerados dados pessoais. Vários exemplos de reidentificação
de conjuntos de dados supostamente anónimos demonstraram que é necessário um cuidado especial ao anonimizar
conjuntos de dados.

O caso dos conjuntos de dados mistos também deve ser considerado, uma vez que estes conjuntos de dados
consistem numa combinação de dados pessoais e não pessoais. A fronteira entre dados pessoais e não pessoais
é, por vezes, confusa e, num conjunto de dados misto, os dados pessoais e não pessoais podem até estar
indissociavelmente ligados. Este tipo de conjunto de dados é particularmente comum com novos desenvolvimentos
tecnológicos, como a Internet das Coisas, mas também com IA e sistemas de aprendizagem automática. Neste
caso, o GDPR será aplicado.

Uma vez considerada a questão de saber se os dados contidos nos conjuntos de dados são pessoais ou não, outra
questão precisa de ser abordada.

De referir que a implementação de um sistema de IA ocorre (de um modo geral) em duas fases, a fase de formação
e a fase de produção. Na fase de treinamento, o sistema de IA aprende a partir de um conjunto de dados, criando
um modelo capaz de fazer previsões ou decisões. Na fase de produção, o modelo treinado é aplicado a novos
dados para gerar resultados, como previsões, recomendações ou decisões. Estas duas etapas não têm o mesmo
objetivo e devem, portanto, ser separadas.

É assim possível que um sistema de IA envolva o tratamento de dados pessoais tanto nas fases de formação como
de produção, mas também apenas numa das duas fases. Neste sentido, é necessário estudar todas as etapas do
processo de implementação do sistema de IA.

Além disso, como já mencionámos relativamente à dedução de dados pessoais a partir de dados não pessoais, é
importante sublinhar que, mesmo que os sistemas de IA não sejam explicitamente alimentados com dados pessoais
durante estas fases, ainda podem deduzir informações pessoais a partir de dados não pessoais. .
Tanto os dados de entrada como os dados de saída podem envolver informações pessoais e um não implica o
outro.

Considerando todos estes aspectos, podemos dizer que os sistemas de IA e de aprendizagem automática nem
sempre processam dados pessoais, mas é essencial garantir que os dados utilizados e gerados são genuinamente
não pessoais, onde esse é o objetivo pretendido.

7
Machine Translated by Google

Uma qualificação final deve ser observada. Embora as principais atividades de tratamento de uma ferramenta de IA
possam não dizer respeito a dados pessoais, ainda é possível que esta possa tratar dados pessoais ligados ao
utilizador humano real da mesma. Isso pode ser vinculado à conta necessária para usar o sistema de IA, bem como
aos “dados de uso” que podem identificar direta ou indiretamente uma pessoa real. Alguns dados pessoais podem
até ser inferidos de tal caso de uso, do usuário final ou de uma terceira pessoa, especialmente com IA generativa.

4. Quaisquer artigos e considerandos do GDPR especificamente

aplicar à IA e ao aprendizado de máquina?

O GDPR aplica-se a todo o processamento de dados pessoais; portanto, no seu sentido mais básico, sempre que
um sistema de IA ou de aprendizagem automática estiver envolvido no processamento de dados pessoais, o RGPD
aplica-se a essas circunstâncias. É importante notar que estas obrigações se aplicam agora. Um EPD não deve
esperar pela regulamentação formal da IA pela Comissão Europeia através da proposta de Lei da IA, a fim de garantir
que a utilização da IA por uma organização cumpre as suas obrigações de proteção de dados ao abrigo do RGPD.
O GDPR, é claro, é tecnologicamente agnóstico e não contém referências específicas à IA ou ao processamento
baseado em aprendizado de máquina em si.

Apesar disso, existem nuances que precisam ser consideradas. Em primeiro lugar, nem todos os sistemas de IA ou
de aprendizagem automática envolvem o tratamento de dados pessoais e, portanto, o RGPD não se aplicaria; além
disso, o artigo 2.º, n.º 2, do RGPD prevê várias exceções, e a utilização de um sistema de IA ou de aprendizagem
automática nestas circunstâncias também seria excluída ao abrigo destas exceções (quer processando dados
pessoais ou não).

