Paola Cantarini
INTRODUÇÃO – COMPLIANCE E “FRAMEWORKS NA PROTEÇÃO DE TODOS OS DIREITOS FUNDAMENTAIS
Segundo o mapeamento realizado acerca “dos interesses e a percepção das prioridades do emergente campo científico de Ciência de Serviços”, tomando como referencial a principal pesquisa conduzida nos EUA sobre o tema, a das proposições de prioridades de pesquisa em ciência de serviços do grupo Center for Services Leadership – CSL da Universidade do Estado do Arizona” (Ostrom et al., 2010), recente estudo conclui pelo “interesse em questões práticas ao universo empresarial, como criação de modelos de negócios para exploração de novas tecnologias de serviços, instrumentos e métricas de mensuração para a criação de valor”, além do interesse pelo tema da sustentabilidade e inclusão social. (Fonte: A CIÊNCIA DA INOVAÇÃO EM SERVIÇOS: ESTUDO EXPLORATÓRIO SOBRE OS INTERESSES E PRIORIDADES PARA UMA AGENDA DE PESQUISA NO BRASIL, Paulo Cesar Calabria, Roberto Carlos Bernardes, Eduardo Raupp de Vargas e Claudio S. Pinhanez)
Há, contudo, um grande gap na área de IA pela exigência de trabalho de pesquisa interdisciplinar, e pela ausência nas discussões de pessoal qualificado na área das humanidades, em especial com expertise em ética, filosofia e conhecimento especializado na área jurídica, com relação à temática da IA e de proteção de dados, refletindo tanto em questões da falta de diversidade epistêmica, e sub-representação de pessoas que representem tais áreas, além de sub-representação nas discussões internacionais de países do Sul Global, muitas vezes.
Outrossim, há falta de conhecimento especializado e aprofundado acerca de modelos de “compliance”, boas práticas, com fundamento em “frameworks” consolidados em uma perspectiva holística, envolvendo a área das humanidades na relação com a IA e proteção de dados, e em especial falta de conhecimento acerca dos direitos fundamentais, da proporcionalidade e ponderação, integrantes de tal análise, e da teoria dos direitos fundamentais. Diante da complexidade técnica acerca do tema IA, bem como acerca dos direitos fundamentais, exige-se conhecimento especializado e experiência em tais temáticas.
Interessante observar que a mesma perspectiva acaba de ser lançada pelo Governo Federal, pela Secretaria de Governo Digital do Ministério da Gestão e Inovação ao lançou o Programa de Privacidade e Segurança da Informação (PPSI), o qual entrará em vigor na próxima segunda-feira, mencionando expressamente a criação de um Framework de Privacidade e Segurança da Informação, composto por um conjunto de controles, metodologias e ferramentas de apoio, publicados no portal da SGD.
A questão principal aqui novamente é que apenas se refere a um único direito fundamental, privacidade, e se limita a apontar poucas bases e fontes principais, ao referir a interseção entre privacidade e a segurança da informação, LGPD, a Política Nacional de Segurança da Informação, os normativos emitidos pela Autoridade Nacional de Proteção de Dados Pessoais e pelo Gabinete de Segurança Institucional; e as recomendações efetuadas pelos órgãos federais de controle interno e externo, não trazendo uma análise mais aprofundada no sentido de documentos internacionais que poderiam colaborar para a construção dos documentos citados, pois poderia ser uma fonte importante devido a um histórico mais antigo de proteção, por exemplo, da proteção de dados por países da EU, havendo leis neste sentido desde a década de 1970.
A UNESCO aponta em sua recomendação que precisamos de “International and national policies and regulatory frameworks to ensure that these emerging technologies benefit humanity as a whole. A human-centred AI. AI must be for the greater interest of the people, not the other way around” (https://www.unesco.org/en/artificial-intelligence/recommendation-ethics). Apesar da iniciativa ser necessária e importante, também esbarra em algumas fragilidades, em especial por não ser suficiente a abordagem “human-centred AI”, e por não oferecer “enforcement”, já que estamos falando de princípios éticos apenas.
Há, contudo, ainda poucas estratégias nacionais de IA com foco nos direitos humanos/direitos fundamentais, tais como as da Dinamarca, Alemanha, Luxemburgo, Holanda e Finlândia, pois a maioria dos países ainda prioriza os interesses e a competividade econômica quando da regulação ou autorregulação da IA (Bradley et al., 2020). Da mesma forma, a maioria dos processos de revisão e elaboração das “AIA” são controlados e determinados pelos que tomam as decisões no processo algorítmico, com menos ênfase na consulta de perspectivas externas, incluíndo as experiências dos mais afetados pelo desenvolvimento algorítmico, podendo gerar documentos de avaliação enviesados e parciais. É, contudo, essencial que a equipe responsável pela produção e revisão de tais instrumentos de “compliance” possua as seguintes características, para se falar em legitimidade e diversidade epistêmica: transdisciplinaridade, multiculturalismo, holismo, expertise, conhecimento da Teoria dos Direitos Fundamentais, em especial da proporcionalidade e ponderação, independência e autonomia.
