A União Europeia (UE) aprovou no último dia 13 de março a Lei da Inteligência Artificial (IA) – ou Artificial Intelligence (AI) Act em inglês -, que regulará o desenvolvimento dessa tecnologia e indicará um caminho ao mundo. A nova regulamentação influenciará não só as próximas legislações desenvolvidas sobre o tema, mas também a atuação das empresas no ecossistema de IA – e isto inclui o Brasil.
A Lei da IA era discutida desde 2019 entre as 27 nações europeias e tornou-se um marco, que visa promover o desenvolvimento e a adoção segura da IA, protegendo os direitos fundamentais e classificando os riscos associados. A sua aprovação por votação expressiva pelos Estados-Membros da EU reflete um esforço conjunto para equilibrar, de um lado a inovação com a segurança, e de outro a proteção de indivíduos e da sociedade em geral.
A discussão sobre a regulação da IA ganhou forte impulso nos últimos 16 meses, sobretudo diante do anúncio do ChatGPT por parte da OpenAI. De lá para cá, outras big techs encamparam suas próprias iniciativas (o Gemini, da Google, se coloca como outro player de peso no ambiente da IA Generativa), e a velocidade da evolução dessa tecnologia já gerou debates sobre o futuro, seja nos negócios ou na vida cotidiana das pessoas.
Como primeira legislação de peso sobre o tema, a Lei da IA europeia quer desempenhar um papel essencial no futuro tecnológico, garantindo que a inovação ocorra de forma ética, responsável e segura, beneficiando a todos os envolvidos e impulsionando o progresso social e econômico. Há alguns pontos de destaque, a saber:
· Definição de Sistemas de IA: A lei estabelece uma clara definição de IA e seus diferentes níveis de autonomia e adaptação.
· Modelos de IA de Uso Geral (GPAIs): Reconhece a importância dos modelos de IA de uso geral e impõe obrigações específicas para aqueles de alto risco.
· Abrangência Global: A lei não se limita à União Europeia, aplicando-se a entidades que operam dentro ou fora do bloco, desde que impactem o mercado ou indivíduos na UE.
· Responsabilidades de Transparência: Fornecedores e implementadores de sistemas de IA devem cumprir requisitos de transparência, incluindo marcação de conteúdo gerado por IA e divulgação de deepfakes.
· Avaliação de Impacto sobre Direitos Fundamentais: Exige avaliação detalhada do uso previsto de sistemas de IA de alto risco e notificação de resultados à autoridade competente.
· Estrutura de Governança: Estabelece uma estrutura complexa de supervisão, envolvendo autoridades nacionais, o Serviço Europeu para a IA e o Comitê Europeu para a Inteligência Artificial.
· Sanções por Descumprimento: Prevê multas significativas para empresas que violarem as regras, incentivando a conformidade e a responsabilidade, e dependem do tipo da infração. Estas multas podem ser de 7% do faturamento anual ou 35 milhões de euros, ou ainda 3% do faturamento anual ou 15 milhões de euros.
· Estímulo à Inovação: Busca criar um ambiente regulatório que aumente a confiança dos usuários e promova a experimentação responsável, incluindo a possibilidade de sandboxes regulatórios.
A regulação entra em vigor 20 dias após sua publicação, o que deve ocorrer em meados de abril de 2024. As obrigações produzirão efeitos em fases, a partir da entrada em vigor:
• 6 meses: Proibições
• 12 meses: GPAI e sanções
• 24 meses: Disposições gerais
• 36 meses: Sistemas de alto risco regulados pela UE
Desafios e alcance regulatório
A Lei da IA apresenta uma abordagem baseada na pré-classificação de riscos, estabelecendo diferentes níveis de obrigações e restrições com base no grau de risco associado a sistemas de IA. Para sistemas considerados de risco inaceitável, ela proíbe determinadas práticas, visando evitar danos significativos aos direitos fundamentais e à segurança dos indivíduos.
