A rápida evolução da tecnologia de Inteligência Artificial (IA) tem gerado preocupações crescentes sobre seus possíveis impactos na sociedade, na economia e nos direitos humanos. Diante desse cenário, a União Europeia (UE) tomou a dianteira ao desenvolver o primeiro quadro jurídico abrangente sobre IA em todo o mundo, o EU AI Act, visando garantir a saúde, segurança e os direitos fundamentais das pessoas, ao mesmo tempo que proporciona segurança jurídica às empresas nos seus 27 Estados-Membros.
1. Introdução
Dentre os objetivos do Regulamento, destacamos o estabelecimento de regras harmonizadas para a colocação no mercado e a utilização de sistemas de inteligência artificial; proibição a certas práticas, bem como estabelecer requisitos específicos para sistemas de IA de risco elevado e obrigações para os operadores desses sistemas.
E para uma melhor compreensão, entendemos necessários esclarecer os alguns dos termos específicos utilizados no Regulamento. O termo <<OPERADOR>>, por exemplo, diz respeito a um fornecedor, utilizador, mandatário, importador ou distribuidor, que são assim entendidos pelo regulamento:
“«Fornecedor», uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que desenvolva um sistema de IA ou que tenha um sistema de IA desenvolvido com vista à sua colocação no mercado ou colocação em serviço sob o seu próprio nome ou marca, a título oneroso ou gratuito;
«Utilizador», uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que utilize, sob a sua autoridade, um sistema de IA, salvo se o sistema de IA for utilizado no âmbito de uma atividade pessoal de caráter não profissional;
«Mandatário», uma pessoa singular ou coletiva estabelecida na União que tenha recebido um mandato escrito de um fornecedor de um sistema de IA para, respetivamente, executar e cumprir em seu nome as obrigações e os procedimentos previstos no presente regulamento;
«Importador», uma pessoa singular ou coletiva estabelecida na União que coloca no mercado ou coloca em serviço um sistema de IA que ostenta o nome ou a marca de uma pessoa singular ou coletiva estabelecida fora da União;
«Distribuidor», uma pessoa singular ou coletiva inserida na cadeia de abastecimento, distinta do fornecedor e do importador, que disponibiliza um sistema de IA no mercado da União sem alterar as suas propriedades;”
2. Abordagem baseada em Riscos
Uma das principais características do EU AI Act é sua abordagem baseada em riscos, definindo quatro níveis de risco para sistemas de IA: Riscos Inaceitáveis, Riscos Elevados (alto risco), Risco Limitado e Risco Mínimo (ou inexistente).
a) Sistemas de IA de Riscos Inaceitáveis
O regulamento proíbe a colocação no mercado de sistemas de IA classificados como Riscos Inaceitáveis, que incluem:
– Sistemas de IA que empregam técnicas subliminares para contornar a consciência de uma pessoa, distorcendo substancialmente seu comportamento de uma maneira que cause ou seja suscetível de causar danos físicos ou psicológicos a ela ou a outras pessoas.
– Sistemas de IA que exploram vulnerabilidades de um grupo específico de pessoas associadas à sua idade ou deficiência física ou mental, a fim de distorcer substancialmente o comportamento de uma pessoa pertencente a esse grupo de uma maneira que cause ou seja suscetível de causar danos físicos ou psicológicos a ela ou a outras pessoas.
– Sistemas de IA usados por autoridades públicas para avaliação ou classificação da credibilidade de pessoas com base em seu comportamento social, características de personalidade ou pessoais, quando essa classificação social conduz a tratamento prejudicial ou desfavorável de certas pessoas ou grupos inteiros de pessoas em contextos sociais não relacionados ou injustificados e desproporcionados em relação ao comportamento social ou à gravidade.
