Privacidade, Governança e Inteligência Artificial.

A adoção de sistemas de Inteligência Artificial requer método, estrutura e governança, menos improviso e mais decisão qualificada. Privacidade não trava a IA. O que compromete a eficiência organizacional é a tomada de decisão desprovida de estrutura, método e responsabilização.

A incorporação da Inteligência Artificial em múltiplas dimensões da rotina humana deixou de ser experimental ou ocasional, passando a integrar, de forma estrutural, processos decisórios, operacionais e relacionais. Sistemas de recomendação, assistentes digitais multidisciplinares, análises preditivas, automação de atendimento e decisões algorítmicas já influenciam diretamente indivíduos, organizações e mercados.

O ponto crítico, contudo, não reside na Inteligência Artificial em si, mas na forma como as decisões sobre sua adoção, uso e governança são estruturadas.

Pesquisas recentes evidenciam esse desafio. Segundo a PwC – Global Risk Survey, mais de 40% dos líderes afirmam não compreender adequadamente os riscos cibernéticos associados às tecnologias emergentes, a exemplo da IA generativa. Esse cenário favorece decisões fragmentadas, tomadas sem critérios claros, muitas vezes impulsionadas pela dinâmica acelerada da inovação, pela busca por eficiência operacional, pela competitividade do mercado ou pela influência de múltiplos ambientes de decisão.

As tecnologias digitais, em especial a Inteligência Artificial, são relevantes e necessárias no contexto contemporâneo. No entanto, não compreender os riscos que as permeiam significa decidir sem informações suficientes, comprometendo a qualidade das escolhas estratégicas. É nesse contexto que a privacidade, equivocadamente, passa a ser percebida como obstáculo, quando, na realidade, evidencia fragilidades de governança já existentes.

A Inteligência Artificial não cria riscos inéditos no tratamento de dados pessoais, mas amplifica e acelera riscos já conhecidos. A diferença está na escala, na velocidade e, sobretudo, no grau de opacidade envolvido. Quando esses riscos não são mapeados desde a concepção da adoção da IA, os impactos podem ser severos, resultando em paralisação de iniciativas, engessamento de processos, fragilização de políticas internas e colapso de diretrizes organizacionais, com elevado consumo de tempo, recursos financeiros e capital humano.

Entre os principais riscos ampliados pela IA no tratamento de dados pessoais, destacam-se:

• o uso de dados pessoais em desconformidade com a finalidade originalmente informada;
• o tratamento excessivo de dados, sem limitação ao mínimo necessário, em afronta ao princípio da necessidade;
• a restrição ou esvaziamento da autodeterminação informativa dos titulares, especialmente diante de tratamentos opacos ou pouco compreensíveis;
• a realização de decisões automatizadas sem transparência suficiente quanto a critérios, lógica e efeitos;
• a ocorrência de vieses algorítmicos com potencial impacto sobre direitos e liberdades fundamentais;
• a dificuldade de explicitação, justificativa e auditoria dos critérios decisórios adotados;
• o reuso de bases de dados sem avaliação adequada de compatibilidade de finalidades e riscos.

Essa desconexão também se manifesta de forma evidente no uso da Inteligência Artificial. Pesquisas da Cisco indicam que, embora consumidores em geral apoiem a IA e muitos estejam dispostos a compartilhar dados anonimizados para o desenvolvimento de soluções mais eficientes, a tomada de decisão automatizada permanece como uma das principais fontes de preocupação, especialmente em contextos com impactos diretos sobre direitos e oportunidades, como concessão de crédito ou acesso a oportunidades de trabalho. Enquanto 96% das organizações afirmam possuir processos alinhados a padrões responsáveis e éticos no uso da IA, percepção que representa avanço em relação a anos anteriores, 60% dos consumidores demonstram preocupação com a forma como a IA vem sendo aplicada e 65% afirmam já ter perdido a confiança nas práticas organizacionais relacionadas à IA. O próprio levantamento revela, ainda, que 92% das organizações reconhecem a necessidade de avançar, especialmente no sentido de assegurar aos titulares que seus dados estão sendo utilizados exclusivamente para finalidades legítimas e claramente informadas. O cenário evidencia um descompasso estrutural entre a autopercepção organizacional de conformidade e a confiança efetivamente percebida pelos titulares de dados.

Um erro recorrente consiste em tratar a Inteligência Artificial como um projeto estritamente tecnológico, dissociado de um mapeamento decisório estruturado que articule conformidade normativa, operação e geração de valor. Outro equívoco frequente é delegar decisões relativas à IA exclusivamente às áreas técnicas, o que fragiliza os mecanismos de responsabilização e compromete a prestação de contas quanto aos impactos do tratamento de dados pessoais e das decisões automatizadas.

