
Este ano já vimos algumas mudanças monumentais em andamento relacionadas à privacidade e conformidade de dados. As PMEs precisam constantemente tomar decisões de troca e priorização quando se trata não apenas dessas coisas, mas também de desafios competitivos, tecnológicos e outros desafios comerciais.
Com essa dura realidade em mente, queríamos compartilhar os 5 principais problemas que surgiram em nosso radar em 2024. Abaixo, vamos nos aprofundar neles e fornecer algumas recomendações acionáveis para empresas que buscam entregar valor enquanto permanecem em conformidade.
1. Ação de execução da Comissão Federal de Comércio (FTC) dos EUA em relação à anonimização de dados
A FTC tem sido bastante ativa ultimamente. Em fevereiro, a agência reguladora ordenou que a empresa Avast pagasse US$ 16,5 milhões em indenização aos seus clientes. Ao mesmo tempo, proibiu a empresa de vender dados de navegação para fins publicitários e ordenou a destruição de modelos de IA treinados em dados coletados indevidamente.
O motivo dessa punição? De acordo com a FTC, a Avast:
- • Coletou informações sobre a atividade dos consumidores na Internet por meio de extensões de navegador e software antivírus;
- • Reteve-as indefinidamente informações de atividade dos consumidores na internet indefinidamente;
- • Vendeu tais informações sem aviso ou consentimento para mais de 100 terceiros.
Uma parte vital da reclamação foi que a Avast alegou usar um algoritmo especial para remover informações de identificação antes da venda. No entanto, de acordo com a FTC, a empresa forneceu aos compradores de seus dados um único identificador exclusivo para cada navegador da web monitorado. Combinado com informações de localização e carimbos de data/hora, e quando combinado com os próprios conjuntos de dados dos compradores, a FTC alegou que era possível reidentificar os usuários originais.
Então, o que as PMEs podem fazer para evitar um destino semelhante?
- • Evite coletar dados que não tenham um propósito comercial. Se você nunca os tiver em seus servidores, eles não podem se tornar uma responsabilidade mais tarde;
- • Entenda a diferença entre anonimização e pseudonimização. A primeira abordagem quebra o vínculo entre os dados e a pessoa associada de forma permanente e irrevogável. Na última, as equipes de dados substituem identificadores exclusivos por informações pessoais, mas podem desfazer a transformação mais tarde;
- • Seja claro sobre exatamente qual técnica você está usando. A Avast supostamente alegou que os dados do consumidor seriam transferidos apenas de forma anônima quando, na verdade, isso era feito apenas de forma pseudônima.
2. Aviso da FTC sobre a mudança de termos e condições para treinamento de IA
No mesmo mês em que multou a Avast, a FTC alertou separadamente as empresas com tecnologia de IA sobre como estavam treinando dados de clientes, especialmente como estavam se comunicando sobre essas práticas. Especificamente, a agência alertou contra a mudança “secreta” de termos e condições para permitir um tratamento de informações mais permissivo.
Para mostrar que não era blefe, a FTC citou ações de execução contra uma empresa de genética e provedora de e-learning por essas infrações.
Como lidar com a conformidade de dados referente ao treinamento de IA?
- • Seja claro sobre quais tipos de dados você está coletando, retendo e treinando;
- • Notifique os clientes e solicite consentimento se você alterar materialmente qualquer política;
- • Envie mensagens proativamente sobre como você planeja implantar IA para evitar reações negativas públicas.
E não são apenas as empresas voltadas para o consumidor que podem tirar lições aqui. No verão passado, a Zoom enfrentou um desastre de comunicação depois de fazer exatamente o que a FTC alertou. A empresa de bate-papo por vídeo afirmou um amplo direito de treinar modelos de IA em dados do cliente, alterando furtivamente seus termos e condições. Após uma reação negativa significativa, a empresa recuou e fez uma afirmação muito menos ousada sobre o que estava autorizada a usar em processos de treinamento de IA.
