Autor: Erick Tauil, Pre Sales Solutions Architect da SEK
Conforme as tecnologias de Inteligência Artificial, continuam a transformar os setores e a revolucionar a maneira como vivemos e trabalhamos, garantir a privacidade e a segurança dos dados que elas processam se tornou uma preocupação fundamental. Neste artigo, vamos nos aprofundar na importância de realizar avaliações de risco de privacidade de IA.
Antes de adentrarmos neste tema, é sempre importante lembrarmos o conceito de IA e alguns outros termos que estão ligados ao mesmo.
Inteligência artificial (IA) é um termo amplo que engloba todos os campos da ciência da computação que permitem que as máquinas realizem tarefas que normalmente exigiriam inteligência humana.
O aprendizado de máquina e a IA generativa são duas subcategorias de IA.
– O aprendizado de máquina (ML) é um subconjunto da IA que se concentra na criação de algoritmos que podem aprender com os dados. Os algoritmos de aprendizado de máquina são treinados em um conjunto de dados e, em seguida, podem usar esses dados para fazer previsões ou tomar decisões sobre novos dados.
– A IA generativa é um tipo de aprendizado de máquina que se concentra na criação de novos dados. Geralmente, a GenAI depende do uso de modelos de linguagem grandes para executar as tarefas necessárias para criar os novos dados.
– Um modelo de linguagem grande (LLM) é um tipo de modelo de IA que processa e gera texto semelhante ao humano. No contexto da inteligência artificial, um “modelo” refere-se a um sistema que é treinado para fazer previsões com base em dados de entrada. Os LLMs são treinados especificamente em grandes conjuntos de dados de linguagem natural e o nome
modelos de linguagem grandes.
A necessidade de avaliações de risco de privacidade de IA
Os sistemas de Inteligência Artificial, processam grandes quantidades de dados pessoais confidenciais, o que pode levar a riscos significativos à privacidade se não forem gerenciados adequadamente. A integração da IA em vários setores, como saúde e finanças, amplia ainda mais esses riscos devido à natureza altamente sensível dos dados envolvidos. As leis regulatórias, como HIPAA, PHIPA, GDPR, LGPD entre outros, enfatizam a importância da privacidade e da proteção dos dados, tornando essencial que as organizações realizem avaliações completas dos riscos à privacidade da IA.
Realização de avaliações de risco de privacidade de IA:
O processo de realização de uma avaliação de risco de privacidade de IA envolve várias etapas
importantes:
- Identificar os fatores de privacidade de sua empresa: Defina seus fatores de privacidade e entenda os princípios de privacidade de dados para garantir a conformidade com os requisitos regulamentares;
- Avaliar a IA por meio de uma lente de privacidade: Avalie os casos de uso de IA e analise as estruturas de governança de dados e as estratégias do programa de privacidade de dados para identificar possíveis riscos à privacidade;
- Avalie o impacto da implementação e dos controles: Avalie as implicações de privacidade da implementação da tecnologia de IA e considere as tecnologias deaprimoramento da privacidade para reduzir os riscos.
Fase 1
Identificar os fatores de privacidade do seu negócio. Esta fase vai ajudá-lo a acompanhar as seguintes atividades:
• Definição dos seus drivers de privacidade de dados.
Esta fase envolve os seguintes participantes:
– DPO
– Equipe de gestão sênior
– Líder da TI/Diretor
– PMO ou algum representante da equipe
– Equipe principal de Privacidade de Dados
– Representante de Segurança da Informação
– Representante da TI
1. Reúna um grande grupo composto por partes interessadas relevantes da organização. Isso pode incluir as pessoas dos seguintes departamentos: Jurídico, RH, Privacidade, Finanças, bem como aqueles que que lidam com dados pessoais regularmente (Marketing, TI, Vendas, etc.).
2. Usando notas adesivas, peça a cada parte interessada que escreva um fator determinante para o programa de privacidade em cada nota adesiva.
Os exemplos incluem:
a) Criar linhas claras sobre como a organização usa os dados e quem é o proprietário dos
dados;
b) Política de privacidade clara e publicada (interna);
c) Aviso de privacidade revisado e relevante (externo);
d) Esclarecimento sobre a melhor maneira de aproveitar e lidar com dados confidenciais;
e) Como promover a conformidade do fornecedor.
3. Colete essas informações e agrupe os temas semelhantes que surgirem. Discuta com o grupo o que está sendo incluso na lista e esclareça os fatores incomuns ou pouco claros.
