As negociações envolvendo o regulamento europeu sobre inteligência artificial (IA) estão avançando e já permitiram chegar a um acordo político entre a Comissão Europeia, o Conselho da União Europeia e o Parlamento Europeu. O texto ainda está em revisão e será objeto de discussão em reuniões técnicas. Entretanto, já é possível identificar seus principais contornos – e as lições aprendidas nesse processo legislativo.
Em comparação com a proposta inicial, o texto provisório sofreu diversas modificações e apresenta os seguintes elementos principais:[1]
- Aplicabilidade: o AI Act (regulamento europeu sobre inteligência artificial) não será aplicável a sistemas de IA[2] utilizados para fins exclusivamente militares ou de defesa, nem àqueles usados apenas para pesquisa, inovação ou fins não profissionais.
- Classificação de risco: os sistemas de IA de risco reduzido estarão sujeitos a deveres de transparência simplificados (como divulgar que o conteúdo foi gerado por IA). Os sistemas que se enquadrem em situações de alto risco (como infraestrutura crítica, dispositivos médicos etc.), por outro lado, deverão cumprir uma série de requisitos adicionais, que foram revistos durante as discussões, para se tornar mais viáveis e menos onerosos (como documentação técnica diferenciada para pequenas empresas).
- Modelos de IA – genéricos e de alto impacto: foram definidas regras direcionadas aos modelos genéricos de IA – aqueles que servem a finalidades diferentes e diversas, inclusive no que se refere a requisitos de transparência. Além disso, introduziu-se um regime diferenciado para os modelos de alto impacto – isto é, treinados com grande volume de dados, com alta complexidade e performance acima da média, o que pode dar origem a riscos sistêmicos na cadeia de valor.
- Exceções para aplicação da lei: previsões para permitir que as autoridades usem IA no cumprimento da lei (por exemplo, aplicação de um sistema de IA de alto risco em caráter emergencial, com salvaguardas para preservar a confidencialidade das informações tratadas).
- Estrutura de governança: para além da atuação das autoridades nacionais na aplicação das nomas, será criado o Gabinete de IA na Comissão Europeia, que terá a função de supervisionar os modelos de IA, promover padrões e testes e fazer cumprir as normas nos estados-membros.
- Transparência e proteção aos direitos fundamentais: foi estabelecido o dever de avaliação de impacto aos direitos fundamentais para sistemas de IA de alto risco antes de sua utilização, bem como a necessidade de criar uma base de dados para registro de certas entidades públicas que fizerem uso de sistemas de IA de alto risco.
Além disso, reconheceu-se haver risco inaceitável aos direitos dos cidadãos e à democracia em certos sistemas e usos de IA, que foram banidos. São eles:
- sistemas de categorização biométrica que utilizam características sensíveis (como crenças políticas, religiosas, filosóficas, orientação sexual, raça);
- extração não direcionada de imagens faciais da internet ou imagens de circuito interno de televisão para criação de bancos de dados de reconhecimento facial;
- reconhecimento de emoções no local de trabalho e nas instituições de ensino;
- pontuação social baseada no comportamento social ou características pessoais;
- sistemas de IA que manipulam o comportamento humano para influenciar o seu livre arbítrio; e
- uso de IA para exploração de grupos vulneráveis (devido à sua idade, deficiência, situação social ou econômica).
As penalidades por violação à norma variam conforme a gravidade da infração e o porte do infrator (considerando pequenas empresas e startups), na seguinte forma:
- até 7% do faturamento anual global do infrator ou 35 milhões de euros (o que for maior), quando a infração se referir a sistemas de IA banidos por risco inaceitável;
- 3% ou 15 milhões de euros, se relativa a sistemas de alto risco; e
- 1,5% para a divulgação de informações imprecisas.
Após finalizado o texto, ele será apresentado aos representantes dos estados-membros (Coreper) para aprovação e submetido a uma revisão jurídico-linguística antes de sua adoção formal. De acordo com a redação provisória, a norma será aplicável dois anos após sua entrada em vigor, com algumas exceções para disposições específicas.
E a regulamentação da IA no Brasil?
