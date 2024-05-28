Em novembro de 2023, a Agência de Proteção à Privacidade da Califórnia (CPPA) divulgou um conjunto de regulamentos preliminares sobre o uso de inteligência artificial (IA) e tecnologia automatizada de tomada de decisão (ADMT).
As regras propostas ainda estão em desenvolvimento, mas as organizações podem querer prestar muita atenção à sua evolução. Como o estado abriga muitas das maiores empresas de tecnologia do mundo, quaisquer regulamentações de IA que a Califórnia adotar podem ter um impacto muito além de suas fronteiras.
Além disso, um tribunal de apelações da Califórnia decidiu recentemente que a CPPA pode aplicar as regras imediatamente assim que forem finalizadas. Ao acompanhar o progresso das regras da ADMT, as organizações podem se posicionar melhor para cumpri-las assim que as regulamentações entrarem em vigor.
A CPPA ainda está aceitando comentários públicos e avaliações as regras, portanto os regulamentos podem mudar antes de serem adotados oficialmente. Esta postagem é baseada no rascunho mais atual de 9 de abril de 2024.
A Lei de Privacidade do Consumidor da Califórnia (CCPA), a lei de privacidade de dados de referência da Califórnia, não abordava originalmente o uso do ADMT diretamente. Isso mudou com a aprovação da Lei de Direitos de Privacidade da Califórnia (CPRA) em 2020, que alterou a CCPA de várias maneiras importantes.
A CPRA criou a CPPA, uma agência regulatória que implementa e faz cumprir as regras da CCPA. A CPRA também deu à CPPA a autoridade para emitir regulamentações relativas aos direitos dos consumidores da Califórnia de acessar informações sobre e recusar decisões automatizadas. O CPPA está trabalhando nas regras do ADMT sob esta autoridade.
Assim como no restante da CCPA, o projeto de regras se aplicaria a organizações com fins lucrativos que realizam negócios na Califórnia e que atendam a pelo menos um dos seguintes critérios:
Além disso, as regulamentações propostas se aplicariam somente a determinados usos da IA e do ADMT: tomada de decisões significativas, criação abrangente de perfis de consumidores e treinamento de ferramentas do ADMT.
O rascunho atual define tecnologia de tomada de decisão automatizada como qualquer software ou programa que processa dados pessoais e usa computação para executar uma decisão, substituir a tomada de decisão humana ou facilitar substancialmente a tomada de decisões humanas. A minuta observa especificamente que essa definição inclui software e programas "derivados de aprendizado de máquina, estatística, outras técnicas de processamento de dados ou inteligência artificial".
As regras preliminares nomeiam explicitamente algumas ferramentas que não contam como ADMT, incluindo filtros de spam, planilhas e firewalls. No entanto, se uma organização tentar usar essas ferramentas isentas para tomar decisões automatizadas de forma a contornar as regulamentações, as regras serão aplicadas a esse uso.
O projeto de regras se aplicaria a qualquer uso do ADMT para tomar decisões que tenham efeitos significativos para os consumidores. De modo geral, uma decisão significativa é aquela que afeta os direitos de uma pessoa ou o acesso a bens, serviços e oportunidades críticos.
Por exemplo, o projeto de regras abrangeria decisões automatizadas que afetam a capacidade de uma pessoa conseguir um emprego, ir à escola, receber assistência médica ou obter um empréstimo.
Criação de perfis é o ato de processar automaticamente as informações pessoais de alguém para avaliar, analisar ou prever seus traços e características, como desempenho no trabalho, interesses de produtos ou comportamento.
"Criação de perfis extensiva" refere-se a tipos específicos de criação de perfis:
As regras preliminares se aplicariam ao uso de dados pessoais do consumidor pelas empresas para treinar determinadas ferramentas ADMT. Especificamente, as regras abrangeriam o treinamento de um ADMT que possa ser usado para tomar decisões significativas, identificar pessoas, gerar deepfakes ou realizar identificação física ou biológica e criação de perfis.
Como uma lei da Califórnia, as proteções ao consumidor da CCPA se estendem somente aos consumidores que residem na Califórnia. O mesmo se aplica às proteções que o projeto de regras do ADMT concede.
Dito isso, essas regras definem o "consumidor" de forma mais ampla do que muitos outros regulamentos de privacidade de dados. Além de pessoas que interagem com uma empresa, as regras abrangem funcionários, estudantes, contratados independentes e escolas e candidatos a emprego.
A versão preliminar dos regulamentos CCPA para IA tem três requisitos principais. As organizações que usam o ADMT coberto devem emitir avisos de pré-uso aos consumidores, oferecer maneiras de recusar o ADMT e explicar como o uso do ADMT pela empresa afeta o consumidor.
