Aprenda a Viver Sem Ele: O Impacto da Legislação na IA

Nota de Lionel: Michael Leach, Diretor de Conformidade Global, examina o impacto que as regulamentações de IA em discussão terão sobre a indústria neste segundo post da nossa série Future Insights 2025. Se você perdeu, confira o primeiro post do blog sobre AISPM.

###

As empresas estão correndo em direção a uma linha de chegada onde seus conjuntos de tecnologias e os serviços que entregam estão inegavelmente entrelaçados com a inteligência artificial.

Embora ainda haja dúvidas sobre produtos como tacos de golfe equipados com IA, a IA rapidamente evoluiu de um chatbot básico para a tecnologia subjacente por trás de alguns dos serviços de software mais impactantes do mercado atual.

Ao mesmo tempo, legisladores e reguladores em todo o mundo estão ajustando suas diretrizes para uma abordagem mais cuidadosa na incorporação da IA. Para que as empresas se mantenham à frente, elas precisarão considerar como seus softwares com IA podem funcionar sem a IA.
 

A Legislação Segue a Inovação

O ChatGPT abriu a Caixa de Pandora. Logo após seu lançamento no final de 2022, dezenas de milhares de empresas de IA inundaram o mercado, prometendo tudo mais rápido e melhor.

Com o volume de IPOs e lançamentos de produtos, você pode ter perdido o que estava acontecendo nos bastidores. Legisladores rapidamente começaram a trabalhar na definição de diretrizes e salvaguardas para a tecnologia mais transformadora desde a internet.

Diversos países introduziram suas versões de frameworks globais para IA, oferecendo orientação prática para empresas do setor privado ao abordar questões éticas e de governança no design e na implementação de soluções de IA. Essas estruturas enfatizam a transparência, a equidade e a responsabilidade. Exemplos de estruturas de IA incluem:
 

• Framework de Ética em IA da Austrália
• Modelo de Framework de Governança em IA de Singapura
• Estratégia Nacional para IA da Índia
• Estratégia Nacional de IA da Coreia do Sul
• Diretrizes de Ética em IA dos Emirados Árabes Unidos

Algumas dessas estruturas surgiram junto com leis globais de IA, projetadas para impulsionar avanços em nível nacional:

• Lei de IA da União Europeia (EU AI Act): Foca na regulamentação baseada em riscos dos sistemas de IA, categorizando-os em risco inaceitável, alto e baixo ou mínimo.
• Ordem Executiva sobre IA dos EUA: Enfatiza a transparência, segurança e privacidade no desenvolvimento e implantação da IA, exigindo novos padrões e melhores práticas em vários setores.
  • Diversos estados dos EUA têm legislações em andamento ou aprovaram suas próprias leis estaduais de IA.
• Diretiva do Canadá sobre Decisão Automatizada: Garante que sistemas de decisão automatizados sejam usados de forma transparente, responsável e consistente com os direitos humanos, exigindo avaliações de impacto e monitoramento contínuo.

Muitas dessas políticas se baseiam em leis de proteção e privacidade de dados já em vigor — algumas das quais já consideram como a IA interage com os dados. Estas incluem o GDPR, CCPA, LGPD, PIPA, APPI e a Lei de Privacidade da Austrália de 1988. Compreender para que servem essas regulamentações, até onde vão (ou não vão) e a quem se aplicam é um primeiro passo frequentemente negligenciado na adoção da IA.

Muito Barulho Por Algo

A legislação está incentivando as empresas a refletirem mais sobre a IA e o impacto dela nos usuários finais. As empresas têm a responsabilidade de garantir que os dados estejam em mãos seguras, como acontece com qualquer outra aplicação, e os usuários devem manter controle sobre os dados que fornecem à IA – caso queiram excluí-los.

Muitas empresas colocam uma interface de usuário na IA e esperam que, voilà – a rodada de financiamento Série A esteja garantida. Mas, para muitas dessas startups, todo o back-end do produto é de código aberto e a IA está treinando com esses dados.

Com a legislação de IA em mente, as organizações devem manter controle total sobre os dados. Em alguns casos, isso significa garantir que a IA seja plug-and-play em vez de uma solução única para todos. Considere o seguinte:

• Dados seguem um fluxo unidirecional. A IA deve funcionar como um modelo empresarial fechado.
• A IA varia conforme a função. Avalie os investimentos em IA com base na sua área — suporte ao cliente, desenvolvimento de software ou marketing, por exemplo. A criticidade ou sensibilidade dos dados que você compartilha com essa IA deve refletir as medidas de segurança que ela possui.
• A IA deve ser transparente. Documente tudo e garanta que as pessoas compreendam como a IA é utilizada em um produto. Não divulgue propriedade intelectual, mas explique como os dados fluem do input para o output. Veja como a Forcepoint faz isso com o AI Mesh.

Mantenha o “Botão de Desligar” à Vista

Mais importante ainda, as empresas precisam considerar cuidadosamente como a IA é integrada ao stack de serviços. Isso porque, em uma última análise, as organizações devem permitir que os usuários solicitem que a IA seja desativada.

Considere o seguinte: se você passou o último ano construindo um chatbot de IA e uma legislação permite que os usuários optem por não utilizá-lo, como você lidará com essa solicitação? É preciso considerar os fluxos de trabalho existentes e como as regulamentações podem impactá-los.

Como exemplo, a Forcepoint informa aos usuários, tanto na janela de prompt quanto durante a geração de respostas, que estão interagindo com uma IA e antes de utilizarem as capacidades de chatbot de IA oferecidas pela Forcepoint.

A Forcepoint também fornece uma lista dos nossos sub-processadores de dados que usamos para dar suporte aos nossos produtos e operações. Por isso, nossas ferramentas e serviços de IA são identificadas com (*) na Lista de Sub-processadores Forcepoint em nosso site.
 

“Ao conversar, você consente com o processamento de seus dados e o armazenamento do chat de acordo com a Política de Privacidade da Forcepoint. Observe que este chatbot utiliza Inteligência Artificial Generativa para processar e responder às perguntas. As respostas do chatbot podem conter erros; verifique a precisão das respostas fornecidas.”

Esse uso binário de IA se tornará o padrão em 2025 e nos anos seguintes, à medida que as empresas continuam a lidar com o desafio de oferecer serviços de software baseados em IA, ao mesmo tempo em que disponibilizam a opção para os usuários desativarem a porção de IA desses serviços.

Além da opção de desativação, as organizações também precisam ter a capacidade de identificar os indivíduos específicos que interagem com a IA e os dados pessoais que compartilham nela. Data Security Posture Management (DSPM) ajuda nisso, identificando e classificando os dados que você possui para que possa monitorar as interações com plataformas como o ChatGPT Enterprise e garantir que a atividade do usuário final não resulte em não conformidade.

Os usuários estão ansiosos para aproveitar os benefícios da IA, e as empresas estão corretas ao se posicionarem rumo à inovação. No entanto, os fornecedores de software devem considerar a legislação no design de seus serviços, mais cedo ou mais tarde.