Os aspectos relacionados a utilização da Inteligência Artificial (IA) e a governança de dados transacionais das empresas têm sido itens de discussões e análises cada vez mais frequentes das entidades regulatórias no Brasil e no mundo. Fato esperado, uma vez que a IA é, atualmente, o grande fio condutor da transformação digital comprovado, por exemplo, pela velocidade com que o ChatGPT e outras aplicações congêneres vêm ganhando usuários de maneira vertiginosa mundialmente.
Enquanto a internet demorou sete anos para atingir 100 milhões de usuários ativos, o WhatsApp precisou de três anos e meio, e o TikTok conseguiu chegar a esta meta em nove meses, o ChatGPT atingiu essa quantidade de usuários em apenas 60 dias. Com o crescente número de dispositivos, pessoas e companhias conectadas no ambiente digital, ter uma alta capacidade de interpretação de dados pode facilitar muito a tomada de decisões e ser um diferencial determinante para o sucesso.
Contudo, embora a evolução da digitalização e da conectividade crie uma série de oportunidades, ela também traz consigo riscos extremamente relevantes relacionados ao uso de novas tecnologias. O alto valor atrelado à quantidade exorbitante de dados que lidamos todos os dias, tornam os ataques cibernéticos uma ameaça cada vez maior. Além disso, o vazamento de dados ou ações fraudulentas realizadas de dentro da organização são também preocupações que precisam ser levadas em consideração por toda a liderança.
Prevenir e mitigar a maior quantidade possível de riscos é uma tarefa desafiadora, mas existe um aliado poderoso que pode agir em favor de quem busca contribuir para um mercado mais ético, transparente e seguro: um programa de Compliance e Governança bem estruturado.
Existem muitos desafios para estruturar um bom programa de Compliance, especificamente quando se trata de IA. Diferentemente de privacidade e proteção de dados, que são temas muito debatidos, o mundo ainda está compreendendo as questões relacionadas à inteligência artificial.
À medida que a IA se populariza por meio de novas aplicações cada vez mais acessíveis para profissionais não técnicos, seu alcance se expande, trazendo consigo oportunidades, riscos e desafios crescentes no gerenciamento e na governança dos riscos associados ao seu uso.
Enquanto alguns países buscam viabilizar a utilização da tecnologia, outros adotam uma postura mais conservadora e cautelosa. Com isso, não existe normatização comum, e as diferentes abordagens em cada nação dificultam a criação de um Programa de Compliance aplicável em qualquer localidade, criando dificuldades para empresas multinacionais navegarem neste universo com clareza e segurança. No entanto, isso não significa que não houve nenhum avanço neste sentido.
Em votação histórica realizada no dia 13 de março de 2024, o Parlamento Europeu aprovou o AI Act, o primeiro conjunto de normas destinado a regulamentar o uso da Inteligência Artificial (IA) dentro da União Europeia (UE).
No Brasil, o Projeto de Lei nº 2338/2023 está sendo discutido com esta mesma finalidade e, em dezembro de 2024, o Plenário do Senado aprovou o texto que garante os direitos dos usuários e responsabilidades para os desenvolvedores da tecnologia. O PL ainda está em tramitação na Câmara dos Deputados e deve levar algum tempo para que seja efetivamente transformado em um Marco Regulatório. Atualmente, poucas empresas possuem um inventário sobre o uso da IA em suas operações e ambientes. Consequentemente, há riscos seja de sanções ou de imagem que seguem não gerenciados pelas organizações e podem ser a fonte de surpresas desagradáveis neste processo.
Em setembro de 2024, o Departamento de Justiça dos Estados Unidos (DOJ) publicou atualizações relevantes no guia Evaluation of Corporate Compliance Programs (ECCP), determinando que as empresas devem reconhecer e abordar os riscos associados ao uso da IA em seus programas de compliance, implementando mecanismos de controle que previnam o uso inadequado. Além disso, espera-se que as organizações utilizem desta tecnologia como uma ferramenta para monitorar sinais de alerta e melhorar a prevenção e a detecção de possíveis violações éticas.
O ECCP ressalta, ainda, a importância das empresas adotarem tecnologias capazes de coletar e analisar dados relacionados aos seus programas de compliance. A expectativa é que haja uma comparação entre os recursos tecnológicos empregados nas operações comerciais da empresa e aqueles aplicados ao seu programa de integridade. Neste sentido, o guia reforça a necessidade de proteger os denunciantes de boa-fé, destacando a relevância de políticas robustas contra retaliação.
De acordo com o documento, ao avaliar um programa de compliance, os procuradores verificarão se a empresa possui tais políticas devidamente comunicadas aos funcionários, se oferece canais internos e externos para denúncias éticas e se encoraja ou desencoraja o uso efetivo desses canais.
Essas análises devem partir de uma Avaliação dos Riscos de Fraude e Integridade realizados de forma customizada para o negócio, porte e segmento da empresa contendo a devida documentação sobre os aspectos a serem gerenciados nas respostas aos riscos, atividades de monitoramento e atualizações do programa nesta ótica, lições aprendidas no processo, entre outros.
O próprio AI Act faz referência a responsabilidade individual, e aponta que cada empresa deve estabelecer o limite de utilização de cada informação. Quanto mais inputs, maior será a assertividade dos dados, mas a definição destes limites é fundamental para uma modelagem responsável e para um controle contínuo das informações analisadas e geradas pela IA. Essa responsabilidade, geralmente, fica a cargo do time de Compliance, que inclui estas definições no programa de Compliance da companhia.
Vale destacar ainda que, por melhor e mais eficiente que seja, qualquer algoritmo da IA parte de uma base de informação fornecida por seres humanos, e essa base inevitavelmente está sujeita a vieses societários, conscientes e inconscientes. Se o algoritmo for construído e/ou utilizado baseado em vieses errados, pode comprometer toda a operação da IA e oferecer riscos significativos.
O fato é que esta agenda está em andamento e pode trazer uma série de fatores positivos para as pessoas, para as empresas e para o mercado como um todo. A IA já é uma realidade e tende a seguir atuando de forma cada vez mais presente. Com isso, é fundamental entendermos as melhores formas de utilizar positivamente essa tecnologia ao mesmo tempo que aprendemos a prevenir, identificar e combater os riscos de maneira efetiva.
Sendo assim, quando de fato vier uma legislação ou um marco regulatório sobre o tema, o dever de casa estará feito. Por isso, o envolvimento da área de Compliance das organizações é fundamental para que cada empresa se organize da melhor forma, reforçando não somente que a transparência e a ética sejam os alicerces desta mudança de paradigma, mas também que a segurança das pessoas e dos clientes seja aprimorada, fomentando assim um mercado cada vez melhor
Conte com nossos especialistas para desenvolver o Programa de Compliance da sua empresa, a fim de orientar e conduzir os negócios e o relacionamento com os colaboradores, clientes, parceiros e a comunidade, baseado em pilares como cultura organizacional, estrutura e independência, gestão e controle de riscos, reporte e investigação, e melhoria contínua.