A IA como a mais disruptiva das tecnologias, apesar de propiciar inúmeros benefícios à sociedade possui um potencial de afronta a todos os direitos humanos e fundamentais (“Human rights in national AI strategies Source”: Bradley et al., 2020; documento “Getting the future right”, da lavra da “European Union Agency”), sendo essencial a construção e fiscalização do cumprimento de um “framework” específico, voltado à análise de riscos a direitos fundamentais e direitos humanos (DF/DH) em aplicações de inteligência artificial (IA), envolvendo o conceito de “fundamental rights by design”, indispensável para se alcançar o conceito de “justiça de design”.
A principal fundamentação da presente perspectiva é contribuir para a concretização da proteção, promoção e efetivação dos direitos fundamentais por meio da tecnologia, não apenas no âmbito individual, mas coletivo e social, trazendo a preocupação com o impacto ambiental por parte da IA, e demais danos não focando-se no aspecto individual apenas, mas social e coletivo, e para isso olhando também para o impacto ambiental da tecnologia.
A Comissão Europeia (European Commission) consagra a importância de uma abordagem holística (holistic approach) para enfrentar os desafios colocados pela IA, com destaque para os “legal frameworks on fundamental rights”, ou seja, o estabelecimento de “frameworks” voltados a direitos fundamentais. Em sentido complementar, em 2018 o Relatório enviado à Assembléia Geral da ONU pelo Relator Especial da ONU sobre liberdade de opinião e expressão afirma que “as ferramentas de IA, como todas as tecnologias, devem ser projetadas, desenvolvidas e utilizadas de forma a serem consistentes com as obrigações dos Estados e as responsabilidades dos atores privados sob o direito internacional dos direitos humanos” (Assembléia Geral da ONU, 2018). No mesmo sentido, a Declaração de Toronto (2018), com destaque para o direito à igualdade e à não-discriminação em sistemas de IA e as Diretrizes Éticas desenvolvidas pelo Grupo de Especialistas de Alto Nível da UE sobre IA (AI HLEG), ao postular por uma IA confiável, fundada na proteção dos direitos fundamentais, na esteira da Carta da UE, e na Convenção Européia sobre Direitos Humanos (CEDH).
Ainda segundo a Declaração de Toronto, deverá haver uma garantia de que grupos potencialmente afetados e especialistas sejam incluídos como atores com poderes decisórios sobre o design, e em fases de teste e revisão; revisão por especialistas independentes; divulgação de limitações conhecidas do sistema – por exemplo, medidas de confiança, cenários de falha conhecidos e limitações de uso apropriadas.
Alguns documentos internacionais trazem a previsão expressa acerca da “AIIA” com foco em DF/DH com destaque para:
- Conselho da Europa: prevê uma versão ampla da avaliação de impacto, semelhante à AIDH – Avaliações de Impacto em Direitos Humanos: ‘’Unboxing AI: 10 steps to protect Human Rights’’ (setor público);
- Relatório do Relator Especial das Nações Unidas para a Promoção e Proteção do Direito à Liberdade de Expressão e Opinião acerca de IA e seus impactos sobre as liberdades: prevê a obrigatoriedade de se garantir uma manifestação de ‘’transparência radical’’, permitindo que os sistemas sejam escrutinados e desafiados da concepção à implementação, por meio de um processo de deliberação pública com revisão por organizações ou consultores externos, afetados, e com expertise em direitos fundamentais e humanos;
- “Governing data and artificial intelligence for all – Models for sustainable and just data governance” do Parlamento Europeu, de julho de 2022, European Parliamentary Research Service, trazendo a perspectiva de “data justice”, se preocupando com a elaboração de “human rights impact assessments” por priorizar direitos, além de apostar na criação de modelos alternativos de governança que incluam formas locais de soberania digital como a indígena (“Defining datas’s potencial as a public good”, p. 05, item 1). Aponta ainda para a importância do constitucionalismo digital por oferecer uma linguagem de direitos e para poder desafiar excessos tanto do poder público como do privado, trazendo o aspecto da diversidade, inclusão, e também para se evitar a fragmentação e possíveis interpretações conflitantes diante de diversos instrumentos regulatórios.
