Aline Meyer e Giovanna Issa em coautoria com Flavia Lopes (Ernst & Young)
Introdução
A Inteligência Artificial (“IA”) resulta de um conjunto de algoritmos e técnicas aptas a imitar a inteligência humana. O início de seu desenvolvimento remonta aos anos 1930, quando uma geração de cientistas, matemáticos e filósofos tinham em mente o conceito de IA. Uma dessas pessoas foi Alan Turing, considerado o pioneiro na ciência computacional, que explorou matematicamente a possibilidade de desenvolver técnicas de IA sugerindo que, se humanos usam de informações disponíveis associadas à razão para resolver problemas e tomar decisões, por que as máquinas não poderiam fazer o mesmo?[1]
Hoje em dia, a IA está inserida em praticamente todos os aspectos da nossa rotina, como nos smartphones, que, dentre outras inúmeras facilidades, permitem o controle de diversos equipamentos em nossas casas, como ar condicionado, aspiradores de pó, refrigeradores, luminosidade, dentre outros; permitem buscas na internet; traduções; sistemas de cyber segurança; carros autônomos; trazendo uma lista infindável de possibilidades.
O rápido desenvolvimento e a popularização das tecnologias de IA têm levado a uma verdadeira transformação digital nas mais diversas áreas da atividade humana, influenciando no modo como trabalhamos, nos comunicamos, aprendemos e vivemos. Em decorrência disso, a regulamentação de seu uso tornou-se essencial para garantir que essas tecnologias sejam desenvolvidas e implementadas de acordo com os princípios éticos, proteção aos direitos individuais e que enderece as preocupações da sociedade, buscando um equilíbrio entre a inovação e proteção do bem-estar dos indivíduos.
A regulamentação do uso da inteligência artificial
O desenvolvimento de regulamentação para o uso da IA tem sido um foco crescente de governos e órgãos internacionais em todo o mundo.
A União Europeia está na vanguarda no que diz respeito aos esforços para a regulamentação da IA. Em abril de 2021, a Comissão Europeia propôs a versão inicial do texto de lei para regulamentação da IA, chamado de Artificial Intelligence Act (“AI Act”), que propõe a classificação dos sistemas em diferentes categorias de riscos e define requisitos para aplicações de IA de alto risco, enfatizando a transparência, a responsabilidade e a supervisão humana[2].
O AI Act dispõe sobre proteções para IA de uso geral, limitação do uso de identificação por biometria por sistemas judiciários, proibição de utilização de sistemas de score social e de uso da IA para explorar vulnerabilidades de usuários, garantia de direitos dos usuários de reclamar e receber explicações sobre os sistemas, e estabelece multas que podem chegar a EUR 35 milhões para desenvolvedores ou operadores de tecnologia que causem danos às pessoas. O texto inicial da regulamentação foi reescrito recentemente para abarcar mudanças trazidas pelo lançamento do ChatGPT em 2022, tecnologia que mudou consideravelmente as aplicações para a IA.
Em 08 de dezembro de 2023, membros do Parlamento Europeu chegaram a um acordo sobre o texto do AI Act, que agora deverá passar pelo aval de todo o Parlamento e do Conselho. Se as próximas etapas da tramitação forem concluídas com sucesso, a expectativa é de que grande parte da regulamentação passe a vigorar a partir de 2024.
Além da União Europeia, outros países estão tomando iniciativas para regulamentar o uso da IA, como Estados Unidos, China, Canadá, Reino Unido, Singapura, Alemanha e França.
No Brasil, as iniciativas para a regulamentação do uso da IA começaram em 2019, com a apresentação do Projeto de Lei (“PL”) 5051/2019, que estabelece os princípios para o uso da IA no Brasil. Desde então, foram propostos outros projetos de lei, como:
- PL 21/2020, que estabelece fundamentos, princípios e diretrizes para o desenvolvimento e a aplicação da inteligência artificial no Brasil e dá outras providências.
- PL 872/2021, que dispõe sobre o uso da inteligência artificial.
