A Autoridade Nacional de Proteção de Dados (ANPD) divulgou uma convocação à sociedade para participar da consulta referente ao seu programa piloto de sandbox regulatório. Essa iniciativa é uma importante ferramenta regulatória e poderá trazer resultados como uma eventual regulação sobre a temática, o aumento da transparência algorítmica e o fomento à inovação responsável em IA.
Neste artigo, você irá entender o que é um sandbox regulatório, quais os objetivos dessa abordagem em IA e como as empresas de tecnologia serão impactadas com essa iniciativa.
O que é um Sandbox Regulatório?
Um sandbox regulatório é um ambiente controlado e temporário onde as autoridades reguladoras permitem que empresas e inovadores testem novas ideias, produtos, serviços ou modelos de negócios sob regras flexíveis e adaptadas. Essa abordagem visa promover a inovação, facilitando o desenvolvimento de soluções disruptivas, especialmente em setores altamente regulados, como serviços financeiros, saúde e tecnologia.
Dentro de um sandbox regulatório, as empresas participantes recebem isenções temporárias ou reduções nas regulamentações existentes, permitindo-lhes experimentar, validar e aprimorar suas inovações com menos barreiras e riscos. Isso pode incluir relaxamento de requisitos de licenciamento, conformidade e segurança, desde que sejam mantidas salvaguardas para proteger os consumidores e a estabilidade do mercado.
Os sandbox regulatórios também funcionam como um mecanismo de aprendizado mútuo entre empresas e reguladores, permitindo que as autoridades entendam melhor as implicações das novas tecnologias e modelos de negócios, ao mesmo tempo em que as empresas ganham experiência prática sob supervisão.
No final do período de teste, as partes podem ajustar as regulamentações com base nas lições aprendidas, tornando o ambiente regulatório mais ágil e adequado às necessidades da inovação. No entanto, é importante equilibrar a flexibilidade com a proteção do interesse público para garantir que o sandbox seja eficaz e seguro.
É importante notar que os sandboxes não visam eliminar a regulamentação, mas sim aprimorá-la progressivamente, com menos restrições e riscos de sanções. Eles também podem ter objetivos específicos, como avaliar políticas, reduzir custos de entrada em mercados ou promover inovações temáticas. Os stakeholders envolvidos incluem empresas, reguladores, consumidores e organizações da sociedade civil.
Destacam-se três elementos característicos do sandbox regulatório, quais sejam:
-Mecanismo de testagem de inovações tecnológicas e modelos de negócio na realidade prática, com período e objeto bem delimitados;
-Instrumento de flexibilização e desconto regulatório; e
– Meio de obtenção de novos conhecimentos e aprendizado para futura regulação.
Embora os sandboxes ofereçam benefícios, como o compartilhamento de conhecimento e a promoção do desenvolvimento mercadológico, também enfrentam desafios, como a coordenação entre diferentes autoridades regulatórias e questões relacionadas à concorrência e à proteção de dados. Portanto, sua aplicabilidade pode variar de acordo com o setor ou a indústria em questão.
Objetivos do Sandbox regulatório em IA
No Brasil, a inteligência artificial tem sido alvo de discussões regulatórias, com a proposição de vários Projetos de Lei (PL) relacionados a esse tema, como o PL nº 5.051/2019, nº 21/2020 e nº 872/2021. Em 2022, o debate ganhou força com a formação da Comissão de Juristas do Senado Federal (CJSUBIA), composta por especialistas em direito e regulação de tecnologias, que realizou audiências públicas multissetoriais para subsidiar a elaboração de um substitutivo para os PLs mencionados. O substitutivo, publicado em dezembro de 2022, propôs a criação de sandboxes regulatórios para autoridades reguladoras de IA, sob supervisão de uma autoridade central definida pelo Poder Executivo.
