O PL contém normas gerais para a concepção, desenvolvimento, implementação, utilização, adoção e a governança responsável de sistemas de inteligência artificial (“Sistemas de IA”) no Brasil, tendo por base a proteção do ser humano, os valores democráticos e o desenvolvimento sustentável e é a proposta mais promissora de regulamentação do tema até o momento no Brasil.
Os inegáveis benefícios em sua adoção por empresas de diferentes seguimentos têm levado à um uso cada vez maior de inteligência artificial (“IA”) em todo o mundo. No entanto, junto com estes benefícios, surgem algumas preocupações com relação a possíveis impactos negativos sobre o ser humano decorrentes desta utilização. É neste contexto de reconhecimento da importância da IA para fomento da inovação, atrelado à necessidade de garantir que riscos ao ser humano sejam (re)conhecidos, avaliados e mitigados, garantindo-se seus direitos fundamentais, que surge o PL, que é bastante inspirado legislação europeia de IA (“AI Act”) recém aprovada pelos Estados-Membro da União Europeia.
Listamos abaixo alguns dos principais pontos da proposta de Marco Legal da IA:
(i) Previsão da conciliação entre crescimento inclusivo, desenvolvimento sustentável e bem-estar, incluindo a proteção do trabalho e do trabalhador.
(ii) Criação de ferramentas de governança e fiscalização transparentes e participativas, voltadas à segurança dos Sistemas de IA e atendimento aos direitos, adequadas e proporcionais ao nível de risco do Sistema de IA.
A partir de uma compreensão inicial dos riscos trazidos pela IA, por meio de uma avaliação preliminar da IA (“Avaliação Preliminar“) antes de sua colocação no mercado, será possível classificar o Sistema de IA como:
a. De risco excessivo, e consequentemente, proibidos, são os Sistemas de IA que (1) empreguem técnicas subliminares que tenham por objetivo induzir comportamentos prejudiciais ou perigosos à saúde ou segurança própria ou de terceiros; (2) explorem vulnerabilidades (e.g. idade, situação socio-econômica ou deficiência); (3) visem a avaliação e classificação de cidadãos pelo poder público com base em comportamento social ou personalidade para acesso a bens ou políticas públicas; (4) possibilitem a produção, disseminação ou facilitem a criação de materiais que representem abuso ou exploração sexual infantil; (5) avaliem características ou comportamentos do passado de pessoas ou grupo de pessoas para fins de avaliação de risco de cometimento de crime; (6) sejam relacionados a sistemas de armas autônomas que não permitam controle humano significativo ou que impliquem em violações do Direito Internacional Humanitário. O PL também proíbe Sistemas de IA de identificação biométrica à distância, em tempo real e em espaços acessíveis ao público, salvo em caso de instrução de inquérito, processo criminal de maior potencial ofensivo (conforme autorizado judicialmente), de busca de vítimas de crimes, pessoas desaparecidas, vítimas de crimes, investigação e repressão de flagrante delito (para crimes com pena máxima de reclusão superior a dois anos e recaptura de réus evadidos e cumprimento de mandados de prisão e medidas restritivas ordenadas pelo poder judiciário;
b. De alto risco, são os Sistemas de IA cujas características incluem (1) a utilização em larga escala (número de pessoas, área geográfica, duração e frequência); (2) potencial impacto negativo ao exercício de direitos e liberdades ou a utilização de um serviço; (3) alto potencial danoso (moral ou material) e discriminatório; (4) afetação de pessoas vulneráveis; (5) possíveis resultados prejudiciais irreversíveis ou de difícil reversão; (6) danos morais ou materiais causados por sistemas similares anteriormente; (7) baixo grau de transparência, explicabilidade e auditabilidade; (8) alto nível de identificabilidade das pessoas ou grupos afetados; (9) capacidades gerais e funcionalidades de Sistema de IA de propósito geral, com potencial danoso sistêmico (e.g. segurança cibernética; higidez do processo eleitoral e violência contra grupos vulneráveis); (10) extensão e probabilidade dos benefícios do Sistema de IA; (11) identificação biométrica (excluindo-se os de autenticação biométrica); (12) o Sistema de IA apresentar riscos significativos à saúde e integridade física; e (13) o Sistema de IA puder impactar negativamente a integridade das informações e o processo democrático. As Disposições Transitórias menciona ainda que a regulamentação dos Sistemas de IA de alto risco deverá levar em consideração o seu uso para as seguintes finalidades (1) aplicação como dispositivos de segurança e funcionamento de infraestrutura críticas (controle de trânsito e redes de abastecimento de água e de eletricidade); (2) educação, para determinação de acesso a instituições de ensino ou formação profissional, ou para avaliação e monitoramento de estudantes; (3) recrutamento de candidatos à vaga de trabalho, decisões sobre promoções ou cessação de relações contratuais de trabalho e avaliação de desempenho; (4) avaliação de critérios que impactem o acesso a serviços públicos e privados essenciais; (5) avaliação da capacidade de endividamento ou classificação de crédito; (6) avaliação e classificação de chamadas e prioridades para serviços públicos essenciais inclusive bombeiros e assistência médica; (7) administração da justiça em relação a Sistemas de IA que auxiliem autoridades em investigações quando houver riscos a liberdades individuais; (8) veículos autônomos que possam causar riscos à integridade física; (9) aplicação na área de saúde, para auxiliar em diagnósticos e procedimentos que possam causar riscos à integridade física; (10) estudo analítico de crimes que permitam às autoridades pesquisar grandes conjuntos de dados para identificar perfis comportamentais; (11) investigação por autoridades para avaliar a credibilidade de elementos de prova para prever a possiblidade de infração; (12) sistemas de identificação biométrica para o reconhecimento de emoções; (13) gestão da imigração e controle de fronteiras; (14) produção e distribuição, em larga escala, de conteúdo, por provedores de aplicação, de forma a maximizar o tempo de uso;
c. De risco moderado/baixo, implícito no texto legal, são aqueles Sistemas de IA que não sejam classificados como de risco excessivo ou alto.
