Lei europeia de inteligência artificial vai afetar empresas brasileiras
Companhias que adotarem sistemas de IA com repercussões e efeitos sentidos na UE podem estar sujeitas
A lei é europeia, mas terá impacto sobre as empresas brasileiras. Aprovado em 13 de março no Parlamento Europeu, o Regulamento de Inteligência Artificial (AI Act) já é uma inspiração do projeto de lei brasileiro mais discutido no momento sobre inteligência artificial (IA), o PL 2.338/23. Especialistas consideram ainda que o impacto no Brasil da aplicação extraterritorial do AI Act é mais abrangente que a lei geral de proteção de dados da União Europeia, a GPDR.
“Basicamente, qualquer empresa brasileira que disponibilize ou mesmo adote sistemas de IA que tenham suas repercussões e efeitos sentidos na União Europeia pode estar sujeita ao AI Act”, afirmam Gabriela Saad Krieck, sócia do Carneiro de Oliveira Advogados, e Luis Fernando Prado, especialista em privacidade e proteção de dados e parceiro do escritório.
Eugênio Corassa, associado do Freitas Ferraz Advogados, explica que a lei inovou ao ser aplicada não apenas ao desenvolvedor da IA, mas também às empresas que utilizam e implementam ferramentas de IA em sua operação diária: “Nesse sentido, as empresas brasileiras que operam no continente europeu, sejam elas desenvolvedoras ou apenas utilizadoras de sistemas de IA, precisam se adequar às novas normas, levando em conta as peculiaridades de sua operação.”
A regulamentação se baseia numa abordagem de risco, diferenciando entre práticas de IA aceitáveis e daquelas consideradas inaceitáveis. Entram neste último rol o uso da IA para avaliar ou classificar pessoas com base em seu comportamento social, para explorar vulnerabilidades de grupos específicos de pessoas, o uso de sistemas de reconhecimento biométrico em tempo real em espaços públicos por autoridades policiais (salvo algumas exceções) e as técnicas de manipulação subliminar para influenciar as pessoas de maneira a causar danos ou explorar vulnerabilidades.
Os receios trazidos pelo Regulamento de Inteligência Artificial (AI Act)
Quanto ao grau de risco envolvido no uso da IA, se ele for considerado baixo, a adesão das empresas é voluntária. Já atividades que envolvem risco considerado elevado (como o uso da tecnologia em serviços médicos e redes de energia elétrica), haverá um maior escrutínio e exigências a cumprir. Dentre estas, a necessidade de haver supervisão humana no uso da tecnologia, a manutenção de registro de utilização da IA e a existência de avaliação e mitigação de riscos. Quanto à IA generativa (caso do ChatGPT), os desenvolvedores das tecnologias precisarão respeitar direitos autorais e enviar informações ao regulador sobre conteúdos (fotos, dados, vídeos etc.) que coletam dos usuários e que são usados como insumo.
As multas previstas para aqueles que não seguirem a lei vão de 35 milhões de euros a 7% da receita global das empresas.
Krieck e Prado afirmam que há um certo temor de que o legislador tenha se antecipado, dado que o uso da tecnologia ainda é incipiente – e o reflexo disso pode ser um ambiente menos amigável à inovação. “Além disso, a legislação adota uma lógica bastante incomum no campo da regulação das novas tecnologias, que é a definir o risco dos sistemas em abstrato (ex-ante), independentemente de suas aplicações práticas no caso em específico. Portanto, seja pela adoção de termos demasiadamente abrangentes, seja pela lógica de já se cravar antecipadamente o que são riscos inaceitáveis ou elevados, fato é que algumas restrições impostas pela lei podem acabar gerando efeitos colaterais ao avanço da inovação”, avaliam.
No mercado de tecnologia, especialmente nas empresas de pequeno porte e startups, a sensação que ficou foi que o texto tem potencial para limitar a inovação, uma vez que cria uma carga de obrigações de compliance onerosa para esse tipo de empresa. No entanto, conforme nota Guilherme Guidi, associado do Freitas Ferraz, houve uma tentativa de incentivar a inovação – um exemplo dessa preocupação é a previsão da criação de sandboxes regulatórios
No dia 21 de março, foi a vez de a Assembleia Geral da Organização das nações Unidas (ONU) tratar da IA, por meio de uma resolução que visa promover o uso da IA de forma segura, protegida e confiável.
Na entrevista abaixo, Krieck, Prado, Guidi e Corassa abordam a nova lei europeia e o seu impacto no Brasil.
– Em linhas gerais, quais são os objetivos da lei europeia sobre inteligência artificial (IA)? Que tipos de uso da IA são permitidos ou vedados, e por quais motivos?