O uso de sistemas de identificação biométrica à distância “em tempo real” em espaços públicos para manutenção da ordem pública é regulamentado e deve obedecer a certas condições, como a necessidade estrita para alcançar objetivos específicos, como investigação de crimes ou prevenção de ameaças à vida ou segurança física, e requer autorização prévia de uma autoridade judiciária ou administrativa independente.
b) Sistemas de IA de Alto Risco
Esses sistemas estão sujeitos a obrigações rigorosas antes de serem colocados no mercado. A lista de sistemas de IA de risco elevado inclui um número limitado de sistemas de IA cujos riscos já se materializaram ou são suscetíveis de se materializar num futuro próximo, e poderão ser ajustados no futuro. São considerados de risco elevado:
– Sistemas de IA utilizados como componentes de segurança de produtos ou que são produtos por si mesmos, desde que o produto ao qual o sistema de IA se destina seja sujeito a uma avaliação de conformidade por terceiros para colocação no mercado ou em serviço, conforme estipulado na legislação de harmonização da União Europeia.
– Infraestruturas Críticas: Por exemplo, sistemas aplicados em transportes que podem comprometer a vida ou integridade física das pessoas.
– Educação ou Formação Profissional: Sistemas que têm o potencial de restringir o acesso à educação e a evolução profissional de alguém, como a classificação de exames.
– Componentes de Segurança de Produtos: Isso inclui sistemas usados em cirurgia assistida por robôs.
– Emprego, Gestão de Trabalhadores e Acesso ao Trabalho por Conta Própria: Por exemplo, análise de currículo em processos seletivos.
– Serviços Públicos e Privados Essenciais: Como a pontuação de crédito para concessão de empréstimos.
– Aplicação Coercitiva da Lei: Sistemas que possam interferir com os direitos fundamentais das pessoas, como a avaliação da fiabilidade de provas.
– Gestão da Migração e Controle de Fronteiras: Por exemplo, verificação da autenticidade de documentos de viagem.
– Administração da Justiça e Processos Democráticos: Isso inclui a aplicação da lei em casos concretos
– Representam um risco de danos para a saúde e segurança ou um risco de impacto adverso nos direitos fundamentais, cuja gravidade e probabilidade de ocorrência são equivalentes ou superiores aos riscos representados pelos sistemas de IA de risco elevado já referidos no Anexo III do regulamento.
c) Risco Limitado
Refere-se aos riscos associados à falta de transparência no uso de IA. O regulamento impõe obrigações específicas de transparência para garantir que os seres humanos sejam informados adequadamente ao interagir com sistemas de IA, promovendo a confiança e a compreensão.
d) Risco Mínimo ou Nenhum
Abrange o uso de IA de risco mínimo, como videogames habilitados para IA ou filtros de spam. A grande maioria dos sistemas de IA atualmente utilizados na UE se enquadra nesta categoria.
3. Requisitos Gerais aos Sistemas de IA
Obrigações de Transparência para Sistemas de Inteligência Artificial
Os fornecedores devem garantir que os sistemas de IA projetados para interagir com humanos informem claramente que estão interagindo com um sistema de IA, a menos que isso seja óbvio dado o contexto. Exceções são aplicáveis a sistemas de IA autorizados para atividades específicas relacionadas à segurança pública.
Os utilizadores de sistemas de reconhecimento emocional ou categorização biométrica devem informar as pessoas afetadas sobre o funcionamento desses sistemas. Exceções são aplicáveis a sistemas de IA utilizados para fins de segurança pública.
Os utilizadores de sistemas de IA que geram ou manipulam conteúdos de mídia para criar falsificações profundas devem divulgar que o conteúdo foi artificialmente gerado ou manipulado, a menos que seja legalmente autorizado ou protegido pelo direito à liberdade de expressão e liberdade artística, desde que os direitos de terceiros sejam devidamente respeitados.
Além disso, o regulamento estabelece obrigações de transparência para todos os modelos de IA de uso geral, visando uma melhor compreensão e confiança nos sistemas. Essas obrigações incluem a autoavaliação, mitigação de riscos sistêmicos, comunicação de incidentes graves, avaliações de testes e modelos, bem como requisitos de cibersegurança.
