AI Act: projeto de estrutura regulatória de IA na União Europeia

A Carta de Direitos Fundamentais da União Europeia (UE) [1] protege diversas prerrogativas fundamentais, notadamente, o direito à não discriminação, à liberdade de expressão, à dignidade humana, à proteção de dados pessoais e à privacidade, direitos e garantias que podem ser comprometidos pelo desenvolvimento desordenado de sistemas de inteligência artificial (IA).

Neste sentido, em 2019 a Comissão Europeia publicou as Diretrizes Éticas para IA Confiável e Recomendações de Política e Investimento, regras que foram compreendidas como soft law, ou seja, não vinculantes aos Estados-membros [2]. No mesmo ano a Organização para Cooperação e Desenvolvimento Econômico (OCDE) adotou uma recomendação (não vinculante) sobre o tema.

Posteriormente, em fevereiro de 2020 a Comissão Europeia se comprometeu no âmbito do White Paper on Artificial Intelligence a promover a adoção da IA e abordar os riscos associados a determinados usos dessa nova tecnologia.

Em 2021, a Unesco adotou as Recomendações sobre a Ética da IA em 2021. Em abril do mesmo ano [3], a Comissão Europeia propôs a primeira estrutura regulatória [4] da UE para inteligência artificial com a finalidade de unificar a forma como a IA é regulamentada no mercado único dos 27 Estados-membros da UE [5].

Posteriormente, em 9 de dezembro de 2023, foi estabelecido um acordo entre o Parlamento Europeu e o Conselho Europeu [6] sobre o projeto do texto europeu para efetivamente regulamentar o uso da inteligência artificial generativa no âmbito da União Europeia [7] (Proposal n˚ 2021/0106).

Em 2 de fevereiro foi efetuada a última atualização [8] sobre o texto final do projeto da Lei de Inteligência Artificial da União Europeia (Lei de IA da UE), aprovado em 26 de janeiro de 2024 pelos 27 Estados-membros da UE, conhecido como a primeira estrutura jurídica horizontal abrangente do mundo para a regulamentação de sistemas de IA em toda a UE.

Nesta quarta-feira (13/3), o projeto foi aprovado no Parlamento Europeu. Os parlamentares chancelaram a proposta com 523 votos a favor, 46 contra e 49 abstenções.

Quais são os objetivos da regulamentação europeia?

O projeto de regulamentação da IA tem quatro objetivos principais, quais sejam:

(1) garantir que os sistemas de IA disponibilizados no mercado da UE sejam seguros e respeitem a legislação da UE em vigor;
(2) garantir a segurança jurídica para facilitar o investimento e a inovação em IA;
(3) melhorar a governança e a aplicação efetiva da legislação da UE sobre direitos fundamentais e
(4) facilitar o desenvolvimento de um mercado único para aplicativos de IA legais e seguros a fim de evitar a fragmentação do mercado.

Atualmente, a UE não possui a definição exata do sistema de IA, mas possivelmente adotará aquela já utilizada pela Organização para Cooperação e Desenvolvimento Econômico (OCDE) [9] a fim de fornecer uma base para alinhamento internacional e continuidade com outras leis e códigos.

A OCDE define a IA como um “sistema baseado em máquina que, para objetivos explícitos ou implícitos, infere, a partir da entrada, como gerar resultados, como previsões, conteúdo, recomendações ou decisões que podem influenciar ambientes físicos ou virtuais”.

Segundo o projeto, os sistemas de IA podem ser usados em diferentes aplicações, mas são analisados e classificados de acordo com o risco que representam para os usuários. Os diferentes níveis de risco significarão proporcionalmente mais ou menos regulamentação.

Ainda no caminho da uniformidade regulamentar, o AI ACT está em harmonia com as outras importantes legislações digitais da UE [10], como o Regulamento Geral de Proteção de Dados (GDPR), o Digital Services Act (GDPR), a Digital Markets Act (Lei dos Mercados Digitais), a Data Act (Lei de Dados) e a Cyber Resilience Act (Lei de Resiliência Cibernética).

Quem deverá se submeter ao AI ACT?

O regulamento pretende se aplicar aos fornecedores de sistemas de IA, bem como àqueles que os implementem ou importem, desde que esses sistemas sejam colocados no mercado na União Europeia (UE) ou que seu uso tenha um impacto sobre pessoas físicas ou jurídicas localizadas na UE.

No entanto, as obrigações não se aplicarão às atividades de pesquisa, desenvolvimento e criação de protótipos antes de qualquer comercialização, além de algumas outras isenções.

Como é realizada a regulamentação proporcional ao risco?