Existem várias maneiras pelas quais os sistemas de IA e de aprendizado de máquina podem entrar em contato com
dados pessoais, incluindo:

• Pode fazer parte do conjunto de dados usado para “treinar” o sistema

• Podem ser pesquisados, na Internet, por exemplo, em busca de uma consulta (observe que, no que diz
respeito ao GDPR, não importa se os dados são públicos)
• Pode ser fornecido pelo usuário final como parte de uma consulta ou outra entrada
• Pode ser gerado por meio de inferência ou associação por meio de correspondência de padrões, etc.
• Dadas as limitações inerentes ao modelo generativo, pode simplesmente inventar coisas, ou seja, gerar
conteúdo plausível ou “alucinar”.

Sempre que um sistema de IA ou de aprendizagem automática processa dados pessoais (independentemente de

como esses dados chegaram à sua posse), existem vários artigos no RGPD que têm aplicação direta. Esses incluem:

8
Machine Translated by Google

• Artigo 5º (princípios); a utilização de IA ou sistema de aprendizado de máquina, quando envolver dados pessoais,
deve obedecer a todos os princípios. Tal como acontece com qualquer sistema de tratamento de dados
pessoais, deverá ser realizada uma avaliação de risco; podem existir preocupações específicas em torno, por
exemplo, da transparência, minimização e precisão (ver nota sobre “alucinação” acima). (ver também Rec.39).

• Artigos 4, 6, 7 (licitude do tratamento, consentimento); na medida em que a IA e os sistemas de aprendizagem

automática são “treinados” em grandes conjuntos de dados, deve haver uma base jurídica apropriada para isso.
Talvez seja verdade que, em muitas circunstâncias, o conceito de “interesse legítimo” seria invocado, mas
não que isto tenha de ser claramente estabelecido (Rec. 47). Certas circunstâncias (por exemplo,
processamento de categorias especiais) requerem consentimento (Art.7), embora a formação do sistema
possa ter sido realizada com base em fins de investigação científica, esta base caduca quando a utilização
do sistema passa para o domínio comercial.

• Artigos 22 (Tomada de decisão automatizada); esta área é foco de muita atenção, dados os usos potenciais da
IA e dos sistemas de aprendizado de máquina. O Art.22 prevê o direito dos titulares dos dados de se oporem
a tal processamento, mas talvez de maior interesse seja o direito correspondente sob o Art.14.2(g) de receber
“informações significativas sobre a lógica envolvida”, algo que é desafiador dada a natureza dos sistemas em
causa.

• Artigo 25.º (Privacidade desde a concepção); O Art 25 exige que o controlador leve em consideração o “estado
da arte” para atender aos requisitos do regulamento. Dada a complexidade e as incertezas que rodeiam os
sistemas de IA e de aprendizagem automática, podem ser necessárias proteções adicionais para garantir os
direitos dos titulares dos dados. Observe que a Rec. 78 chama especificamente o “tratamento de dados
pessoais no cumprimento de uma tarefa” como uma área a que isto se aplica.

• Artigos 35, 36 (Avaliação de Impacto na Proteção de Dados); Muito do que foi dito acima leva à importância das
AIPD nesta área. Potencialmente, é mais provável que os sistemas de IA e de aprendizagem automática
exijam uma DPIA do que os sistemas de processamento de informação mais tradicionais.
Há aqui uma convergência com a Lei da IA, onde os sistemas são de “alto risco” (embora note que o
significado de “alto risco” é diferente em cada caso); neste caso, o artigo 36.1 exige consulta prévia às
autoridades de supervisão, exigindo que essas autoridades tenham capacidade técnica adequada nesta área.

