Regulamentação da inteligência artificial na Europa e reflexões para o Brasil

Quem se interessa pelo tema da regulamentação da inteligência artificial (IA) recebeu um presente de natal antecipado: a União Europeia concluiu um acordo político crucial sobre o EU AI Act, a futura lei de regulação de IA do bloco. Após intensas negociações, algumas delas se estendendo por 22 horas seguidas, as três instituições que compõem a UE – o Conselho, o Parlamento e a Comissão Europeia –, por meio do chamado “trialogue“, chegaram a um consenso em 8 de dezembro. Thierry Breton, Comissário Europeu do Mercado Interno e líder das negociações, descreveu o EU AI Act como um marco regulatório histórico que estabelece regras claras para a inteligência artificial.

Embora os detalhes ainda estejam sendo ajustados (eles serão conhecidos apenas com a publicação do texto final em 2024, havendo também trechos indefinidos) os contornos gerais já foram delimitados. O EU AI Act mais uma vez posiciona a Europa na vanguarda da legislação em novas tecnologias, com potencial de influenciar outras jurisdições (incluindo o Brasil) que também se engajam na regulação da IA.

Entre nós, um esforço significativo análogo de regulamentação de IA está em andamento, por meio de um abrangente projeto de lei em discussão no Congresso, atualmente sob exame no Senado (PL 2338/2023). Este breve artigo examina alguns dos aspectos-chave abordados pelo arcabouço acordado na EU, e as lições ele pode fornecer ao Brasil.

possibilidade de o EU AI Act encontrar obstáculos devido a discordâncias, especialmente em relação à regulação de modelos fundacionais (foundational models) de aplicação genérica – um modelo de IA treinado em dados amplos, capaz de ser aplicado a uma grande variedade de contextos e competente para realizar uma vasta gama de tarefas, incluindo a geração de vídeo, texto, imagens, conversas em linguagem natural, realização de cálculos ou geração de código de computador.

Na Europa, parlamentares eram a favor de regulamentar esses modelos fundacionais, com a inclusão de regras exigindo explicações detalhadas sobre como eles são desenvolvidos, chegando a requerer até mesmo padrões de sustentabilidade em relação ao consumo de energia. No entanto, países como França, Alemanha e Itália manifestaram resistência, motivados por preocupações com a competitividade de suas startups de IA frente aos investimentos feitos pelas big tech nessa mesma área.

O ponto crucial da disputa sobre modelos fundacionais gira em torno da questão de regulamentar IA no nível do modelo ou no nível do sistema, abordando aplicações concretas. A pergunta-chave é se a regulamentação deve se concentrar na fonte, em vez de apenas governar nos outputs. No final, na versão acordada politicamente na Europa, os provedores de sistemas de IA de propósito geral, como o ChatGPT, devem obedecer obrigações de transparência, incluindo o fornecimento de informações sobre os dados usados para treinar os modelos.

No Brasil, assim como na EU, o projeto de lei adota uma definição ampla de sistema de IA, similar a definição da OCDE, definindo como “sistema computacional, com graus diferentes de autonomia, desenhado para inferir como atingir um dado conjunto de objetivos, utilizando abordagens baseadas em aprendizagem de máquina e/ou lógica e representação do conhecimento (…)” Apesar de ampla, a definição brasileira ainda se concentra no sistema, fornecedor ou operador, e não na regulação do modelo em si. À medida que as negociações avançarem no Brasil, será importante considerar se e como questões não contempladas no rascunho original – como regras para IA generativa e modelos fundacionais – poderão ser incorporadas, além de outras medidas centradas na fonte, como regras voltadas para garantir que ferramentas de gerenciamento de dados possam mitigar efetivamente os riscos de não discriminação na fase de treinamento.

Regulação assimétrica e abordagem baseada em riscos

O EU AI Act adota uma abordagem regulatória assimétrica, fundamentada em uma matriz de avaliação de riscos. Aplicações consideradas de risco excessivamente alto são proibidas, pois são consideradas incompatíveis com os direitos e valores fundamentais. Isso inclui o uso de IA em técnicas manipulativas, sistemas que exploram vulnerabilidades e social scoring, nas quais o sistema manipula os usuários para alcançar certos resultados. Durante as negociações do AI Act, membros do Parlamento Europeu ampliaram a lista de riscos proibidos, incluindo, dentre outros, o policiamento preditivo – o uso de software que avalia a probabilidade de um indivíduo cometer crimes futuros com base em características pessoais, pois contraria a presunção de inocência.

No Brasil, de forma semelhante, o PL 2338/2023 identifica “riscos excessivos” em que o uso da IA é proibido em face de direitos não negociáveis. Esses cenários incluem situações em que a IA induz comportamentos prejudiciais à segurança, integridade física e autodeterminação mais ampla – como é o caso do social scoring.

O EU AI Act estabelece ainda obrigações específicas para aplicações consideradas de alto risco – as que apresentam riscos significativos à segurança, saúde ou direitos fundamentais. Por exemplo, em casos em que uma decisão tomada por um sistema de alto risco afeta significativamente um indivíduo, a legislação exige supervisão humana envolvendo pelo menos duas pessoas. Exceções são feitas à segurança pública, embora sujeitas à avaliação de proporcionalidade pelos governos nacionais.

A legislação europeia enumera os setores onde o uso da IA é considerado de alto risco, incluindo educação, emprego, infraestrutura crítica, serviços públicos, segurança pública, controle de fronteiras e o sistema de justiça. No contexto brasileiro, o PL também identifica sistemas de alto risco e os submete a uma série de obrigações. As áreas identificadas como de alto risco são também similares, incluindo setores críticos como infraestrutura, educação, recrutamento, avaliação de crédito, administração da justiça, saúde e investigação criminal.