4. Determine a prioridade dos motivadores. Embora todos sejam indiscutivelmente importantes, será fundamental entender quais são críticos para a organização e precisam ser tratados imediatamente.
a) Para a maioria, qualquer obrigação relacionada a uma regulamentação externa se tornará
prioridade máxima.
A não conformidade pode resultar em multas graves e danos à reputação.
5. Revise a prioridade final dos motivadores e confirme o status atual.
Resumo do Processo da Fase 1:
Input (Entrada)
– Opcional: Pergunte aos membros do time principal para fazer um brainstorm de uma lista dos
principais direcionadores do programa de privacidade e objetivos.
Output (Saída)
- Lista documentada dos direcionadores do programa de privacidade;
- Lista documentada dos objetivos de privacidade;
- Estabelecimento de nível de entendimento de privacidade da equipe principal.
Materiais
- Whiteboard/Flip charts
- Post-Its
- Caneta/Marcador
Participantes
-DPO
– Equipe de gestão sênior
– Líder da TI/Diretor
– PMO ou algum representante da equipe
– Equipe principal de Privacidade de Dados
– Representante de Segurança da Informação
– Representante da TI
Fase 2
Avaliar a Inteligência Artificial, por meio de uma lente de privacidade. Esta fase vai ajudá-lo a acompanhar as seguintes atividades:
• Definição dos seus direcionadores de Inteligência Artificial.
Esta fase envolve os seguintes participantes:
– Equipe de Gestão Senior
– Lider do time de TI/Diretor
– PMO ou algum representante do time
– Equipe principal de inovação
– Representante de Segurança da Informação
1. Reúna um pequeno grupo de participantes relevantes da organização. Este deve se limitar àqueles que fazem parte de uma equipe de inovação ou de TI/InfoSec.
2. Identifique a tecnologia de IA específica que a organização está querendo implementar.
3. Usando notas adesivas, peça que cada parte interessada escreva um fator determinante específico ou benefício previsto da integração.
a) Esses fatores podem variar desde preocupações com os clientes até o cumprimento de
obrigações regulatórias.
4. Colete essas anotações e agrupe os temas semelhantes que surgirem. Discuta com o grupo o que está sendo colocado na lista e esclareça os fatores incomuns ou pouco claros.
5. Em seguida, discuta as possíveis preocupações com a privacidade com base em:
a) Setor da Indústria
b) Localização geográfica (lei de privacidade em nível federal ou estadual)
c) Tipos especiais ou sensíveis de dados processados
d) Expectativas do cliente/titular dos dados
6. Discuta as preocupações com a privacidade e identifique as medidas atenuantes atuais em vigor (ou seja, PIA, AIA, estratégia de programa de privacidade) para tratar das preocupações.
Resumo do Processo da Fase 2:
Input (Entrada)
– Peça aos participantes envolvidos para realizar a atividade em torno de uma tecnologia de IA específica que a organização está procurando implementar.
Output (Saída)
• Lista documentada dos direcionadores de IA
• Lista documentada dos objetivos operacionais facilitados pela IA
• Definição do nível de entendimento da IA no contexto da organização pela equipe principal.
Materiais
- Whiteboard/Flip charts
- Post-Its
- Caneta/Marcador
Participantes
- Equipe de Gestão Senior
- Lider do time de TI/Diretor
- PMO ou algum representante do time
- Equipe principal de inovação
- Representante de Segurança da Informação
Fase 3
Avaliar o impacto da IA e dos controles. Esta fase vai ajudá-lo a acompanhar as seguintes atividades:
• Avaliação das implicações de privacidade da implementação da tecnologia de IA.
Esta fase envolve os seguintes participantes:
– DPO
– Equipe de gerenciamento sênior
– Líder/diretor da equipe de TI
– PMO ou representante do PMO
– Equipe principal de privacidade
– Representante de Segurança da Informação
Uma avaliação de impacto na privacidade é usada para avaliar o quanto os dados pessoais serão afetados pelas atividades de processamento planejadas. Uma PIA pode ajudar a identificar se o processamento de dados por meio de sistemas de IA está em conformidade com as normas de proteção de dados e se os processadores de dados estão cientes dos riscos que envolvem o processamento de dados pessoais.
- Trabalhe com o questionário dinâmico na ferramenta PIA.
- Conclua uma avaliação de limite por sistema de IA.
- Com base na recomendação e na pontuação de risco, passe a concluir o PIA.
- Conclua uma versão lite ou completa da PIA (Privacy Impact Assessment), com base na natureza do processamento e na pontuação de risco.
- Envolva o proprietário do processo (proprietário do projeto), o revisor do processo (revisor do projeto) e qualquer outra qualquer outra parte interessada relevante (por exemplo, líder de implementação técnica).
