O órgão de proteção de dados do Reino Unido emitiu um aviso explícito aos desenvolvedores que utilizam inteligência artificial generativa, sobre a necessidade de tratar os riscos de privacidade antes de lançarem seus produtos no mercado. O órgão afirmou que irá verificar se as empresas trataram os riscos de privacidade antes de introduzirem a IA generativa e tomará medidas em casos de danos às pessoas. Além disso, as empresas precisarão demonstrar como trataram os riscos específicos em seu contexto de atuação. O órgão destacou a importância de entender como a IA está usando as informações pessoais, tratar riscos identificados e utilizar a tecnologia de forma responsável.
A autoridade também alertou que o descumprimento dessas diretrizes pode em multas substanciais, de acordo com a legislação de proteção de dados do Reino Unido, que podem chegar a £ 17,5 milhões ou 4% do faturamento mundial anual total no ano financeiro anterior, o que for mais alto.
O órgão regulador ICO está desenvolvendo orientações de privacidade e proteção de dados para o uso de IA, seguindo uma abordagem flexível baseada em princípios e orientações para cada setor. O ICO publicou recentemente em seu site 8 questões que devem ser consideradas durante o desenvolvimento de tecnologias que usem IA generativa, são elas:
⚖️ Qual é a sua base legal para tratar dados pessoais? Se estiver tratando dados pessoais, você deve identificar uma base legal apropriada, como consentimento ou interesses legítimos.
🧑 Você é um controlador, controlador conjunto ou um operador ? Se você estiver desenvolvendo IA generativa usando dados pessoais, terá obrigações como controlador de dados. Se estiver usando ou adaptando modelos desenvolvidos por terceiros, você pode ser um controlador, controlador conjunto ou operador.
📋 Você preparou uma Avaliação de Impacto de Proteção de Dados (DPIA)? Você deve avaliar e mitigar quaisquer riscos de proteção de dados por meio do processo DPIA antes de iniciar o processamento de dados pessoais. Seu DPIA deve ser mantido atualizado à medida que o processamento e seus impactos evoluem.
🔍 Como você garantirá a transparência? Você deve tornar as informações sobre o processamento publicamente acessíveis, a menos que uma isenção se aplique. Se não exigir um esforço desproporcional, você deve comunicar essas informações diretamente aos indivíduos aos quais os dados se referem.
🔒 Como você reduzirá os riscos de segurança? Além dos riscos de vazamento de dados pessoais, você deve considerar e mitigar os riscos de inversão de modelo (model inversion attack) e inferência de associação (membership inference), envenenamento de dados (data poisoning) e outras formas de ataques.
💻 Como você limitará o processamento desnecessário? Você deve coletar apenas os dados adequados para cumprir sua finalidade declarada. Os dados devem ser relevantes e limitados ao necessário e à finalidade.
📫 Como você atenderá às solicitações de direitos individuais? Você deve ser capaz de responder às solicitações das pessoas para acesso, retificação, exclusão ou outros direitos de informação.
✒️ Você usará IA generativa para tomar decisões exclusivamente automatizadas? Em caso afirmativo – e estes têm efeitos legais ou significativos semelhantes (por exemplo, diagnósticos de saúde importantes) – os indivíduos têm direitos adicionais sob o Artigo 22 do GDPR do Reino Unido.
Embora o Reino Unido não acredite ser necessário uma legislação dedicada ou um órgão exclusivamente focado em IA para regulamentar a tecnologia, tem enfatizado a importância de priorizar o uso seguro da tecnologia.
Fonte: https://techcrunch.com/2023/06/15/uk-ico-generative-ai-warning/
Fonte: https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/04/generative-ai-eight-questions-that-developers-and-users-need-to-ask/