O projeto do regulamento classifica os sistemas de inteligência artificial de acordo com o risco: quanto maior o risco, mais rigorosos serão os regulamentos [11].

A Lei da IA aplica um quadro de conformidade escalonado. A maioria dos requisitos recai sobre os criadores e os responsáveis pela implantação de sistemas de IA classificados como “de alto risco” e sobre os sistemas de IA de uso geral (incluindo modelos de base e sistemas de IA generativos) que apresentem “riscos sistêmicos”.

Por exemplo, segundo os debates relativos ao projeto, os usos que criam um risco “inaceitável”, como sistemas de classificação social, manipulação comportamental ou categorização biométrica com base em dados confidenciais, serão estritamente proibidos. Por outro lado, os sistemas que apresentarem um risco mínimo não estarão sujeitos a nenhuma obrigação legal adicional.

Os sistemas definidos como de alto risco com base em sua finalidade e na maneira como são usados estarão sujeitos a uma série de obrigações: em particular, seus fornecedores deverão realizar e documentar uma avaliação a priori da conformidade com vários princípios (incluindo transparência para os usuários).

Para os sistemas de IA classificados como de alto risco (devido ao seu potencial dano significativo à saúde, à segurança, aos direitos fundamentais, ao meio ambiente, à democracia e ao Estado de Direito), foram acordadas obrigações claras, conforme a proporção demonstrada na tabela abaixo elaborada pela Comissão Europeia [12]:

É salutar esclarecer que os sistemas de IA classificados como de alto risco, deverão, segundo os eurodeputados, serem objeto de avaliação obrigatória do impacto sobre os direitos fundamentais, entre outros requisitos, aplicável também aos setores bancário e de seguros. Inclusive, diante das reverberações da IA no contexto político hodierno, os sistemas de IA usados para influenciar o resultado das eleições e o comportamento dos eleitores também são classificados como de alto risco.

Além da avaliação periódica supramencionada, os cidadãos terão o direito de apresentar reclamações sobre os sistemas de IA e receber explicações sobre as decisões baseadas em sistemas de IA de alto risco que afetem seus direitos.

No entanto, é importante ressaltar que alguns sistemas de IA serão regulamentados independentemente do nível de risco envolvido.

Por exemplo, os projetistas de modelos de IA de uso geral, incluindo large language models (LLMs), serão obrigados a fornecer documentação técnica a seus parceiros para fins de transparência e a adotar protocolos projetados para respeitar os direitos autorais durante a fase de aprendizado (independentemente do risco da atividade). Ainda, isenções significativas serão concedidas aos modelos de código aberto, salvo se eles apresentem riscos sistêmicos [13].

O que são os riscos sistêmicos?

No anexo IXc são detalhados os critérios para a designação de modelos de IA de uso geral com risco sistêmico a que se refere o artigo 52 do projeto, quais sejam:

(a) o número de parâmetros do modelo;
(b) a qualidade ou o tamanho do conjunto de dados;
(c) a quantidade de computação usada para treinar o modelo, medida em Flops ou indicada por uma combinação de outras variáveis;
(d) as modalidades de entrada e saída do modelo;
(e) referências e avaliações das capacidades do modelo;
(f) alto impacto no mercado interno devido ao seu alcance, que será presumido quando tiver sido disponibilizado a pelo menos 10 mil usuários comerciais registrados estabelecidos na União Europeia.

Como será feita a fiscalização em cada Estado-membro?

Em nível nacional, cada Estado-membro da UE deverá designar uma autoridade reguladora à qual os indivíduos poderão apresentar as reclamações mencionadas no tópico acima. Essa autoridade também terá um assento no futuro Comitê Europeu de Inteligência Artificial, que será interligado ao Comitê Europeu de Proteção de Dados criado pelo RGPD.

As autoridades nacionais competentes terão poderes de aplicação com a competência de impor multas significativas, a depender do nível de não conformidade, conforme os riscos apresentados.

Ainda, a Comissão Europeia anunciou a criação imediata de um Escritório Europeu de IA, encarregado de desenvolver a experiência e as capacidades da UE nessa área e, como parte disso, supervisionar as regras que os modelos de IA de uso geral terão que cumprir, principalmente por meio de códigos de conduta. Em caso de infração, há um mandado de legiferação no sentido de que os Estados-Membros legislem regras com penalidades efetivas, proporcionais e dissuasivas em face das condutas de pessoas físicas e jurídicas.

Como ocorrerá a punição de pessoas físicas e jurídicas em caso de descumprimento das normativas nacionais e europeias?

