AI Código de Ética do Grupo LEGIER e „SANDIC by LEGIER

Índice

Nota: Se o diretório automático aparecer vazio, clique com o botão direito do rato no Word → „Atualizar campo“.

1. preâmbulo e âmbito de aplicação

Este Código estabelece princípios, processos e controlos vinculativos para o desenvolvimento, aquisição, operação e utilização de IA no Grupo LEGIER. Aplica-se a todo o Grupo para funcionários, gestores, processadores de contratos, fornecedores e parceiros. Integra as diretrizes existentes do Grupo (proteção de dados, processos de serviços digitais, governação empresarial, sustentabilidade, política de direitos humanos, declaração de escravatura moderna) e alarga-as para incluir requisitos específicos da IA. Objetivo é permitir benefícios e inovação, tornar os riscos geríveis e proteger os direitos dos utilizadores, dos clientes e do público em geral. 2. valores básicos e princípios orientadores  
  • Dignidade humana e direitos fundamentais está acima da eficiência económica. A IA serve as pessoas - nunca o contrário.
  • Conformidade legal: Conformidade com Lei da IA da UERGPDDSA e normas sectoriais específicas. Não utilização de práticas proibidas.
  • Responsabilidade e obrigação de prestar contas: É nomeado um proprietário responsável para cada sistema de IA; as decisões são rastreáveis e contestáveis.
  • Proporcionalidade: Equilíbrio entre objetivo, risco, intensidade da intervenção e impacto social.
  • Transparência e explicabilidade: Informação, documentação e canais de comunicação adequados sobre a funcionalidade, a situação dos dados e as suas limitações.
  • Equidade e inclusão: Testes sistemáticos de preconceitos, proteção de grupos vulneráveis, acessibilidade e multilinguismo.
  • Segurança e resiliência: 1TP63Segurança desde a conceção, defesa em profundidade, reforço e monitorização contínuos.
  • Sustentabilidade: Eficiência dos modelos e centros de dados (energia, PUE/CFE), visão do ciclo de vida dos dados/modelos.

3. governação e responsabilidades (Conselho de Ética da IA, RACI)

Conselho de Ética da IA (AIEB): Interdisciplinar (tecnologia, jurídico/conformidade, proteção de dados, segurança, editorial/produto, pessoas). Tarefas: Atualização de políticas, emissão de aprovações (especialmente de alto risco), decisão sobre conflitos, acompanhamento de relatórios. Funções: Proprietário do caso de utilização, Proprietário do modelo, Data Steward, DPO, Security Lead, Editor responsável, Proprietário do serviço, Procurement Lead. Comités e portais: Aprovação da AIIA antes da entrada em funcionamento; conselho consultivo para alterações materiais; análises anuais da gestão. Princípio RACI: Atribuição clara de responsabilidades para cada atividade (Responsável, Responsabilizado, Consultado, Informado).

4. quadro jurídico e de normalização (Lei da IA da UE, GDPR, DSA, direitos de autor, direito comercial)

  • Ato UE-AI: Quadro baseado no risco com proibições, obrigações para sistemas de alto risco, documentação, registo, governação, obrigações de transparência; aplicabilidade escalonada a partir de 2025/2026.
  • RGPD: Bases jurídicas (art. 6.º/9), direitos das pessoas em causa, privacidade desde a conceção/por defeito, avaliação do impacto da proteção de dados (AIPD), transferências para países terceiros (art. 44.º e seguintes).
  • DSA: Processos das plataformas para notificação, queixas, relatórios de transparência, avaliações de risco das grandes plataformas.
  • Direitos de autor e direitos conexos / direitos pessoais: Cadeias de licenças claras, direitos de imagem/nome, direitos de domiciliação de terceiros.
  • Requisitos específicos do sector (por exemplo, direito aeronáutico/marítimo/Health) devem igualmente ser respeitadas.

5. classificação dos riscos e avaliação do impacto da IA (AIIA)

Classificação:
  1. Práticas proibidas (não autorizadas)
  2. Sistemas de alto risco (obrigações estritas)
  3. Risco limitado (transparência)
  4. Risco minimizado
Procedimento AIIA: Descrição Objetivo/âmbito, partes interessadas, base jurídica, fontes de dados; análise de riscos (jurídicos, éticos, de segurança, de preconceitos, de impacto ambiental); plano de atenuação; decisão (aprovação do AIEB). Reavaliações: Para alterações materiais, anualmente para risco elevado; documentação no registo central.

6. ética e proteção de dados (base jurídica, DPIA, cookies, país terceiro)

  • Minimização dos dados e limitação da finalidade; É preferível a pseudonimização/anonimização.
  • Transparência: Informações sobre proteção de dados, canais de informação e eliminação; portabilidade; opções de objeção.
  • Cookies/rastreamento: Gestão do consentimento; revogação; anonimização do IP; apenas ferramentas aprovadas.
  • Transferências de países terceiros: Apenas com garantias adequadas (SCC/adequação); testes regulares dos subcontratantes.
  • DPIA: Obrigatório para o processamento de alto risco; documentar as medidas técnicas/organizacionais (MTO).

7. ciclo de vida do modelo e dos dados (ML-Lifecycle, cartões Data, cartões de modelo)

Data Ciclo de vida: Aquisição → Curadoria → Rotulagem → Gates de qualidade → Controlo de versões → Retenção/eliminação. Ciclo de vida do modelo: Definição do problema → Seleção da arquitetura → Formação/confinamento → Avaliação (offline/online) → Lançamento → Funcionamento → Monitorização → Reciclagem/reforma. Cartões Data: Origem, representatividade, qualidade, resultados tendenciosos, restrições à utilização. Cartões modelo: Objetivo, dados de formação, padrões de referência, métricas, limitações, padrões de erro esperados, o que fazer e o que não fazer. Proveniência e reprodutibilidade: Hashes, versões de dados/modelos, verificações de condutas.

8. transparência, explicabilidade e instruções para os utilizadores

  • Rotulagem para interação com IA e conteúdos gerados por IA.
  • Explicabilidade: Utilizar explicações adaptadas a cada caso e de fácil compreensão para os leigos (local/global).
  • Instruções para o utilizador: Objetivo, principais factores de influência, limites; métodos de feedback e de correção.

9. funções humanas no circuito e de supervisão

  • Supervisão humana como norma para decisões relevantes (especialmente de alto risco).
  • Princípio dos quatro olhos para os trabalhos sensíveis do ponto de vista editorial/social.
  • Funções de substituição/cancelamento; vias de escalonamento; documentação.

10. segurança, robustez e red-teaming (injeção rápida, jailbreaks)

  • Modelação de ameaças (STRIDE + específica para IA): Injeção imediata, envenenamento de dados de formação, roubo de modelos, fuga de proteção de dados.
  • Testes de equipa vermelha e adversários; prevenção de jailbreak; limitação de taxa; filtragem de saída; rastreio de 1TP63.
  • Robustez: Avisos de recuo, barreiras de proteção, planos de reversão; lançamentos canários; testes de caos para segurança.

11. cadeia de abastecimento, direitos humanos e trabalho justo (escravatura moderna, análogo ao LkSG)

  • Diligência devida em matéria de direitos humanos: Análise de risco, código de conduta do fornecedor, compromissos contratuais, auditorias, medidas corretivas.
  • Escravatura moderna: Declaração anual, sensibilização, canais de comunicação.
  • Normas laborais: Remuneração justa, horário de trabalho, proteção da saúde; proteção dos autores de denúncias.

12. gestão de preconceitos, equidade e inclusão (clientes vulneráveis, acessibilidade)

  • Controlo de preconceitos: Análises de conjuntos de dados, equilíbrio, vários grupos de teste, métricas de equidade; atenuação documentada.
  • Clientes em risco: Objectivos de proteção, canais alternativos, linguagem clara; não explorar as fraquezas cognitivas.
  • Acessibilidade: WCAG-Conformidade; multilinguismo; abordagem inclusiva.

13. IA generativa, prova de origem e rotulagem (C2PA, marca de água)

  • Rotulagem: Rótulos/metadados visíveis para conteúdos de IA; sugestão para interações.
  • Garantias de origem: C2PA-contexto, assinaturas/marcas de água, na medida do tecnicamente possível.
  • Direitos de autor/proteção de serviços: Esclarecer as licenças; formar a conformidade dos dados; documentar a cadeia de direitos.

14. conteúdo, moderação e processos DSA (relatórios, queixas, transparência)

  • Canais de comunicação: Comunicação dos utilizadores com um limiar baixo; tratamento prioritário dos conteúdos ilegais.
  • Processos de reclamação: Justificação, objeção e escalonamento transparentes.
  • Relatórios de transparência: Publicação periódica dos principais números e medidas relevantes.

15. Utilização específica do domínio (News, Data, Health, Aviation, Yachts, Estate, Pay/Trade/Trust/Coin, Cars)

  • Notícias/edição: Assistência à investigação, tradução, moderação; rotulagem clara do conteúdo generativo.
  • SCANDIC DATA: Infraestrutura segura de IA/HPC, separação de clientes, HSM/KMS, observabilidade, artefactos de conformidade.
  • Health: Utilização baseada em provas, decisão final humana, sem diagnósticos não testados.
  • Aviação/Yachts: Processos de segurança, controlo humano, procedimentos de emergência.
  • Estate: Modelos de avaliação com controlos de equidade; integração de ESG.
  • Pay/Trade/Trust/Coin: Prevenção da fraude, KYC/AML, vigilância do mercado, decisões explicáveis.
  • Cars: Serviços personalizados com proteção rigorosa dos dados.

