A Lei de inteligência artificial da União Europeia

No dia 9 de dezembro de 2023, após três dias de extensas negociações, os negociadores do Conselho e do Parlamento Europeu chegaram a um acordo de compromisso sobre a proposta de regras harmonizadas sobre inteligência artificial (IA) para a União Europeia (UE), o famoso The EU’s AI Act.

Como bem disse Carme Artigas, secretária de Estado para Digitalização e Inteligência Artificial da Espanha:

“O acordo de hoje aborda efetivamente um desafio global em um ambiente tecnológico em rápida evolução em uma área fundamental para o futuro de nossas sociedades e economias.”

O acordo de compromisso foi considerado uma conquista  histórica por ter conseguido manter um equilíbrio extremamente delicado: impulsionar a inovação e a adoção da inteligência artificial em toda a Europa e, ao mesmo tempo, respeitar plenamente os direitos fundamentais dos cidadãos.

Para se ter uma ideia do avanço dessa legislação, o PL nº 2.338/2023 [responsável por reconhecer a importância da regulação da inteligência artificial no Brasil], em tramitação na Comissão Temporária Interna sobre Inteligência Artificial (CTIA), chega a alinhar disposições com as orientações da União Europeia.

Todavia, antes de mergulharmos no teor da Lei de IA da União Europeia, vamos dar um passo atrás e compreender como nasceu o The EU’s AI Act.

O projeto inicial
A primeira proposta de regulação para IA foi apresentada pela Comissão Europeia em 14 de abril de 2021 como um elemento fundamental da política da UE para promover o desenvolvimento e a adoção em todo o mercado único de uma IA segura e legal que respeite os direitos fundamentais.

Essa proposta inicial seguiu uma abordagem baseada em riscos e estabeleceu uma estrutura jurídica uniforme e horizontal para a IA que visa garantir a segurança jurídica.

Tal proposta surgiu junto com outras iniciativas, incluindo o plano coordenado sobre inteligência artificial, que visa a acelerar o investimento em IA na Europa.

Pois bem, em 6 de dezembro de 2022, o conselho chegou a um primeiro acordo para uma abordagem geral (mandato de negociação) sobre esse texto inicial e iniciou conversas interinstitucionais com o Parlamento Europeu (“trílogos”) em meados de junho de 2023.

O objetivo da Comissão e do Parlamento Europeu
Ao estabelecer padrões globais para a regulamentação de IA, promovendo a abordagem europeia para a regulamentação de tecnologia no cenário mundial, o objetivo da comissão e do Parlamento Europeu é claro: preparar o caminho e garantir que o desenvolvimento da inteligência artificial seja ético, seguro e confiável, definindo um padrão global para a regulamentação da IA em outras jurisdições, assim como o GDPR fez, promovendo assim a abordagem europeia para a regulamentação tecnológica no cenário mundial.

A ideia principal
O the EU’s AI Act é uma iniciativa legislativa emblemática com potencial para promover o desenvolvimento e a adoção de IA segura e confiável em todo o mercado único da UE, tanto por agentes públicos quanto privados.

Basicamente, o AI Act cria um sistema de governança à própria União Europeia, além de dar autonomia aos seus 27 Estados-membros para regularem sobre o tema.

Para isto, o diploma delimita as competências que cabem à União Europeia, autorizando os Estados-membros, se assim quiserem, a instituírem regramentos para a utilização de inteligência artificial.

Sua ideia principal é regulamentar a IA com base na capacidade da mesma de causar danos à sociedade, seguindo uma abordagem “baseada em riscos”: quanto maior o risco, mais rígidas serão as regras.