4. Requisitos aos Sistemas de Risco Elevado
O Regulamento Europeu de IA estabelece uma série de disposições específicas para a gestão de riscos em relação aos sistemas de IA considerados de risco elevado. Essas disposições visam garantir que esses sistemas sejam desenvolvidos, implementados e utilizados de maneira segura e ética, minimizando os riscos para os usuários e para a sociedade em geral.
a) Gestão de Riscos em sistemas de IA de Risco Elevado
Os sistemas de IA considerados de alto risco devem ter um sistema de gestão de riscos que abranja todas as etapas do seu ciclo de vida, com atualizações regulares. Isso envolve a identificação e análise de riscos, estimativa e avaliação de riscos, avaliação contínua de riscos com base em dados pós-comercialização, adoção de medidas de gestão de riscos adequadas e realização de testes para garantir o desempenho consistente. Os testes devem ser realizados durante o desenvolvimento e antes da comercialização, com considerações especiais se o sistema afetar crianças.
b) Governança de Dados em sistemas de IA de Risco Elevado
Os sistemas de IA de altos riscos que usam técnicas de treinamento de modelos com dados devem ser construídos com base em conjuntos de dados de treino, validação e teste que atendam a critérios de qualidade específicos. Esses conjuntos de dados devem ser gerenciados de acordo com práticas adequadas de governança de dados, abrangendo escolhas de design, coleta, preparação e tratamento de dados, avaliação de enviesamentos e identificação de lacunas ou deficiências nos dados.
O conjunto de dados deve ser relevante, representativo, livre de erros e completo, considerando as características estatísticas apropriadas para o contexto de uso do sistema de IA.
Os fornecedores de sistemas de IA de alto risco podem lidar com categorias especiais de dados pessoais, desde que garantam salvaguardas adequadas dos direitos individuais, como pseudonimização ou criptografia.
Mesmo os sistemas de IA de alto risco que não envolvem o treinamento de modelos devem seguir práticas de governança de dados para garantir conformidade com esses requisitos.
c) Transparência em sistemas de IA de Risco Elevado
Os sistemas de IA de alto risco devem ser transparentes para permitir aos utilizadores interpretar e usar corretamente seus resultados. Eles devem vir com instruções de uso que sejam concisas, completas, corretas e claras, fornecendo informações sobre o fornecedor, características, desempenho, possíveis riscos, supervisão humana, vida útil esperada e manutenção necessária.
As informações devem incluir detalhes sobre a finalidade do sistema, sua precisão, solidez, cibersegurança, desempenho em diferentes grupos de utilizadores e requisitos de dados. Além disso, devem ser fornecidas informações sobre quaisquer alterações planejadas no sistema e medidas técnicas para facilitar a interpretação dos resultados pelos utilizadores.
d) Supervisão Humana em Sistemas de IA de Risco Elevado
Os sistemas de IA de alto risco deve ser projetados para serem efetivamente supervisionados por seres humanos durante o uso. Essa supervisão visa prevenir ou minimizar riscos para saúde, segurança ou direitos fundamentais.
Pode ser garantida por medidas integradas pelo fornecedor no sistema antes de sua comercialização ou por medidas implementadas pelo usuário. As medidas devem permitir que os supervisores compreendam completamente as capacidades e limitações do sistema, estejam cientes de viéses de automação, interpretem corretamente os resultados, decidam sobre sua utilização e intervenham ou interrompam o sistema conforme necessário. Para sistemas específicos listados, as medidas devem garantir que nenhuma ação ou decisão seja tomada com base na identificação do sistema, a menos que seja verificada e confirmada por pelo menos duas pessoas.
e) Exatidão e Segurança em Sistemas de IA de Risco Elevado
Os sistemas de IA de alto risco deve ser desenvolvidos para atingir níveis apropriados de exatidão, solidez e cibersegurança, mantendo um desempenho consistente ao longo do ciclo de vida. As instruções de uso devem declarar os níveis de exatidão.
Devem ser resistentes a erros e falhas, com soluções de redundância técnica, especialmente para sistemas em contínuo aprendizado.
Além disso, devem ser protegidos contra tentativas não autorizadas de alteração ou exploração de vulnerabilidades. As soluções de cibersegurança devem ser adequadas ao contexto específico, e medidas adicionais devem ser tomadas para prevenir e controlar ataques, como contaminação de dados e exemplos antagônicos.
5. Sistema de Qualidade como Obrigação aos Fornecedores de sistemas de inteligência artificial de risco elevado
Os fornecedores de sistemas de inteligência artificial (IA) classificados como de alto risco têm uma série de responsabilidades a cumprir. Isso inclui garantir que seus sistemas estejam em conformidade com os requisitos estabelecidos no regulamento, implementar um sistema de gestão da qualidade, elaborar a documentação técnica do sistema de IA, manter registros automaticamente gerados pelos sistemas sempre que possível e submeter o sistema ao procedimento de avaliação da conformidade antes de disponibilizá-lo no mercado ou serviço.
