Em maio de 2018, uma nova regulação, o GDPR (General Data Protection Regulation) entrou em vigor na Europa. Aqui no Brasil, inspirada nessa lei foi criada a LGPD (Lei Geral de Proteção de Dados Pessoais) que vai entrar em vigor muito em breve. Portanto, como a LGPD ainda não está em vigor, e não temos experiências práticas, vamos falar sobre a GDPR e extrapolar seus resultados para nosso país.
Tenho participado de muitos eventos e debates sobre LGPD e observo que a maioria do pessoal que debate o assunto são advogados, profissionais de segurança e compliance, e consultorias especializadas. Não vejo muita gente ligada à inteligência artificial (IA), inovação ou mesmo de planejamento estratégico participando desses eventos.
Claro, advogados e profissionais de segurança e compliance são conhecedores do assunto, mas essa concentração de conhecimento em algumas áreas induz a um viés de ponto de vista. Me parece, portanto, que a discussão fica muito enviesada. Por isso, levanto a mão e pergunto: qual é o impacto da LGPD na inovação e na agenda de IA dentro das empresas?
Primeiro, as multas. A GDPR prevê multas altíssimas. A ameaça dessas multas tem sido o principal motor para a conformidade com a lei ser uma prioridade para quase todas as empresas europeias ou que fazem negócios com a Europa. Mas, será que este imenso esforço e custo de adequação vale realmente a pena?
É indiscutível que precisamos de alguns parâmetros de privacidade, mas lembro que privacidade é um conceito fluído. O que consideramos como privado hoje não era considerado assim 100 anos ou 150 anos atrás e não sabemos se continuará valendo daqui a 20 anos ou 30 anos. Como não podemos julgar o passado à luz dos conceitos sociais e econômicos do presente, também não podemos engessar o futuro com os conceitos que temos hoje.
Mas, além das multas, vamos olhar os custos de adequação. Uma coisa irritante sobre os economistas é que eles insistem que tudo tem benefícios e custos. Existe até a famosa frase “não existe almoço grátis”. Que isso significa? Que todo benefício embute um custo. A questão é até que preço estamos dispostos a pagar pela maior privacidade dos dados pessoais.
A questão é até que preço estamos dispostos a pagar pela maior privacidade dos dados pessoais
A questão do custo para as empresas e para a sociedade me parece ter sido relegada a um segundo plano nos debates sobre LGPD. Não deveria. Um artigo “Is GDPR worth the cost?” aponta que para as 500 maiores empresas do mundo o custo será de quase US$ 8 bilhões. A soma total, considerando todas as empresas, será muitas vezes maior!
No Brasil, no momento em que vivemos, com uma economia ainda cambaleante, não podemos esquecer o custo que a adoção da regulação vai causar. Isso vai desde a contratação de funcionários às multas geradas pelo descumprimento da lei. As ações realizadas para a adequação a LGPD não saem, obviamente, sem custo, e podem reduzir significativamente o capital e a capacidade de recuperação das empresas.
Um assessment para validar se uma organização está aderente ou não à legislação, custa muito dinheiro, tempo e energia. Desloca recursos humanos e financeiros. A maioria das empresas construiu ao longo de suas vidas um imenso legado de dados, que às vezes é complicado demais para analisar. E quando os dados são compartilhados?
Vamos pegar como exemplo o setor de saúde, em que dados de pacientes devem ser compartilhados para que os processos sejam eficientes. Sempre que um paciente chega a um hospital ou consultório médico, é preciso coletar pelo menos 'nome' e 'data de nascimento'. Isso significa que, para a estrita aderência à lei, serão necessários muitos contratos entre hospitais, lares de idosos e centros de diagnóstico.
Muitos desses contratos terão cláusulas diferentes. Não tem sentido anonimizar esses dados. Não tem sentido tratar um paciente de um hospital em outro por um nome genérico. Além disso, muitas vezes, é necessário coletar outros dados como cor da pele e idade, pois isso tem implicações em diversas doenças como câncer de pele.
Falando em anonimizar dados, um fator a ser considerado é que os regulamentos de privacidade, como o GDPR, abrangem não apenas os dados em que um indivíduo é identificado, mas também dados em que um indivíduo é identificável. Existe um inerente conflito aqui.
Os cientistas de dados desejam um conjunto de dados o mais rico, abrangente e variado possível. Quanto mais rico for o conjunto de dados, maior será a probabilidade de um indivíduo ser identificado a partir dele. Por exemplo, o The New York Times escreveu um artigo investigativo sobre dados de localização. Embora os dados fossem anônimos, o Times foi capaz de identificar o registro de dados que descrevia os movimentos do prefeito de Nova York, Bill de Blasio, simplesmente cruzando os dados com seu paradeiro conhecido na Mansão Gracie.
