by Cel Daniel Costa Lima
A governança corporativa e a conformidade estão cada vez mais interligadas em um ambiente regulatório em constante evolução, especialmente com a expansão das demandas relativas à proteção de dados, segurança cibernética e, mais recentemente, à regulamentação da inteligência artificial (IA). O artigo a seguir explora como a governança tem papel fundamental na conformidade regulatória à luz da LGPD, do NIST 2.0 e do Projeto de Lei 2.338/23, que traz novas regras para o ambiente digital, incluindo disposições sobre o uso de IA.
1. Governança e a LGPD
A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, estabelece a base para a regulamentação do tratamento de dados pessoais no Brasil. Sua aplicação é crítica para o fortalecimento da governança corporativa, principalmente nas organizações que
operam com grandes volumes de dados sensíveis.
No contexto da governança, a LGPD impõe responsabilidades significativas, como:
– Transparência e Accountability: A governança corporativa deve assegurar que as políticas de proteção de dados sejam claras e acessíveis, com a implementação de mecanismos eficazes de controle e fiscalização.
– Encarregado de Dados (DPO): A função de DPO é um pilar de governança para garantir a conformidade contínua e o alinhamento das operações de tratamento de dados às exigências da LGPD.
– Gerenciamento de Riscos e Segurança: A LGPD exige que as empresas adotem medidas técnicas e administrativas adequadas para prevenir o vazamento e uso indevido de dados, exigindo que a governança promova uma cultura de segurança da informação.
Além disso, a LGPD impõe obrigações para que as empresas revisem seus processos de tratamento de dados quando utilizarem inteligência artificial, de forma que os algoritmos respeitem princípios de não discriminação, transparência e privacidade, integrando esses valores à estrutura de governança.
2. Governança e o NIST 2.0
O NIST 2.0 (National Institute of Standards and Technology), em sua atualização do Cybersecurity Framework, estabelece uma abordagem detalhada para a governança da segurança cibernética. A integração deste framework à governança é vital para assegurar a conformidade com os regulamentos relacionados à proteção de dados e cibersegurança.
– Governança de Segurança da Informação: O NIST 2.0 recomenda que a segurança cibernética seja gerida como um componente essencial da governança corporativa. Isso inclui a implementação de mecanismos que ajudem a identificar, proteger, detectar, responder e recuperar incidentes de segurança, e que estejam em conformidade com as normas de proteção de dados, como a LGPD.
– Inteligência Artificial e Riscos Cibernéticos: Com o crescimento do uso de IA, o NIST também orienta que a governança de segurança da informação avalie os riscos associados à automação de processos e à tomada de decisões algorítmicas, incluindo possíveis vulnerabilidades e a necessidade de medidas para mitigar esses riscos.
– Gerenciamento Contínuo de Riscos: A governança, baseada no NIST 2.0, precisa garantir que o risco cibernético, incluindo o uso de IA, seja monitorado e atualizado constantemente, integrando práticas inovadoras para minimizar ataques e exposições.
3. Governança e o Projeto de Lei 2.338/23
O Projeto de Lei 2.338/23 propõe uma série de atualizações ao Código de Defesa do Consumidor, com foco na proteção de consumidores em plataformas digitais e no comércio eletrônico. No entanto, uma inovação importante é a regulamentação da inteligência artificial, que traz novos desafios para a governança e a conformidade.
Regulamentação da Inteligência Artificial no PL 2.338/23
A proposta de regulamentação da IA no PL 2.338/23 visa estabelecer normas que assegurem que o uso de algoritmos e automação respeite direitos fundamentais dos consumidores, incluindo transparência e responsabilidade. Isso impõe novas responsabilidades às empresas, que devem alinhar suas políticas de governança para integrar as seguintes obrigações:
– Transparência nos Algoritmos: O projeto de lei exige que as empresas expliquem como os algoritmos de IA que tomam decisões automáticas afetam os consumidores, especialmente em situações de crédito, contratação de serviços e outras interações de consumo. A governança corporativa deve criar mecanismos que assegurem a transparência algorítmica, documentando as operações e decisões tomadas por IA.
– Prevenção de Discriminação Algorítmica: O PL reforça que os sistemas de IA devem ser projetados para evitar discriminação contra consumidores com base em raça, gênero, origem ou qualquer outra característica protegida. A governança tem a responsabilidade de garantir que os processos de conformidade incluam auditorias e revisões contínuas de algoritmos para evitar viés e discriminação.
– Accountability no Uso de IA: As organizações devem ser capazes de demonstrar que seus sistemas de IA estão alinhados com as melhores práticas de governança e conformidade, com foco em direitos fundamentais e proteção ao consumidor. Isso implica na necessidade de auditorias independentes e de políticas internas robustas, revisadas periodicamente.
Impactos na Governança Corporativa
O uso crescente de IA nas organizações exige uma reformulação das estruturas de governança, considerando:
– Compliance e IA: As empresas devem desenvolver programas de compliance específicos para o uso de inteligência artificial, integrando a conformidade com o PL 2.338/23 e outras regulamentações internacionais, como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.
– Auditoria e Supervisão de IA: O PL exige que as empresas implementem auditorias regulares em seus sistemas de IA para garantir a conformidade com as regras de não discriminação, privacidade e direitos do consumidor. A governança será essencial para definir as diretrizes dessas auditorias e garantir que as falhas sejam corrigidas rapidamente.
– Riscos e Mitigação no Uso de IA: O projeto de lei destaca a necessidade de avaliação contínua dos riscos associados ao uso de IA, especialmente no que diz respeito a erros, discriminação e invasão de privacidade. O gerenciamento de riscos na governança deve contemplar estratégias específicas para mitigar os potenciais danos que o uso incorreto de IA pode causar.
Conclusão
A integração de governança corporativa com conformidade regulatória é essencial no atual cenário, onde as novas regulamentações — como a LGPD, o NIST 2.0 e o Projeto de Lei 2.338/23 — estabelecem requisitos claros sobre o uso de dados e inteligência artificial. No caso específico da IA, o Projeto de Lei 2.338/23 é pioneiro ao introduzir regras sobre a transparência algorítmica, a prevenção de discriminação e a responsabilidade no uso de IA, o que demanda uma adaptação dos modelos de governança corporativa.
A governança baseada em conformidade será um diferencial competitivo para as empresas, não apenas para evitar penalidades, mas também para promover uma cultura de responsabilidade e ética no uso de tecnologias emergentes como a IA.