No entanto, um setor crucial está ausente tanto na versão aprovada pela UE, quanto na proposta brasileira. Trata-se do uso de IA em sistemas automatizados de recomendação de conteúdo usados por plataformas digitais, em particular as redes sociais. Esses algoritmos são fundamentais na curadoria de conteúdo que é apresentado nos feeds de usuários. Na Europa, uma proposta para incluir esses sistemas na lista de IA de alto risco estava em consideração.

No entanto, a versão aprovada do EU AI Act não inclui algoritmos de recomendação de conteúdo em redes sociais. Essa escolha regulatória foi baseada no fato de que tais sistemas já estariam sob o escopo do Digital Services Act (DSA), lei que regula plataformas de internet e moderação de conteúdo aprovada em 2022, e que exige a condução de avaliações de risco e adoção de medidas de mitigação para evitar riscos sistêmicos. A relação entre o risco gerado pelo uso de IA por essas plataformas e o conceito de risco sistêmico no DSA, no entanto, permanece uma questão em aberto.

No Brasil, o uso de algoritmos por plataformas de internet não está no escopo de serviços de alto risco da proposta de IA. E as discussões sobre esse setor e as implicações do uso de algoritmos a ele são talvez mais relevantes no Brasil, onde ainda não temos uma lei de regulamentação de plataformas. Como dito, propostas de regulamentação de plataformas digitais, como o PL 2630/2020, ainda estão em análise.

Vale frisar que a combinação de IA com algoritmos é central não apenas para questões de curadoria de conteúdo e recomendações, mas também devido às crescentes preocupações com mídias sintéticas (como deepfakes) e seus potenciais impactos nos processos democráticos, especialmente em vista das eleições de 2024, o que justificaria considerar tais sistemas como de alto risco.

Aplicação, penalidades e governança

As novas regras serão implementadas em nível nacional por autoridades designadas pelos Estados membros, enquanto no nível europeu, a Comissão Europeia estabelecerá um novo European AI Office. No entanto, ainda não há definição específica sobre como esse sistema de governança funcionará na prática.

No que diz respeito às penalidades, a violação mais grave é a adoção de uma aplicação proibida. Além disso, as empresas podem deixar de cumprir as obrigações do EU AI Act de outras formas, como não conduzir avaliações de risco e deixar de fornecer informações precisas à UE. Embora os números possam ser ajustados, na versão anunciada, as multas podem chegar a 7% do faturamento anual global da empresa ou €35 milhões. No caso de não fornecimento de informações exatas, a multa pode ser de 1,5%. Em situações mais graves, nas quais há um risco para o mercado europeu, a Comissão pode tomar uma decisão de emergência e banir o sistema da Europa.

No Brasil, como visto, a implementação da futura lei de regulação de IA também é uma questão crucial. Em termos de estrutura de execução, o projeto de lei sugere um modelo híbrido de governança e supervisão, com a criação de um órgão coordenador central, enfatizando a necessidade de colaboração com autoridades reguladoras setoriais para criar uma estrutura administrativa multifacetada.

As responsabilidades incluem examinar avaliações de impacto, atualizar os usos considerados de alto risco, monitorar o cumprimento das obrigações dos sistemas de alto risco e salvaguardar os direitos dos indivíduos afetados. Mas, como na UE, há preocupações quanto à construção de capacidade regulatória para dar conta dessas responsabilidades, ainda mais em vista de restrições orçamentárias e a necessidade de coordenação interagências que precisam ser abordadas considerando a natureza transversal da IA.

Próximos passos

O EU AI Act ainda precisa percorrer etapas adicionais no processo formal de adoção antes de se tornar lei. O período de finalização e adoção do texto pode levar dois ou três meses, culminando com a publicação oficial. Entretanto, as obrigações decorrentes dessa legislação só entrarão em vigor dois anos depois. Embora seja imprescindível conceder às empresas o tempo necessário para assimilar e compreender as novas regras, é vital reconhecer que esse hiato é significativo.

Em um setor em que a inovação ocorre em ritmo acelerado, muitas transformações podem ocorrer nesse espaço de tempo. Um exemplo disso: desde a apresentação da primeira proposta regulatória para a IA pela Comissão Europeia em abril de 2021, o cenário da inteligência artificial passou por consideráveis transformações. O surgimento do ChatGPT, por exemplo, ocorreu muito depois desse marco, há apenas 12 meses.

Indiscutivelmente, um desafio crítico para o EU AI Act será resistir ao teste do tempo e às mudanças tecnológicas vertiginosas. Isso, por sua vez, depende em boa medida da consistência, da robustez e da plasticidade de sua construção jurídico-regulatória. Quanto a isso, vale dizer: a regulação corrige falhas de mercado (market fixing), mas também os constitui (market making), fornecendo condições para que processos inovativos neles se desenvolvam, se catalisem e sirvam a interesses da coletividade.

Por isso, diz-se que a regulação preexiste à inovação tecnológica, valendo isso para a IA também, ao mesmo tempo em que atua, ainda, para discipliná-la e catalisá-la, ajudando a fomentar as diversas externalidades positivas que esses processos podem gerar para a sociedade. Por isso, a efetividade de um futuro modelo de governança de IA, que seja tanto eficaz quanto democrático, tanto na Europa como no Brasil, dependerá em larga medida da construção de um arcabouço jurídico adaptável – capaz de realizar ajustes e incorporar aprendizado iterativo em relação às mudanças tecnológicas que seguramente o pressionarão nessa trajetória.

Confira matéria no Jota