Além disso, devem cumprir as obrigações de registro, adotar medidas corretivas se necessário, informar às autoridades competentes sobre a disponibilização do sistema, aplicar a marcação CE nos sistemas de IA para indicar conformidade com o regulamento e demonstrar a conformidade do sistema quando solicitado por uma autoridade competente.
Complementarmente, é crucial para esses fornecedores estabelecerem um sistema de gestão da qualidade que assegure a conformidade com o regulamento de IA. Isso envolve um Sistema de Gestão de Qualidade
O regulamento europeu estipula que os fornecedores de IA devem criar um sistema de gestão de qualidade de forma organizada e sistemática, utilizando políticas, procedimentos e instruções escritas que abranjam, no mínimo, os seguintes aspectos:
- Desenvolvimento de uma estratégia para garantir a conformidade com os regulamentos, incluindo procedimentos de avaliação da conformidade e gestão de modificações do sistema de IA de alto risco;
- Implementação de métodos, procedimentos e ações sistemáticas para concepção, controle e verificação do sistema de IA;
- Estabelecimento de procedimentos sistemáticos para desenvolvimento, controle de qualidade e garantia da qualidade do sistema de IA;
- Realização de procedimentos de exame, teste e validação antes, durante e após o desenvolvimento do sistema, com definição da frequência dessas atividades;
- Definição de especificações técnicas, incluindo normas a serem seguidas e meios para garantir a conformidade com os requisitos regulamentares, caso as normas harmonizadas não sejam totalmente aplicadas;
- Implementação de sistemas e procedimentos para gerenciamento de dados, desde a coleta até a colocação no mercado dos sistemas de IA;
- Estabelecimento de um sistema de gestão de riscos conforme estabelecido no regulamento;
- Estabelecimento, implementação e manutenção de um sistema de acompanhamento pós-comercialização;
- Desenvolvimento de procedimentos para relatar incidentes graves e anomalias de acordo com as disposições regulamentares;
- Gestão da comunicação com autoridades competentes, órgãos notificados, clientes e outras partes interessadas;
- Estabelecimento de sistemas e procedimentos para manter registros de toda documentação e informação relevante;
- Gestão de recursos, incluindo medidas relacionadas à segurança do fornecimento;
- Definição das responsabilidades do pessoal gerencial e de outros funcionários em relação a todos os aspectos mencionados.
6. Conclusão
A aplicação das recomendações delineadas pelo Regulamento de Inteligência Artificial da União Europeia no Brasil se mostra não apenas como uma medida necessária, mas também como uma oportunidade de promover a adoção ética e responsável da IA em território brasileiro. Ao observarmos a rápida evolução da tecnologia de IA e seus possíveis impactos na sociedade, na economia e nos direitos humanos, torna-se claro que medidas regulatórias são essenciais para garantir a segurança e os direitos fundamentais dos cidadãos brasileiros.
Inspirar-se no EU AI Act proporcionaria aos empresários que atuam no Brasil um quadro jurídico abrangente e atualizado para lidar com os desafios emergentes relacionados à IA. A abordagem baseada em riscos, a ênfase na transparência, governança de dados e supervisão humana, bem como os requisitos rigorosos para sistemas de alto risco, oferecem um modelo sólido para a regulamentação da IA no país.
Além disso, ao adotar padrões internacionais de segurança e ética, o Brasil poderia fortalecer sua posição no cenário global, promovendo a confiança dos investidores e colaborando de forma mais eficaz com outros países e organizações.
A implementação das recomendações da UE no Brasil não apenas garantiria a conformidade com os mais altos padrões internacionais, mas também estimularia a inovação responsável e sustentável no campo da IA. Ao estabelecer um ambiente regulatório claro e previsível, o Brasil poderia atrair investimentos e incentivar o desenvolvimento de soluções tecnológicas inovadoras que beneficiem a sociedade como um todo.
Para mais informações, entre em contato com nossos especialistas.