A União Europeia aprovou recentemente um regulamento pioneiro de Inteligência Artificial (IA) a nível mundial que obriga as empresas a reforçar as normas de IA que utilizam. A IA responsável ajuda as organizações a reduzir riscos e a criar confiança em torno da tecnologia, mas a sua correta implementação depende da compreensão do funcionamento dos mecanismos de governação, podendo ser difícil compreender a multiplicidade de instrumentos e leis que vão emergindo e estão em constante atualização. De acordo com o artigo “Putting AI Standards into Action”, desenvolvido pela Boston Consulting Group (BCG) em parceria com o Responsible AI Institute (RAI Institute), as organizações devem começar por definir objetivos concretos para a utilização da IA, identificar lacunas, adotar normas já conhecidas e em uso, e participar nos processos de desenvolvimento de novas regras para a tecnologia, de modo a se adaptarem.
Após a entrada em vigor deste regulamento, as empresas têm um prazo máximo de seis meses para eliminar os casos de uso proibido da IA, de 12 meses para cumprir as regras relativas à utilização desta tecnologia para fins gerais e de dois anos para estarem totalmente em conformidade com a legislação.
“Os padrões que têm sido estabelecidos sobre IA estão a ser encarados como um mecanismo para os líderes empresariais se posicionarem como pioneiros na sua adoção e demonstrarem conformidade com as normas aos clientes, parceiros, reguladores e outras partes interessadas”, afirma Steve Mills, Managing Director & Partner da BCG em Washington DC e Chefe Global de Ética de IA da consultora. “Ao contribuir para o desenvolvimento de padrões de IA, os executivos podem ajudar a moldar o cenário global de governação da tecnologia, com contributos singulares das suas organizações, tendo uma visão antecipada das melhores práticas e desafios emergentes”.
Após a entrada em vigor deste regulamento, as empresas têm um prazo máximo de seis meses para eliminar os casos de uso proibido da IA, de 12 meses para cumprir as regras relativas à utilização desta tecnologia para fins gerais e de dois anos para estarem totalmente em conformidade com a legislação.
“Os padrões que têm sido estabelecidos sobre IA estão a ser encarados como um mecanismo para os líderes empresariais se posicionarem como pioneiros na sua adoção e demonstrarem conformidade com as normas aos clientes, parceiros, reguladores e outras partes interessadas”, afirma Steve Mills, Managing Director & Partner da BCG em Washington DC e Chefe Global de Ética de IA da consultora. “Ao contribuir para o desenvolvimento de padrões de IA, os executivos podem ajudar a moldar o cenário global de governação da tecnologia, com contributos singulares das suas organizações, tendo uma visão antecipada das melhores práticas e desafios emergentes”.
A multiplicidade de mecanismos pode ser difícil de compreender, e as leis emergentes variam em termos de jurisdição e âmbito, podendo gerar dúvidas quanto ao modo como as diferentes peças se encaixam no plano de governação de uma organização. Neste sentido, as normas de IA são desenvolvidas de forma colaborativa por peritos reconhecidos neste domínio e procuram orientar os líderes empresariais no cumprimento das leis e gerir as aplicações de IA em conformidade com as melhores práticas, bem como fomentar a participação das empresas nas discussões sobre a governação global da tecnologia. Estes regulamentos servem também como um meio para os decisores políticos e reguladores avaliarem a conformidade regulamentar, podendo ser aplicados a nível organizacional ou sistémico.