9
Machine Translated by Google

5. Se o GDPR já regulamenta a IA e o aprendizado de máquina,

então por que precisamos também da Lei da IA?
Embora o RGPD da UE e a Lei da Inteligência Artificial da UE (Lei da IA) possam, aparentemente, parecer peças
legislativas semelhantes, na medida em que ambas prevêem regimes de responsabilização, governação e supervisão,
é importante primeiro reconhecer que, no contexto da IA e apenas o aprendizado de máquina, eles atendem a
propósitos regulatórios distintos. Por um lado, o RGPD, que se preocupa principalmente com a proteção de dados
pessoais, é tecnologicamente agnóstico e não faz referência explícita a aplicações tecnológicas específicas (incluindo
IA ou aprendizagem automática). Por outro lado, a Lei da IA representa uma abordagem mais direta e prática à
regulamentação da IA e procura estabelecer um quadro regulamentar abrangente para promover o desenvolvimento
responsável e a utilização de sistemas baseados na IA e na aprendizagem automática na UE.

O RGPD reconhece que determinadas operações de tratamento têm impacto no exercício dos direitos e liberdades
fundamentais, nomeadamente, os direitos à privacidade e à proteção de dados, na medida em que estes tipos de
atividades de tratamento envolvem a utilização de dados pessoais de cidadãos da UE. Dado que o RGPD se aplica
essencialmente a todo o tratamento de dados pessoais, portanto, no seu sentido mais básico, sempre que uma IA
ou um sistema de aprendizagem automática estiver envolvido no tratamento de dados pessoais, então o RGPD
aplica-se nessas circunstâncias. À primeira vista, esta abordagem é relativamente simples; ainda assim, há nuances
a serem consideradas. Em primeiro lugar, nem todos os sistemas de IA ou de aprendizagem automática exigem o
tratamento de dados pessoais e, portanto, nessas circunstâncias, o RGPD não se aplicará. Além disso, o artigo 2.º,
n.º 2, do RGPD prevê que a utilização de uma IA ou de um sistema de aprendizagem automática em determinadas
circunstâncias também está excluída (seja no tratamento de dados pessoais ou não).

Dado que nem todas as aplicações de IA e de aprendizagem automática resultarão em atividades que equivalem ao
processamento de dados pessoais, a Lei da IA reconhece que a utilização e implantação de sistemas de IA e de
aprendizagem automática representa uma área de preocupação ética e social mais ampla que muitas vezes ficará
fora do âmbito âmbito do RGPD. Por exemplo, certas práticas que utilizam IA ou técnicas baseadas na aprendizagem
automática podem resultar na perpetuação de preconceitos culturais ou práticas discriminatórias, ou representar
riscos de segurança e proteção em tempo real. O GDPR pode simplesmente ser de pouca relevância ou aplicação
nestas circunstâncias. Assim, dadas as suas limitações na abordagem de áreas de preocupação mais ampla que
estão fora do âmbito da privacidade e da proteção de dados, a Lei da IA compromete-se a desenvolver um quadro
abrangente e tecnologicamente personalizado que complementará invariavelmente o RGPD nos seus esforços para
promover a inovação responsável da IA na Europa. , respeitando simultaneamente os direitos e valores fundamentais
da União.

10
Machine Translated by Google

6. Como funcionam alguns dos princípios fundamentais da proteção de dados

aplicar à IA e ao aprendizado de máquina?

Como já foi referido, sempre que dados pessoais são tratados através de sistemas de IA/machine learning, o RGPD
aplica-se genericamente a essa atividade e, portanto, necessariamente, todos os princípios fundamentais da
proteção de dados se aplicam. No entanto, certos princípios fundamentais do GDPR têm particular adequação e
aplicabilidade a contextos de IA/aprendizado de máquina. Nestes casos, existe uma forte sobreposição entre a
proteção de dados e a governação da IA.

Em primeiro lugar, o princípio fundamental da transparência, consagrado no artigo 12.º do RGPD, é significativo
para a governação dos sistemas de IA/aprendizagem automática. Em muitos desses sistemas, nem sempre será
evidente para os titulares dos dados que os seus dados estão a ser processados, em segundo plano, por assim
dizer, através destas tecnologias, nem será claro como estes sistemas funcionam. A este respeito, os EPD devem
estar cientes dos requisitos de transparência do RGPD e da Lei da IA, que exigem transparência em diferentes
aspectos.