O sandbox regulatório, de acordo com as sugestões, deve detalhar os benefícios que seus participantes trarão para consumidores e sociedade, bem como planos de saída. Além disso, a autoridade central de IA terá o poder de interromper programas conduzidos por outro regular se detectar riscos ou ameaças aos direitos fundamentais, incluindo a proteção de dados pessoais.
Pontuou-se, ainda, que o sandbox deve fornecer informações sobre quais são os benefícios que seus participantes proporcionarão aos consumidores e à sociedade, bem como planos de saída. Em maio de 2023, a CJSUBIA concluiu seus trabalhos e apresentou um anteprojeto de lei, que foi convertido no PL nº 2338/2023, apresentado pelo Senador Rodrigo Pacheco, Presidente do Senado Federal.
A ANPD vê a implementação de um sandbox de IA como uma oportunidade para atingir vários objetivos:
1. Promover a transparência algorítmica:
O objetivo é garantir a transparência de inovações e modelos de negócios baseados em aprendizado de máquina (ML), incluindo IA generativa. A transparência algorítmica envolve tornar compreensíveis e explicáveis os processos internos dos sistemas de IA e suas decisões. Isso promove a responsabilidade, ajuda a identificar possíveis vieses ou práticas discriminatórias e constrói confiança entre usuários e partes interessadas por meio do sandbox regulatório.
2. Fomentar a inovação responsável em IA:
Este objetivo destaca a importância de promover melhores práticas de privacidade e proteção de dados, como a abordagem da “privacidade desde a concepção”, ou “privacy by design”. Isso envolve incorporar princípios de privacidade e proteção de dados desde o início do desenvolvimento de sistemas de IA. O sandbox regulatório, ao fomentar a inovação responsável em IA, pode incentivar o desenvolvimento de sistemas que priorizem a privacidade, a proteção de dados e considerações éticas. Isso inclui garantir práticas adequadas de manipulação de dados e a proteção dos direitos individuais.
3. Estabelecer um ambiente multissetorial:
Este objetivo busca criar um espaço para discussões sobre princípios éticos e legais relacionados à pesquisa, desenvolvimento e inovação da IA. O sandbox regulatório pode reunir diversos setores interessados, como pesquisadores, desenvolvedores, representantes da indústria, organizações da sociedade civil e órgãos reguladores, como a ANPD, para participar de diálogos e compartilhar conhecimentos sobre as implicações éticas e legais das tecnologias de IA. Essa abordagem de múltiplas partes interessadas permite a inclusão de perspectivas diversas, promove a colaboração e pode resultar na formulação de diretrizes ou códigos de conduta abrangentes relacionados à IA.
4. Auxiliar no desenvolvimento de parâmetros para intervenção humana:
Este objetivo concentra-se na regulamentação de sistemas de IA de alto risco e na necessidade de estabelecer padrões para a intervenção humana em processos de tomada de decisão automatizados. Sistemas de IA de alto risco são aqueles que podem ter um impacto significativo nos direitos e liberdades individuais. O sandbox regulatório pode contribuir para o desenvolvimento de diretrizes ou estruturas que garantam a supervisão humana, responsabilidade e a capacidade de intervenção em decisões críticas tomadas por sistemas de IA. Isso ajuda a evitar a concentração excessiva de poder nas tecnologias de IA e promove abordagens centradas no ser humano.
Perspectivas para as empresas
Para organizações e empresas, os benefícios diretos da participação no sandbox regulatório incluem acesso ao suporte da Autoridade Nacional de Proteção de Dados (ANPD) no desenvolvimento de inovações de tratamento de dados, uma compreensão mais profunda das normativas de proteção de dados e a identificação de boas práticas de governança de dados. Isso promove a adoção de padrões alinhados com a proteção de dados e aumenta a confiança na conformidade de novos produtos ou serviços. Benefícios indiretos incluem contribuições para futuras orientações da ANPD e o desenvolvimento de produtos e serviços de valor para o público.