Em fevereiro de 2022, esses três PLs passaram a tramitar conjuntamente no Senado Federal e, no mesmo mês, tendo em mente a elaboração de um texto legal com a mais avançada tecnicidade, foi instituída uma Comissão de Juristas, destinada a subsidiar a elaboração de minuta substitutiva aos PLs.
A Comissão, composta por juristas e especialistas nos ramos do direito civil e do direito digital, realizou uma série de audiência públicas, ouviu mais de 70 especialistas sobre a matéria e demandou à Consultoria Legislativa do Senado Federal estudo sobre a regulamentação da inteligência artificial em mais de 30 países integrantes da Organização para a Cooperação e Desenvolvimento Econômico (OCDE) para analisar o panorama normativo mundial da matéria[3].
Nesse contexto, em maio de 2023, foi apresentado o PL 2338/2023, cujo texto, nos mesmos moldes do AI Act da União Europeia, estabelece normas gerais de caráter nacional para o desenvolvimento, implementação e uso responsável de sistemas de IA no Brasil, com o objetivo de proteger direitos fundamentais e garantir a implementação de sistemas seguros e confiáveis, em benefício da pessoa humana, do regime democrático e do desenvolvimento científico e tecnológico.
A última tramitação do PL ocorreu em 12 de dezembro de 2023, quando a Comissão Temporária Interna sobre Inteligência Artificial no Brasil (“CTIA”) do Senado Federal recebeu as emendas nº 2 e 3 para análise. Após a aprovação pelo Senado, o texto será submetido à apreciação pela Câmara e, sendo aprovado, será submetido à sanção do Presidente da República.
Principais aspectos do PL 2338/2023
O PL 2338/2023 estabelece os direitos das pessoas afetadas por sistemas de IA, determina a avaliação e categorização de riscos, a governança dos sistemas de IA, prevê a possibilidade de responsabilização civil, adoção de códigos de boas práticas e de governança, comunicação de incidentes graves, além de premissas para supervisão e fiscalização pela autoridade competente.
O PL define alguns conceitos, como:
- Sistema de inteligência artificial: sistema computacional, com graus diferentes de autonomia, desenhado para inferir como atingir um dado conjunto de objetivos, utilizando abordagens baseadas em aprendizagem de máquina e/ou lógica e representação do conhecimento, por meio de dados de entrada provenientes de máquinas ou humanos, com o objetivo de produzir previsões, recomendações ou decisões que possam influenciar o ambiente virtual ou real.
- Fornecedor de sistema de inteligência artificial: pessoa natural ou jurídica, de natureza pública ou privada, que desenvolva um sistema de inteligência artificial, diretamente ou por encomenda, com vistas a sua colocação no mercado ou a sua aplicação em serviço por ela fornecido, sob seu próprio nome ou marca, a título oneroso ou gratuito.
- Operador de sistema de inteligência artificial: pessoa natural ou jurídica, de natureza pública ou privada, que empregue ou utilize, em seu nome ou benefício, sistema de inteligência artificial, salvo se o referido sistema for utilizado no âmbito de uma atividade pessoal de caráter não profissional.
- Agentes de inteligência artificial: fornecedores e operadores de sistemas de inteligência artificial.
- Autoridade competente: órgão ou entidade da Administração Pública Federal responsável por zelar, implementar e fiscalizar o cumprimento da Lei em todo o território nacional.
Em linha com a Lei nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais (“LGPD”), o PL dispõe que a pessoa afetada por sistema de IA terá o direito de contestar e solicitar a revisão de decisões, recomendações ou provisões geradas pelo sistema que produzam efeitos jurídicos relevantes ou impactem de maneira significativa seus interesses e assegura o direito de correção de dados incompletos, inexatos ou desatualizados, assim como o direito de solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação.
Igualmente, em harmonia com o AI Act, o fornecedor do sistema de IA deverá avaliar preliminarmente o sistema para classificação de seu grau de risco antes de disponibilizar o sistema no mercado. Nesse sentido, nos termos do PL, os sistemas de IA podem ser classificados como risco excessivo ou alto risco.