O GDPR impõe um requisito geral de transparência quando ocorre o processamento automatizado. O artigo 12.º
estabelece: «O responsável pelo tratamento tomará as medidas adequadas para fornecer quaisquer informações
[…] relativas ao tratamento ao titular dos dados, de forma concisa, transparente, inteligível e facilmente acessível,
utilizando uma linguagem clara e simples, em especial para qualquer informação dirigida especificamente a um
criança'. Por exemplo, se a utilização proposta de um sistema de IA pela sua organização exigir a utilização de
dados pessoais recolhidos diretamente de indivíduos para treinar um modelo, deve primeiro considerar se cumpriu
a obrigação de transparência ao abrigo do RGPD e informar os titulares dos dados sobre como a sua os dados
serão usados no ciclo de vida do seu sistema de IA.

A Lei da IA, no entanto, acrescenta a este requisito geral, impondo uma série de requisitos específicos de
transparência. Em particular, o artigo 52.º impõe obrigações no que diz respeito à criação das chamadas falsificações
profundas baseadas na IA/tecnologia de aprendizagem automática. O artigo 52.º, n.º 1, diz: «Os prestadores devem
garantir que os sistemas de IA destinados a interagir com pessoas singulares são concebidos e desenvolvidos de
forma a que as pessoas singulares sejam informadas de que estão a interagir com um sistema de IA, a menos que
tal seja óbvio devido às circunstâncias e o contexto de uso.'

Outro princípio em que a proteção de dados e a governação da IA se sobrepõem é o da equidade. O artigo 5.º, n.º
1, alínea a), do RGPD cria uma obrigação abrangente de que os dados pessoais sejam «tratados… de forma justa».
No contexto do processamento de dados pessoais, a justiça é um princípio intencionalmente elástico, concebido
para captar as inúmeras formas pelas quais uma parte pode processar dados pessoais de forma injusta. No entanto,
no contexto da IA/aprendizado de máquina, a justiça tende a ter uma aplicação mais definida. Por exemplo, se
como DPO você estiver considerando a imparcialidade de uma aplicação de IA/aprendizado de máquina, você

11
Machine Translated by Google

estarão preocupados com o potencial de preconceito e/ou discriminação nos algoritmos usados. Isto pode ser preconceito
racial, onde os próprios dados de formação são tendenciosos contra uma raça específica, ou preconceito de género, onde um
género é desproporcionalmente afetado. Estes casos constituem um tratamento injusto de dados pessoais.

Por último, o princípio da explicabilidade, um termo de governação da IA que significa até que ponto uma decisão tomada por
um algoritmo de IA/aprendizagem automática pode ser explicada em termos legíveis por humanos, também tem o seu análogo
no RGPD. Em termos de governação da IA, o requisito de explicabilidade, na medida em que seja exequível, exige que as
partes responsáveis delineiem as ligações causais entre os dados de entrada e as decisões finais. Os EPD devem estar cientes
de que o artigo 14.º, n.º 2, alínea g), estabelece claramente este requisito no contexto dos dados pessoais, observando que
«informações significativas sobre a lógica envolvida» no tratamento automatizado devem ser disponibilizadas aos titulares dos
dados.

7. IA e aprendizado de máquina! Eles são a mesma coisa, certo?

IA e aprendizado de máquina são dois campos da ciência da computação intimamente relacionados, mas distintos.

IA refere-se ao conceito mais amplo de criação de máquinas que podem executar tarefas que normalmente exigiriam a
inteligência humana para serem concluídas. Isso pode incluir uma variedade de tecnologias, como processamento de linguagem
natural, robótica, visão computacional e muito mais. O objetivo da IA é criar sistemas que possam executar tarefas que
normalmente exigiriam inteligência humana, como reconhecer imagens ou compreender a linguagem natural, e ser capaz de
tomar decisões. O nível de capacidade de qualquer sistema de IA depende do nível e da complexidade do sistema. A criação
de um sistema de IA envolve o desenvolvimento de algoritmos e sistemas que possam raciocinar, aprender e

tomar decisões com base em dados de entrada.