Indivíduos e a sociedade em geral se beneficiam com produtos e serviços que respeitam seus direitos e liberdades civis. Além disso, programas de sandbox promovem transparência e confiança em novas tecnologias e sistemas de IA.
A institucionalização de um sandbox regulatório pela Autoridade Nacional de Proteção de Dados traz vantagens, como supervisão imediata de projetos que respeitam direitos fundamentais, entendimento de tecnologias digitais inovadoras, avaliação da eficácia das estratégias de proteção de direitos, e fortalecimento da atuação da autoridade em processos administrativos e normas legais relacionados à proteção de dados e inovações tecnológicas.
Além desses benefícios, programas de sandbox podem contribuir para promover padrões de inovação alinhados com a proteção de direitos fundamentais e liberdades civis, servindo como referência para futuros empreendimentos. Isso está em linha com a Estratégia Brasileira de Inteligência Artificial (EBIA), que prevê a promoção de abordagens inovadoras para supervisão regulatória, como os sandboxes regulatórios. A EBIA é baseada nos cinco princípios de IA da OCDE, a saber: (i) crescimento inclusivo, desenvolvimento sustentável e bem-estar; (ii) valores centrados no ser humano e equidade; (iii) transparência e explicabilidade; (iv) robustez, segurança e proteção; e (v) responsabilidade.
A ANPD planeja incorporar tecnologias impulsionadas pelo aprendizado de máquina, incluindo aquelas relacionadas à IA generativa, em seu sandbox. Essas tecnologias representam um campo em rápido crescimento com grande potencial de inovação.
O aprendizado de máquina (ML) envolve o uso de modelos matemáticos avançados, também conhecidos como algoritmos, para processar grandes volumes de dados e obter conhecimento sem intervenção humana direta. O ML é um subconjunto da IA e inclui o aprendizado profundo (Deep Learning – DL), que é baseado em redes neurais artificiais.
A compreensão dos riscos associados aos sistemas baseados em ML é fundamental para qualquer autoridade de proteção de dados, pois esses sistemas podem apresentar vieses e desafios relacionados à privacidade. No Brasil, empresas já estão enfrentando questões de viés de dados ao usar IA e ML, e esses problemas afetam a confiança na tomada de decisões automatizadas.
O uso da IA no Brasil já está trazendo benefícios, como a automação de processos judiciais para acelerar a resolução de casos e a implementação de chatbots para auxiliar no atendimento de saúde durante a pandemia. No entanto, é importante garantir que essas aplicações respeitem a LGPD (Lei Geral de Proteção de Dados) e não causem impactos negativos, com a perpetuação de vieses prejudiciais, que reproduzem problemas sistêmicos como o racismo e a desigualdade social.
Outra técnica incluída no sandbox da ANPD, a IA generativa é uma tecnologia que se baseia no aprendizado de máquina e utiliza algoritmos e modelos de linguagem avançados para criar conteúdo sintético, como texto, imagens, áudio ou vídeo, que se assemelha ao criado por humanos. No entanto, essa tecnologia pode levantar preocupações relacionadas ao uso indevido de dados pessoais, incluindo a coleta inadequada de dados e a criação de informações falsas.
No Brasil, o uso de IA generativa está crescendo rapidamente, com uma taxa de crescimento anual composta de 100%. Os brasileiros estão entre os principais usuários do ChatGPT da Open AI, o que pode envolver o compartilhamento de dados pessoais, embora não esteja claro como esses dados são tratados.
Os casos de uso da IA generativa no setor público e privado são variados, e muitas vezes envolvem o tratamento de dados pessoais, incluindo dados sensíveis. Por exemplo, o Hospital do Amor em Barretos (SP) utiliza IA generativa para analisar dados do Sistema Único de Saúde (SUS) e identificar sintomas de pacientes em tratamento de câncer, em um tratamento com enorme potencial positivo, mas também grande risco à proteção de dados e da privacidade dos pacientes se feito de maneira insegura.
