Principais preocupações com IA e privacidade de dados

A inteligência artificial chegou: 96% das organizações pesquisadas no Relatório F5 2025 sobre o Estado da Estratégia de Aplicações já estão implementando modelos de IA.

Embora a IA ajude sua organização a trabalhar de forma mais inteligente, rápida e eficiente, ela também traz preocupações e riscos. Os sistemas de IA, especialmente os baseados em aprendizado de máquina e modelos de linguagem de grande escala (LLMs), dependem de volumes enormes de dados para treinar, ajustar seus modelos e alimentar seus mecanismos. Esses dados podem incluir informações confidenciais, como identificadores pessoais, padrões de comportamento, localização e registros financeiros e médicos. À medida que a IA se integra cada vez mais às aplicações diárias, cresce também o risco de exposição ou uso indevido dos dados pessoais. A privacidade dos dados na IA é hoje uma preocupação prioritária.

Este artigo explora o conceito de privacidade na IA e como ela gera riscos e desafios para a proteção de dados. Também analisamos as leis de privacidade relacionadas à IA e apresentamos estratégias para proteger a privacidade dos dados em aplicações de IA.

O público está muito preocupado com a privacidade, mas também pouco informado sobre como se proteger. De acordo com a Pew Research, 70% dos americanos não confiam que as empresas usarão a IA de forma responsável, e 81% esperam que as organizações usem suas informações pessoais de maneiras que os deixariam desconfortáveis. A pesquisa mostra que 78% confiam em si mesmos para tomar as decisões certas para proteger seus dados pessoais, mas 56% sempre, quase sempre ou frequentemente aceitam políticas de privacidade online sem lê-las antes.

As percepções do público sobre o uso de dados pessoais pela IA variam muito conforme o contexto. Segundo o mesmo relatório do Pew Research, apenas 28% dos entrevistados aceitam que a IA defina a elegibilidade para assistência pública, enquanto 42% não se incomodam com um alto-falante inteligente analisando vozes para identificar usuários.

Você deve considerar tanto os requisitos regulatórios sobre IA e privacidade de dados quanto a percepção e o conforto do público em relação ao uso de dados pessoais.

Sistemas de IA apresentam riscos de privacidade de dados durante todo o ciclo de vida da IA, e você deve compreender e gerenciar esses riscos em cada fase de desenvolvimento e implantação para garantir o uso ético e seguro dos dados de IA.

• Ingestão de dados.  Modelos de IA dependem de grandes conjuntos de dados para treinamento, e a fase de coleta normalmente representa o maior risco para a privacidade, especialmente ao lidar com dados sensíveis como informações de saúde, dados financeiros pessoais e biometria. Dados pessoais podem ter sido coletados sem consentimento adequado ou de formas pouco transparentes para você.
• Treinamento do modelo de IA. Durante o treinamento, um modelo de IA aprende padrões a partir dos dados recebidos.  Mesmo que você forneça dados pessoais com consentimento, o modelo de IA pode usar esses dados para outros fins além do propósito inicial. Essa etapa pode gerar dúvidas sobre confiança e transparência, principalmente se você se sentir desinformado ou enganado quanto ao uso dos seus dados pelos sistemas de IA. Por exemplo, você pode aceitar que uma organização acesse seus dados para gerenciamento de contas, mas não teria consentido caso soubesse que suas informações seriam usadas para treinar um sistema de IA.
• Mecanismo de inferência. O estágio de inferência é quando o modelo de IA treinado é usado para gerar insights ou previsões a partir de novos dados. Os riscos de privacidade surgem aqui porque Os sistemas de IA podem fazer inferências altamente precisas sobre indivíduos com base em entradas aparentemente inofensivas e anônimas, ou podem revelar ou amplificar vieses que existiam nos dados de treinamento. Essa situação é semelhante à Inteligência de Código Aberto (OSINT), a prática de coletar inteligência de fontes disponíveis publicamente. O OSINT desempenha um papel vital em segurança cibernética, detecção de ameaças, investigações e pesquisas competitivas, transformando dados abertos em insights estratégicos. No entanto, o OSINT não envolve acesso não autorizado ou hacking, apenas a coleta de dados que estão legalmente e publicamente disponíveis.
• Camada de aplicação. Aplicações de IA são alvos atraentes para hackers, já que representam a parte mais visível e acessível de um sistema de IA. Invasores podem explorar APIs ou serviços web para acessar grandes volumes de dados confidenciais. Aplicações de IA também podem expor inadvertidamente dados sensíveis a usuários legítimos por meio de controles de acesso falhos, mensagens de erro excessivamente detalhadas ou respostas de IA muito extensas.