- Consulte o relatório de resultados para analisar cada um dos processos prioritários e as próximas etapas subsequentes em direção à conformidade.
- Discuta os resultados com a equipe.
a) Como isso afetará a conformidade no futuro?
b) Como isso afeta o ambiente e o processo em torno da integração da tecnologia de IA em torno do risco assumido e da transparência?
Resumo do Processo da Fase 3:
Input (Entrada)
– Saida dos itens/atividades da Fase 1 e 2.
Output (Saída)
- Análise de processos de negócio de alto risco
- Compreensão do impacto dos dados envolvidos nas atividades de processamento.
Materiais
Ferramenta/Solução de Avaliação de Impacto de Privacidade (PIA)
Participantes
- DPO
- Equipe de gerenciamento sênior
- Líder/diretor da equipe de TI
- PMO ou representante do PMO
- Equipe principal de privacidade
- Representante de Segurança da Informação
Alavanque o uso de dados sintéticos
Os dados sintéticos não representam eventos ou objetos do mundo real. São uma ferramenta poderosa para ciência de dados e IA.
• O valor dos dados sintéticos está em sua capacidade exclusiva de produzir recursos adaptados a requisitos específicos ou situações que podem não ser encontradas em dados do mundo real. Eles se tornam uma ferramenta essencial ferramenta essencial quando há escassez de dados para fins de teste ou quando a preservação da privacidade é de extrema importância.
• Os dados sintéticos oferecem aos profissionais de dados uma maneira de usar dados armazenados centralmente e, ao mesmo tempo, garantir a confidencialidade dos dados, garantindo a confidencialidade dos dados. Eles podem replicar as características essenciais dos dados reais sem revelar seu conteúdo real, mantendo assim a privacidade.
• No setor de saúde, os dados sintéticos são empregados para simular determinados cenários e condições para os quais não existem dados reais;
• Veículos autônomos, como os desenvolvidos pela Uber e pelo Google, utilizam dados sintéticos para treinar seus sistemas baseados em aprendizado de máquina;
• No setor financeiro, onde a proteção contra fraudes é fundamental, os dados sintéticos são usados para estudar e entender novos tipos de atividades fraudulentas.
Avaliação de Impacto Algorítmico
Realizar uma avaliação de impacto algorítmico (AIA) para validar a responsabilidade da decisão algorítmica da tecnologia de
IA implantada.
Os regulamentos de proteção de dados, como a GDPR, visam abordar as questões de criação de perfis e e a tomada de decisão automatizada por meio da responsabilidade e de um conjunto de estruturas recomendadas. estruturas recomendadas; o AIA é uma dessas ferramentas.
O artigo 35 do GDPR descreve as avaliações de impacto como um conjunto de ferramentas que as organizações podem aproveitar para garantir um grau de transparência e responsabilidade algorítmica quando a IA é usada em processos que envolvem dados confidenciais ou pessoais.
As avaliações de impacto assumiram a forma de avaliações de impacto sobre a privacidade, bem como avaliações de impacto sobre a vigilância. ambas são predecessoras do atual AIA.
O AIA do Canadá é de código aberto e liberado para uso geral sob uma licença MIT, com o objetivo de minimizar os riscos por meio da identificação do impacto geral que a implantação de um um sistema automatizado de tomada de decisões.
A avaliação tem a forma de 60 perguntas para determinar o nível de impacto nos negócios com base nos processos de negócios, dados de entrada e decisões de saída resultantes.
Conclusão
A implementação de TI, mesmo nos casos mais simples, costuma ter várias camadas. Com o advento da privacidade, tanto do ponto de vista regulatório quanto de governança e de governança, além do aumento do escrutínio e das expectativas dos consumidores e dos titulares dos dados, tanto a empresa quanto a TI se deparam com restrições antes mesmo de começar a pensar na implementação.
Ao adotar uma abordagem centrada na privacidade, que se concentra em saber quais dados que a organização possui e seu impacto sobre os negócios, bem como sobre os dados que ela envolve, você cria a estrutura para a implementação da tecnologia de IA que atende aos padrões básicos de privacidade e proteção de dados. Além de estar em conformidade, você construiu uma base para a integração da IA que atende às necessidades de sua organização e dos titulares dos dados.
A realização de avaliações de risco de privacidade de IA é fundamental para que as organizações garantam a conformidade com os requisitos regulatórios e mantenham a confiança de seus clientes. Seguindo as etapas descritas neste artigo e aproveitando os estudos de caso do setor, as organizações podem integrar efetivamente as tecnologias de IA e, ao mesmo tempo, priorizar a privacidade e a segurança dos dados.