Destacamos alguns exemplos pontuais, contudo, de tal abordagem denominada de “life centered AI” (mais ampla que apenas “human centered AI), tais como a iniciativa da Costa Rica (compromisso com a proteção ambiental e implementação de técnicas agrícolas de precisão, incluindo o uso de zangões e imagens de satélite para otimizar o rendimento das colheitas e reduzir o uso de pesticidas) e a da China (implementação de câmeras alimentadas por IA para monitorar e proteger espécies ameaçadas, tais como pandas, leopardos da neve e tigres siberianos). De modo geral, entretanto, é importante destacar a falta de documentos na área de IA e proteção de dados com o enfoque também no impacto ambiental das novas tecnologias disruptivas (“life-centered AI”).
DOCUMENTOS DE “COMPLIANCE”NO CASO DO CHATGPT
São citados pela empresa em questão como princípios apenas poucos e criados unilateralmente, sendo que se entender estes como princípios éticos, sem eficácia jurídica e sem “enforcement”. “In verbis”:
“Nossos princípios – *minimizar os danos – construiremos segurança em nossas ferramentas de IA sempre que possível, e para reduzir agressivamente os danos causados pelo mau uso ou abuso de nossas ferramentas de IA. *Construir confiança – compartilharemos a responsabilidade de apoiar aplicações seguras e benéficas de nossa tecnologia.*Aprender e iterar – observaremos e analisaremos como nossos modelos e buscaremos informações sobre nossa abordagem de segurança a fim de melhorar nossos sistemas ao longo do tempo”.
Trata-se de um documento extremamente genérico, abstrato, e os princípios citados são insuficientes, não efetivos, seja porque são princípios éticos seja porque foram criados unilateralmente, sem levar em conta inúmeros documentos de guias éticos/princípios éticos já elaborados (OGNS, Organismos de Poder Público), com independência/seriedade e legitimidade para tal produção, pois demanda diversos requisitos a serem observados entre eles, a imparcialidade e a independência, e elaboração por uma equipe inter/transdisciplinar e multicultural. Outrossim, o documento não explica como asseguraria a segurança e confiança, não há elaboração de importantes documentos de “compliance”, de forma prévia (princípio da prevenção, DPIA – Relatório de Impacto da proteção de dados, e AIIA – Avaliação do impacto algorítmico.
Destarte, não é suficiente alegar “minimizar danos”, mas demonstrar por documentação específica e elaborada por uma equipe com expertise, independência, interdisciplinaridade, multicultural, fora da estrutura institucional da empresa (independência, imparcialidade, autonomia, e pois, legitimidade).
Ao se criar princípios “éticos” que mais se adequem à realidade específica do produto/empresa poderíamos constatar a imparcialidade e legitimidade de tal produção? Não obstante a importância dos princípios éticos, quando seriamente elaborados, há o risco de possibilitar o que se denomina de “lavagem ética” (Luciano Floridi), no sentido de uma inversão da lógica da construção de tal importante documento e de sua função, no sentido de criar princípios para que a empresa se adeque a estes e não vice-versa.
Neste sentido foram ainda analisados os seguintes documentos (“Documents and policies”):
- USAGE POLICIES ( https://openai.com/policies/usage-policies) – 23.03.23
- API data usage policies (https://openai.com/policies/api-data-usage-policies) -01.03.23
- SAFETY BEST PRACTICES (https://platform.openai.com/docs/guides/safety-best-practices)
- MODERATION (https://platform.openai.com/docs/guides/moderation) -sem data
- EDUCATOR CONSIDERATIONS FOR CHATGPT (https://platform.openai.com/docs/chatgpt-education) – sem data
Tais documentos, que poderiam levar ao equivocado entendimento de que se trata de “boas práticas/compliance”, deveriam ser disponibilizados na primeira página da empresa, de fácil visualização, com termos a serem compreendidos pelo “homem médio” e não constar o público alvo como somente “educadores” , como consta do último documento neste ponto em particular (“Educator considerations for chatgpt”), pois são informações que dizem respeito a todos e não somente a tal público especifico.
Diante das recentes notícias e manifestações, tanto nacionais como internacionais, acerca de danos irreparáveis em decorrência de utilização de aplicações de IA das mais diversas, envolvendo mortes inclusive, verificamos que a questão do “compliance”, das boas práticas e de medidas efetivas são urgentes, assim como a regulação por meio de leis que envolvam parte principiológica e parte de incentivos a tais práticas, tornando as mesmas obrigatórias e de elaboração prévia, antes do produto estar no mercado, em especial quando de riscos altos e com atenção especial a grupos vulneráveis em especial e países mais vulneráveis em termos de fragilidades institucionais, democráticas e na proteção a direitos fundamentais.