Dentre as medidas de governança a serem adotadas por agentes que forneçam ou operem Sistemas de IA de alto risco, destacam-se: (A) a indicação de encarregado de governança (para atuar como canal de comunicação com pessoas e grupos afetados e as autoridades competentes e supervisionar o desenvolvimento e uso ético da IA); (B) documentação a respeito do funcionamento do Sistema de IA e das decisões envolvidas em sua construção, implementação e uso; (C) registro automático da operação do Sistema de IA, de modo a permitir a avaliação de sua acurácia e robustez e apurar resultados discriminatórios; (D) testes para avaliação da confiabilidade do Sistema de IA; (E) registro das fontes automatizadas e do grau de supervisão humana relacionados ao resultados dos Sistemas de IA; (F) medidas de gestão de dados para mitigar e prevenir vieses discriminatórios, com composição de equipe responsável pela concepção e desenvolvimento do Sistema de IA, preferencialmente diversa; e (G) medidas técnicas para viabilizar a explicabilidade dos resultados dos Sistemas de IA.
Os agentes de IA de Sistemas de IA de alto risco deverão elaborar Avaliação de Impacto Algorítmico (“AIA“) (ferramenta de registro e gestão de riscos) por profissional ou equipe de profissionais com independência funcional e conhecimentos técnicos, regulatórios e jurídicos necessários, para compartilhamento com a autoridade competente de IA, juntamente com a Avaliação Preliminar. As conclusões da AIA serão públicas, observados segredos comercial e industrial.
No caso de Sistemas de IA fundacionais, de propósito geral e generativa, as seguintes medidas de governança são exigidas de seu desenvolvedor (além de outras): (A) registrar o modelo em base de dados da autoridade competente; (B) elaborar documentação técnica e instruções de utilização para permitir que os fornecedores posteriores cumpram suas obrigações; (C) reduzir a utilização de recursos e resíduos, bem como aumentar a eficiência energética do sistema; (D) observar a Lei Geral de Proteção de Dados; (E) documentar riscos não mitigáveis remanescentes e impactos ambientais e sociais; e (F) demonstrar análises que identifiquem e mitiguem riscos razoavelmente previsíveis para os direitos fundamentais, meio ambiente, processo democrático, desinformação, e discursos de ódio.
(iii) Quanto mais riscos potenciais e efeitos jurídicos relevantes atrelados à utilização de um Sistema de IA, mais direitos devem ser assegurados (e.g. agentes de Sistemas de IA com risco mais baixo, devem garantir a transparência, a privacidade e à proteção de dados pessoais e a não discriminação, com a correção de vieses discriminatórios ilegais ou abusivos, ao passo que Sistemas de IA de alto risco e/ou efeitos jurídicos relevantes devem garantir também a adoção de medidas técnicas para viabilizar a explicabilidade dos resultados da IA, o direito à contestação e garantia da supervisão humana);
(iv) Proteção de grupos considerados hipervulneráveis (i.e., crianças, adolescentes, idosos e pessoas com deficiência), reforçando também o dever de combate à discriminação em razão de características pessoais como origem geográfica, raça, cor ou etnia, gênero, orientação sexual, classe socioeconômica, idade, deficiência, religião ou opiniões políticas.
(v) Criação do Sistema Nacional de Regulação (“SIA“), ecossistema regulatório que busca a cooperação e a harmonização com as demais agências e órgãos reguladores para a plena implementação e fiscalização do cumprimento da Lei, coordenado por uma autoridade competente, ainda a ser definida.
(vi) Sistemas de IA de risco excessivo e alto atraem regime de responsabilidade objetiva (responsabilidade independente da demonstração de culpa, ne medida da sua participação no dano), ao passo que o uso de Sistemas de IA de risco inferior a culpa será presumida, cabendo ao fornecedor e ao operador envolvidos provarem que não deram causa àquele dano para se eximirem da responsabilização.
(vii) Considerando que uma das principais matérias primas para desenvolvimento da IA são obras protegidas por direitos autorais (e.g. textos de obras literárias, artísticas, jornalísticas e científicas, composições musicais, obras audiovisuais, desenhos, pinturas, gravuras, ilustrações – “Obras”), o fornecedor de Sistema de IA não poderá utilizar Obras cujo uso para esta finalidade tenha sido proibida pelos titulares de direitos de autor. A proibição acima não se aplica a Obras que, de forma cumulativa: (A) forem utilizadas por organizações e instituições de pesquisa, jornalismo, museus, arquivos, bibliotecas e educacionais (excluídas as instituições controladas por entidade com fins lucrativos que forneça ou opere sistemas de IA); (B) tenham sido acessadas legitimamente; (C) não tenham fins comerciais; (D) não tenham como fim principal a reprodução exibição ou disseminação da Obra original; (E) seja feita na medida do necessário para o objetivo a ser alcançado e não prejudique os interesses econômicos dos titulares (não concorra com a exploração normal das Obras). A SIA poderá estabelecer sandbox regulatório para dispor sobre remuneração e transparência em relação a conteúdos protegidos por direitos autorais utilizados no desenvolvimento de Sistemas de IA disponibilizados com finalidade comercial.
A equipe de Tecnologia e Proteção de Dados do Cescon Barrieu permanece à disposição para auxiliá-los com temas relacionados à Inteligência Artificial.
