"É fundamental que as empresas adotem o privacy by design, ou seja, implementar a privacidade desde a concepção de qualquer projeto", diz Edna Santiago, Data Protection Officer (DPO)

Assessora jurídica e encarregada de proteção de dados, Edna discute a responsabilidade e os riscos do uso de dados pessoais em tempos de IA.

Por Caroline Siffert, Analista de Comunicação da Horizonte3

Edna Santiago: “Hoje nós vivemos numa economia movida a dados."

Em um café em Belo Horizonte, Edna Santiago trouxe uma perspectiva estrutural sobre a relação entre tecnologia e privacidade de dados. Para ela, a Inteligência Artificial pode ser um vetor, mas não é a causa de uma gestão inadequada de dados. O entrave começa pela negligência comportamental das pessoas em relação ao tema.

“A nossa cultura ainda não está preparada para uma era em que dado é um ativo estratégico.”

— Edna Santiago

Advogada de formação, especialista em Direito Processual Civil e Direito da saúde, Edna faz parte da Comissão de Governança em Privacidade e Proteção de dados e atua há vários anos como Data Protection Officer (DPO), na área da saúde.

Em conversa com João Gabriel, CEO da Horizonte3, ela explica que o papel do encarregado de proteção de dados, função formalizada pela LGPD, vai muito além de responder a incidentes ou revisar cláusulas contratuais. Trata-se de orientar a empresa sobre como os dados são coletados, tratados, compartilhados e eliminados. Em outras palavras, acompanhar o ciclo de vida completo da informação.

Esse trabalho ganha peso extra num contexto em que os dados se tornaram o insumo mais valioso da economia digital e dentre os mais valiosos da economia como um todo. O problema é que o impacto dessas informações cresce em meio a uma lacuna de conscientização sobre os riscos associados ao seu uso. “De um modo geral, as pessoas tratam os dados ainda com pouca relevância. Aceitam cookies sem pensar, compartilham sem refletir, não entendem o impacto que isso pode gerar. Esse é um grande desafio”, diz.

Ao comentar a própria LGPD, Edna cita um levantamento do Grupo Daryus segundo o qual 80% das empresas no Brasil ainda não estavam completamente adequadas à lei. Para ela, esse cenário revela um déficit de maturidade que também se reflete no baixo investimento em ferramentas de segurança. Os sistemas, diz, ainda não são robustos o suficiente para sustentar um alto nível de proteção. “Faltam rastreabilidade, controle de acesso e segregação de informação. Isso ainda é crítico. As empresas estão em fase de amadurecimento. Ainda há muitas ‘portas abertas’. E, em alguns setores, isso é mais complexo ainda pela natureza dos dados”, disse.

Nesse ambiente, os dados tratados não dizem respeito apenas a preferências de consumo ou hábitos de navegação. Falam sobre registros privados capazes de gerar discriminação e prejuízo concreto ao titular.

Esse descompasso se torna ainda mais perigoso quando a IA entra na rotina corporativa. Diferentemente de sistemas mais determinísticos, os modelos generativos adicionam uma camada extra de opacidade. Nem sempre é simples entender como o sistema chegou àquela resposta ou como rastrear o processo decisório de ponta a ponta. Para quem trabalha com proteção de dados, isso toca diretamente em temas como transparência e responsabilização.

A dificuldade é que a velocidade da tecnologia é muito maior do que a da estrutura de controle. “A ferramenta já foi desenvolvida, a adoção está na frente. A segurança está correndo atrás. Estamos atrasados”, argumenta.

É aí que aparece um dos exemplos mais fortes da conversa: o uso de ferramentas generativas gratuitas dentro das empresas, sem governança. Isso significa o risco de alguém compartilhar informações críticas sem qualquer camada adequada de proteção. “Você imagina alguém pegando um relatório com informações individuais privadas e colocando dentro de um modelo gratuito de IA. Isso significa vazamentos de dados. Vazamentos de dados sensíveis. E, quando acontece, o problema não é apenas tecnológico. É jurídico, reputacional e ético”, diz.

Por isso, para Edna, a tônica da discussão volta a ser cultura.

Ela destaca a convivência próxima com o time de TI e a importância desse trabalho conjunto no dia a dia para uma adoção segura. “Eles fazem parte do grupo de implementação da LGPD desde o início. Foi uma construção conjunta, e hoje já desenvolveram um senso crítico muito forte. Às vezes, diante de uma solicitação de dados para análise estatística ou compartilhamento com terceiros, eles mesmos dizem: ‘esse dado aqui a gente não pode compartilhar’, ‘precisamos anonimizar’. Eles já fazem isso por iniciativa própria”, diz.

É preciso uma mudança de mentalidade para a adoção segura de IA nas organizações, e isso passa pelo comportamento humano. Entender que esse processo precisa ser institucionalizado, com governança e interseção entre áreas, é fundamental para que a privacidade faça parte da concepção da solução, e não apenas da validação contratual na última etapa.

“Talvez esse tema ainda não seja tratado como algo tão importante quanto deveria. E, se o mercado não percebe urgência, ele também investe menos em amadurecer essas soluções.”

Em uma última pergunta sobre IA, Edna diz não enxergar a tecnologia como detratora no processo regulatório quando usada com responsabilidade e estrutura organizacional adequada. Pelo contrário, ela acredita que se trata de uma tecnologia necessária e a vê como permanente na operação, mas reitera a necessidade de priorizar a segurança da informação.