3. Lei do estado de Washington “Minha Saúde, Meus Dados”
No nível estadual, os legisladores também têm se ocupado com a privacidade de dados. Em Washington, o My Health My Data Act (MHMDA) entrou em vigor no final de março. Embora a lei regule os “dados de saúde do consumidor”, isso abrange muito mais do que é coberto pelo Health Insurance Portability and Accountability Act (HIPAA) federal.
O ato define dados de saúde do consumidor como qualquer “informação pessoal que esteja vinculada ou razoavelmente vinculável a um consumidor e que identifique o estado de saúde física ou mental passado, presente ou futuro de um consumidor”.
O projeto de lei fornece uma lista não abrangente de coisas que podem se enquadrar nessa definição, incluindo:
- • Informações de localização sugerem uma tentativa de receber serviços ou suprimentos de saúde,
- • Intervenções sociais, psicológicas ou comportamentais,
- • Informações sobre saúde reprodutiva ou sexual,
- • Uso ou compra de medicamentos prescritos,
- • Condições de saúde, tratamento ou doenças,
- • Informações sobre cuidados de afirmação de gênero,
- • Funções corporais e sinais vitais,
- • Dados biométricos e genéticos.
Além dessas amplas categorias de informações regulamentadas, o ato se aplica a qualquer entidade legal que “conduza negócios” em Washington ou atenda consumidores lá. Considerando que muitos dos maiores provedores de serviços de nuvem do mundo operam no estado, é concebível que o MHMDA possa ter um alcance global.
4. Finalização da Lei de IA da União Europeia
Após quase cinco anos de discussão, debate e negociação, o texto final do EU AI Act foi lançado em abril. Com a aprovação do Conselho da UE no mês seguinte, o Ato entrará em vigor nos próximos dois anos.
Algumas coisas importantes a serem lembradas serão:
- • O AI Act terá uma série de categorizações de risco com controles obrigatórios que as organizações devem implementar;
- • Ele se aplica de forma bastante ampla, e qualquer organização com um nexo com a UE deve prestar muita atenção aos requisitos da lei;
- • As empresas movidas a IA que operam na UE terão que lidar com uma série de demandas regulatórias impostas a elas.
5. Lei de IA mile-high do Colorado
A legislatura estadual do Colorado também está em movimento. Com a assinatura do governador no SB 205, o Colorado Artificial Intelligence Act (apelidado de “Mile High Act Act” por um escritório de advocacia) entrará em vigor em 1º de fevereiro de 2026.
O SB 205 é principalmente uma lei antidiscriminação modelada no EU AI Act. Além disso, ele tem um conjunto de disposições interessantes relacionadas a dois padrões emergentes:
- • Estrutura de gerenciamento de risco de IA do NIST;
- • ISO/IEC 42001.
Nós já discutimos ambos em profundidade anteriormente, mas vale a pena notar algo único sobre o SB 205. Uma defesa aceitável para supostas infrações da lei é se:
Um desenvolvedor ou implantador de IA descobre (e corrige) uma violação resultante de:
- • Feedback do usuário se o desenvolvedor/implantador o “incentiva”;
- • Teste adversário ou red-teaming;
- • Revisão interna.
A organização está “de outra forma em conformidade com”:
- • A NIST AI RMF;
- • ISO 42001;
- • Outras estruturas de gerenciamento de risco reconhecidas.
Os requisitos da Lei esclarecem algumas práticas recomendadas para PMEs que buscam implantar produtos com tecnologia de IA:
- • Incentive o feedback do usuário para sistemas de IA implantados;
- • Tenha um programa de red-teaming de IA em vigor;
- • Considere a certificação ISO 42001.
Conclusão
Já se passaram mais de sete meses desde o início do ano, e o ritmo dos desenvolvimentos regulatórios tem sido incrível. Para PMEs que tentam se manter à tona em relação à privacidade de dados e/ou obrigações de conformidade, o grande volume pode ser um grande desafio.
A boa notícia é que existem ferramentas que podem facilitar a conformidade com o Regulamento Geral de Proteção de Dados (GDPR) da UE, incluindo a automação da coleta de evidências, a elaboração de políticas compatíveis e a otimização de fluxos de trabalho.