Nos casos em que o risco é classificado como alto, os sistemas de IA estão sujeitos a medidas rigorosas de gestão de riscos e avaliação de conformidade. Isso implica a implementação de processos robustos para mitigar potenciais impactos adversos e garantir a conformidade com as disposições regulatórias.
Para os sistemas de IA que não se enquadram nas categorias de risco inaceitável ou alto, são aplicadas obrigações gerais, com foco especial na transparência. Isso significa que os desenvolvedores e implementadores desses sistemas devem fornecer informações claras e completas sobre seu funcionamento, capacidades e limitações.
No que diz respeito à classificação de sistemas de IA de propósito geral (GPAI), que têm a capacidade de atender a uma variedade de propósitos, como algumas ferramentas de IA generativa, a Lei da IA estabelece duas categorias principais:
• Sistemas sem risco sistêmico: Estão sujeitos a obrigações básicas de transparência.
• Sistemas com risco sistêmico: Enfrentam obrigações mais específicas, incluindo a necessidade de documentação técnica detalhada para fornecer insights sobre seu funcionamento e potenciais impactos.
Impactos no Brasil
A aprovação da Lei da IA pela UE já impacta diretamente o debate regulatório no Brasil. Este fenômeno destaca a relevância das regulamentações europeias em escala global e sua capacidade de moldar os padrões e políticas adotadas por outros países. Em escala local, a iniciativa mais ampla em discussão no Congresso Nacional é o projeto de lei n° 2338, de 2023, de autoria do senador Rodrigo Pacheco (PSD-MG).
Voltando à legislação aprovada pelos europeus no que tange a IA, a sua aplicação extraterritorial significa que empresas brasileiras podem ser submetidas a suas disposições, caso estejam envolvidas em certas atividades relacionadas à inteligência artificial e operem no mercado europeu.
Especificamente, isso ocorre quando tais empresas:
• Colocam no mercado ou prestam serviços na UE com sistemas de IA;
• Atuam como fornecedoras ou implantadoras de sistemas de IA cujos resultados são utilizados dentro do território da UE.
Por isso, se impõe uma necessidade de uma análise cuidadosa por parte das empresas brasileiras que possuem ou pretendem estabelecer atividades comerciais na Europa, garantindo conformidade com as novas exigências para evitar possíveis penalidades e garantir a continuidade de suas operações no mercado europeu.
As empresas brasileiras devem se preparar para possíveis mudanças legislativas, através de uma abordagem de governança abrangente. Isso inclui a adoção de princípios éticos, políticas claras, ferramentas apropriadas e processos adequados para o desenvolvimento, implantação e uso seguro e ético de sistemas de IA.
Além disso, é essencial focar em programas de governança para garantir a conformidade com as leis existentes e antecipar as futuras. Isso envolve avaliar modelos de governança em proteção de dados, cibersegurança e IA responsável, bem como a criação de uma matriz de risco dinâmica para identificar e mitigar potenciais problemas.
Oportunidades
Diante da complexidade e da explosão das diversas regulamentações de IA que ainda virão, fica claro que as empresas dos mais diversos setores precisam estar atentas e em conformidade com as disposições regulatórias. É crucial adaptar a cultura corporativa para enfrentar os desafios éticos e tecnológicos apresentados pelo avanço da IA.
A Lei da IA apenas reforça o aspecto fundamental em torno da garantia de conformidade que se coloca hoje. Isso não apenas assegura a proteção dos direitos fundamentais dos indivíduos e a segurança dos sistemas de IA, porém também promove a confiança do consumidor, impulsiona a inovação responsável e cria um ambiente de negócios sustentável e ético.
O que vemos hoje, com a Lei da IA, é que não é apenas uma obrigação legal, mas ainda uma oportunidade para as companhias demonstrarem seu compromisso com a ética, a transparência e a responsabilidade, garantindo assim um futuro tecnológico mais seguro e sustentável para todos.
*Wiliam Rodrigues de Faria é Especialista em Proteção de Dados no Brasil da GFT Technologies