Nos termos do artigo 14, os sistemas de IA serão classificados como de risco excessivo e terão sua implementação e uso vedados quando:
- Empregarem técnicas subliminares que tenham por objetivo ou por efeito induzir a pessoa natural a se comportar de forma prejudicial ou perigosa à sua saúde ou segurança ou contra os fundamentos da Lei;
- Explorarem quaisquer vulnerabilidades de grupos específicos de pessoas naturais, tais como as associadas à sua idade ou deficiência física ou mental, de modo a induzi-las a se comportar de forma prejudicial à sua saúde ou segurança ou contra os fundamentos da Lei; ou
- Pretendam ser utilizados pelo Poder Público, para avaliar, classificar ou ranquear as pessoas naturais, com base no seu comportamento social ou em atributos da sua personalidade, por meio de pontuação universal, para o acesso a bens e serviços e políticas públicas, de forma ilegítima ou desproporcional.
Os sistemas de IA serão classificados como de alto risco quando o seu uso se enquadrar em pelo menos uma das 14 finalidades listadas no artigo 17, de acordo com o potencial risco para direitos e liberdades das pessoas, e serão sujeitos a medidas de governança e processos internos específicos, além de serem submetidos a uma avaliação de impacto algorítmico pela autoridade competente.
Sobre a responsabilização, o PL determina que o fornecedor ou o operador de sistema de IA que cause dano patrimonial, moral, individual ou coletivo é obrigado a repará-lo integralmente, independentemente do grau de autonomia do sistema. Quando se tratar de sistema de IA de alto risco ou de risco excessivo, o fornecedor ou operador respondem objetivamente pelos danos causados, na medida de sua participação no dano. Quando se tratar de sistema de IA em geral, a culpa do agente causador do dano será presumida, aplicando-se a inversão do ônus da prova em favor da vítima.
Os agentes de IA, em razão de infrações cometidas às normas previstas na lei, estarão sujeitos às seguintes sanções administrativas aplicáveis pela autoridade competente, após procedimento de apuração a ser definido em regulamento próprio:
- Advertência;
- Multa simples, limitada a R$ 50 milhões por infração, sendo, no caso de pessoa jurídica de direito privado, de até 2% de seu faturamento, de seu grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Proibição ou restrição para participar de seu regime de sandbox regulatório previsto na lei, por até 5 anos;
- Suspensão parcial ou total, temporária ou definitiva, do desenvolvimento, fornecimento ou operação do sistema de IA; e
- Proibição de tratamento de determinadas bases de dados.
Os agentes de inteligência artificial deverão estabelecer estruturas de governança e processos internos aptos a garantir a segurança dos sistemas e o atendimento dos direitos de pessoas afetadas, que deverão incluir:
- Medidas de transparência quanto ao emprego de sistemas de IA na interação com pessoas naturais;
- Transparência quanto às medidas de governança adotadas no desenvolvimento e emprego do sistema de IA pela organização;
- Medidas de gestão de dados adequadas para a mitigação e prevenção de potenciais vieses discriminatórios;
- Legitimação do tratamento de dados conforme a legislação de proteção de dados, inclusive por meio de adoção de medidas de privacidade desde a concepção e por padrão e da adoção de técnicas que minimizem o uso de dados pessoais;
- Adoção de parâmetros adequados de separação e organização dos dados para treinamento, teste e validação dos resultados do sistema; e
- Adoção de medidas adequadas de segurança da informação desde a concepção até a operação do sistema.
A adesão voluntária a código de boas práticas e governança poderá ser considerada indicativo de boa-fé por parte do agente e será levada em consideração pela autoridade competente para fins de aplicação de sanções administrativas.
Como se preparar?
A organizações que utilizam sistemas de IA para desenvolver suas atividades, como fornecedores ou operadores de sistemas de IA podem adotar medidas em preparação para a regulamentação, tendo em vista que a aprovação de normas regulamentadoras desses sistemas é questão de tempo.
Elencamos abaixo algumas medidas que podem ser adotadas pelos departamentos de compliance, jurídico, responsáveis pela privacidade de dados ou tecnologia da informação das organizações para se adequarem ao novo cenário:
- Mapeamento do uso de IA pela organização: é importante que se tenha mapeado, dentro das organizações, os processos e sistemas que utilizam IA, rotina de tratamento de dados pessoais e potenciais riscos associados.