Sistemas de IA generativa, como LLMs usados para criar texto, imagens, código ou áudio, representam riscos elevados à privacidade dos dados. Treinamos a maior parte dos modelos de IA com conjuntos de dados coletados da internet pública, muitas vezes sem permissão explícita ou consentimento informado das fontes ou criadores de conteúdo. Além disso, esses dados coletados podem incluir informações pessoais identificáveis, que o sistema de IA generativa pode revelar durante a inferência.

Aplicações de IA generativa, especialmente assistentes de escrita públicos, chatbots e geradores de imagens, costumam ser interativas e acessadas via web. Isso as torna vulneráveis a injeções de comandos, onde atacantes criam entradas para manipular o comportamento do modelo, burlar controles ou induzir a IA a gerar conteúdos restritos, ofensivos ou confidenciais. Além disso, você pode acabar colando informações pessoais ou sensíveis nas ferramentas de IA sem perceber que esses dados podem ser armazenados no sistema e usados para treinar ou ajustar futuros modelos, expondo essas informações a riscos de vazamento acidental.

Esses dois fatores juntos criam cenários de alto risco, em que um LLM treinado com conteúdo não consentido ou sensível pode ser solicitado a regenerar esse conteúdo e revelar informações pessoais, ou você pode enviar dados sensíveis inadvertidamente nos prompts, expondo-os a acesso não autorizado ou reutilização.

Com a aceleração da adoção da IA, governos criam ou atualizam leis para enfrentar os riscos de privacidade de dados ligados aos sistemas de IA, especialmente os que usam ou armazenam dados pessoais ou sensíveis. Atualmente, 144 países promulgaram leis nacionais de privacidade de dados, enquanto outros, como os EUA, apresentam uma variedade de leis locais de privacidade de dados. Embora nem todas essas regulamentações de privacidade sejam específicas para IA, a maioria dos sistemas de IA precisa obedecê-las.

Exemplos de legislações sobre privacidade de dados incluem os seguintes.

• Regulamento Geral de Proteção de Dados da União Europeia (GDPR)
  GDPR determina que os dados pessoais sejam coletados e usados de forma justa, transparente e para propósitos claramente definidos no momento da coleta. Você deve limitar a coleta aos dados estritamente necessários para o propósito desejado, garantir que sejam mantidos apenas pelo tempo indispensável e adotar medidas rigorosas para protegê-los e manter sua confidencialidade. Embora o GDPR não mencione diretamente a inteligência artificial, qualquer sistema de IA que colete, processe ou armazene dados pessoais precisa cumprir integralmente os princípios do GDPR, garantindo o manejo responsável dos dados ao longo de todo o ciclo de vida da IA.
• Lei de Inteligência Artificial da União Europeia
  A Lei de IA da UE é o primeiro conjunto regulatório abrangente do mundo para inteligência artificial criado por um grande órgão governamental. Ela proíbe aplicações de IA consideradas como representando “risco inaceitável”, como sistemas governamentais de pontuação social ou a extração indiscriminada de imagens faciais de filmagens de CFTV. Além disso, exige obrigações legais rigorosas para sistemas de IA de “alto risco”, incluindo ferramentas usadas em triagem de currículos nos processos de contratação. Os desenvolvedores de sistemas de IA de alto risco precisam aplicar práticas sólidas de governança de dados, garantindo que todos os conjuntos usados para treinamento, validação e testes cumpram os padrões de qualidade estabelecidos.
• Regulamentações estaduais nos EUA
  A Lei de Privacidade do Consumidor da Califórnia (CCPA) e a Lei de Privacidade e Segurança de Dados do Texas garantem a você mais controle sobre seus dados pessoais. Essas leis garantem direitos essenciais, incluindo o de saber como as organizações coletam, usam e compartilham seus dados, o de solicitar a exclusão dessas informações pessoais e o de recusar a venda ou compartilhamento dos dados.
  
  A Lei de Inteligência Artificial e Política de Utah trata especificamente das aplicações de IA generativa de alto risco. Ela obriga os sistemas de IA a darem comunicações claras quando você interagir com IA generativa, garantindo transparência e uma experiência informada guiada pela IA.

O escritório White & Case publica AI Watch: Rastreador regulatório global, uma ótima ferramenta para acompanhar as regulamentações de privacidade de IA.

À medida que os sistemas de IA ganham complexidade e abrangência, proteger a privacidade dos dados em todo o ciclo de vida da IA torna-se essencial. Práticas recomendadas ajudam você a garantir conformidade, preservar a confiança dos usuários e minimizar riscos.