Tais notícias foram relatadas recentemente pela ANPD – Autoridade Nacional de Proteção de Dados da Itália informando o banimento do CHATGPT por violação da privacidade, falta de transparência e informações adequadas (https://www.bbc.com/news/technology-65139406), possível ameaça de perda de empregos, disseminação de desinformação e preconceitos, potencial de enganar e manipular pessoas, afirmando-se que tais ferramentas precisam de maior escrutínio público, e ainda informando em notícia de 20.03.23 que houve “uma violação de dados envolvendo conversas de usuários e informações sobre pagamentos”, além da ausência de base legal para o tratamento em massa de dados pessoais, com a finalidade de “treinar” os algoritmos subjacentes à operação da plataforma”, e da ausência de mecanismos para verificação da idade dos usuários. Diante, ainda, das notícias envolvendo o suicídio recente de um jovem na Bélgica, sendo em tal relato de sua esposa mencionado o envolvimento sentimental do mesmo com o chat, que o teria induzido a tal conduta, segundo notícias (https://noticias.r7.com/tecnologia-e-ciencia/homem-se-suicida-apos-conversar-com-chatbot-de-inteligencia-artificial-denuncia-viuva-01042023?amp=#amp_tf=De%20%251%24s&aoh=16803432988851&csi=0&referrer=https%3A%2F%2Fwww.google.com).
Ainda no que se refere ao documento “políticas de uso” (“Usage policies”), consta que os usuários devem utilizar a ferramenta de forma segura e responsável, e com isso irão garantir que a mesma seja usada para o bem. Trata-se de uma postura não proativa da empresa afrontando os princípios do “privacy-by design”, da lavra de Ann Cavoukian (https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf), amplamente adotados e reconhecidos internacionalmente, com destaque para a proatividade e proteção da privacidade.
O documento limita-se a listar atividades desautorizadas, apontando inclusive neste setor “Plagiarismo”, e “Desonestidade acadêmica”, quando na verdade a aplicação pode facilitar tais usos, pela própria funcionalidade da ferramenta em si, apenas tornando estes mais difíceis de serem detectados, além de não estimular o trabalho de pesquisa individual, e não deixar claro que traz fontes inautênticas, inventadas, incompletas, bem como que o texto produzido pode ser totalmente desconecto da realidade, o que se vem denominando de “alucinações”. Tal problemática é ainda mais preocupante em setores da população que possuem baixo nível educacional e econômico, por terem mais vulnerabilidades, no sentido de adotarem uma postura crítica e mais cuidadosa no uso da ferramenta. Tal documento limita-se a fazer constar que as informações fornecidas devem ser ”revisadas” em apenas alguns casos, quais sejam: fonte de assessoria jurídica, assessoria financeira sob medida sem uma pessoa qualificada revisando as informações, informações médicas.
De acordo com testes pessoais realizados quanto ao CHATGPT, somente após 02.04.23 pode ser constatada a informação disponibilizada após a utilização da ferramenta ao informar que as informações ofertadas precisariam ser checadas, sendo que antes de tal data não havia tal tipo de informação após a sua utilização.
Por derradeiro, os documentos afirmam ainda a perspectiva “human in the loop”, mas traz apenas uma única recomendação, aquém de tal conceito que englobaria o controle e a revisão humana da tecnologia e o respeito aos valores humanos, e sem qualquer explicação do que significa o conceito “human centered AI” e de como se atingir o mesmo. Não é que o documento recomenda a revisão humana, ele quem deveria fornecer por si próprio o cumprimento de tal exigência essencial para o conceito abordado e para uma IA de confiança.
Verbis:
“Wherever possible, we recommend having a human review outputs before they are used in practice. This is especially critical in high-stakes domains, and for code generation. Humans should be aware of the limitations of the system, and have access to any information needed to verify the outputs (for example, if the application summarizes notes, a human should have easy access to the original notes to refer back)”.
De fato é preciso levar o “compliance” a sério, assim como os direitos fundamentais, o novo constitucionalismo digital, bem como os princípios jurídicos já consagrados na LGPD- Lei Geral de Proteção de Dados, e em documentos internacionais, considerando ainda que o ônus de tais providências tem que ser das empresas que lucram milhões com elas, e não do usuário, e no caso de startups e pequenas empresas, ao aplicarem IAS de risco alto, devem ser algum incentivo público ou privado auxiliando neste sentido, para que o fator econômico não fique acima de valores humanos, e não seja impedimento para a proteção adequada de direitos fundamentais, assim como de valores democráticos e republicanos consagrados em nossa CF88.