- Identificação dos requisitos aplicáveis aos sistemas de IA: considerando a previsão derequisitos específicos de governança e de processos internos para sistemas de IA de alto risco (aqueles que podem causar danos significativos aos direitos fundamentais ou à segurança das pessoas), o departamento ou o profissional que for designado para garantir a adequação dos processos da organização com a regulamentação, deve identificar se algum de seus sistemas de IA se enquadram nessa categoria.
- Gestão dos dados: uma boa governança da informação nunca foi tão importante. O acesso e a utilização de dados das organizações em sistemas de IA requerem cautela e adoção de medidas para garantir o gerenciamento adequado das informações das organizações.
- Treinamentos internos: inclusão de treinamentos específicos para a informação e a capacitação de usuários diretos ou indiretos dos sistemas de IA, para difusão de noções básicas de IA e desenvolvimento de pensamento crítico para abordar eventuais questões éticas, legais e os riscos associados ao uso do sistema de IA no dia a dia.
- Implementação de código de boas práticas e governança: Nos termos do artigo 30 do PL, os agentes de IA poderão, individualmente ou por meio de associações, formular códigos de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, inclusive sobre reclamações das pessoas afetadas, as normas de segurança, os padrões técnicos, as obrigações específicas para cada contexto de implementação, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e as medidas de segurança técnicas e organizacionais apropriadas para a gestão dos riscos decorrentes da aplicação dos sistemas.
- Adoção de medidas de mitigação dos riscos, como:
- Fortalecimento e eventuais ajustes nas políticas internas: revisitar e fortalecer as políticas de privacidade e proteção de dados da organização para abordar os aspectos únicos trazidos pela IA, incluindo questões de consentimento e transparência.
- Implementação de auditorias com o objetivo de verificar se o uso de IA está em conformidade com todas as regulamentações aplicáveis. Isso pode envolver a avaliação de algoritmos e dados utilizados, bem como as decisões tomadas por sistemas de IA.
- Identificação e avaliação de possíveis riscos que a IA apresenta à privacidade dos dados. Desta forma, é possível elaborar planos de mitigação para diminuir esses riscos sem prejudicar a eficácia da tecnologia.
A futura regulamentação da IA não impacta apenas o departamento de compliance e os profissionais responsáveis pela privacidade de dados, o trabalho conjunto de diferentes departamentos é crucial. Tecnologia, compliance, RH, jurídico e segurança da informação devem trabalhar juntos para garantir que a IA seja implementada, utilizada e gerenciada adequadamente.
Por fim, é fundamental que o departamento de compliance e/ou time de privacidade de dados mantenham-se informados sobre o tema acompanhando as atualizações legislativas em relação à IA e que entendam seu impacto na organização.
[1] Disponível em: https://sitn.hms.harvard.edu/flash/2017/history-artificial-intelligence/. Acesso em 14/12/2023.
[2] Disponível em: https://www.europarl.europa.eu/news/en/press-room/20231206IPR15699/artificial-intelligence-act-deal-on-comprehensive-rules-for-trustworthy-ai. Acesso em 28/12/2023.
[3] Disponível em: https://legis.senado.leg.br/sdleg-getter/documento?dm=9347622&ts=1702407086098&disposition=inline&_gl=1*199j8k9*_ga*OTQ5OTg5ODMxLjE3MDI0MDk3NTI.*_ga_CW3ZH25XMK*MTcwMjU1NjM0OC4zLjEuMTcwMjU1ODMyOS4wLjAuMA… Acesso em 14/12/2023.
O presente conteúdo possui finalidade meramente informativa e sem caráter de aconselhamento jurídico. As informações aqui contidas não devem ser utilizadas ou aplicadas indistintamente a fatos ou circunstâncias concretas sem consulta prévia a um advogado. As opiniões aqui contidas são as expressadas pelo(s) respectivo(s) autor(es) e podem não necessariamente refletir a opinião do escritório ou dos clientes do escritório; e estão sujeitas a alteração sem ulterior notificação.