Embora a CPPA tenha revisado os regulamentos uma vez e provavelmente o faça novamente antes que as regras sejam formalmente adotadas, esses requisitos fundamentais aparecem em cada projeto até o momento. O fato de esses requisitos persistirem sugere que permanecerão nas regras finais, mesmo que os detalhes de sua implementação mudem.
Antes de usar o ADMT para uma das finalidades cobertas, as organizações devem fornecer aos consumidores um aviso prévio de uso de forma clara e visível. O aviso deve detalhar em linguagem simples como a empresa usa o ADMT e explicar os direitos dos consumidores de acessar mais informações sobre o ADMT e optar por sair do processo.
A empresa não pode recorrer a uma linguagem genérica para descrever como usa o ADMT, como "Usamos ferramentas automatizadas para melhorar nossos serviços". Em vez disso, a organização deve descrever o uso específico.
O aviso deve direcionar os consumidores a informações adicionais sobre como o ADMT funciona, incluindo a lógica da ferramenta e como a empresa usa suas produções. Essas informações não precisam estar no corpo do aviso. A organização pode fornecer aos consumidores um hiperlink ou outra forma de acessá-lo.
Se a empresa permitir que os consumidores recorrem de decisões automatizadas, o aviso pré-uso deve explicar o processo de contestação.
Os consumidores têm o direito de optar por não fazer a maioria dos usos cobertos da ADMT. As empresas devem facilitar esse direito, oferecendo aos consumidores pelo menos duas maneiras de enviar solicitações de opção de exclusão.
Pelo menos um dos métodos de exclusão deve usar o mesmo canal através do qual a empresa interage principalmente com os consumidores. Por exemplo, um varejista digital pode ter um formulário da web para os usuários preencherem.
Os métodos de exclusão devem ser simples e não podem ter etapas estranhas, como exigir que os usuários criem contas.
Ao receber uma solicitação de exclusão, a empresa deve parar de processar as informações pessoais do consumidor usando essa tecnologia de tomada de decisão automatizada dentro de 15 dias. A empresa não pode mais usar nenhum dos dados do consumidor que processava anteriormente. A empresa também deve notificar quaisquer prestadores de serviços ou terceiros com quem compartilhou os dados do usuário.
As organizações não precisam permitir que os consumidores optem por não receber o ADMT usado para segurança, proteção e prevenção de fraudes. O projeto de regras menciona especificamente o uso da ADMT para detectar e responder a incidentes de segurança de dados, prevenir e processar atos fraudulentos e ilegais e garantir a segurança física de uma pessoa física.
De acordo com a exceção de recurso humano, uma Organização não precisa habilitar a opção de exclusão se permitir que as pessoas recorram de decisões automatizadas a um revisor humano qualificado com autoridade para anular essas decisões.
As organizações também pode dispensar a opção de exclusão para certos usos específicos do ADMT em contextos de trabalho e escolares. Esses usos incluem:
No entanto, esses usos profissionais e escolares só estão isentos de opção de exclusão se atenderem aos seguintes critérios:
Nenhuma dessas isenções se aplica à publicidade comportamental ou ao treinamento do ADMT. Os consumidores sempre podem optar por não esses usos.
Os consumidores têm o direito de acessar informações sobre como uma empresa usa o ADMT com eles. As organizações devem oferecer aos consumidores uma maneira fácil de solicitar essas informações.
Ao responder a solicitações de acesso, as organizações devem fornecer detalhes como o motivo para usar o ADMT, a produção do ADMT em relação ao consumidor e uma descrição de como a empresa usou a produção para tomar uma decisão.
As respostas às solicitações de acesso devem incluir também informações sobre como o consumidor pode exercer seus direitos da CCPA, tais como registrar reclamações ou solicitar a exclusão de seus dados.
Se uma empresa usar o ADMT para tomar uma decisão significativa que afete negativamente um consumidor (por exemplo, levando à rescisão do contrato de trabalho), a empresa deverá enviar um aviso especial ao consumidor sobre seus direitos de acesso em relação a essa decisão.
A notificação deve incluir:
A CPPA está desenvolvendo projetos de regulamentação sobre avaliações de risco juntamente com as regras propostas sobre IA e ADMT. Embora esses sejam tecnicamente dois conjuntos separados de regras, os regulamentos de avaliação de risco afetariam a forma como as organizações usam IA e ADMT.
As regras de avaliação de risco exigiriam que as organizações realizassem avaliações antes de usar o ADMT para tomar decisões significativas ou realizar uma criação de perfil extensiva. As organizações também precisariam realizar avaliações de risco antes de usar informações pessoais para treinar determinados modelos ADMT ou IA.
