Gestão de Riscos na prática!

Gestão de riscos em IA com a ISO 23894: Aplicando em Chatbots para LGPD

Com o avanço da Inteligência Artificial, vem aumentando o uso de chatbots para automatizar o atendimento a clientes e usuários. Mas, quando se trata de proteção de dados pessoais com a LGPD, surgem riscos associados.


É preciso garantir que o uso do chatbot esteja em conformidade com a LGPD e que os direitos dos titulares sejam atendidos adequadamente.


Esses direitos dos titulares precisam ser respeitados, e se por um lado o uso de chatbot pode ser um recurso importante para atender automaticamente essas solicitações, por outro lado, traz também o risco de não conformidade caso não sejam tomadas as medidas corretas.


Este artigo ilustra uma aplicação prática da ISO 23894 com exemplo no uso de chatbot inteligente para atender solicitações de titulares de

dados, no contexto da LGPD.


Convém que os riscos de IA sejam identificados, quantificados ou qualitativamente descritos e priorizados em relação aos critérios de risco e objetivos da organização. (ISO 23894)


A ISO 23894, norma de gestão de riscos em IA segue os mesmos princípios, estrutura e processo da ISO 31000, fornecendo diretrizes para a gestão de riscos específicos de IA. E para ajudar especificamente na gestão dos riscos do chatbot, a norma oferece uma abordagem sistemática para identificar, avaliar, tratar e monitorar os riscos.


Identificação de Riscos

O primeiro passo é identificar os riscos que podem surgir no processo de atendimento automatizado, como:


  • Falhas no cumprimento dos direitos dos titulares: garantir que todas as solicitações sejam atendidas dentro dos requisitos e prazos legais
  • Vulnerabilidades de segurança: garantir a proteção adequada dos dados pessoais, para evitar vazamento ou uso indevido de dados pessoais dos usuários.
  • Erros na interpretação das solicitações: garantir que o chatbot entenda corretamente as solicitações, resultando em decisões adequadas.
  • Falta de transparência nas respostas: garantir fornecer explicações claras e compreensíveis.


Avaliação de Riscos

Após identificar os riscos, o próximo passo é analisar a probabilidade e o impacto de cada risco específico. Para este caso de uso, vamos focar em um dos riscos identificados: falha no cumprimento dos direitos dos titulares.


-> Probabilidade (4) – Este risco foi considerado com alta probabilidade, pois diversas causas podem levar a esse resultado:


  • Falta de treinamento adequado do chatbot: o chatbot pode não ser suficientemente treinado para interpretar corretamente as solicitações dos titulares, especialmente as mais complexas ou fora do escopo padrão.
  • Erros na configuração dos fluxos de solicitação: se o fluxo de atendimento não for configurado corretamente, pode resultar em erros no encaminhamento ou no atendimento da solicitação, prejudicando o cumprimento dos direitos.
  • Falta de integração com sistemas internos: a ausência de integração entre o chatbot e os sistemas internos (como o CRM ou bancos de dados) pode atrasar ou impedir o processamento correto das solicitações.
  • Ausência de atualização ou manutenção contínua: a falta de atualização do chatbot para refletir as mudanças nas regulamentações ou no processo de atendimento pode comprometer o cumprimento dos direitos dos titulares.


Esses fatores aumentam significativamente a probabilidade de erro, especialmente se o sistema não for regularmente monitorado ou ajustado.


-> Impacto (4) – Caso a falha no cumprimento dos direitos dos titulares ocorra, o impacto seria significativo, podendo resultar em:


  • Violação da LGPD: multas e sanções regulatórias impostas pela Autoridade Nacional de Proteção de Dados (ANPD), além de possíveis ações judiciais.
  • Dano à reputação da empresa: não conformidade com a LGPD, prejudicando a imagem da empresa e resultando na perda de confiança dos consumidores.
  • Ações legais por parte dos titulares: os titulares de dados podem buscar reparação judicial, o que gera custos adicionais e expõe a empresa a danos financeiros e de imagem.
  • Impacto na satisfação do cliente: falha no cumprimento das solicitações, afetando a experiência do usuário e, possivelmente, aumentando a taxa de churn.
  • Custos adicionais e recursos desperdiçados: retrabalho para corrigir os erros resultando em custos imprevistos e a necessidade de realocar recursos da empresa para resolver as falhas.




Dado a probabilidade alta (4) da falha no cumprimento dos direitos dos titulares e com significativo impacto (4) que pode gerar, a ação necessária é tratá-lo com urgência!


Tratamento de Riscos

É preciso agora implementar ações para tratar o risco, como por exemplo:


  • Treinamento e configuração do chatbot: garantir que o chatbot seja capaz de compreender e processar corretamente as solicitações dos titulares.
  • Integração de sistemas internos: o chatbot deve ser integrado aos sistemas da empresa (CRM, banco de dados) para garantir que as solicitações sejam atendidas de forma eficiente e dentro dos prazos.
  • Monitoramento contínuo: monitoramento regular para verificar se o chatbot está atendendo aos requisitos da LGPD e ajustando o sistema conforme necessário.






Comunicação e Consulta

A norma também enfatiza a importância da comunicação e consulta com as partes interessadas, como o time jurídico, a equipe de TI e os próprios titulares de dados. Manter uma comunicação clara sobre como os dados são processados e como os riscos são gerenciados é crucial para garantir que as expectativas sejam alinhadas e que as ações corretivas sejam bem compreendidas.


Registro e Relato

Finalmente, temos o registro e relato de todas as atividades relacionadas à gestão de riscos, garantindo a transparência no processo. O registro inclui desde a identificação e avaliação de riscos até as ações corretivas e de monitoramento implementadas para tratar os riscos, permitindo que a empresa possa demonstrar conformidade com a LGPD, caso seja necessário.


Este caso prático é apenas uma demonstração de como a ISO 23894, seguindo os princípios, estrutura e processos da ISO 31000, pode ser aplicada para gerenciar os riscos associados ao uso de IA, especificamente no contexto de chatbots e sua conformidade com a LGPD.


É importante destacar que este exemplo de aplicação não é uma solução única, mas sim uma ilustração de como a norma pode ser utilizada em diferentes cenários de IA. Neste sentido, o documento contém anexos que detalham os objetivos da gestão de riscos em IA (Anexo A), as fontes de risco (Anexo B) e o ciclo de vida da IA (Anexo C), fornecendo uma abordagem completa para enfrentar os desafios de integrar tecnologias de IA.


E aí, você já conhecia a ISO 23894? Já teve a oportunidade de aplicá-la na prática para gerenciar os riscos no uso de IA? Compartilhe seus desafios e experiência!


Abraços,


Alberto Bastos

Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato