A Lei da IA da UE: Contexto, desdobramentos e prazos para implementação

A regulamentação da IA é inevitável com o avanço e a integração dos sistemas de IA em praticamente todas as facetas do mundo moderno. Jurisdições importantes, como a União Europeia, já estão dando os primeiros passos na introdução de marcos legislativos destinados a trazer a ordem tão necessária ao que tem sido chamado de “O Velho Oeste” do setor de tecnologia, e muitas outras seguirão o mesmo caminho à medida que crescer a necessidade de supervisão por parte dos governos.  

A Lei da UE sobre IA
A Lei da UE sobre IA é um marco legislativo que visa criar um marco jurídico abrangente para regulamentar o uso e o desenvolvimento da IA em todos os Estados-Membros. Como componente essencial da estratégia digital mais ampla da UE, a Lei da UE sobre IA reflete uma abordagem proativa para enfrentar os desafios éticos, sociais e técnicos impostos pelo rápido avanço das tecnologias de IA.

A lei, aprovada pelos legisladores europeus em 13 de março de 2024, tem como objetivo promover um ambiente no qual as tecnologias de IA possam prosperar, impulsionando a inovação e o crescimento econômico, ao mesmo tempo em que garante que tais avanços beneficiem todos os cidadãos e estejam alinhados com o interesse público. A lei também garantirá que os europeus possam confiar no que a IA oferece.  

A Lei da UE sobre IA irá:

• Abordar os riscos gerados especificamente pelas aplicações de IA. 
• Proibir práticas de IA que representem riscos inaceitáveis. 
• Elabore uma lista de aplicativos de alto risco. 
• Estabelecer requisitos claros para sistemas de IA destinados a aplicações de alto risco. 
• Definir obrigações específicas para os implementadores e provedores de aplicações de IA de alto risco. 
• Estabelecer medidas de fiscalização após a colocação de um determinado sistema de IA no mercado. 
• Estabelecer uma estrutura de governança nos níveis europeu e nacional. 
• Exigir uma avaliação de conformidade antes que um sistema de IA seja colocado em serviço.  
   

Uma abordagem baseada no risco para a governança da IA
O marco regulatório estabelecido pela Lei de IA introduz o princípio de que, quanto maior o risco representado por um sistema de IA, mais rigorosas serão as regulamentações a que ele estará sujeito. Essa abordagem garante que os sistemas de IA com potencial para causar um impacto significativo na sociedade ou nos indivíduos sejam submetidos a uma supervisão e a um controle mais rigorosos.

Um dos principais aspectos da Lei de IA é a classificação de certas aplicações de IA como representativas de um risco inaceitável, o que, na prática, proíbe seu uso na União Europeia. Essa categoria inclui aplicações de IA que:

• Manipular o comportamento humano a ponto de causar danos aos indivíduos. Trata-se de sistemas concebidos para influenciar ações ou decisões que possam prejudicar seu bem-estar ou sua autonomia. 
• Facilitar a avaliação desfavorável de indivíduos com base em seu comportamento social ou em suas características pessoais. Um exemplo notável é o sistema de crédito social implementado na China, que restringe as liberdades e oportunidades de uma pessoa com base em seu status social, determinado por seu comportamento e outras características pessoais. 
• Permitir a detecção remota em tempo real de pessoas em espaços públicos e sua identificação biométrica sem o consentimento delas. Embora tais práticas sejam amplamente proibidas devido à sua natureza intrusiva, a lei especifica exceções para a prevenção do terrorismo ou a investigação de crimes graves, reconhecendo o equilíbrio entre as preocupações com a privacidade e as necessidades de segurança. 
   

Todos os sistemas de IA considerados uma ameaça à segurança, aos meios de subsistência e aos direitos das pessoas serão proibidos. Crédito da imagem: Comissão Europeia
Os sistemas de IA identificados como de alto risco incluirão aqueles utilizados em áreas-chave, como infraestrutura crítica (por exemplo, transporte), educação ou formação profissional (por exemplo, correção de provas), componentes de segurança de produtos (por exemplo, IA em cirurgias assistidas por robôs) e emprego (por exemplo, software de triagem de currículos). Os sistemas de IA de alto risco estarão sujeitos a obrigações rigorosas antes de poderem ser colocados no mercado:

• Sistemas adequados de avaliação e mitigação de riscos. 
• Registro das atividades para garantir a rastreabilidade dos resultados. 
• Informações claras e adequadas ao responsável pela implantação. 
• Medidas adequadas de supervisão humana para minimizar os riscos. 
• Alto nível de robustez, segurança e precisão. 
• A documentação detalhada fornece todas as informações sobre o sistema e sua finalidade, para que as autoridades possam avaliar sua conformidade. 
   