As avaliações de risco devem identificar os riscos que o ADMT representa para os consumidores, os potenciais benefícios para a organização ou outros stakeholders e as proteções para mitigar ou remover o risco. As organizações devem evitar o uso de IA e ADMT onde o risco for superior ao benefício.
As regras preliminares da Califórnia sobre ADMT estão longe de ser a primeira tentativa de regulamentar o uso de IA e decisões automatizadas.
A Lei de IA da União Europeia impõe requisitos rigorosos para o desenvolvimento e o uso da IA na Europa.
Nos EUA, a Lei de Privacidade do Colorado e a Lei de Proteção de Dados do Consumidor da Virgínia dão aos consumidores o direito de optar por não terem suas informações pessoais processadas para tomar decisões significativas.
Em âmbito nacional, o Presidente Biden assinou uma ordem executiva em outubro de 2023, orientando as agências e departamentos federais a criarem normas para o desenvolvimento, utilização e supervisão da IA nas suas respectivas jurisdições.
Mas os regulamentos propostos para a ADMT na Califórnia atraem mais atenção do que outras leis estaduais porque elas podem potencialmente afetar a forma como as empresas se comportam além das fronteiras do estado.
Grande parte do setor global de tecnologia está sediada na Califórnia, portanto, muitas das organizações que produzem as ferramentas de tomada de decisão automatizadas mais avançadas terão que cumprir essas regras. As proteções ao consumidor se estendem somente aos residentes da Califórnia, mas as organizações podem oferecer aos consumidores de fora da Califórnia as mesmas opções por uma questão de simplicidade.
A CCPA original é frequentemente considerada a versão dos EUA do Regulamento Geral de Proteção de Dados (GDPR) porque elevou o nível das práticas de privacidade de dados em todo o país. Essas novas regras de IA e ADMT podem produzir resultados semelhantes.
As regras ainda não foram finalizadas, então é impossível dizer com certeza. Dito isso, muitos observadores estimam que as regras não entrarão em vigor até meados de 2025, no mínimo.
Espera-se que a CPPA realize outra reunião do conselho em julho de 2024 para discutir melhor as regras. Muitos acreditam que o Conselho da CPPA provavelmente iniciará o processo formal de elaboração de regras nesta reunião. Se assim for, a agência teria um ano para finalizar as regras, daí a data de entrada em vigor estimada para meados de 2025.
Assim como em outras partes da CCPA, a CPPA terá poderes para investigar violações e multar organizações. O procurador-geral da Califórnia também pode impor penalidades civis por não conformidade.
As organizações podem ser multadas em US$ 2.500 por violações não intencionais e em US$ 7.500 por violações intencionais. Esses valores são por violação, e cada consumidor afetado conta como uma violação. As penalidades podem aumentar rapidamente quando as violações envolvem vários consumidores, o que frequentemente acontece.
As regras preliminares ainda estão em andamento. A CPPA continua a solicitar comentários públicos e a realizar discussões no conselho, e as regras provavelmente mudarão ainda mais antes de serem adotadas.
A CPPA já fez revisões significativas nas regras com base em feedback anterior. Por exemplo, após a reunião do conselho de dezembro de 2023, a agência adicionou novas isenções do direito de optar por não participar e colocou restrições à criação de perfis físicos e biológicos.
A agência também ajustou a definição de ADMT para limitar o número de ferramentas às quais as regras se aplicariam. Embora o rascunho original incluísse qualquer tecnologia que facilitasse a tomada de decisão humana, o rascunho mais atual se aplica apenas à ADMT que facilita substancialmente a tomada de decisão humana.
Muitos grupos do setor sentem que a definição atualizada reflete melhor as realidades práticas do uso do ADMT, enquanto os defensores da privacidade se preocupam com a criação de brechas exploráveis.
Até o próprio conselho da CPPA está dividido sobre como devem ser as regras finais. Em uma reunião de março de 2024, dois membros do conselho expressaram preocupações de que a minuta atual excede a autoridade do conselho.
Considerando a forma como as regras evoluíram até agora, os requisitos fundamentais para avisos prévios de uso, direitos de opção de exclusão e direitos de acesso têm uma forte chance de permanecerem intactos. No entanto, as organizações podem ter dúvidas persistentes, como:
Seja qual for o resultado, essas regras terão implicações significativas na forma como a IA e a automação são regulamentadas em todo o país e na forma como os consumidores estão protegidos após essa tecnologia em expansão.
Isenção de responsabilidade: o cliente é responsável por garantir a conformidade com todas as leis e regulamentos aplicáveis. A IBM não fornece conselho jurídico tampouco representa ou garante que seus serviços ou produtos garantirão que o cliente esteja em conformidade com qualquer lei ou regulamentação.