Política de Privacidade sobre IA e Decisões Automatizadas

A Política de Privacidade sobre IA e Decisões Automatizadas define requisitos obrigatórios de privacidade para atividades de inteligência artificial, definição de perfis, pontuação, recomendação, apoio à decisão e decisões automatizadas que envolvam informações pessoais identificáveis (PII). O seu âmbito inclui sistemas, aplicações, modelos, serviços, fluxos de trabalho, motores de decisão, modelos analíticos e processos de decisões automatizadas baseados em IA que utilizem, infiram, gerem, divulguem ou tratem de outro modo informações pessoais identificáveis (PII) dentro do âmbito do PIMS. Abrange também informações pessoais identificáveis (PII) utilizadas para formação, testes, validação, ajuste, monitorização, inferência em produção, revisão de resultados, medição de desempenho, investigação de incidentes e retirada de modelos. A política aplica-se em contextos de responsável pelo tratamento, responsável conjunto pelo tratamento, subcontratante e subcontratante subsequente, incluindo fornecedores, subcontratantes, subcontratantes subsequentes, destinatários de partilha de dados e vias de transferência internacional relacionados com IA. A finalidade da política é assegurar que as atividades de IA, definição de perfis e decisões automatizadas que envolvam informações pessoais identificáveis (PII) sejam identificadas, documentadas, sujeitas a avaliação de risco, transparentes, contestáveis, monitorizadas e controladas através do PIMS, sem criar artefactos de governação duplicados específicos de IA. Estabelece expressamente que não cria um quadro completo de governação de IA, sistema de gestão de IA, inventário de IA, inventário de modelos, registo de risco de modelos, registo de equidade, registo de algoritmos, registo de incidentes de IA, comité de IA, função de proprietário de modelo, função de proprietário de sistema de IA, fluxo de aconselhamento jurídico nem formulário de aprovação de IA separado. Em vez disso, exige que as obrigações de privacidade relacionadas com IA sejam evidenciadas através de objetos de evidência canónicos existentes: REG02, REG04, REG06, REG07, REG08, REG09, REG10 e REG12. Operacionalmente, a política exige que os Proprietários de processos / Proprietários do negócio determinem se sistemas, fluxos de trabalho ou processos de negócio novos ou materialmente alterados utilizam IA, definição de perfis, pontuação, recomendação, apoio à decisão ou decisões automatizadas que envolvam informações pessoais identificáveis (PII), e que registem essa determinação em REG02. Antes do início do tratamento de informações pessoais identificáveis (PII) relacionado com IA, a política exige a documentação da finalidade do tratamento, categorias de informações pessoais identificáveis (PII), categorias de titulares dos dados, fontes de dados, categorias de dados inferidos ou derivados, categorias de resultados, categorias de destinatários, fundamento de licitude e ligação ao calendário de retenção. Para definição de perfis, pontuação, recomendação, apoio à decisão ou decisões automatizadas utilizadas em produção, o contexto da decisão, o efeito esperado sobre os titulares dos dados, o envolvimento humano e a via de exercício de direitos devem ser documentados em REG02 e REG04. A governação de riscos é uma parte central da política. Antes do lançamento ou da alteração material de tratamento de informações pessoais identificáveis (PII) relacionado com IA, o Responsável de Privacidade / Gestor do PIMS deve concluir a triagem de riscos de privacidade e registar a decisão de AIPD em REG04. Quando o tratamento envolva definição de perfis, decisões automatizadas, avaliação em larga escala, dados de categorias especiais, dados relativos a infrações penais, titulares dos dados vulneráveis, avaliação de trabalhadores, crianças, monitorização comportamental, dados de localização, dados biométricos, pontuação de alto impacto ou efeitos significativos, o Encarregado da Proteção de Dados / Assessor de Privacidade deve rever o risco de privacidade e registar o aconselhamento em REG04. Se, após o tratamento planeado, subsistir risco residual de privacidade elevado, a Alta Direção deve aprovar, rejeitar ou exigir tratamento adicional antes da utilização em produção, com a decisão registada em REG04 e REG12. A política também estabelece controlos para transparência, informação significativa, minimização, tratamento dos direitos dos titulares dos dados, monitorização, fornecedores e aplicação. O conteúdo do aviso de privacidade deve descrever a finalidade relacionada com IA, as categorias de dados, as categorias de resultados, as categorias de destinatários, a via de exercício de direitos e a via de contacto, com as versões dos avisos registadas em REG07. São exigidas vias de revisão humana, oposição e contestabilidade para decisões relacionadas com IA com efeitos jurídicos, de elegibilidade, acesso, emprego, financeiros, educacionais, de serviço, de segurança ou efeitos semelhantemente significativos. Fornecedores e subcontratantes devem ser geridos através de REG08, com transferências internacionais encaminhadas através de REG09. Os critérios de monitorização devem abranger alterações de entradas, alterações de resultados, questões de direitos, resultados adversos de privacidade, utilização não autorizada e tendências de reclamações, com revisão trimestral para tratamento ativo de informações pessoais identificáveis (PII) relacionado com IA de alto impacto, e não conformidades ou ações corretivas registadas em REG12.