• Estabeleça políticas sólidas de governança de dados. As diretrizes completas devem abranger classificação de dados, controles de acesso baseados em funções, estratégias de segurança de dados como criptografia e pseudonimização, auditorias periódicas e conformidade com regulamentações locais de privacidade, como GDPR e CCPA.
• Reduza a coleta de dados. Colete somente os dados essenciais para que o sistema de IA cumpra sua função. Reduzir a quantidade de dados diminui a exposição e é obrigatório em várias legislações de privacidade.
• Peça consentimento explícito. Informe você claramente sobre como coletamos, usamos e armazenamos seus dados. Solicitamos sempre seu consentimento explícito e informado antes de coletar e usar seus dados pessoais. Essa transparência cumpre a legislação em várias jurisdições e fortalece sua confiança em nós.
• Verifique a cadeia de fornecimento dos dados de treinamento. Confirme que os conjuntos de dados de terceiros usados para treinar os modelos de IA são confiáveis e seguem práticas rigidamente voltadas à privacidade dos dados.
• Siga as melhores práticas gerais de segurança das aplicações. Fortaleça a base dos seus sistemas de IA aplicando medidas comprovadas de segurança de dados, incluindo gerenciamento sólido de identidade e acesso, criptografia dos dados em trânsito e em repouso, além da anonimização para proteger informações pessoais.
• Realize avaliações de risco continuamente. Gerenciar riscos nunca é algo pontual, especialmente com IA, que evolui rapidamente e exige reavaliações regulares dos riscos relacionados à privacidade. Faça análises constantes para identificar novas ameaças, garantir conformidade e atualizar políticas de governança quando necessário.
• Use software para reforçar a proteção de dados. Conte com ferramentas inteligentes como a F5 Application Delivery and Security Platform para aumentar a visibilidade, garantir conformidade com legislações de privacidade e acompanhar em tempo real o fluxo de dados sensíveis por meio de aplicações de IA.
• Avalie as políticas de privacidade de fornecedores e parceiros. Certifique-se de que todos os parceiros tecnológicos e prestadores de serviços adotem práticas rigorosas de privacidade e segurança de dados. Dados de IA frequentemente transitam por ecossistemas compartilhados, o que torna fundamental a governança de terceiros para reduzir riscos; conheça as declarações de privacidade de dados da F5.

Uma exigência comum nas regulamentações específicas de IA é classificar aplicações de IA conforme os níveis de risco. Esse método baseado em risco permite que sua organização implemente salvaguardas e supervisão adequadas ao impacto potencial do sistema de IA.

Aplicações de IA de alto risco podem incluir:

• Sistemas de segurança crítica, nos quais a funcionalidade de IA atua na infraestrutura crítica, transporte ou dispositivos médicos, e falhas podem causar danos à vida ou à propriedade.
• Sistemas de emprego e educação, que utilizam ferramentas de IA em contratações, admissões, avaliações de desempenho ou acesso a oportunidades educacionais, onde vieses ou erros podem afetar diretamente os direitos e as perspectivas das pessoas.
• Segurança pública e aplicação da lei, onde sistemas para reconhecimento facial, policiamento preditivo, vigilância ou avaliação de risco podem gerar preocupações sobre liberdades civis e discriminação.
• IA generativa voltada ao público, quando aplicações que geram textos, imagens ou vídeos ficam disponíveis diretamente aos usuários, principalmente em situações onde os resultados podem influenciar comportamentos, disseminar desinformação ou revelar inadvertidamente informações confidenciais.

Os EUA O Instituto Nacional de Padrões e Tecnologia (NIST) publicou uma Estrutura de Gerenciamento de Riscos de Inteligência Artificial (AI RMF) em 2023 que oferece orientações práticas gerais para diversos setores e casos de uso. Essa estrutura será útil para desenvolvedores de aplicações de IA pois, em vez de apenas categorizar amplamente as aplicações de alto risco, ela orienta sobre como identificar riscos e como mitigá-los.

O núcleo do AI RMF está estruturado em quatro funções principais que representam uma abordagem contínua e cíclica para o gerenciamento de riscos em IA:

1. Governar. Defina e gerencie as políticas, processos, procedimentos e práticas organizacionais para garantir o desenvolvimento responsável da IA, assegurando transparência e aplicação eficaz.
2. Mapeie. Compreenda o contexto em que o sistema de IA vai operar e avalie todo o ciclo de vida da IA para identificar riscos e impactos potenciais em cada etapa do desenvolvimento.
3. Meça. Avalie, monitore e quantifique os riscos e impactos da IA com ferramentas, métricas e técnicas de avaliação adequadas.
4. Gerencie. Priorize e responda aos riscos, aplicando mitigações e controles para minimizar danos e maximizar resultados. Direcione recursos para monitorar sistemas de IA e para responder, recuperar e comunicar sobre incidentes.