Já utilizada amplamente em todo o setor de segurança cibernética, a tecnologia de machine learning pode automatizar diversas tarefas complexas e ajudar as empresas a garantir conformidade com as legislações de proteção de dados.
A correta proteção de dados pessoais e sensíveis — tanto de clientes quanto de parceiros e/ou fornecedores — já figura no topo do ranking de maiores preocupações das empresas. Afinal, com o aumento exponencial da coleta, processamento e uso indiscriminado dessas informações, legislações passaram a ser criadas para garantir a privacidade do usuário final no ambiente online (algo que, no Brasil, inclusive, é um direito garantido na Constituição).
Devemos dar o mérito desse pontapé para a General Data Protection Regulation (GDPR), implementada em 2018 em toda a União Europeia. Embora já existissem outras normas similares ao redor do mundo, sua maturidade serviu de exemplo para a nossa própria Lei Geral de Proteção de Dados (LGPD), em vigor desde 2020, e a California Consumer Privacy Act (CCPA) — que, embora seja restrita a um único estado, é um tanto rígida.
Garantir conformidade com essas regulamentações pode ser um desafio complexo e oneroso para as organizações, visto que exige uma série de etapas complexas (especialmente para corporações de grande porte e com um ecossistema complexo de third-parties); como se não bastasse, o compliance com tais normas já é visto pelo mercado como um diferencial estratégico e competitivo.
Como proceder, especialmente levando em conta que enfrentamos um cenário de déficit de mão-de-obra especializada? Embora o mercado já esteja repleto de soluções, frameworks e serviços terceirizados, pouco se discute sobre como a inteligência artificial — já empregada amplamente em outros setores da segurança da informação — pode contribuir otimizando e agilizando essa jornada de proteção de dados.
Compliance e seus principais desafios
Atingir e manter o compliance com as legislações de proteção de dados envolve uma série de etapas minuciosas e igualmente importantes. Antes de mais nada, é crucial que as organizações tenham pleno entendimento sobre quais dados pessoais estão coletando e como eles estão sendo utilizados. Isso implica mapear todos os fluxos de dados internos e externos, uma tarefa que pode ser monumental em empresas de grande porte.
Além disso, naturalmente, as organizações precisam garantir a segurança desses dados, implementando medidas técnicas e organizacionais para protegê-los contra vazamentos e violações de segurança. A identificação precoce de riscos e a rápida resposta a incidentes são vitais para evitar multas e sanções dos órgãos reguladores (no nosso caso, a Agência Nacional de Proteção de Dados — ANPD) e danos irreversíveis à reputação da marca.
Outro desafio está na conformidade com as solicitações individuais de acesso, retificação ou exclusão de dados pessoais — apenas alguns exemplos de direitos garantidos pela LGPD para o titular dos dados pessoais. Responder a tais requisições exige um processo eficiente para lidar com tais pedidos, que podem ser numerosos e complexos.
Automatizando tarefas manuais
A I.A. pode ser usada para automatizar a identificação e classificação de dados pessoais em ambientes populados com grandes volumes de informações. Algoritmos de aprendizado de máquina são capazes de identificar padrões e marcadores que indicam a presença de dados sensíveis, tornando mais fácil para as organizações localizar e proteger essas informações. Com isso, a etapa do mapeamento leva muito menos tempo e esforço.
A tecnologia também é útil para monitorar o acesso a dados em tempo real e identificar atividades suspeitas. Se um ator malicioso ou usuário sem o devido nível de privilégios, por exemplo, tentar acessar dados sem autorização ou apresentar um comportamento suspeito, a inteligência artificial pode gerar um alerta instantâneo para as equipes de segurança cibernética, possibilitando uma resposta imediata à ameaça.
As vantagens não param por aí. Os algoritmos disponíveis no mercado também podem ser usados para automatizar a criptografia de dados e aplicação inteligente de políticas de acesso com base nas regulamentações, classificação de informações e níveis de acesso de cada colaborador. Com isso, conseguimos garantir mais uma vez que apenas indivíduos autorizados consigam manipular e processar registros pessoais e sensíveis.
Por fim, não poderíamos deixar de citar como o machine learning pode ser uma verdadeira mão-na-roda no atendimento aos titulares — seja com o uso de chatbots e assistentes virtuais ou com processos automatizados que vasculham os data lakes, realizando a coleta, exclusão, edição e portabilidade dos dados requisitados. Com isso, tarefas manuais repetitivas e demoradas podem ser concluídas com facilidade e agilidade.
Cuidado com os “poréns”…
Os exemplos citados acima são apenas algumas das vastas possibilidades da aplicação da I.A. na jornada de proteção de dados. Em um futuro breve, ela também poderá ser empregada para automatizar a geração de relatórios de auditoria, documentar incidentes para prestação de contas às autoridades e até mesmo prever possíveis violações observando dados históricos e padrões de ataque contra a informação.
Obviamente, embora a tecnologia ofereça benefícios para o cumprimento das leis de proteção de dados, ela também apresenta desafios e considerações éticas. A interpretação de dados pessoais por algoritmos deve ser precisa e justa, evitando discriminação e preconceito — pilares previstos na própria LGPD. Além disso, a privacidade dos dados usados nos próprios sistemas de I.A. deve ser rigorosamente protegida.
Em suma, os avanços na área de inteligência artificial oferecem ferramentas poderosas para enfrentar os desafios da jornada de compliance. No entanto, é importante agir com cautela, adotando tal recurso de maneira responsável, considerando as implicações éticas e legais. A colaboração entre especialistas em proteção de dados, profissionais de I.A. e reguladores é fundamental para garantir que nada saia do controle.