AI Act: como o pioneirismo da UE impacta a regulação da IA no Brasil

Na última quarta-feira, dia 13 de março, o Parlamento Europeu aprovou o AI Act, a nova legislação europeia para a regulação de inteligência artificial. Incialmente proposto pela Comissão Europeia em 21 de abril de 2021, o AI Act ainda passa pelas etapas finais do processo legislativo e deve ser finalizado no próximo mês. A expectativa é de que algumas de suas regras passem a valer a partir de 2025, mas a lei somente será integralmente aplicada 36 meses após a sua entrada em vigor.

Embora o texto final ainda não tenha sido consolidado, pouco deve mudar até que os seus contornos definitivos sejam concluídos e já é possível vislumbrar os principais aspectos da nova lei.

O AI Act adota uma abordagem essencialmente principiológica com a finalidade de assegurar a sua abrangência e mitigar eventual defasagem do texto legal diante do rápido e constante desenvolvimento tecnológico, o que também serve ao propósito europeu de emergir como uma referência legislativa mundial quanto à inteligência artificial.

Anunciado como um marco legal que visa proteger direitos fundamentais, a partir da adoção de inteligência artificial confiável e centrada no ser humano, o AI Act também assumirá o papel de impulsionar a inovação e o funcionamento do mercado Europeu.

Ocorre que, diante do crescimento exponencial da presença de inteligência artificial generativa no mercado, a expectativa inicial do legislativo europeu de que a maior parte das aplicações de inteligência artificial seja considerada de risco mínimo poderá ser frustrada – o que, potencialmente, impactará de forma adversa a inovação no setor.

No Brasil, a inspiração europeia deve direcionar o PL da Inteligência Artificial (Projeto de Lei 2338/2023) para o caminho principiológico. A adoção de normas mais abrangentes é positiva sob a ótica do avanço tecnológico exponencial que observamos hoje em dia. Contudo, é importante ponderar que os desafios da inovação no Brasil não são os mesmos enfrentados na Europa. No atual momento, a criação de uma lei geral para regular a inteligência artificial no âmbito nacional, sem a devida compreensão de qual é o atual estágio do mercado brasileiro nesse setor, pode representar um esforço precoce.

Classificação de risco

O AI Act adota uma abordagem centrada na classificação de risco das práticas de inteligência artificial em quatro categorias: inaceitável, alto, limitado e (iv) mínimo. Quanto maior for considerado o risco, maiores serão as obrigações e/ou restrições impostas, podendo chegar inclusive à proibição de práticas de inteligência artificial cujo risco seja considerado inaceitável, como é o caso dos sistemas de categorização biométrica.

As práticas de alto risco estarão sujeitas ao cumprimento de obrigações específicas mais rigorosas, incluindo, por exemplo, gestão de risco, documentação técnica e supervisão humana. Já às de risco limitado, serão impostas principalmente obrigações de transparência. Por fim, as práticas de risco mínimo não serão reguladas.

A maior parte das obrigações deverá recair sobre os provedores e desenvolvedores das práticas de inteligência artificial de alto risco. No entanto usuários caracterizados como deployers (pessoas naturais ou jurídicas que utilizem inteligência artificial a título profissional) também terão certas obrigações, como por exemlo informar que um áudio, vídeo ou imagem foi artificialmente gerado ou manipulado.

Inteligência artificial de propósito geral

O AI Act prevê também a conceito de "inteligência artificial de propósito geral" (GPAI, da sigla em inglês) para modelos e sistemas caracterizados como gerais e capazes de performar diversas atividades e servir a variados objetivos, seja para uso direto ou para integração em outros sistemas ou aplicações – como é o caso de algumas ferramentas de inteligência artificial generativa.

Considerando que sistemas GPAI podem ser utilizados como base ou integrados em sistemas de alto risco, eles serão classificados por possuir ou não risco sistêmico. Caso sejam considerados sem risco sistêmico, as obrigações dos provedores serão principalmente de transparência. No entanto, caso se entenda que há risco sistêmico, os provedores estarão sujeitos a obrigações mais rigorosas, por exemplo quanto à necessidade de documentação técnica específica.

Sanções

Seguindo a mesma lógica do General Data Protection Regulation (GDPR), o AI Act determina que os Estados-membros da União Europeia (UE) deverão estabelecer ou designar uma autoridade nacional competente para assegurar a sua aplicação e implementação.

O descumprimento de obrigações poderá implicar tanto a aplicação de multas quanto de penalidades não pecuniárias, por exemplo, advertência. As multas deverão ser aplicadas de acordo com o tipo de violação e o tamanho da empresa, variando entre 35 milhões de euros ou 7% do faturamento global do exercício financeiro anterior; 15 milhões de euros ou 3% do faturamento global do exercício financeiro anterior; e 7,5 milhões ou 1% do faturamento global do exercício financeiro anterior.

Entrada em vigor e aplicação

O AI Act entrará em vigor 20 dias após a sua publicação no Diário Oficial e, em geral, será aplicável após 24 meses, sendo observadas as seguintes exceções:

• Disposições gerais e proibições serão aplicáveis 6 meses após a entrada em vigor;
• Disposições relativas à notificação de autoridade, governança, GPAI e sanções serão aplicáveis 12 meses após a entrada em vigor; e
• Obrigações para sistemas de alto risco serão aplicáveis 36 meses após a entrada em vigor.

Quanto aos códigos de boas práticas previstos na lei, cuja aderência facilitará a demonstração de cumprimento das obrigações pelas empresas, deverão ser disponibilizados em até 9 meses após a sua entrada em vigor.

Impacto no Brasil

O AI Act terá aplicação extraterritorial. Assim, estarão sujeitas à legislação europeia empresas brasileiras que aturem como:

(a) Provedores de sistemas de inteligências artificial ou GPAI disponibilizados no mercado europeu; (b) Provedores de sistemas de inteligências artificial para a prestação de serviços no mercado europeu; e (c) Fornecedores ou deployers de sistemas de inteligência artificial cujos outputs serão utilizados na União Europeia, incluindo importadores e distribuidores, bem como representantes autorizados de provedores de sistemas de inteligência artificial.

O mercado brasileiro também deve ser impactado por meio da influência legislativa que a UE exerce como pioneira na regulação da matéria – o chamado “Efeito Bruxelas”.

Embora a inteligência artificial já integrasse a pauta do legislativo brasileiro na forma do PL da Inteligência Artificial, de autoria do senador Rodrigo Pacheco, a expectativa é de que a regulação europeia influencie o debate brasileiro, à exemplo do ocorrido com a Lei Geral de Proteção de Dados (LGPD), amplamente inspirada pelo GDPR europeu.

Em linha com o AI Act, o projeto de lei brasileiro busca justamente estabelecer normas gerais de caráter nacional para o desenvolvimento, implementação e uso responsável de sistemas de inteligência artificial no país. Pachecho, que ocupa a presidência do Senado, já sinalizou que pretende votá-lo em breve.