Por outro lado, os sistemas de IA identificados como de risco limitado estarão sujeitos a obrigações específicas de transparência para garantir que as pessoas sejam informadas quando necessário. Ao usar um chatbot, por exemplo, as pessoas devem ser informadas de que estão interagindo com uma máquina, para que possam tomar uma decisão informada sobre se desejam continuar usando o sistema. Os provedores também terão que garantir que o conteúdo gerado por IA seja identificável.

Os sistemas de IA com risco mínimo não terão restrições e poderão ser utilizados livremente. Isso inclui aplicações como videogames com tecnologia de IA ou filtros de spam.

Quem será afetado?
A Lei da IA da UE afetará principalmente os provedores, definidos de forma ampla para incluir todas as pessoas jurídicas — sejam autoridades públicas, instituições, empresas ou outros órgãos — que desenvolvam sistemas de IA ou encomendem o desenvolvimento desses sistemas. Essa definição ampla garante que qualquer organização envolvida na colocação de tecnologia de IA no mercado da UE ou na entrada em serviço desses sistemas dentro da União esteja sujeita ao âmbito de aplicação da lei. As responsabilidades dos provedores nos termos da lei incluem, entre outras:

• Respeito aos direitos humanos: Garantir que seus sistemas de IA não comprometam os direitos fundamentais dos indivíduos, o que inclui a proteção da privacidade, a não discriminação e a proteção dos dados pessoais. 
• Gestão de riscos: Realizar avaliações de risco minuciosas para identificar e mitigar quaisquer danos potenciais que seus sistemas de IA possam causar a indivíduos ou à sociedade.
  Medidas de transparência: Fornecer informações claras e compreensíveis sobre como seus sistemas de IA operam, a lógica por trás das decisões da IA e as implicações de seu uso. 
• Padrões de qualidade e segurança: Cumprimento de padrões de qualidade e segurança predefinidos que garantam que os sistemas de IA sejam confiáveis, seguros e adequados à finalidade a que se destinam. 
   

A Lei da IA da UE também aborda as responsabilidades dos usuários de sistemas de IA, incluindo pessoas jurídicas e pessoas físicas. Isso amplia o alcance da lei para incluir pessoas físicas, e não apenas empresas ou organizações.  

De acordo com a lei, espera-se que os usuários de sistemas de IA:

• Utilize os sistemas de IA de forma responsável: siga as instruções e diretrizes do fabricante para o uso adequado e seguro das tecnologias de IA. 
• Monitoramento e comunicação: Monitorar o desempenho dos sistemas de IA em uso e comunicar quaisquer falhas ou riscos detectados às autoridades ou aos fornecedores competentes. 
• Governança de dados: Garantir que todos os dados utilizados em conjunto com sistemas de IA sejam tratados de acordo com as rigorosas leis de proteção de dados da UE, como o GDPR, a fim de proteger a privacidade e as informações pessoais dos indivíduos. 
   

O que a Lei da IA da UE irá regulamentar?
A Lei da IA é uma legislação histórica que abordará várias áreas-chave relacionadas à implantação e operação de sistemas de IA.  

Ética e responsabilidade
Os sistemas de IA têm o potencial de causar um impacto significativo na sociedade, tanto positivo quanto negativo. As considerações éticas são fundamentais, pois as decisões tomadas por esses sistemas podem afetar a vida, os meios de subsistência e os direitos das pessoas.  

A Lei de IA tem como objetivo garantir que a IA seja desenvolvida e utilizada de forma ética, respeite os direitos humanos e proteja a segurança das pessoas. Ela enfatiza a necessidade de os sistemas de IA serem projetados com uma abordagem centrada no ser humano, priorizando o bem-estar humano e os padrões éticos.

Transparência e prestação de contas
Um dos desafios dos sistemas de IA, especialmente aqueles baseados em aprendizado de máquina e aprendizado profundo, é sua natureza de “caixa preta”. Essa opacidade pode dificultar a compreensão de como as decisões são tomadas, gerando preocupações quanto à equidade, ao viés e à discriminação.  

A Lei de IA exige maior transparência e documentação para os sistemas de IA, exigindo explicações sobre como funcionam, a lógica por trás de suas decisões e os dados que utilizam. Isso é fundamental para promover a prestação de contas e garantir que os sistemas de IA não perpetuem nem agravem as desigualdades sociais.