Os valores das penalidades para as infrações dos vários aspectos da Lei de IA foram fixados no artigo 71 do projeto. Para a não conformidade com as disposições relativas às práticas proibidas de IA descritas no artigo 5 — por exemplo a categorização biométrica realizada com dados confidenciais — a penalidade foi fixada em 35 milhões de euros ou 7% do faturamento anual, um pouco acima do limite estabelecido no mandato revisado do Conselho, que era de 35 milhões de euros ou 6,5% do faturamento anual.

Ainda, o artigo 72 do projeto estabelece as multas para os fornecedores de modelos de IA de uso geral, em caso de violações das obrigações ou não conformidade com as medidas de execução, por exemplo, solicitações de informações.

Em proporção, o valor máximo das multas foi alinhado ao dos fornecedores de sistemas de IA de alto risco. No entanto, é salutar destacar que haverá um período de carência adicional para os fornecedores de modelos de IA de uso geral, pois nenhuma multa poderá ser imposta durante o primeiro ano após a entrada em vigor das regras.

Quando o sistema de identificação biométrica poderá ser utilizado?

Há diversas salvaguardas e exceções restritas para o uso de sistemas de identificação biométrica (RBI) em espaços acessíveis ao público para fins de aplicação da lei, sujeito a autorização judicial prévia e para listas estritamente definidas de crimes.

O rastreamento RBI “pós-remoto” deverá ser usado estritamente na busca direcionada de uma pessoa condenada ou suspeita de ter cometido um crime grave. No entanto, a RBI “em tempo real” deverá obedecer às seguintes condicionantes:

i) buscas direcionadas de vítimas (sequestro, tráfico, exploração sexual);
ii) prevenção de uma ameaça terrorista específica e presente, ou
iii) a localização ou identificação de uma pessoa suspeita de ter cometido um dos crimes específicos mencionados no regulamento (por exemplo, terrorismo, tráfico, exploração sexual, assassinato, sequestro, estupro, assalto à mão armada, participação em uma organização criminosa, crime ambiental).

Regramento próprio para as tecnologias de reconhecimento facial

A IA potencializa o uso de tecnologias biométricas, incluindo tecnologias de reconhecimento facial (FRTs) que são usadas por agentes públicos ou privados para fins de verificação, identificação e categorização. Além da legislação aplicável existente (por exemplo, proteção de dados e não discriminação), o projeto de lei de IA propõe a introdução de novas regras para as FRTs e as diferencia de acordo com suas características de uso de “alto risco” ou “baixo risco”.

A regulamentação das tecnologias de reconhecimento facial (FRTs) é uma das questões mais polêmicas, já que a Autoridade Europeia para a Proteção de Dados (AEPD) e o Conselho Europeu para a Proteção de Dados (CEPD) pediram a proibição geral de qualquer uso de IA para o reconhecimento automático de características humanas em espaços de acesso público.

O uso de sistemas de reconhecimento facial em tempo real em espaços acessíveis ao público para fins de aplicação da lei seria proibido, a menos que os Estados-Membros decidam autorizá-los por motivos importantes de segurança pública e que sejam concedidas as devidas autorizações judiciais ou administrativas.

Detalhes sobre a inteligência artificial generativa

No que concerne à IA generativa, como o ChatGPT, será necessário estabelecer o respeito às seguintes condicionantes: 1) Informar que o conteúdo foi gerado por IA; 2) Projetar o modelo para evitar que ele gere conteúdo ilegal e 3) Informar a publicação de eventuais dados protegidos por direitos autorais usados para treinamento.

Os modelos de IA de uso geral de alto impacto que podem representar risco sistêmico, como o modelo de IA mais avançado GPT-4, devem que passar por avaliações completas e quaisquer incidentes graves teriam deverão ser relatados à Comissão Europeia.

Transnacionalidade do “AI ACT”

O projeto do Regulamento prevê que a Lei da IA será aplicada a todos os sistemas de IA que afetem as pessoas na UE (quer esses sistemas de IA sejam construídos e operados a partir da UE ou de outro local).

AI ACT e ESG, como as pessoas jurídicas podem começar a se preparar para a regulamentação da inteligência artificial?

Segundo a última versão do projeto, é extremamente salutar que as pessoas jurídicas adotem o mais breve possível as seguintes medidas:

1) Fazer um inventário de todos os sistemas de IA desenvolvidos ou implantados;
2) Classificar os riscos conforme o escalonamento dos sistemas de IA para determinar os níveis de riscos e identificar os requisitos de conformidade aplicáveis;
3) Analisar a interação com outras regulamentações dentro e fora da UE e
4) Desenvolver e executar um plano para garantir que as estruturas apropriadas de responsabilidade e governança de sistemas de controle e gestão de riscos, gestão de qualidade, monitoramento.