16. gestão do risco de terceiros, aquisições e fornecedores

  • Diligência prévia à integração: Nível de segurança/proteção dos dados, localização dos dados, subprocessadores, certificados.
  • Contratos: Direitos de auditoria, cláusulas de transparência e de correção, métricas SLA/OLA.
  • Controlo: KPIs de desempenho, intercâmbio de conclusões/incidentes, planos de saída.

17. planos de funcionamento, observabilidade, emergência e reinício de atividade

  • Funcionamento: Observabilidade (registos, métricas, traços), gestão SLO/SLI, planeamento da capacidade.
  • Emergência: Runbooks, testes DR, tempos de recuperação, planos de comunicação.
  • Configuração/gestão de segredos: Privilégio mínimo, rotações, endurecimento.

18. incidentes e soluções (ética, proteção de dados, segurança)

  • Incidentes de ética: Discriminação indesejada, desinformação, origem pouco clara - medidas imediatas e revisão do AIEB.
  • Incidentes de proteção de dados: Processos de comunicação ao RPD/supervisão; informação das partes afectadas; análise da causa principal.
  • Incidentes de segurança: Procedimentos CSIRT, análise forense, lições aprendidas, medidas preventivas.

19. métricas, KPIs e garantia (interna/externa)

  • KPIs obrigatórios: 100 % cobertura AIIA de casos de utilização de IA produtiva; 95 % taxa de formação; 0 constatações de auditoria críticas em aberto.
  • Métricas de equidade: Impacto desigual, probabilidades igualadas (utilizar caso específico).
  • Sustentabilidade: Valores de energia/PUE/carbono dos centros de dados; eficiência dos modelos.

20. formação, sensibilização e mudança cultural

  • Formação obrigatória (anual): Ética da IA, proteção de dados, segurança, ética dos meios de comunicação social; módulos específicos para grupos-alvo.
  • Campanhas de sensibilização: Guias, sessões de informação, horas de consulta; comunidades internas de prática.
  • Cultura: Liderança como modelo, cultura do erro, recompensa do comportamento responsável.

21. implementação e roteiro (0-6 / 6-12 / 12-24 meses)

  • 0-6 meses: Inventário de casos de utilização de IA; processo AIIA; controlos mínimos; onda de formação; seleção de fornecedores.
  • 6-12 meses: Implementar o red teaming; primeiros relatórios de transparência; programa de energia; finalizar o RACI.
  • 12-24 meses: Alinhamento com a norma ISO/IEC-42001; garantia limitada; melhoria contínua; preparação do CSRD/ESRS (se aplicável).

22. rolos e matriz RACI

  • Proprietário do caso de utilização (A): Objetivo, benefícios, KPIs, orçamento, reavaliações.
  • Proprietário-Modelo (R): Dados/formação/avaliação, cartão de modelo, monitorização da deriva.
  • DPO (C/A para a proteção de dados): Base jurídica, AIPD, direitos das pessoas em causa.
  • 1TP63Cabo de segurança (C): Modelação de ameaças, red teaming, TOMs.
  • Editor responsável (C): Ética dos meios de comunicação social, rotulagem, registo de correção.
  • Proprietário do serviço (R): Operação, SLO, gestão de incidentes.
  • Chefe de compras (R/C): Terceiros, contratos, planos de saída.

23. listas de controlo (AIIA curta, libertação de dados, porta de entrada em funcionamento)

  • Verificação rápida da AIIA: Objetivo? Base jurídica? Partes afectadas? Riscos (jurídicos/éticos/1TP63Segurança/preconceitos/ambiente)? Mitigação? Controlos HIL?
  • Divulgação de dados: Origem lícita? Minimização? Retenção? Acesso? País terceiro?
  • Go-Live-Gate: Artefactos completos (Data/cartões de modelo, registos)? Resultados da equipa vermelha tratados? Monitorização/DR configurada?

24. formulários e modelos (cartão de modelo, cartão Data, relatório de incidente)

  • Modelo-Cartão-Template: Objetivo, dados, formação, parâmetros de referência, limitações, riscos, pessoas responsáveis, contacto.
  • Data-Card-Template: Origem, licença, qualidade, representatividade, controlos de enviesamento, restrições de utilização.
  • Modelo de relatório de incidente: Incidente, efeitos, pessoas afectadas, medidas imediatas, causa principal, solução, lições aprendidas.

25 Glossário e referências

Glossário: Sistema de IA, IA generativa, sistema de alto risco, AIIA, HIL, C2PA, equipa vermelha, DPIA, RACI, SLO/SLI. Referências:
Nota: Este Código de IA complementa as diretrizes existentes do LEGIER, tais como, entre outras: (Proteção de Dados, Serviços Digitais, Direitos Humanos/Cadeia de Fornecimento, Governança Corporativa, Sustentabilidade, Escravidão Moderna). Ele é parte integrante da estrutura de conformidade do Grupo LEGIER (LEGIER Beteiligungs mbH).