Esse exemplo ilustra os limites inerentes ao anonimato ao lidar com conformidade de privacidade. Vale a pena ler o artigo “Your Apps Know Where You Were Last Night, and They’re Not Keeping It Secret”. Aliás, identificar indivíduos após processo de anonimização não é impossível. Vários estudos mostraram que é possível sim identificar indivíduos em data sets considerados anonimizados. Por exemplo, leiam este estudo publicado na Nature, “Estimating the success of re-identifications inincomplete datasets using generative models”, e verão que a probabilidade de re-identificar alguém é altíssima.
Como muitas bases de dados são antigas e interligadas de forma primitiva, um desejo expresso de alguém para apagar os seus dados históricos pode obrigar a redesenhar sistemas e estruturas de dados por completo. Por descuido, podem ser apagados também os dados dos sistemas de cobrança, que ainda estejam válidos! Tudo isso custa muito tempo e dinheiro. Em ML, o direito ao esquecimento pode implicar que o algoritmo terá que ser retreinado, sem estes dados? Que impactos de custo e energia neste retreinamento e na sua assertividade que isso poderá provocar? Ainda não sabemos. Mas não podemos ignorar o fato.
E quanto à inovação? Vivemos em uma economia digital. A velocidade das mudanças está se acelerando. A origem da internet foi há 50 anos (29 de outubro de 1969), quando surgiu a Arpanet. Nesses 50 anos, a economia e os hábitos da sociedade mudaram, novos negócios foram criados, que eram impensáveis antes, como Google e Amazon.
Hoje, a sociedade está cada vez mais entranhada por algoritmos e a IA e robótica podem trazer grandes mudanças. A IA é estratégia prioritária para muitos países. Este artigo “An Overview of National AI Strategies” mostra como muitas nações encaram a IA como política de Estado.
Para termos ideia da evolução da IA, um relatório recente da World Intellectual Property Organization (WIPO), “WIPO Technology Trends 2019 Artificial Intelligence”, nos mostra que desde o surgimento desse campo de pesquisa, em 1950, cerca de 340 mil patentes foram solicitadas e mais de 1,6 milhão de artigos foram publicados sobre o tema da IA. Dessas patentes, cerca de metade delas (aproximadamente 170 mil) tem sua origem a partir de 2013, com ênfase em Deep Learning. E muita coisa ainda está para ser desenvolvida!
Uma regulação, por mais bem-intencionada que seja, deve ser balanceada com relação à inibição da inovação
Uma regulação, por mais bem-intencionada que seja, deve ser balanceada com relação à inibição da inovação. Alguns países europeus, para contrabalançar as limitações impostas pela GDPR, começam a adotar estratégias para facilitar o acesso a dados pessoais por empresas de setores específicos.
São esforços isolados, mas que provavelmente não serão suficientes para alavancar totalmente o valor dos dados e capturar o crescimento no longo prazo. No meu entender, o GDPR, em sua forma atual, pode colocar em risco a competitividade das empresas europeias. Como a LGPD segue a inspiração europeia, devemos nos preocupar com isso aqui também.
Nós aqui no Brasil estamos mais atrasados quanto à disseminação da IA. Precisamos correr muito para não ficarmos na terceira divisão. O sucesso de qualquer país na economia algorítmica global requer um ambiente regulatório adequado para a IA. Isso não significa eliminar privacidade ou acabar com a proteção do consumidor, mas adequar a legislação à inovação.
Alguns artigos como “The EU Needs to Reform the GDPR To Remain Competitive in the Algorithmic Economy”, “AI vs. GDPR: Finding the Balance Between Ethics and Innovation” e “Will the GDPR frustrate Europe’s plans for AI?” debatem esta questão.
Recomendo adicionalmente a leitura do artigo “Four ways how GDPR impacts AI” onde é analisado o impacto da regulação nos projetos de IA. Um estudo mais detalhado sobre esse impacto pode ser visto aqui. Creio que devemos aqui no Brasil, analisar o quanto a LGPD vai afetar o ambiente de inovação e o impacto nas startups de IA, em um cenário onde IA é a nova eletricidade, mudando e moldando a sociedade digital.
Me parece que a IA não foi debatida adequadamente quando da criação da GDPR e da LGPD. Minha percepção é que a questão foi centrada em Big Data porque o texto base do GDPR foi concluído em 2016, e IA ainda não tinha atingido o hype que tem hoje.
Em quatro anos muita coisa mudou e nos próximos cinco a dez anos muita coisa mudará. A IA se posiciona hoje como a internet estava 25 anos atrás. Em 1995, a Amazon era uma pequena livraria online e o Google não existia. O iPhone só surgiria em 2007. Ninguém, em 1995, conseguiria sequer imaginar a internet de hoje. Não podemos impedir a IA de evoluir e se transformar, como a internet se transformou. Não sabemos como estará a IA daqui a dez ou 15 anos.
Embora um número significativo de casos de usos de IA não envolva dados pessoais, muitos outros que envolvem estarão sujeitos à legislação. Os consumidores que interagem rotineiramente com serviços de IA, embutidos em assistentes pessoais que respondem a consultas faladas, robôs-consultores que fornecem aconselhamento financeiro automatizado e recomendações de filmes em serviços de streaming serão significativamente afetados, assim como praticamente todas as empresas que processam dados pessoais, como folha de pagamento, e que podem usar IA para tornar suas operações mais eficientes.
Os consumidores que interagem rotineiramente com serviços de IA serão significativamente afetados
Como tal, ao limitar indiretamente a forma como os dados pessoais são utilizados e ao aumentar os riscos jurídicos para as empresas que estão ativas em IA, regulações como GDPR (e creio, aqui o LGPD) terá um impacto negativo no desenvolvimento e na utilização da IA. Um artigo interessante que aborda o maior desafio de implementação de IA sob à regulação do GDPR pode ser lido em uma publicação da O’Reilly, “How will the GDPR impact machine learning?”.
Reconheço que o tema não tem um único ponto de vista. Existem argumentos que apontam para um inevitável retardo da evolução da IA e outros que pensam o contrário, que a regulação poderá gerar mais transparência e com isso mais confiança nos algoritmos, acelerando a adoção da IA pela sociedade. Um estudo efetuado com startups na Europa, “How Data Protection Regulation Affects Startup Innovation”, mostrou essa ambivalência. Algumas startups entrevistadas apontaram que seria um entrave e outras, que poderia ser um alavancador.
No meu entender, precisamos debater com mais profundidade o impacto da regulação na IA e identificar o melhor balanceamento de regulação versus inovação. O artigo “GDPR and Artificial Intelligence” aponta algumas conclusões de um seminário que discutiu o assunto e mostra que é necessário debater mais intensamente o tema.
A aderência à regulamentação proposta pela GDPR, de sistemas de IA baseado em Deep Learning (DL), também demanda orientação. Um sistema de DL é diferente de um sistema programático, onde neste, você analisando o código fonte, tem o controle da lógica. Em DL, dificilmente conseguimos rastrear o porquê determinada decisão foi tomada pelo algoritmo.
Essa preocupação ainda não está na cabeça dos gestores de empresa que usam DL no Brasil, mas, em breve, será mais um motivo de inquietação. Já existem algumas inciativas como uma recente, produzida no Reino Unido, “Explaining decisions made with AI” que pode ser base de um roteiro para a realidade brasileira.
O próprio Parlamento Europeu publicou um estudo, “The impact of the General Data Protection Regulation (GDPR) on artificial intelligence”, onde insiste no maior aprofundamento do debate dos impactos da legislação no desenvolvimento de soluções baseadas em IA.
Recomendo também a leitura do relatório “Artificial Intelligence and Data Protection - How the GDPR Regulates AI”, do Centre for Information Policy Leadership (CIPL), que cita um ponto: ”As demonstrated in this paper, the GDPR already extensively regulates AI.”. Pois é. Não podemos ignorar os efeitos que legislações como GDPR e aqui a LGPD, provocarão no desenvolvimento de soluções de IA. Ponto!
Tudo isso me leva a expressar a opinião que precisamos sair do debate exclusivamente feito por advogados e profissionais em segurança e compliance, para ampliar o escopo da discussão. Precisamos engajar mais cientistas de dados, engenheiros de ML, e pessoal envolvido com inovação e startups nas discussões.
Precisamos criar debates que analisem o impacto, positivo e/ou negativo da LGPD na evolução da IA no Brasil e o que ações precisaremos desenvolver. Temos urgentemente que tornar o país muito mais competitivo do que é hoje e, infelizmente, não vejo esse tema fundamental, a IA como motor da sociedade digital, sendo debatido nos eventos e debates sobre LGPD. Temos que mudar isso!
*Cezar Taurion é VP de Inovação da CiaTécnica Consulting, e Partner/Head de Digital Transformation da Kick Corporate Ventures. Membro do conselho de inovação de diversas empresas e mentor e investidor em startups de IA. É autor de nove livros que abordam assuntos como Transformação Digital, Inovação, Big Data e Tecnologias Emergentes. Professor convidado da Fundação Dom Cabral, PUC-RJ e PUC-RS.