Neste âmbito é importante ressaltar a declaração de conformidade prevista no artigo 48 do projeto, que deverá ser elaborada pelo fornecedor dos serviços de IA, notadamente, com as seguintes informações:

1) nome e tipo do sistema de IA e qualquer referência adicional inequívoca que permita a identificação e a rastreabilidade do sistema de IA;
2) nome e endereço do fornecedor ou, se for o caso, de seu representante autorizado;
3) declaração de que a declaração UE de conformidade é emitida sob a exclusiva responsabilidade do fornecedor; 4) declaração de que o sistema de IA em questão está em conformidade com o presente regulamento.

Quando o “AI ACT” entrará em vigor?

O cronograma de implementação está previsto no artigo 85 do projeto.

Inicialmente, o texto final do projeto já aprovado por todos os 27 Estados-membros da UE em 2 de fevereiro do ano vigente, será analisado pelos Comitês de Mercado Interno e Liberdades Civis do Parlamento Europeu.

Após a adoção do texto pelos Comitês, o projeto deverá ser votado em plenário nos dias 10 e 11 de abril deste ano, já que as próximas eleições para o Parlamento Europeu ocorrerão em junho de 2024.

Segundo o artigo 85 do projeto, que estabelece um calendário escalonado [14], a Lei de IA da UE entrará em vigor no 20º dia após a publicação no Jornal Oficial da UE e terá eficácia após 24 meses com as seguintes ressalvas temporais:

1) As vedações previstas no Título I e II (Artigo 5) da Lei de IA da UE serão aplicadas seis meses após a entrada em vigor;
2) Os códigos de prática devem estar prontos nove meses após a entrada em vigor da Lei da IA da UE;
3) As penalidades entrarão em vigor após 12 meses;
4) os modelos GPAI têm 12 meses ou 24 meses se já estiverem no mercado;
5) as obrigações para sistemas de IA de alto risco, destinados a serem usados como um componente de segurança de um produto ou sistemas de IA listados no Anexo II) serão aplicadas após 36 meses e 6) em doze meses os Estados-membros terão de designar uma autoridade notificadora e uma autoridade de fiscalização do mercado, além de comunicar à comissão a identidade das autoridades competentes e o ponto único de contato.

________________________________________________

Fontes utilizadas

Artificial Intelligence Act, European Parliament, Legislative Observatory (OEIL). Ebers M., and others, The European Commission’s Proposal for an Artificial Intelligence Act—A Critical

Artificial intelligence in criminal law, EPRS, Voronova S., September 2021.

Artificial Intelligence Act: Initial Appraisal of the European Commission Impact Assessment, Dalli H., EPRS, July 2021.

Artificial intelligence at EU borders: Overview of applications and key issues, Dumbrava C., EPRS, July 2021.

Assessment by Members of the Robotics and AI Law Society (RAILS), J 4, no 4: 589-603, October 2021. Smuha N., and others, How the EU Can Achieve Legally Trustworthy AI: A Response to the European

Commission’s Proposal for an Artificial Intelligence Act, Elsevier, August 2021. Veale M., Zuiderveen Borgesius F., Demystifying the draft EU AI Act, 22(4) Computer Law Review International, July 2021.

Biometric Recognition and Behavioural Detection, European Parliament, Policy Department for Citizens’ Rights and Constitutional Affairs, August 2021.

[1] European Parliament. https://www.europarl.europa.eu/charter/pdf/text_fr.pdf. Acesso em 11 de fevereiro de 2024.

[2] Communication on Building Trust in Human-Centric Artificial Intelligence, COM(2019). Acesso em 10 de fevereiro de 2024.

[3] See European Commission, Proposal for a regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (artificial intelligence act) 2021/0106 (COD), Explanatory memorandum (Commission proposal for an AI act). While the exact definition of AI is highly contested (see below), it is generally acknowledged that AI combines a range of technologies including machine-learning techniques, robotics and automated decision-making systems. Acesso em 11.02.2024.

[4] Disponível em: https://data.consilium.europa.eu/doc/document/ST-8115-2021-INIT/en/pdf. Acesso em 11 de fevereiro de 2024.

[5] European Parliament. Conteúdo disponível: https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence. Acesso em 11.02.2024.

[6] A Regulamentação europeia possui fundamento nos artigos 16-p2 e 114 do Tratado de Funcionamento da União Europeia – TFUE.

[7] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL – LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS.

[8] Proposal n˚  2021/0106. Council of the European Union. Conteúdo disponível em: https://data.consilium.europa.eu/doc/document/ST-5662-2024-INIT/en/pdf. Acesso em 12 de fevereiro de 2024.