O aprendizado de máquina, por outro lado, é um subconjunto da IA que se concentra no desenvolvimento de algoritmos que
podem aprender e melhorar com o tempo. Essencialmente, o aprendizado de máquina envolve ensinar as máquinas a aprender
com os dados sem serem explicitamente programadas. Em essência, o aprendizado de máquina é o processo de treinar um
computador para reconhecer padrões e fazer previsões com base em grandes quantidades de dados. Isso pode incluir
aprendizagem supervisionada, aprendizagem não supervisionada e aprendizagem semissupervisionada. A aprendizagem
supervisionada envolve o treinamento de um algoritmo com dados rotulados, o que significa que a saída correta para uma
determinada entrada é fornecida. O algoritmo aprende a mapear entradas em saídas com base nos exemplos rotulados que
recebeu. A aprendizagem não supervisionada, por outro lado, envolve treinar um algoritmo em dados não rotulados, e o
algoritmo deve encontrar padrões e estrutura nos dados por conta própria. A aprendizagem semissupervisionada é uma
combinação de aprendizagem supervisionada e não supervisionada, onde alguns dados rotulados são fornecidos, mas o
algoritmo também precisa aprender com dados não rotulados.

12
Machine Translated by Google

Em resumo, a IA é um conceito mais amplo que abrange uma gama de tecnologias, enquanto a aprendizagem
automática é um subconjunto específico da IA que se concentra no desenvolvimento de algoritmos que podem
aprender e melhorar ao longo do tempo.

8. Sou um DPO. Devo me preocupar com o crescimento da IA e

do aprendizado de máquina?
Como DPO, deve de facto preocupar-se com o crescimento da IA e da aprendizagem automática, uma vez que estas
tecnologias podem levar à tomada de decisões automatizadas que podem ter implicações graves para os direitos e
liberdades dos titulares dos dados. Por exemplo, a IA pode ser utilizada para tomar decisões automatizadas
relativamente à pré-seleção de candidatos a emprego. Compreender como funcionam os algoritmos permite identificar
potenciais riscos de proteção de dados e implementar medidas de proteção adequadas, sempre que necessário.

Independentemente do tamanho da sua organização, como DPO, você será afetado pela integração da IA e do
aprendizado de máquina nos sistemas de TI da sua organização. Por exemplo, os seguintes aplicativos já os utilizam
ou planejam utilizá-los no futuro:

- O Microsoft Office planeja ter IA e aprendizado de máquina já neste ano de 2023; - Muitos sistemas de
RH, folha de pagamento, vendas e/ou codificação já utilizam IA e aprendizado de máquina e aqueles que não
têm planos de incorporar essas tecnologias em um futuro próximo; - Os chatbots que utilizam dados
corporativos e pessoais dos clientes para fornecer respostas personalizadas já estão em uso em muitas
organizações e só aumentarão no futuro.

Como DPO, você e sua equipe terão que realizar Avaliações de Impacto na Proteção de Dados (DPIAs) para todas
as novas atividades de processamento de dados. Ao fazê-lo, é essencial compreender as implicações e limitações
do sistema de IA, especialmente no que diz respeito a quaisquer preconceitos que possam existir. O potencial da IA
para gerar resultados imprecisos também deve ser considerado.

Além disso, conforme já descrito em perguntas anteriores, num futuro próximo, as organizações que desenvolverem
os seus próprios sistemas de IA de alto risco serão regulamentadas não apenas pelo GDPR, mas também pela Lei
de IA. Exemplos de tais sistemas de alto risco podem ser encontrados nos seguintes cenários:

- educação ou formação profissional, - para

recrutamento, avaliação ou atribuição de tarefas de trabalhadores,
- pontuação de crédito de indivíduos, -
determinação da elegibilidade de indivíduos para usufruir de serviços e benefícios sociais.

13
Machine Translated by Google

Como DPO que trabalha para uma organização que está implementando sistemas de IA, você deve desempenhar um
papel no procedimento de gerenciamento de riscos de IA. Dado que é um requisito do RGPD implementar a proteção de
dados desde a conceção e por defeito, o DPO tem a tarefa de identificar, reduzir ou mitigar os riscos conhecidos e
previsíveis através da conceção e desenvolvimento adequados de quaisquer sistemas de IA que processem dados pessoais.

9. Ouvi falar do ChatGPT e da IA generativa. Como um

DPO, devo me preocupar?