Ao tratar de riscos específicos, a Lei de IA os categoriza em quatro níveis, cada um com regras específicas:

• Riscos mínimos ou inexistentes: a maioria dos sistemas de IA com riscos insignificantes pode continuar sem regulamentação.
• Riscos limitados: os sistemas de IA com riscos gerenciáveis estão sujeitos a obrigações de transparência leves para capacitar os usuários a tomar decisões informadas.
• Riscos altos: um amplo espectro de sistemas de IA de alto risco será autorizado, mas com requisitos e obrigações rigorosos para acessar o mercado da UE.
• Riscos inaceitáveis: os sistemas que contêm riscos considerados inaceitáveis, incluindo manipulação cognitiva, policiamento preditivo, reconhecimento de emoções em locais de trabalho e escolas, pontuação social e determinados sistemas de identificação biométrica remota, serão proibidos, com exceções limitadas.

Vejamos a seguir os principais tópicos do AI Act, após o acordo celebrado no ultimo dia 9 de dezembro.

The AI Act da UE

1 – Principais tópicos
Em comparação com a proposta inicial da Comissão Europeia, os principais elementos novos do acordo provisório podem ser resumidos da seguinte forma:

• regras sobre modelos de IA de uso geral de alto impacto que podem causar risco sistêmico no futuro, bem como sobre sistemas de IA de alto Risco
• um sistema revisado de governança com alguns poderes de aplicação em nível da UE
• extensão da lista de proibições, mas com a possibilidade de usar a identificação biométrica remota pelas autoridades policiais em espaços públicos, sujeita a salvaguardas
• melhor proteção dos direitos por meio da obrigação de os implantadores de sistemas de IA de alto risco realizarem uma avaliação do impacto sobre os direitos fundamentais antes de colocar um sistema de IA em uso.

2  – Definições e escopo
Para garantir que a definição de um sistema de inteligência artificial forneça critérios suficientemente claros para distinguir a IA de sistemas de software mais simples, o acordo de compromisso alinha a definição com a abordagem proposta pela OCDE.

O acordo provisório também esclarece que o regulamento não se aplica a áreas fora do escopo da legislação da UE e não deve, em nenhum caso, afetar as competências dos Estados-membros em segurança nacional ou qualquer entidade encarregada de tarefas nessa área.

Além disso, a lei de IA não se aplicará a sistemas que sejam usados exclusivamente para fins militares ou de defesa.

Na mesma linha, o acordo prevê que o regulamento não se aplicaria a sistemas de IA usados exclusivamente para fins de pesquisa e inovação, ou para pessoas que usam IA por motivos não profissionais.

3  – Regulação fundada em riscos
Como dito e enumerado anteriormente, o AI Act classificou os sistemas de IA como de alto risco e práticas de IA proibidas.

Paralelamente a essa classificação de alto risco, o acordo de compromisso prevê uma camada horizontal de proteção para garantir que os sistemas de IA que não têm probabilidade de causar graves violações de direitos fundamentais ou outros riscos significativos não sejam afetados.

No tocante aos sistemas de IA com risco limitado, o acordo prevê que eles estariam sujeitos a obrigações de transparência muito leves — como, por exemplo, a obrigação de divulgar o conteúdo que foi gerado por IA para que os usuários possam tomar decisões informadas sobre o uso posterior.

Já os sistemas de IA de alto risco seriam autorizados, mas sujeitos a um conjunto de requisitos e obrigações para obter acesso ao mercado da UE. Tais requisitos foram esclarecidos e ajustados pelos co-legisladores do bloco europeu, para se tornarem tecnicamente mais viáveis e menos onerosos às partes interessadas. Por exemplo, quanto à qualidade dos dados ou em relação à documentação técnica que deve ser elaborada pelas PMEs para demonstrar que seus sistemas de IA de alto risco estão em conformidade com os requisitos.

Como os sistemas de IA são desenvolvidos e distribuídos por meio de cadeias de valor complexas, o acordo de compromisso inclui alterações que esclarecem a alocação de responsabilidades e funções dos diversos atores nessas cadeias, em especial fornecedores e usuários de sistemas de IA.

