Regulamentação de IA na União Europeia e o Marco Legal no Brasil

O Parlamento Europeu aprovou no mês de março deste ano o AI Act, que define regras sobre o fornecimento e uso de inteligência artificial na União Europeia e regula como ela pode ser usada.

A norma se aplica a vários participantes do ciclo de vida da IA, como ao fornecedor, usuário, representante autorizado, fabricante, distribuidor e importador. O texto ainda passará por revisões de escrita e entrará em vigor no prazo de 20 dias contado da sua publicação.

A implementação do AI Act ocorrerá de forma gradual. Enquanto os artigos referentes às práticas proibidas de AI entrarão em vigor em seis meses, o texto geral só será implementado após 24 meses.

Entre os principais pontos do texto está que a IA é definida de maneira genérica e dá margem para interpretações abrangentes. Há várias obrigações para as empresas que desenvolvem modelos de AI e devem cumprir requisitos técnicos rigorosos, considerando questões regulatórias desde o início da criação dos modelos.

O AI Act adota uma abordagem mais focada principalmente em cenários de IA de alto risco, com regras e obrigações específicas. Quando aplicável, os agentes de sistemas de IA de alto risco devem fazer  uma avaliação de impacto na proteção de dados.

Classificação de risco

A norma apresenta requisitos para classificar o que é de alto risco. Serão considerados de alto risco aqueles sistemas que perfilarem indivíduos, ou seja, que utilizarem dados pessoais de maneira automatizada para avaliar diversos aspectos da vida de uma pessoa.

O texto traz classificações diversas para IA. Por exemplo, existem os sistemas de IA de risco inaceitável (que são proibidos); de risco alto (que possuem obrigações mais rigorosas); as IA de propósito geral (“GPAI”, que são sistemas que servem a múltiplos propósitos). Vale pontuar que no AI Act “risco” é entendido como a combinação da probabilidade de ocorrência de danos e da gravidade desses danos.

Escritório de IA

No âmbito macro da UE, deverá ser criado um Escritório de IA para supervisionar a implementação e a conformidade dos provedores de IA de propósitos gerais (GPAI), e os estados-membros deverão auxiliar nas tarefas designadas ao escritório, que deve incentivar e facilitar a criação de códigos de conduta que visem promover a aplicação voluntária à sistemas de IA que não sejam classificados como de alto risco.

As multas aplicáveis dependerão do porte da parte infratora e o tipo de infração. Em geral, as multas podem ser de: 7% do faturamento anual (ou € 35 milhões); 3% do faturamento anual (ou € 15 milhões); 1% do faturamento anual (ou € 7,5 milhões).

Comparativo

Se comparado com o Projeto de Lei nº 2.338/23, conhecido como Marco Legal da IA no Brasil, o AI Act possui algumas semelhanças. Como PL brasileiro, também define IA de forma abrangente, de modo que as definições de IA podem abarcar tanto sistemas que possuem total autonomia quanto aqueles que operam a partir de orientação/input de um humano.

Ainda, tanto a lei europeia quanto a brasileira estabelecem a obrigação de respeitar a proteção dos dados obtidos no funcionamento dos sistemas de IA, bem como o respeito às legislações de privacidade e proteção de dados aplicáveis em cada jurisdição. E trazem variações do tipo de cuidado a ser adotado dependendo em qual categoria de risco de IA que o dado pessoal é utilizado.

Mas, o que muda para o Brasil? Muito se fala sobre o “Efeito Bruxelas” e presume que o AI Act impactará diretamente o Marco Legal de IA (PL 2.338/23) que está sendo discutido. No entanto, o país ainda tem um considerável caminho a percorrer em termos político-legislativos e muita coisa pode mudar. Não é necessariamente verdade que seguiremos o mesmo caminho da UE.

Além disso, a UE não é a primeira a regular o tema ou a influenciar outros países. A China é um dos primeiros países a implementar regulamentos de IA, e já tem várias normas sobre isso em vigor. O AI Blueprint dos EUA também já estabelece 5 princípios que devem ser considerados ao elaborar e aplicar modelos de IA.

No Reino Unido, o governo elaborou diretrizes para equilibrar a promoção da inovação e garantir o uso responsável das tecnologias de IA, contando com leis setoriais existentes para impor limitações aos sistemas de IA. E o Peru já tem uma lei para promover o uso da IA em favor do desenvolvimento econômico e social do país.

Portanto, apesar de ser um marco relevante na história da regulamentação da IA, o AI Act não é o único. É essencial ficar atento ao que acontece em outras regiões, bem como, considerar a existência de outros modelos regulatórios.

O Reino Unido inclusive coloca as regulações setoriais como ponto essencial para a limitação do uso de modelos de IA; em Singapura, diversos modelos de governança foram publicados a fim de estimular a autorregulação das empresas, dentre outros objetivos. Ou seja, a regulação “top-down” (que vem do Estado) não precisa ser a única via considerada no debate.