A inclusão de sistemas de aprendizado de máquina e IA generativa no sandbox da ANPD é importante para equilibrar a promoção da inovação com a garantia de regulamentações adequadas. Isso permite que a ANPD monitore de perto o desenvolvimento desses sistemas e promova práticas responsáveis e éticas. Além disso, a ANPD pode avaliar os riscos associados a essas tecnologias e desenvolver salvaguardas e regulamentações apropriadas para mitigar danos potenciais.
Em resumo, a inclusão de tecnologias relacionadas ao aprendizado de máquina e IA generativa no sandbox da ANPD é essencial para a Autoridade se manter atualizada sobre tecnologias emergentes, avaliar riscos, promover o desenvolvimento responsável e estabelecer regulamentações eficazes que apoiem o uso ético da IA.
Impactos e participação de empresas que já atuam no ramo
O Sandbox regulatório regido pela ANPD tem previsão de durar entre 18 a 24 meses, dividido nas seguintes etapas:
a) Etapa de Submissão:
As empresas e entidades interessadas poderão enviar suas propostas para participar do programa Sandbox.
b) Etapa de capacitação/treinamento:
Os participantes selecionados receberão apoio e treinamento para garantir uma clara compreensão dos objetivos, regras e expectativas do programa.
c) Etapa de experimentação/teste:
Etapa para que sejam testadas as tecnologias dos participantes, com a coleta de insights e dados.
d)Etapa de avaliação:
Período de avaliação de resultados e impactos dos projetos sandbox, avaliando a eficácia das soluções testadas, a análise dos dados coletados e a avaliação da conformidade dos participantes com os requisitos legais relevantes.
A experimentação no sandbox oferece um ambiente controlado para as empresas para explorar as implicações práticas da transparência algorítmica em sistemas de IA. Isso promove estudos empíricos e avaliações dos benefícios e desafios associados à implementação de medidas de transparência. Além disso, a inclusão de características de transparência algorítmica em sistemas de IA responsivos promove a inovação responsável, fomenta a confiança dos usuários e capacita os indivíduos a exercerem seus direitos e buscarem reparação em caso de erros ou vieses ilegais.
Ainda não foram estabelecidos os requisitos e limitações para que empresas que atuam no ramo da Inteligência Artificial participem do Sandbox regulatório da ANPD, os quais serão tornados públicos no momento em que forem abertas as inscrições na etapa de submissão.
A seleção das entidades participantes em programas de sandbox regulatório deve considerar requisitos relevantes para o foco do programa, características regulatórias locais, competências das autoridades e prioridades. Por exemplo, no Reino Unido, a ICO exige que as entidades estejam sujeitas à lei de proteção de dados do Reino Unido (UK GDPR) e demonstrem inovação efetiva e benefício coletivo. A ICO avalia a dimensão quantitativa e qualitativa do benefício público proposto por meio de seu Sandbox.
Na Colômbia, o sandbox da SIC permite a participação de empresas nacionais e internacionais, públicas e privadas, desde que os projetos estejam relacionados ao comércio eletrônico, publicidade ou marketing e envolvam o tratamento de dados pessoais. Os projetos devem estar em fase de concepção.
Na Noruega, o sandbox da Datatilsynet exige que os projetos estejam alinhados com áreas de interesse, como inteligência artificial e proteção de dados, beneficiem a sociedade e indivíduos, e que haja benefícios claros para os projetos por meio da participação no sandbox.
Em Cingapura, o programa da PDPC requer que as empresas interessadas residam no país e apresentem casos de uso em projetos-pilotos relacionados a Privacy Enhancing Technologies (Tecnologias de Aprimoramento da Privacidade). Os projetos devem ter uma duração de seis meses e detalhes sobre como a solução PET abordará um caso de uso específico devem ser fornecidos à autoridade.