Quando a IA é tratada apenas como iniciativa de inovação tecnológica:

• a privacidade é incorporada tardiamente ao ciclo de vida das soluções, em detrimento de uma abordagem preventiva;
• o Encarregado pelo Tratamento de Dados Pessoais (DPO) atua de forma predominantemente reativa;
• riscos jurídicos, éticos e operacionais são identificados apenas em estágios avançados, quando o sistema já está em produção;
• há priorização do atendimento formal ao compliance regulatório, em detrimento da construção de confiança substantiva junto aos titulares.

Uma governança eficaz desloca a pergunta de “isso é possível?” para “isso é adequado, proporcional e justificável?”.

Nesse contexto, o papel do Encarregado pelo Tratamento de Dados Pessoais (DPO) transcende a atuação operacional. O DPO assume função estratégica de governança ao integrar conformidade normativa, desenho técnico das soluções e objetivos institucionais. Sua atuação preventiva ao longo de todo o ciclo de vida dos sistemas de IA, da concepção à operação, permite a incorporação efetiva dos princípios da finalidade, necessidade, transparência, não discriminação e prestação de contas.

Ademais, desempenha papel central na estruturação de processos decisórios claros, auditáveis e responsabilizáveis, especialmente diante da complexidade técnica e da opacidade de determinados modelos de IA.

O DPO não é um fiscal do código nem um bloqueador da inovação.
Seu papel é traduzir risco em decisão executiva viável.

Em ambientes que utilizam Inteligência Artificial, essa atuação estratégica se materializa, entre outros aspectos, por meio de:

• participação na definição e priorização de casos de uso, considerando finalidade, proporcionalidade e impacto;
• apoio à realização e qualificação de avaliações de impacto à proteção de dados, como RIPD (DPIA) ou Teste de Balanceamento (LIA);
• análise crítica das fontes de dados quanto à qualidade, adequação e representatividade;
• estímulo a debates estruturados sobre explicabilidade, transparência e compreensibilidade dos sistemas.

A adoção de abordagens de Privacy by Design em projetos de IA tende a gerar ganhos institucionais relevantes, ampliando a confiança dos titulares, reduzindo retrabalho, incertezas e riscos futuros, e acelerando decisões organizacionais.

Governança de IA é governança de pessoas. Colocar o titular de dados no centro das decisões não é um conceito abstrato. Decisões automatizadas produzem efeitos concretos sobre múltiplas dimensões da vida do indivíduo, como:

• acesso a crédito;
• oportunidades de trabalho;
• ofertas de produtos e serviços;
• definição de perfis e classificações automatizadas;
• experiências em ambientes digitais.

Nesse cenário, transparência, escuta ativa e responsabilização deixam de ser princípios teóricos e passam a ser critérios objetivos de decisão. O uso responsável da Inteligência Artificial exige registros claros, critérios documentados, canais de questionamento e revisão, além de abertura ao diálogo com titulares e órgãos reguladores.

Organizações que incorporam a governança em privacidade como elemento estratégico tendem a apresentar:

• maior celeridade decisória;
• inovação com menor risco jurídico, ético e operacional;
• construção de confiança sustentável;
• redução da exposição regulatória e reputacional.

Governança de Inteligência Artificial é, em essência, governança de decisões humanas. A questão central não é se a organização utilizará IA, mas como essas decisões estão sendo estruturadas, documentadas e responsabilizadas.

Este texto foi submetido a revisão ortográfica e de padronização linguística com apoio de sistemas de Inteligência Artificial.

Fontes

• PwC – Global Risk Survey
• Cisco – Consumer Privacy Survey 2022
• Cisco – Data Privacy Benchmark Study 2023
• ANPD – Guia Orientativo sobre Tratamento de Dados Pessoais e IA

Artigo gentilmente escrito e cedido ao EXIN por Rosí Mainardes, (Governança em Privacidade – DPO EXIN® | LGPD| GovPrivacy | GovDados | Engenheira de Software | Analista de Sistemas | Palestrante| Mentora em mapeamento de dados |Direito Digital).

Aproveite e conheça algumas Trilhas EXIN que podem contribuir para sua formação nos temas deste artigo e a intersecção entre elas (Downloads  gratuitos de cada módulo  – ementas/guides e simulados) podem ser feitas em nosso site):

• EXIN DPO (Data Protection Officer)
• EXIN AICO (AI Compliance Officer)