Outrossim, compromisso esclarece a relação entre as responsabilidades previstas na Lei de IA e as responsabilidades que já existem em outras legislações, como a legislação setorial ou de proteção de dados da UE.

Por fim, os sistemas de IA cujos casos de usos trazem um risco considerado inaceitável serão banidos da UE.

Para se ter uma ideia do que é um sistema de IA com risco considerado inaceitável, o acordo de compromisso proíbe, por exemplo:

• a manipulação cognitiva comportamental,
• a coleta não direcionada de imagens faciais da Internet ou de filmagens de CCTV,
• o reconhecimento de emoções no local de trabalho e em instituições educacionais,
• a pontuação social,
• a categorização biométrica para inferir dados confidenciais, como orientação sexual ou crenças religiosas,
• e alguns casos de policiamento preditivo para indivíduos.

4 – Exceções à aplicação do AI Act
Tendo em conta as especificidades de aplicação da lei e a necessidade de preservar a capacidade da IA e seu uso essencial no trabalho, o acordo de compromisso estabelece várias mudanças na proposta da Comissão Europeia em relação ao uso de sistemas de IA para fins de aplicação da lei.

Sujeitas às devidas salvaguardas, essas alterações visam refletir a necessidade de respeitar a confidencialidade dos dados operacionais sensíveis em relação às suas atividades. Foi introduzido, por exemplo, um procedimento de emergência que permite aos órgãos de aplicação da lei implantar uma ferramenta de IA de alto risco que não tenha passado pelo procedimento de avaliação de conformidade em caso de urgência.

Em contrapartida, também foi introduzido um mecanismo específico para garantir que os direitos fundamentais sejam suficientemente protegidos contra possíveis usos indevidos dos sistemas de IA.

Ademais, no que diz respeito ao uso de sistemas de identificação biométrica remota em tempo real em espaços acessíveis ao público, o acordo preliminar esclarece os objetivos em que tal uso é estritamente necessário para fins de aplicação da lei e para os quais as autoridades de aplicação da lei devem, portanto, ser excepcionalmente autorizadas a usar tais sistemas.

Some-se a isto, a previsão de salvaguardas adicionais, limites e exceções, incluídas pelo acordo, aos casos de vítimas de determinados crimes, prevenção de ameaças reais, atuais ou previsíveis, como ataques terroristas, e buscas de pessoas suspeitas dos crimes mais graves.

5 – Sistemas de IA de uso geral e modelos fundacionais
O acordo de compromisso adicionou novas disposições, para considerar situações em que os sistemas de IA podem ser usados para muitas finalidades diferentes (IA de propósito geral) e em que a tecnologia de IA de propósito geral é posteriormente integrada a outro sistema de alto risco. O acordo também aborda os casos específicos de sistemas de IA de uso geral (GPAI).

Além disso, foram acordadas regras específicas para modelos fundacionais, sistemas de grande porte capazes de executar com competência uma ampla gama de tarefas distintas, como geração de vídeo, texto, imagens, conversação em linguagem lateral, computação ou geração de código de computador.

O acordo provisório prevê que os modelos fundacionais devem cumprir com específicas obrigações de transparência antes de serem colocados no mercado. Um regime mais rigoroso foi introduzido para modelos de fundação de “alto impacto”.

Esses são modelos fundacionais treinados com grande quantidade de dados e com complexidade avançada, recursos e desempenho bem acima da média, que podem disseminar riscos sistêmicos ao longo da cadeia de valor.

6  – A nova estrutura de governança estabelecida pelo AI Act
Seguindo as novas regras sobre os modelos GPAI e a necessidade óbvia de sua aplicação em nível da UE, foi criado um escritório de IA dentro da Comissão Europeia com a tarefa de supervisionar esses modelos de IA mais avançados, contribuir para a promoção de padrões e práticas de teste e aplicar as regras comuns em todos os estados-membros.