Em resumo, a seleção de participantes em programas de sandbox regulatório leva em consideração a aderência aos objetivos do programa, a conformidade com as leis de proteção de dados aplicáveis e a demonstração de benefícios públicos e inovação. Os critérios podem variar de acordo com a autoridade regulatória e a jurisdição.
Sandbox regulatório em IA: Consulta Pública
Durante o mês de outubro de 2023, a ANPD está aceitando contribuições tanto do setor público quanto privado acerca de seu programa piloto de sandbox por meio da Plataforma Participa + Brasil. Dentre as questões apresentadas na consulta pública estão os questionamentos:
-Quais modelos de sistema de IA, como o Machine Learning e a IA generativa, deverão ser analisados?
-Devem ser analisados somente sistemas já desenvolvidos ou sistemas em desenvolvimento?
-Quais disposições da LGPD deverão fazer parte da experimentação?
-Quais papéis o setor público, empresas privadas, instituições acadêmicas e sociedade civil devem desempenhar no sandbox?
-A participação deve ser limitada a startups ou empresas de maior porte também devem participar?
-Quais critérios podem ser adotados para seleção de projetos?
-O sandbox deve focar na suspensão temporária da incidência de dispositivos de leis e regulamentos atuais, ou adotar um modelo diferente?
Com base nos resultados desta consulta pública serão definidos os parâmetros específicos que permitirão que as empresas participem do sandbox regulatório da ANPD.
Sandbox Regulatório em IA: Outros modelos no mundo
As Autoridades de Proteção de Dados ao redor do mundo estão reconhecendo os desafios das tecnologias de IA e estão usando sandboxes como uma maneira de lidar com esses desafios enquanto promovem a inovação e garantem a conformidade com as regulamentações de proteção de dados. Várias autoridades, como a SIC da Colômbia, o ICO do Reino Unido, o Datatilsynet da Noruega, o PDPC de Singapura e a CNIL da França, têm implementado programas de sandbox relacionados à IA.
Esses sandboxes têm diferentes focos, como privacidade desde a concepção, sistemas de IA responsáveis e transparência algorítmica. Eles visam criar um ambiente controlado para experimentação e inovação com tecnologias de IA, enquanto garantem que as questões de proteção de dados e ética sejam abordadas. No entanto, até agora, não houve um sandbox de transparência algorítmica que inclua sistemas de IA generativa.
Alguns exemplos estudados pela ANPD de como outras Autoridades de Proteção de Dados (APDs) estão abordando o desafio das tecnologias de IA por meio de programas de sandbox:
1. Superintendencia de Industria y Comercio (SIC) da Colômbia: A SIC desenvolveu um sandbox chamado “Sandbox sobre privacidade desde a concepção e por padrão em Inteligência Artificial”. Esse sandbox se concentra em garantir que os princípios de privacidade desde a concepção e por padrão sejam aplicados ao desenvolvimento de sistemas de IA. Ele permite que empresas, tanto nacionais quanto internacionais, participem, desde que seus projetos de IA tenham foco em comércio eletrônico, publicidade ou marketing e envolvam o tratamento de dados pessoais. Os projetos devem estar em fase de concepção, ainda não tendo iniciado o tratamento de dados pessoais.
2. Information Commissioner’s Office (ICO) do Reino Unido: O ICO tem um dos programas de sandbox mais maduros, iniciado em 2019. Eles têm conduzido experimentos relacionados à IA e proteção de dados. O ICO exige que as entidades interessadas estejam sujeitas à lei de proteção de dados do Reino Unido (UK GDPR). Além disso, eles analisam o caráter inovador da proposta de aplicação tecnológica e o benefício público oferecido. Eles consideram fatores como a quantidade de pessoas alcançadas e o potencial benefício ao público.
3. Datatilsynet da Noruega: O sandbox do Datatilsynet tem como foco sistemas de IA responsáveis. Os projetos que se encaixam nas áreas de interesse, como inteligência artificial e proteção de dados, são elegíveis para participação. A autoridade espera que esses projetos beneficiem indivíduos e a sociedade em geral.
4. Personal Data Protection Commissioner (PDPC) de Singapura: O programa da PDPC exige que as empresas interessadas residam em Singapura e apresentem casos de uso em projetos-pilotos relacionados a Privacy Enhancing Technologies (PETs). Os projetos devem ser apresentados com detalhes sobre como a solução PET deve resolver problemas específicos.
5. Commission Nationale de l’Informatique et des Libertés (CNIL): A Autoridade da França anunciou um programa de sandbox em julho de 2023, voltado para projetos que visam utilizar aplicações de IA no setor público e enfrentam desafios relacionados à normativa de proteção de dados pessoais. Este programa não suspende regras e limitações legais, mas fornece suporte para projetos inovadores.
A chamada para participação está aberta até 30 de setembro de 2023 e é direcionada a projetos no setor público que buscam melhorar serviços públicos. Os projetos devem estar em desenvolvimento, não disponíveis no mercado.O programa da CNIL será dividido em três partes ao longo de vários meses. A primeira fase, com duração de seis meses, visa identificar problemas e mapear ações necessárias. Em seguida, o vencedor implementará soluções para os desafios identificados. Por fim, a CNIL publicará um resumo do trabalho e das recomendações. A CNIL destaca a importância do compromisso dos participantes em colaborar ao longo do projeto, incluindo gastos e tempo para workshops e reuniões.
Além dessas iniciativas, também foi mencionado o Open Loop Algorithmic Transparency (OPAL) em Singapura, que visa promover a transparência em sistemas de tomada de decisão algorítmica.
Em junho de 2022, a Comissão Europeia e o Governo da Espanha lançaram um piloto de sandbox regulatório para Inteligência Artificial. O principal objetivo deste sandbox é criar condições para facilitar a implementação de futuras regulamentações de IA, testando soluções técnicas, procedimentos de conformidade e fornecendo suporte, especialmente para pequenas e médias empresas. O sandbox visa conectar autoridades competentes com empresas desenvolvedoras de IA para operacionalizar futuras obrigações regulatórias.
O programa de sandbox da Espanha é dividido em dois grupos focais. O Grupo Focal 1 lida com a implementação prática do sandbox, testando diferentes soluções e supervisionando o cumprimento dos requisitos de IA. Empresas podem apresentar propostas para projetos relacionados à IA de alto risco. O Grupo Focal 2 se concentra em preparar o framework geral do sandbox, absorver conhecimento da implementação e usar os resultados para criar guias e padrões relacionados ao regulamento europeu de IA, o Artificial Intelligence Act (AI Act).
Este sandbox alinha-se com a proposta da Comissão Europeia para um framework regulatório de IA, estabelecendo obrigações específicas e requisitos claros para o uso de IA, especialmente para pequenas e médias empresas. Além disso, contribui para a Estratégia Nacional espanhola, que visa desenvolver uma IA inclusiva e sustentável.
Ao final do piloto, os resultados e entregáveis serão disponibilizados para todos os países-membros da União Europeia e para a Comissão Europeia, que poderão usá-los para desenvolver guias e padrões harmonizados para a implementação do AI Act na Europa.
Esses programas de sandbox são essenciais para permitir a experimentação controlada e responsável com tecnologias de IA, enquanto garantem que as questões de privacidade, ética e proteção de dados sejam cuidadosamente consideradas. Eles também promovem a colaboração entre reguladores, empresas, pesquisadores e outros interessados para enfrentar os desafios únicos apresentados pela IA. O foco dessas iniciativas é o desenvolvimento responsável da IA, protegendo ao mesmo tempo os direitos dos indivíduos.
Possui interesse em saber como enviar o seu projeto a um sandbox regulatório? Converse com nossos especialistas para saber mais.