Competitividade
Na corrida global pelo avanço tecnológico, a UE pretende se posicionar como líder em inovação ética em IA. Ao estabelecer regras claras e harmonizadas para a IA, a Lei da IA visa criar um ambiente estável e previsível que incentive o investimento e a pesquisa em tecnologias de IA.  

Essa clareza regulatória tem como objetivo impulsionar a competitividade das empresas europeias no cenário internacional, permitindo que elas inovem ao mesmo tempo em que cumprem elevados padrões éticos e de segurança.

Confiança do usuário final
A aceitação e a confiança do público nas tecnologias de IA são essenciais para sua ampla adoção e sucesso. A Lei de IA visa reforçar a confiança do público nos sistemas de IA por meio da implementação de salvaguardas robustas, padrões éticos e requisitos de transparência.  

Espera-se que garantir que as tecnologias de IA sejam utilizadas de forma a proteger e beneficiar a sociedade aumente a confiança dos cidadãos, o que é fundamental para integrar a IA em diversos aspectos da vida cotidiana e da economia.

Regulamentações sobre IA em outras jurisdições
A União Europeia não está sozinha em seus esforços para regulamentar a IA — os Estados Unidos e o Reino Unido alcançaram avanços significativos na implementação de políticas nacionais.

Na Califórnia, que é o berço de líderes em IA como a OpenAI, a Microsoft e o Google, foi apresentado recentemente um projeto de lei que visa estabelecer “padrões de segurança claros, previsíveis e baseados no bom senso para os desenvolvedores dos maiores e mais poderosos sistemas de IA”, adotando uma abordagem que se concentra especificamente nas empresas que criam os modelos de maior escala e na possibilidade de que estes possam causar danos generalizados se não forem controlados.  

Por outro lado, a Lei Local 144 da Cidade de Nova York, que foi aprovada em 2021 e se aplica a empregadores que utilizam sistemas automatizados de avaliação de candidatos (AEDTs), exige que seja realizada uma auditoria de preconceito nos processos automatizados de contratação.  

Também estão sendo tomadas medidas no âmbito federal. Em outubro, o presidente Biden emitiu um decreto para estabelecer novos padrões de segurança e proteção relacionados à IA. O decreto determina as seguintes ações:

• Os desenvolvedores dos sistemas de IA mais poderosos devem compartilhar os resultados de seus testes de segurança e outras informações essenciais com o governo dos Estados Unidos.  
• Desenvolver normas, ferramentas e testes para ajudar a garantir que os sistemas de IA sejam seguros, protegidos e confiáveis.  
• Proteger contra os riscos decorrentes do uso da IA na criação de materiais biológicos perigosos. 
• Proteger os americanos contra fraudes e enganos envolvendo inteligência artificial, estabelecendo padrões e melhores práticas para detectar conteúdos gerados por IA e autenticar conteúdos oficiais. 
• Estabelecer um programa avançado de segurança cibernética para desenvolver ferramentas de IA destinadas a identificar e corrigir vulnerabilidades em softwares críticos. 
• Ordenar a elaboração de um Memorando de Segurança Nacional que defina medidas adicionais em matéria de IA e segurança. 
   

Enquanto isso, os legisladores do Reino Unido também estão elaborando suas próprias regras. O governo britânico publicou seu Livro Branco sobre IA em março de 2023, que apresenta suas propostas para regulamentar o uso da IA no Reino Unido. O Livro Branco é uma continuação do Documento de Política de Regulamentação da IA, que apresentou a visão do governo britânico para o futuro de um regime regulatório de IA “pró-inovação” e “específico ao contexto” no Reino Unido.

O Livro Branco propõe uma abordagem diferente da Lei da IA da UE no que diz respeito à regulamentação da IA. Em vez de introduzir novas regras amplas para regulamentar a IA no Reino Unido, o governo britânico pretende definir expectativas para o desenvolvimento da IA em conjunto com os órgãos reguladores existentes, como a Autoridade de Conduta Financeira, e conferir a eles poderes para regulamentar o uso da IA dentro de suas respectivas esferas de competência.  

Interações entre a Lei de IA da UE e o RGPD da UE
Quando a Lei de IA da UE entrar em vigor, ela estará entre as primeiras e maiores regulamentações do mundo sobre IA. Isso, naturalmente, levou as pessoas a refletirem sobre suas implicações para o Regulamento Geral de Proteção de Dados (RGPD), que entrou em vigor em 2018.