Um painel científico de especialistas independentes aconselhará o escritório de IA sobre os modelos GPAI, contribuindo para o desenvolvimento de metodologias para avaliar as capacidades dos modelos de fundação, aconselhando sobre a designação e o surgimento de modelos de fundação de alto impacto e monitorando possíveis riscos de segurança material relacionados aos modelos de fundação.

O AI Board, que seria composto por representantes dos Estados-membros, permanecerá como uma plataforma de coordenação e um órgão consultivo para a comissão e desempenhará um papel importante para os Estados-membros na implementação do regulamento, incluindo o projeto de códigos de prática para modelos de fundação.

Por fim, será criado um fórum consultivo para as partes interessadas, como representantes do setor, PMEs, startups, sociedade civil e universidades, para fornecer conhecimento técnico ao AI Board.

7  – Penalidades por violações ao AI Act
As multas por violações da lei europeia de IA foram definidas como uma porcentagem do faturamento anual global da empresa infratora no ano fiscal anterior ou um valor predeterminado, o que for maior. Tal equivaleria a:

• 35 milhões de euros ou 7% por violações das aplicações de IA proibidas,
• 15 milhões de euros ou 3% por violações das obrigações instituídas pela Lei de IA e
• 7,5 milhões de euros ou 1,5% pelo fornecimento de informações incorretas.

Vale destacar, todavia, que o acordo de compromisso prevê limites mais proporcionais para multas administrativas aplicadas às PMEs e às empresas em fase de arranque no caso de infrações às disposições da lei sobre IA.

Além disso, o acordo deixa claro que uma pessoa física ou jurídica pode fazer uma reclamação à autoridade de fiscalização do mercado pertinente com relação à não conformidade com a lei da IA e pode esperar que essa reclamação seja tratada de acordo com os procedimentos específicos dessa autoridade.

8 – Transparência e proteção dos direitos fundamentais
O acordo do AI Act prevê uma avaliação do impacto sobre os direitos fundamentais antes que um sistema de IA de alto risco seja colocado no mercado por seus implantadores. Também prevê maior transparência com relação ao uso de sistemas de IA de alto risco.

Surpreendentemente, algumas disposições da proposta da comissão foram alteradas para indicar que determinados usuários de um sistema de IA de alto risco — que são entidades públicas — também serão obrigados a se registrar no banco de dados da UE para sistemas de IA de alto risco.

Além disso, as disposições recém-adicionadas enfatizam a obrigação dos usuários de um sistema de reconhecimento de emoções de informar as pessoas físicas quando elas estiverem expostas a esse sistema.

9 – Medidas de apoio à inovação

Para criar uma estrutura jurídica mais favorável à inovação e promover o aprendizado regulatório baseado em evidências, as disposições relativas às medidas de apoio à inovação foram substancialmente modificadas em comparação com a proposta inicial da Comissão Europeia.

Para se ter uma ideia, os sandboxes regulatórios de IA — que devem estabelecer um ambiente controlado para o desenvolvimento, teste e validação de sistemas inovadores de IA — devem permitir o teste de sistemas inovadores de IA em condições reais.

Também foram adicionadas novas disposições que permitem o teste de sistemas de IA em condições reais, sob condições e salvaguardas específicas.

10 – Entrada em vigor
O acordo provisório prevê que a lei de IA deve ser aplicada dois anos após sua entrada em vigor, com algumas exceções para disposições específicas.

Próximos passos
Após o acordo de compromisso celebrado em 9 de dezembro de 2023, os trabalhos continuarão em nível técnico nas próximas semanas para finalizar os detalhes do novo regulamento.

E assim que esse trabalho for concluído, a presidência da Comissão Europeia apresentará o texto de compromisso final aos representantes dos Estados-membros (Coreper) para aprovação.

O texto completo precisará ser confirmado pela Comissão e pelo Parlamento Europeu e passar por uma revisão jurídico-linguística antes da adoção formal pelos legisladores da UE.