Gabriela Saad Krieck e Luis Fernando Prado: O objetivo da lei europeia sobre inteligência artificial (IA) (AI Act) é, basicamente, o de se criar uma regulação uniforme para o desenvolvimento, comercialização, serviço e utilização de sistemas de IA na União Europeia. No entanto, muito se debate sobre esse movimento regulatório ousado e apressado da União Europeia para estabelecer regulamentação abrangente e altamente prescritiva sobre IA quando a tecnologia ainda está em seus estágios iniciais de desenvolvimento e ampla adoção pela sociedade. Nesse sentido, há um certo temor de que o legislador tenha avançado rápido demais, criando-se um ambiente regulatório não tão amigável à inovação.
De qualquer maneira, a regulamentação baseia-se numa abordagem de risco, diferenciando entre práticas de IA aceitáveis e aquelas consideradas inaceitáveis. As práticas proibidas incluem:
- Sistemas de pontuação social: sistemas de IA não podem ser utilizados para avaliar ou classificar pessoas com base em seu comportamento social em diferentes contextos, com consequências negativas baseadas nessa pontuação.
- Exploração de vulnerabilidades: são vedados sistemas de IA que exploram vulnerabilidades de grupos específicos de pessoas, especialmente baseadas em idade ou condição física ou mental, de maneira a causar danos físicos ou psicológicos.
- Sistemas de reconhecimento biométrico em tempo real em espaços públicos por autoridades policiais: salvo algumas exceções específicas, são proibidos sistemas de IA para identificação biométrica em tempo real de pessoas em espaços públicos por autoridades de law enforcement.
- Técnicas de manipulação subliminar: são vedados sistemas de IA que aplicam ou utilizam técnicas de manipulação subliminar para influenciar as pessoas de maneira a causar danos ou para explorar vulnerabilidades de indivíduos específicos, de maneira a causar danos psicológicos ou físicos.
Eugênio Corassa: Em linhas gerais, o novo Regulamento tem o objetivo de harmonizar as normas existentes no mercado europeu sobre o tema, com a promoção de regras que garantam a adoção e o desenvolvimento da inteligência artificial centrada no ser humano e de confiança (trustworthy).
O AI Act é o primeiro quadro legal abrangente sobre IA em todo o mundo. O objetivo das novas regras é promover uma IA confiável na Europa e além, garantindo que os sistemas de IA respeitem os direitos fundamentais, a segurança e os princípios éticos, endereçando os riscos de modelos de IA de alto impacto e de alto risco.
Além de regras de gestão de risco e de avaliações prévias para desenvolvimento e implementação de aplicações de IA, o Regulamento traz também alguns casos extremos em que um tipo de uso pode ser proibido. A escolha por essa proibição em certos casos se dá em razão dos riscos significativos ou desconhecidos trazidos para os direitos humanos e demais valores protegidos pela legislação, quando não existam medidas de mitigação adequadas dentro do arcabouço legal que permitam a mitigação suficiente desses riscos.
Dentre os usos de IA proibidos, estão: usos para manipulação e/ou exploração de vulnerabilidades de pessoas ou grupos; práticas associadas ao perfilamento com o uso de dados biométricos; e análise emocional com uso de IA, salvo algumas exceções.
Nesse sentido, caso o uso de IA não esteja no rol de práticas proibidas, será permitido e será considerado de alto ou de baixo risco. A partir dessa classificação o seu uso de forma legal estará condicionado à adequação aos princípios e regras expostos no AI Act.
– A lei aprovada buscou equilibrar a proteção contra usos abusivos da IA com o incentivo à inovação ou se inclinou para algum dos dois lados da balança?
Gabriela Saad Krieck e Luis Fernando Prado: O grande ponto aqui é que a legislação veio em um momento ainda muito incipiente de conhecimento do próprio legislador (e da sociedade) sobre a tecnologia. Além disso, a legislação adota uma lógica bastante incomum no campo da regulação das novas tecnologias, que é a definir o risco dos sistemas em abstrato (ex-ante), independentemente de suas aplicações práticas no caso em específico. Portanto, seja pela adoção de termos demasiadamente abrangentes, seja pela lógica de já se cravar antecipadamente o que são riscos inaceitáveis ou elevados, fato é que algumas restrições impostas pela lei podem acabar gerando efeitos colaterais ao avanço da inovação.
Eugênio Corassa: O AI Act, em suma, é uma legislação construída a partir de uma abordagem baseada em risco. Ou seja, adota uma perspectiva associada ao risco de cada operação e sistema envolvendo inteligência artificial, estabelecendo diferentes requisitos a depender de cada caso. Assim, caso a empresa utilize um sistema de IA que tenha um risco elevado, deverá adotar mais procedimentos e salvaguardas para proteção dos usuários do que seria esperado em sistema de IA com menor risco.