A BCG e o RAI Institute apresentam dois exemplos concretos de normas que já estão a ser praticadas e que devem servir de exemplo. A norma ISO/IEC 42001, criada pela Organização Internacional de Normalização (ISO), é a primeira orientação para a gestão de sistemas de IA do mundo e fornece orientações sobre o estabelecimento, implementação, manutenção e melhoria contínua de um sistema de gestão para a IA, ajudando as organizações a adotar uma abordagem holística para gerir os riscos existentes e emergentes, sobretudo na área da segurança de dados e informação. De acordo com a ISO, esta orientação aborda os desafios únicos que a IA coloca, tais como as questões éticas e de transparência, estabelecendo um plano estratégico e estruturado para as empresas gerirem riscos e oportunidades associados à tecnologia, promovendo a inovação aliada à gestão responsável. O regulamento ISO/IEC 23894, por sua vez, foi criado pela Comissão Eletrotécnica Internacional (IEC) e oferece linhas guia acerca da gestão de riscos de IA nas organizações, contendo orientações pormenorizadas sobre como conceber e administrar avaliações de riscos ao nível dos produtos de IA. Nesta linha, existem dois comités europeus de normalização que podem adotar estas normas, ou inspirar-se nelas para criar outras, de modo a clarificar os requisitos contidos na Lei da IA da União Europeia, incluindo a qualidade e gestão dos dados, a documentação técnica, a supervisão humana e a transparência e prestação de informações aos utilizadores.
Cinco passos para as empresas adotarem o novo regulamento de IA
A BCG recomenda cinco ações-chave para as empresas conseguirem adaptar-se, integrar e tirar partido das novas normas de IA:
- Definir objetivos concretos para a utilização da tecnologia. É importante que as empresas, numa fase inicial, consigam delinear metas exequíveis. Alguns dos objetivos-chave passam por alinhar a gestão de IA da organização com as melhores práticas implementadas globalmente, melhorar e demonstrar conformidade regulatória, moldando o cenário global de governação da tecnologia.
- Selecionar normas de IA bem estabelecidas. As empresas devem começar por concentrar-se nas já conhecidas, uma vez que já têm bases de apoio sólidas e os seus conceitos podem ser facilmente incorporados por fornecedores, clientes, utilizadores finais e organizações governamentais. Em muitos casos, estas normas são também certificáveis e auditáveis, o que facilita a sua adoção e monitorização dentro das organizações.
- Criar um inventário das normas que já estão a ser utilizadas e identificar as áreas de especialização. É fundamental que as empresas façam um levantamento das áreas onde já estão a utilizar IA, como por exemplo cibersegurança e proteção de dados. Estas áreas podem servir como fundamentos de especialização para a restante organização e são importantes fontes de informação sobre a melhor forma de adotar e cumprir novas normas.
- Analisar lacunas para traçar um caminho a seguir. As organizações devem mapear as normas de IA selecionadas para a estratégia, gestão e processos internos existentes, de modo a identificar lacunas. A partir daí, devem determinar a relevância e o custo estimado de cada uma, priorizar as que devem ser corrigidas com base nos objetivos predefinidos e criar um roteiro para ajudar a organização a caminhar para o estado de conformidade com as normas. Para tal, é importante criar um comité de líderes seniores para supervisionar o desenvolvimento e implementação do programa de IA responsável, definindo os princípios, políticas e linhas de orientação que irão reger a utilização da tecnologia, de forma adequada, em toda a organização, facilitando a identificação dos tipos de sistemas de IA a adotar. Este comité deve estar alinhado com estruturas de governação empresarial existentes, como o comité de risco, evitando a criação de funções desnecessárias, e assegurando caminhos claros para resolver problemas potenciais.
- Envolver-se em processos de desenvolvimento de normas. É necessário que as organizações conheçam as diretrizes voluntárias existentes para saber quais as melhores práticas dentro da indústria e conseguirem monitorizar as questões legais que ainda estão em desenvolvimento, como é o caso do impacto da IA Generativa nos direitos de propriedade intelectual. Posteriormente, é muito importante que as empresas contribuam para o desenvolvimento de normas de IA, através de comités nacionais ou diretamente com organizações de desenvolvimento de normas, para poderem partilhar o seu conhecimento, moldar o panorama de governação da tecnologia e manter-se a par das melhores práticas emergentes.