Que a IA se move muito rápido, ninguém duvida. Estamos num momento de crescimento exponencial da capacidade, duplicando-se a cada 100 dias, o que é uma barbaridade se for mantido a médio prazo: em 3 anos (1000 dias) estamos a falar de 1024 vezes a capacidade atual. Alguns ficam surpreendidos, outros assustados, mas ninguém fica indiferente porque vai-nos afetar. O que significa ter 1000 vezes a potência atual, o que significa que parte dessa capacidade pode ser autónoma ou de Edge (em sistemas parciais ou totalmente desconectados) e o que significa em termos de risco.
A IA pode mudar tudo. Tornar um negócio rentável, fazer com que certos negócios tenham sentido, transformar a experiência dos clientes ou fornecedores, mudar a forma de como decidimos e o que decidimos. No aspiracional de muitas organizações é como a lâmpada do Aladino, que pode satisfazer desejos que não sabíamos nem podíamos formular. Mas é necessário compreender o que significa adotar a IA e o que devemos ter em consideração. Vamos focar-nos especificamente na parte legal.
Existem diferentes estilos de abordar este cenário. Procurando regulá-lo, por precaução, ou procurando acelerá-lo e propor reações rápidas caso algo dê errado. O primeiro corresponde mais à visão europeia, à garantia; o segundo mais ao capitalismo livre americano. Haverá aqueles que apontam para uma terceira dimensão na linha chinesa de governar a desregulamentação, mas é mais difícil de replicar: cultural e economicamente, o modelo chinês é mais difícil de se ajustar em outros países devido à filosofia e volume (e regime político).
Por isso, permitam-me focar-nos no contexto europeu (que nos afeta diretamente). Para resumir um pouco:
- Com a digitalização e o tratamento massivo de dados, chegou o GDPR europeu e a subsequente adaptação à legislação espanhola, com a LOPDGDD (digna evolução da mítica LOPD) e portuguesa com a RGPD que já está em vigor há alguns anos.
- O AI Act da União Europeia, a peça central da nova regulação da inteligência artificial, deverá entrar em vigor em 2026.
Determinadas legislações setoriais (MiFID II, PSD2 – PSD3, DORA, ...) têm impacto direto e indireto em alguns casos de uso, o que contribui para um acréscimo contínuo do volume de legislação a considerar. Não é exaustiva, mas é já significativa a quantidade de normas que as empresas precisam de compreender, internalizar, aplicar e cumprir.
Apesar de as grandes empresas terem perfis bem formados, especializados e consultoria externa que as mantém atualizadas sobre as necessidades regulatórias e de conformidade, quando passamos para médias e pequenas empresas (e toda a rede de trabalhadores independentes) isso diminui significativamente. O cumprimento sistemático passa a ser por ciclos (quando é necessário auditar, rever e ajustar) e, portanto, torna-se um compliance mais reativo.
Sem entrar no debate sobre se é melhor ou pior regular antecipadamente do que regular à posteriori, como organização temos de cumprir a legislação, não há outra opção. Portanto, concentremo-nos nos aspetos chave que devemos ter em conta.
Se não houver negócio, não há IA.
Em breve poderemos dizer que sem IA não há negócio, mas isto será matizado por setores, atividades e tamanhos de empresa. Partimos sempre de uma aplicação que, a partir da atividade da empresa, nos deixe um impacto desejável (seja qualitativo ou quantitativo) que possamos definir e medir com KPIs (apliquem critérios SMART em caso de dúvida) antes e depois, para saber se o que prevemos corresponde ou não à realidade. Se a utilização que queremos dar à IA não passar nos critérios do negócio, não seguimos em frente. De tecnologia "fixe" que não tem impacto, temos a montra cheia.
"Desenhar pensando em cumprir"
Temos múltiplas opções para desenhar como pode ser a solução que queremos aplicar ao negócio. Algumas baseiam-se em produtos, outras em tecnologia mais personalizada, .... Existem dois critérios chave que temos de aplicar: desenho baseado no cumprimento legislativo e modelo de propriedade. O primeiro passa por estabelecer critérios sobre o tratamento, uso, estrutura, classificação dessa IA que vamos aplicar. Temos de desenhar tendo em conta o que temos de cumprir, como o vamos supervisionar e governar, e como vamos dar fé perante terceiros (clientes e administração pública) do cumprimento legislativo. Incluí-lo nesse momento é fundamental para não construir castelos de cartas e desperdiçar recursos. Se estivermos a fazer uma interpretação da lei, cuidado, estamos no limite e assumamos que é um investimento de alto risco, pois a jurisprudência pode mudar a qualquer momento. O segundo, o financeiro, deve indicar-nos em que modalidade CAPEX ou OPEX nos interessa integrar a iniciativa. Se a expectativa não se ajustar à visão de financiamento interno, então não começamos. Talvez daqui a uns meses a visão técnica ou a visão interna possam mudar, mas sairá da lista de iniciativas a curto prazo.
Constrói com a intenção de documentar e validar.
O processo de desenvolvimento deve contemplar o exercício sistemático de recolha de informações sobre os acordos do fornecedor (plataformas, ferramentas) e dos processos internos utilizados para facilitar a rastreabilidade das soluções e a justificação. É preciso ler muito a letra pequena e assumir que ao utilizarmos, estamos a assumir a responsabilidade de garantir que também cumpre com a regulamentação. Fornecedores, subscrições e políticas internas devem garantir que o plano de ação mantém o ritmo que o desenho estabeleceu. Por mais confiança que tenhamos, devemos validar e contrastar todas as peças que incluímos. Além disso, é necessário estabelecer mecanismos para que, quando alguma destas peças alterar algum dos seus acordos (é bastante comum que as soluções PaaS e SaaS alterem as suas condições específicas, sobretudo quando tiveram algum litígio ou alteração normativa). Temos de ter a capacidade de detetar e avaliar como nos impacta. Sair bem na foto no dia 1, não significa que isto não possa mudar a qualquer momento.
Gerir o resultado.
É benéfico para todos a supervisão do uso da IA e garantir que estamos a cumprir com esse uso previsto. É mais comum do que parece, que quando algo funciona muito bem e tem uma ampla funcionalidade (como um GPT), os utilizadores comecem a contribuir e explorar casos de uso que não estão estritamente validados. Fornecer dados pessoais, de negócio, confidenciais, ... até mesmo o raio-X do ombro para sabermos o que diz... Independentemente de quantas "guarda-rails" (jargão usado na IA para estabelecer as restrições previstas no sentido de delimitar a intenção de uso) existem, é necessário monitorizar e ajustar.
Em resumo, a IA é uma alavanca transformadora dos negócios que vai muito mais além das melhorias operacionais. Integrá-la adequadamente, definindo-a desde o início com as necessidades de cumprimento e justificação ao longo de todo o seu ciclo de vida, fornecendo-nos um modelo de governação que garanta a sua gestão adequada e os impactos da evolução tanto tecnológica como normativa, permite-nos desenvolver todo o potencial e não assumir dívidas tecnológicas e legais que desfaçam o valor criado.