No Brasil, as discussões ainda se mostram mais incipientes: o Projeto de Lei 2.338/23 (PL 2.338/23) está em avaliação pela Comissão Temporária sobre Inteligência Artificial no Senado. Foi apresentado texto substitutivo em 28 de novembro e duas emendas em 12 de dezembro de 2023.
O texto substitutivo, entre outras modificações, incluiu previsões de fomento à pesquisa e desenvolvimento de sistemas de IA e modificou a mecânica de avaliação de risco ao propor critérios objetivos para classificar e remover o rol de sistemas de IA considerados de risco excessivo e alto. Também retirou previsões sobre comunicação de incidentes graves à autoridade competente.
As duas propostas de emenda apresentadas em 12 de dezembro, sugerem:
- remover a possibilidade de a autoridade competente atualizar a lista dos sistemas de IA de risco excessivo ou de alto risco; e
- remover a avaliação da capacidade de endividamento das pessoas naturais ou sua classificação de crédito no rol de sistemas de IA de alto risco, além de ajustar o texto relativo aos sistemas biométricos de identificação para incluir, no final, o trecho “usados pelo poder público para investigação criminal e segurança pública”.
O texto inicial do PL 2.338/23 se mostra mais próximo à redação do AI Act atualmente em discussão, inclusive ao estabelecer os sistemas de IA de risco excessivo (cuja implementação e utilização são proibidas), assim como o rol de risco inaceitável. Embora o rol brasileiro seja mais reduzido que o europeu, é possível constatar que a estratégia adotada no Brasil se assemelha à da União Europeia.
Um dos principais impasses enfrentados nas tratativas do AI Act durante as negociações se referia ao uso de sistemas de IA que envolvem o reconhecimento facial – cujo uso foi parcialmente banido dado o risco inaceitável. Essas discussões devem ainda repercutir no Brasil, a exemplo da emenda apresentada dia 12 de dezembro, que tem como objetivo limitar a classificação de alto risco dos sistemas biométricos de identificação somente aos usados pelo poder público para investigação criminal e segurança pública.
Dessa forma, a trajetória brasileira na regulamentação da inteligência artificial ainda deve se prolongar – não apenas pelo curso natural do processo legislativo, mas também pela curva mundial de aprendizado sobre o tema e pelo poder político das grandes empresas de tecnologia.
Entretanto, independentemente da regulamentação formal e direcionada no Brasil, os sistemas de IA já demandam avaliações e aplicação de controles devido aos riscos e temas associados – por exemplo, privacidade, proteção de dados e propriedade intelectual. Não por acaso, avaliações de impacto algorítmico e definição de diretrizes para uso e desenvolvimento de sistemas de IA já fazem parte da realidade de boa parte do mercado brasileiro.
O advento do AI Act, por sua vez, demandará ações para adequação em escala mundial, devido à abrangência das ferramentas de IA. Esses sistemas se utilizam de fontes variadas, que não se restringem ao território europeu. Nesse mesmo sentido, os materiais produzidos pelos sistemas de IA apresentam impactos e repercussão em proporções globais.
Diante do cenário legislativo e da regulação já aplicável ao uso e desenvolvimento de sistemas de IA, nosso time de Tecnologia está à disposição para conduzir avaliações de risco e impacto algorítmico, apoiar a definição de processos e diretrizes, além de avaliar e revisar os instrumentos contratuais aplicáveis.
[1] Mais informações em: Artificial intelligence act: Council and Parliament strike a deal on the first rules for AI in the world e Artificial Intelligence Act: deal on comprehensive rules for trustworthy AI
[2] O texto provisório do AI Act adotou a definição de sistema de IA apresentada pela recomendação do Conselho de Inteligência Artificial da Organização para a Cooperação e Desenvolvimento Econômico (OCDE), segundo a qual, sistema de IA é “um sistema baseado em máquina que, para objetivos explícitos ou implícitos, infere, a partir das informações que recebe, como gerar resultados como previsões, conteúdos, recomendações ou decisões que podem influenciar ambientes físicos ou virtuais. Diferentes sistemas de IA variam nos seus níveis de autonomia e adaptabilidade após a implantação” (tradução nossa).