Bom Dia LGPD

💥O Projeto de Lei de Inteligência Artificial também trata de Incidentes.

Fernando Nery
Fernando Nery
Sócio da Módulo

Esta semana o Projeto de Lei (PL) 2.338/2023 que trata sobre Inteligência Artificial está tendo importantes avanços: o relatou apresentou um substitutivo, esta terça houve um debate com especialistas, hoje (quarta) deve haver a votação na comissão e o PL vai a plenário para seguir o rumo até tornar-se uma lei.


O PL apresentando continua com diversas semelhanças com a LGPD, o que possibilitará às organizações organizarem a conformidade com a IA adotando seus modelos de conformidade com a LGPD.


Uma das semelhanças é a Comunicação de Incidentes, o qual a ANPD divulgou há pouco tempo o seu regulamento por meio da Resolução 15. Seguem alguns comentários:


  • A comunicação de incidentes ganha importância na IA, se na LGPD ela está dentro da Seção I - Da Segurança e do Sigilo de Dados, no CAPÍTULO VII - DA SEGURANÇA E DAS BOAS PRÁTICAS, no PL 2.338 a comunicação de incidentes tem um capítulo só pra ela: CAPÍTULO VII DA COMUNICAÇÃO DE INCIDENTES GRAVES;
  • Enquanto na LGPD o incidente deve ser comunicado pelo Controlador, no PL 2.338 "Os agentes de IA comunicarão, em prazo razoável, às autoridades pertinentes a ocorrência de graves incidentes de segurança" (agentes de inteligência artificial: desenvolvedores, fornecedores e aplicadores que atuem na cadeia de valor e na governança interna de sistemas de inteligência artificial, nos termos definidos por regulamento);
  • Na LGPD há a definição de "risco ou dano relevante aos titulares", que pode ser verificado por meio de regras publicadas no Regulamento de Comunicação de Incidentes, no PL 2.338 o acionador da comunicação é o "graves incidentes de segurança" e o texto apresenta diversos exemplos (" incluindo quando houver risco à vida e integridade física de pessoas, a interrupção de funcionamento de operações críticas de infraestrutura, graves danos à propriedade ou ao meio ambiente, bem como graves violações aos direitos fundamentais, à integridade da informação, ao processo democrático e à disseminação de desinformação e de discursos que promovam o ódio ou a violência, nos termos do regulamento." - lembro que a desinformação foi considerada este ano pelo Fórum Econômico Mundial o principal risco global;
  • O PL 2.338 prevê aregulamentaçãoda comunicação de incidentes "A comunicação será devida, após definição, pela autoridade competente, do prazo e dos critérios de determinação da gravidade do incidente", certamente a experiência do Regulamento da ANPD trará grandes experiências;
  • Haverá um processo deavaliação pelas autoridadescompetentes ("A autoridade competente verificará a gravidade do incidente e poderá, caso necessário, determinar ao agente a adoção de providências e medidas para reverter ou mitigar os efeitos do incidente"). Certamente os parâmetros de tipificação de gravidade serão complexos;
  • O capítulo que cuida da gestão de incidentes traz granderesponsabilidadesno uso da IA: "Os agentes de IA, adicionalmente às disposições desta lei, permanecem sujeitos à legislação específica relativa a cibersegurança, proteção de infraestruturas críticas, proteção à vida e à integridade física de pessoas, danos a propriedade ou ao meio ambiente, proteção aos direitos fundamentais, disseminação de desinformação, discursos que provam o ódio ou a violência e a proteção ao processo democrático.". Me parece que a LGPD entra ali nos direitos fundamentais;
  • Na LGPD na seção degovernançahá a orientação para a implementação de um modelo de respostas a incidentes, o que não é citado no PL 2.338.

Obrigado,


Aquele abraço,


FNery.

(Art 20) Decisões Automatizadas e IA (Art 48) Gestão de Incidentes e Monitoramento Inteligência Artificial
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato