Por Rony Vainzof*

Pesquisa da MIT Sloan Management Review, com 1240 empresas, de 87 países e 59 setores diferentes, com receita anual de ao menos US$ 100 milhões por ano, chegou a conclusão que 55% de todas as falhas de IA decorrem de ferramentas de terceiros, como ChaGPT, Dall-E e Midjourney. 

A descoberta chama a atenção das empresas para a necessidade de estabelecer governança empresarial para o uso da IA Generativa, para fins internos ou para abarcá-la na prestação de serviços ou produtos a terceiros.

De fato, ferramentas de IA de terceiros, incluindo modelos de código aberto, plataformas e APIs comerciais, estão se tornando essenciais para a estratégia de praticamente todas as organizações. 

Abarcar IA Generativa para consumo interno ou em produtos e serviços, gera competividade para grandes, médias e pequenas empresas. Mas, de forma proporcional, riscos comerciais, reputacionais, regulatórios e de confiança acompanham essa complexa evolução de gestão de terceiros e necessitam máxima atenção.

Assim, passa-se a exigir que programas de governança corporativa enderecem, sob a perspectiva de IA Responsável, a avaliação proativa dessas soluções de IA, de forma a mitigar potenciais riscos.

IA Responsável é uma abordagem de governança, incluindo princípios, políticas, ferramentas, processos e cultura para desenvolver, avaliar, implantar ou utilizar sistemas de IA de forma segura, confiável, lícita, ética e para o bem dos indivíduos e da sociedade, ao mesmo tempo em que gera impacto empresarial transformador.

Sob a perspectiva legal, Marcos Regulatórios de IA ainda estão em discussão globalmente (como o AI Act, na UE, e os PLs 21/20 e 2.338/23, no Brasil). Porém, de acordo com o uso da tecnologia, normas específicas já são aplicáveis, como leis de proteção de dados e de defesa do consumidor.

Sobre o tema, o mencionado estudo da MIT Sloan Management Review, também identificou que 51% das organizações relataram estar sujeitas a regulações não específicas de IA, que se aplicam de acordo com o uso da tecnologia, incluindo uma alta proporção nos setores financeiro, seguro, saúde e administração pública.

Ainda, que apenas 28% das organizações relataram ter CEO que desempenhe papel de esforço para a IA Responsável, e os que estão verdadeiramente envolvidos com a IA Responsável, garantem 58% mais benefícios de negócios do que CEOs desinteressados no tema, além da maior probabilidade de investimento no assunto (39% versus 22%). 

Isso envolve: ajudar a organização a identificar e abordar riscos existentes; engajar contratações relacionadas ao tema, nas decisões e discussões em nível de produto e definição de metas; alocar budget adequado para o tema; e contribuir para um maior sentimento de preparação empresarial para o futuro. Ou seja:

1) O board deve desempenhar papel significativo na construção de cultura organizacional que apoie esforços de IA Responsável entre gestores, funcionários, fornecedores e outros parceiros, incluindo a demonstração de vontade de identificar e corrigir potenciais falhas de IA;

2) Os CEOs são fundamentais para implementar investimentos significativos e duradouros que apoiem programas de IA Responsável, robustos e eficazes, face a um cenário de ameaças complexas em rápida evolução;

3) Com o aumento dos riscos de IA e a intensificação da supervisão legal e regulatória, as empresas devem impor esforços financeiros e de governança na busca da IA Responsável, especialmente quando do uso da tecnologia de terceiros;

4) Não há solução única para mitigar os riscos de IA de terceiros, mas empregar ampla variedade de abordagens e métodos para avaliá-las pode ter maior eficácia;

5) Importante acompanhar a evolução regulatória globalmente. Por exemplo, além da proposta do AI Act, na UE, e do PL 2338/23, no Brasil, nos EUA, algumas leis estaduais nos EUA abordam a utilização de IA no contexto de recursos humanos, contratação e emprego.

Podemos concluir, acerca da gestão de IA de terceiros, pela necessidade de avaliação de práticas de IA Responsável dos fornecedores, incluindo auditorias, protocolos de monitoramento e adesão aos padrões de boas práticas de mercado, bem como da importância da elaboração de matriz de risco dinâmica, de acordo com os seguintes critérios: data loss prevention; segurança cibernética e proteção de dados; violação de direitos de terceiros (no input e output); direito de exploração do conteúdo gerado; qualidade e precisão do conteúdo no output; vieses discriminatórios; ausência de transparência; explicabilidade; e continuidade dos negócios.

Rony Vainzof é advogado, especializado em LGPD e em Proteção de Dados e consultor da FecomercioSP.

Conheça o Conselho de Economia Digital e Inovação (CEDI).