O foco da lei não está necessariamente em usos abusivos da IA, pois até mesmo o uso adequado de um sistema de IA pode gerar danos e prejuízos aos cidadãos se não houver um controle adequado. O que a lei objetiva, dessa maneira, é estabelecer um regime adequado para o desenvolvimento e uso da IA, com regras que sejam aplicáveis a todas as empresas que desenvolvem e/ou utilizam IA no seu dia a dia.
Guilherme Guidi: Apesar do intuito principal da lei ser criar um arcabouço regulatório, não se pode deixar de notar que também há uma tentativa de incentivar a inovação. Um exemplo disso é a previsão da criação de sandboxes regulatórios sobre IA.
Uma sandbox regulatória é um conjunto de regras concretas e controladas, estabelecidas por uma autoridade competente que oferece aos provedores ou potenciais provedores de sistemas de IA a possibilidade de desenvolver, treinar, validar e testar, quando apropriado em condições do mundo real, um sistema de IA inovador, de acordo com um plano de sandbox por um tempo limitado sob supervisão regulatória.
No entanto, como discutido em eventos recentes sobre inteligência artificial no Brasil, fica aparente que o mercado de tecnologia – especialmente no campo das empresas de menor porte e startups – recebeu o texto com certa preocupação pelo potencial de limitar a atividade de inovação ao criar uma carga de obrigações de compliance que são normalmente bastante onerosas para operações menores.
– A aprovação da lei impacta empresas brasileiras com negócios no continente europeu? De que forma?
Gabriela Saad Krieck e Luis Fernando Prado: O AI Act possui uma aplicação extraterritorial extremamente abrangente, até mais do que o GDPR (regulamento europeu de proteção de dados). Basicamente, qualquer empresa brasileira que disponibilize ou mesmo adote sistemas de IA que tenham suas repercussões e efeitos sentidos na União Europeia pode estar sujeita ao AI Act.
Eugênio Corassa: Segundo o texto legal, o AI Act é aplicável não somente às empresas europeias que desenvolvem e utilizam sistemas de inteligência artificial na União Europeia, mas também a empresas que desenvolvam sistemas de IA utilizados ou comercializados na União Europeia, ainda que situadas fora do território europeu. Também cabe notar que a lei é aplicável a empresas cujo resultado do sistema de IA (o output) seja utilizado em território europeu, mesmo que a empresa esteja estabelecida fora da União Europeia.
Por sua vez, a lei inova ao se aplicar não só ao desenvolvedor da IA, mas também às empresas que utilizam e implementam ferramentas de IA em sua operação diária, ainda que as previsões possam diferir a depender do papel da empresa no ciclo de desenvolvimento e utilização da IA. Nesse sentido, as empresas brasileiras que operam no continente europeu, sejam elas desenvolvedoras ou apenas utilizadoras de sistemas de IA, precisam se adequar às novas normas, levando em conta as peculiaridades de sua operação.
– A lei europeia poderá servir de inspiração para uma lei brasileira sobre IA, de forma semelhante ao que ocorreu com a LGPD? No Brasil, como caminham as iniciativas legislativas sobre a IA?
Luis Fernando Prado: Na verdade, isso já vem acontecendo. O projeto de lei brasileiro mais discutido no momento é o PL 2.338/2023, do Senado Federal, que é claramente inspirado na regulamentação europeia. No entanto, entendo que o Brasil não deve ter pressa em regular o tema. Mais vale priorizar o investimento no desenvolvimento do setor de IA no país, que ainda é bastante incipiente, enquanto acompanhamos os erros e acertos de outros países ao editar suas novas regulamentações sobre o tema.
Eugênio Corassa: Assim como no caso da Lei Geral de Proteção de Dados (LGPD) com a influência do Regulamento Geral de Proteção de Dados (RGPD) europeu, o AI Act pode ter efeito semelhante. A União Europeia tem sido vanguardista na discussão e regulamentação dos temas relacionados às novas tecnologias, como no caso do Digital Markets Act e do Digital Services Act, além de outras leis relacionadas.
Além disso, a União Europeia contém um mercado consumidor considerável até mesmo para as empresas brasileiras, sendo que uma legislação brasileira semelhante ao AI Act pode facilitar o ingresso dos produtos de inteligência artificial brasileiros em território europeu.
Guilherme Guidi: Nos últimos anos, algumas propostas de lei visaram regulamentar a inteligência artificial no Brasil, tais como o PL 5.051/2019, o PL 21/2020 e o PL 872/2021. Esses projetos foram incorporados posteriormente no PL 2.338/2023, fruto de uma comissão de juristas instituída pelo Senado Federal.
Atualmente, o debate legislativo ocorre em torno do PL 2.338/2023, que se assemelha ao modelo europeu de regulamentação. Apesar do avanço no debate e das diversas emendas já propostas ao projeto, não há indicativo claro de que o Brasil irá aprovar uma regulamentação semelhante em breve.