ChatGPT é atualmente o modelo de IA generativa (ou Gen-AI) mais utilizado no mundo, ostentando mais de 100 milhões
de usuários após apenas dois meses de seu lançamento. Gen-AI é uma categoria de inteligência artificial que pode criar
uma ampla variedade de conteúdos ou dados, como imagens, vídeos, áudio, texto e modelos 3D. Tal como acontece com
outras formas de IA, a Gen-AI é treinada em grandes quantidades de dados (por exemplo, recolhidos de sites da Internet).
Um caso de uso típico é fornecer alguns dados de entrada e uma solicitação ou prompt, que então orienta a tecnologia
Gen-AI para criar uma resposta. A resposta também pode ser qualquer forma de dados.

Uma série de preocupações foram levantadas pelas Autoridades Europeias de Supervisão de Proteção de Dados sobre o
processamento de dados pessoais pelo ChatGPT. A Agência Espanhola de Proteção de Dados (AEPD) afirmou num
comunicado no início de abril de 2023 que abriu uma investigação sobre a OpenAI, os desenvolvedores do ChatGPT, para
investigar “uma possível violação dos regulamentos” que regem a proteção de dados em Espanha.

A decisão da AEPD de investigar o ChatGPT ocorre após uma decisão semelhante no final de março de 2023 da Autoridade
Italiana de Supervisão de Proteção de Dados (Garante per la protezione dei dati personali) de bloquear temporariamente o
chatbot na Itália devido a preocupações sobre o uso de dados pessoais pertencentes a italianos. cidadãos.

A Autoridade Italiana de Supervisão da Proteção de Dados afirmou que não havia base jurídica para justificar “a recolha e
armazenamento em massa de dados pessoais com a finalidade de ‘treinar’ os algoritmos subjacentes ao funcionamento da
plataforma”. A autoridade argumentou ainda que, como não havia forma de verificar a idade dos utilizadores, a aplicação
«expõe os menores a respostas absolutamente inadequadas face ao seu grau de desenvolvimento e consciência».

A Autoridade Italiana de Proteção de Dados retirou posteriormente o bloqueio do aplicativo ChatGPT, com a condição de
que a OpenAI adotasse uma série de medidas para proteger os direitos e liberdades dos titulares de dados italianos,
incluindo:

• A disponibilização de informação adequada sobre os direitos concedidos aos titulares dos dados, tanto utilizadores
como não utilizadores do ChatGPT, bem como detalhes sobre a forma como os dados são tratados pela aplicação.

14
Machine Translated by Google

• Demonstrar o consentimento explícito dos titulares dos dados ou identificar o interesse legítimo
do controlador de dados como base legal para o processamento de dados.
• Implementação de um sistema de verificação da idade dos usuários.
• Estabelecer medidas técnicas e organizativas para o exercício dos direitos dos titulares dos dados, incluindo os
de retificação, apagamento ou direito de oposição ao tratamento dos seus dados pessoais.

Além disso, o ChatGPT já está inacessível em vários países fora da Europa, incluindo China, Irão, Coreia do Norte e
Rússia.

Como resultado destas reações rápidas a esta nova tecnologia, os OPD devem estar vigilantes e desempenhar um papel
na monitorização e na sensibilização para os riscos que esta tecnologia representa, especialmente o uso não
regulamentado e potencialmente imprudente de tais tecnologias no que diz respeito à proteção dos indivíduos. ' dados
pessoais. Os dados inseridos pelos usuários no ChatGPT podem incluir dados pessoais, sensíveis ou biométricos,
regidos pelo GDPR, enquanto outras formas de dados podem incluir propriedade confidencial ou intelectual, que é regida
por políticas organizacionais e/ou outra legislação.

Uma grande responsabilidade do DPO em relação a esta tecnologia é, assim, a promoção de uma abordagem informada
à concepção, desenvolvimento e utilização destes sistemas Gen-AI. Uma série de controles técnicos e de governança
também são possíveis para permitir que os DPOs orientem o uso apropriado dos serviços Gen-AI dentro de sua
organização, incluindo:

• As políticas de proteção de dados e segurança da informação podem exigir acréscimos e atualizações.