[9] OECD, Recommendation of the Council on Artificial Intelligence, 2019. Article 3(1) of the draft act states that ‘artificial intelligence system’ means: …software that is developed with [specific] techniques and approaches [listed in Annex 1] and can, for a given set of human-defined objectives, generate outputs such as content, predictions, recommendations, or decisions influencing the environments they interact with. Conteúdo disponível em: https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449. Acesso em 11 de fevereiro de 2024.

[10] Regulation (EC) No 300/2008 of the European Parliament and of the Council of 11 March 2008 on common rules in the field of civil aviation security and repealing Regulation (EC) No 2320/2002 (OJ L 97, 9.4.2008, p. 72). 14. Regulation (EU) No 168/2013 of the European Parliament and of the Council of 15 January 2013 on the approval and market surveillance of two- or three-wheel vehicles and quadricycles (OJ L 60, 2.3.2013, p. 52); Regulation (EU) No 167/2013 of the European Parliament and of the Council of 5 February 2013 on the approval and market surveillance of agricultural and forestry vehicles (OJ L 60, 2.3.2013, p. 1); Directive 2014/90/EU of the European Parliament and of the Council of 23 July 2014 on marine equipment and repealing Council Directive 96/98/EC (OJ L 257, 28.8.2014, p. 146); Directive (EU) 2016/797 of the European Parliament and of the Council of 11 May 2016 on the interoperability of the rail system within the European Union (OJ L 138, 26.5.2016, p. 44). Regulation (EU) 2018/858 of the European Parliament and of the Council of 30 May 2018 on the approval and market surveillance of motor vehicles and their trailers, and of systems, components and separate technical units intended for such vehicles, amending Regulations (EC) No 715/2007 and (EC) No 595/2009 and repealing Directive 2007/46/EC (OJ L 151, 14.6.2018, p. 1); Regulation (EU) 2019/2144 of the European Parliament and of the Council of 27 November 2019 on type-approval requirements for motor vehicles and their trailers, and systems, components and separate technical units intended for such vehicles, as regards their general safety and the protection of vehicle occupants and vulnerable road users, amending Regulation (EU) 2018/858 of the European Parliament and of the Council and repealing Regulations (EC) No 78/2009, (EC) No 79/2009 and (EC) No 661/2009 of the European Parliament and of the Council and Commission Regulations (EC) No 631/2009, (EU) No 406/2010, (EU) No 672/2010, (EU) No 1003/2010, (EU) No 1005/2010, (EU) No 1008/2010, (EU) No 1009/2010, (EU) No 19/2011, (EU) No 109/2011, (EU) No 458/2011, (EU) No 65/2012, (EU) No 130/2012, (EU) No 347/2012, (EU) No 351/2012, (EU) No 1230/2012 and (EU) 2015/166 (OJ L 325, 16.12.2019, p. 1); 19. Regulation (EU) 2018/1139 of the European Parliament and of the Council of 4 July 2018 on common rules in the field of civil aviation and establishing a European Union Aviation Safety Agency, and amending Regulations (EC) No 2111/2005, (EC) No 1008/2008, (EU) No 996/2010, (EU) No 376/2014 and Directives 2014/30/EU and 2014/53/EU of the European Parliament and of the Council, and repealing Regulations (EC) No 552/2004 and (EC) No 216/2008 of the European Parliament and of the Council and Council Regulation (EEC) No 3922/91 (OJ L 212, 22.8.2018, p. 1), in so far as the design, production and placing on the market of aircrafts referred to in points (a) and (b) of Article 2(1) thereof, 5662/24 RB/ek 246 TREE.2.B LIMITE EN where it concerns unmanned aircraft and their engines, propellers, parts and equipment to control them remotely, are concerned.

[11] EUROPARL. Conteúdo disponível em: https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/698792/EPRS_BRI(2021)698792_EN.pdf. Acesso em 9 de fevereiro de 2024.

[12] Conteúdo disponível em: https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/698792/EPRS_BRI(2021)698792_EN.pdf. Acesso em 11 de fevereiro de 2024.

[13] Os riscos sistêmicos são avaliados com base em limites, atualmente definidos em um poder de computação total de mais de 10^25 FLOPS, mas que serão atualizados regularmente.

[14] Article 85: This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union. This Regulation shall apply from [24 months following the entering into force of the Regulation]. With regard to the obligation referred to in Article 53(1), this obligation shall include either that at least one regulatory sandbox per Member State shall be operational on this day or that the Member State participates in the sandbox of another Member State. Disponível em: https://data.consilium.europa.eu/doc/document/ST-5662-2024-INIT/en/pdf. pág. 241.