A Lei de IA e o RGPD diferem em seu âmbito de aplicação. A Lei de IA se aplica a provedores, usuários e participantes em toda a cadeia de valor da IA, enquanto o RGPD se aplica de forma mais restrita àqueles que tratam dados pessoais ou oferecem bens ou serviços — incluindo serviços digitais — a titulares de dados na UE. Os sistemas de IA que não tratam dados pessoais, portanto, não estarão sujeitos ao RGPD.  

No entanto, há algumas ressalvas a esse respeito. Uma possível lacuna entre a Lei de IA e o GDPR é a exigência de que os provedores de sistemas de IA facilitem a supervisão humana. Contudo, ainda não foi definido quais medidas devem ser tomadas para viabilizar isso e em que medida a supervisão humana será necessária para sistemas específicos de IA. A implicação potencial é que os sistemas de IA não serão considerados parcialmente automatizados; portanto, as obrigações do Artigo 22 podem ser aplicáveis.  

A Lei de IA também observa que os provedores de sistemas de IA de alto risco podem precisar processar categorias especiais de dados pessoais para monitoramento e detecção de preconceitos. Curiosamente, a Lei de IA não estabelece explicitamente uma base legal para isso, e as disposições do RGPD constituem uma área cinzenta quando aplicadas nesse contexto.  

Pode haver uma base legal para o tratamento de dados que evite preconceitos e discriminação, nos termos da disposição sobre interesse legítimo prevista no Artigo 6, parágrafo 1, alínea f), mas, ao tratar categorias especiais de dados, também é necessário cumprir uma exceção prevista no Artigo 9, parágrafo 2. Isso significa que é necessário mais do que apenas um interesse legítimo. Embora, em teoria, os operadores de sistemas pudessem obter o consentimento explícito dos titulares dos dados para tratar os dados com o objetivo de eliminar preconceitos, isso simplesmente não é viável.

Estes são dois exemplos de possíveis pontos de atrito que poderiam surgir entre a Lei da IA da UE e o RGPD. Ambos os marcos jurídicos são iniciativas complexas, com escopos, definições e requisitos diferentes, o que criará desafios em termos de conformidade e coerência, os quais devem ser abordados.

Quando a Lei de IA entra em vigor?
Inicialmente, previa-se que a Lei de IA entrasse em vigor em 2022, mas, como sempre acontece com grandes iniciativas legislativas como essa, houve contratempos.  

A UE aprovou oficialmente a Lei de IA em 13 de março de 2024, quando os deputados do Parlamento Europeu votaram a favor de sua adoção, com uma maioria de 523 votos a favor e 461 votos contra. Espera-se agora que o Conselho Europeu aprove formalmente o texto final da Lei de IA em abril de 2024. Após essa última etapa formal e a conclusão do trabalho de revisão linguística da Lei de IA, a lei será publicada no Jornal Oficial da UE e entrará em vigor 20 dias após a publicação.

Assim que a Lei de IA entrar em vigor, as organizações terão entre seis e 36 meses a partir dessa data para cumprir suas disposições, dependendo do tipo de sistema de IA que desenvolvam ou implantem:

• 6 meses para sistemas de IA proibidos; 
• 12 meses para obrigações específicas relativas a sistemas de IA de uso geral; 
• 24 meses para a maioria dos demais compromissos, incluindo os sistemas de alto risco do Anexo III; e 
• 36 meses para as obrigações relacionadas aos sistemas de alto risco do Anexo II. 
   

À medida que essa legislação histórica avança rumo à sua promulgação, as empresas devem compreender suas implicações e se preparar para as mudanças que ela trará. Essa preparação envolve várias ações fundamentais para garantir a conformidade e aproveitar as oportunidades que um ambiente de IA bem regulamentado pode oferecer.

Em primeiro lugar, as empresas devem revisar minuciosamente seus sistemas e aplicativos de IA existentes. Essa auditoria deve ter como objetivo identificar quaisquer áreas em que sua tecnologia possa não estar em conformidade com as futuras regulamentações. Dado o foco da Lei de IA nos níveis de risco, é fundamental compreender a situação de cada sistema no que diz respeito ao seu impacto potencial sobre os direitos e a segurança das pessoas. As empresas podem precisar modificar ou descontinuar certas funcionalidades de IA que se enquadrem nas categorias de maior risco ou aquelas consideradas inaceitáveis nos termos da Lei.

As empresas também devem se concentrar na implementação de processos internos robustos que garantam transparência e prestação de contas ao utilizar a IA. Isso significa estabelecer práticas transparentes de documentação, garantir que os processos de tomada de decisão da IA sejam explicáveis e criar mecanismos para monitorar e relatar o desempenho e o impacto da IA.