• DLP (Data Loss Prevention) e ferramentas relacionadas podem ser configuradas para bloquear ou limitar o
compartilhamento de dados com serviços Gen-AI ou domínios da Internet.
• Os programas de sensibilização e formação também são apropriados, uma vez que a proliferação de serviços
Gen-AI e os canais para os utilizar ultrapassarão os meios técnicos de governação.
• Os DPOs com âmbito internacional também devem estar cientes do estatuto jurídico dinâmico dos Gen-
Serviços de IA em vários países, tanto na UE como a nível mundial.

Além da partilha indesejada de dados, a Gen-AI também aumenta o risco de phishing sofisticado para obter dados
confidenciais, pois permite a automatização de e-mails e outras comunicações e documentos que se assemelham aos
da organização ou dos indivíduos.

10. Ok, então quais são as principais conversas que devo ter
internamente para me preparar para o surgimento da IA e do
aprendizado de máquina?
No futuro, os DPOs devem contactar e trabalhar em estreita colaboração com outras partes interessadas em toda a sua
organização, tais como cientistas de dados, profissionais de TI e especialistas jurídicos e gestores seniores, para formar
uma rede de defensores da IA (semelhante a uma rede de defensores da proteção de dados). Este campeão

15
Machine Translated by Google

A rede garantirá que o uso de tecnologias e sistemas de IA na organização seja transparente, responsável e justo
e, o mais importante, que o uso de IA esteja em conformidade com o GDPR.

Aqui estão alguns passos que os DPOs e a sua rede defensora podem tomar para se prepararem para o aumento
dos sistemas de IA nas suas organizações:

1. Compreender a tecnologia de IA: Os DPOs devem ter um bom conhecimento da tecnologia de IA utilizada
na sua organização. Esse entendimento é auxiliado pelo trabalho com a rede campeã para compreender
as tecnologias de IA específicas do departamento, incluindo como funcionam, quais dados coletam e
processam em cada departamento e que tipos de decisões os sistemas de IA são capazes de tomar.

2. Especificar e documentar claramente as finalidades do tratamento de dados ligado ao sistema de IA: isto é
particularmente importante tanto na fase de conceção como de desenvolvimento do novo sistema de IA
para garantir a validação dos princípios fundamentais do RGPD, como a minimização de dados e a
privacidade desde a conceção e por defeito e na implantação do sistema de IA aos utilizadores finais,
especialmente em sistemas de IA que processam dados de categorias especiais, como dados de saúde.
3. Realizar avaliações de impacto na proteção de dados (AIPD): a realização de uma AIPD é um processo que
ajuda os indivíduos a identificar e minimizar os riscos de proteção de dados de um projeto. As AIPD devem
ser realizadas sempre que o tratamento de dados de um projeto possa resultar num elevado risco para os
direitos e liberdades dos titulares dos dados, nos termos do artigo 35.º do RGPD. Os DPOs devem
trabalhar em colaboração com a rede defensora e os vários departamentos organizacionais para concluir
DPIAs para avaliar os riscos associados aos sistemas de IA em cada secção do local de trabalho e para
identificar quaisquer impactos potenciais na privacidade dos indivíduos e nos direitos de proteção de
dados. Uma parte fundamental de uma AIPD para sistemas de IA é verificar se há algum viés no algoritmo
que possa levar à discriminação.
4. Rever os acordos de tratamento de dados: Os EPD devem rever quaisquer acordos de tratamento de dados
com fornecedores terceiros de IA para garantir que incluem salvaguardas adequadas para o tratamento
de dados pessoais por sistemas de IA.
5. Implementar medidas de segurança adequadas: Os EPD devem garantir que sejam implementadas medidas
de segurança adequadas para proteger os dados pessoais contra acesso não autorizado, perda ou
destruição ao utilizar sistemas de IA.
6. Monitorizar e auditar os sistemas de IA: Os EPD devem monitorizar e auditar os sistemas de IA regularmente
para garantir que funcionam conforme previsto e que os riscos de proteção de dados estão a ser geridos
de forma eficaz.

16