No dia 8 de dezembro, os formuladores de políticas da União Europeia alcançaram um marco significativo ao finalizar o Ato de Inteligência Artificial (AI Act), estabelecendo-o como o primeiro marco regulatório abrangente do mundo para a inteligência artificial. Como líder em governança digital e de dados, a UE tem consistentemente estabelecido padrões em diversas questões, incluindo privacidade de dados e práticas de publicidade direcionada. Após uma longa jornada legislativa iniciada em abril de 2021, o AI Act está prestes a transformar a governança da IA, anunciando o “Efeito Bruxelas”, que elevará os padrões de IA em toda a economia global.
O texto oficial está atualmente passando por revisões finais, mas os líderes da UE esperam que o histórico AI Act seja oficialmente adotado em abril de 2024, com uma implementação gradual começando em 2026.
O que é o AI Act da UE?
O AI Act da UE representa um marco legal inovador introduzido pela Comissão Europeia em abril de 2021, com o objetivo de garantir a segurança, responsabilidade e transparência dos sistemas de IA no mercado da UE. Adotando uma abordagem baseada em riscos, o Ato supervisionará desenvolvedores, distribuidores, importadores e usuários de IA, avaliando cuidadosamente os potenciais impactos adversos dos sistemas de IA. Quanto maior o potencial de dano de uma aplicação de IA, mais rigorosa será a supervisão necessária. Esta legislação lembra o Regulamento Geral sobre a Proteção de Dados (GDPR) da UE, que influenciou os padrões globais de privacidade desde sua criação em 2016.
Quem é impactado pelo AI Act?
O AI Act define responsabilidades específicas para diversas entidades envolvidas no ecossistema de IA, incluindo desenvolvedores, distribuidores e usuários. Importante notar que até mesmo empresas fora da UE podem estar sob a jurisdição do Ato se seus sistemas de IA gerarem resultados utilizados dentro da UE. Por exemplo, uma empresa sul-americana que desenvolve um sistema de IA que afeta residentes da UE pode ser sujeita ao Ato. O AI Act não se aplica a aplicações militares ou de segurança nacional, mas estabelece condições rigorosas para o uso de sistemas de identificação biométrica remota por forças de segurança.
O rascunho do AI Act, adotado pelo Parlamento Europeu em junho de 2023, destaca duas categorias principais de participantes:
- Fornecedor: Refere-se a desenvolvedores que oferecem sistemas de IA sob sua própria marca, gratuitamente ou mediante pagamento. Um exemplo de fornecedor seria a OpenAI com o ChatGPT no mercado da UE.
- Implantador: Antigamente conhecido como “Usuário”, agora descreve entidades que utilizam sistemas de IA para fins profissionais ou comerciais.
As obrigações de conformidade recaem principalmente sobre o Fornecedor de IA, de forma semelhante a como o GDPR responsabiliza os controladores de dados. No entanto, o número de usuários de IA (Implantadores) supera em muito o de Fornecedores, especialmente em sistemas de alto risco, onde os Implantadores desempenharão um papel crucial na gestão dos riscos relacionados à IA.
Classificação de Riscos das Práticas de IA
Com foco na proteção dos direitos e segurança dos usuários finais, o AI Act categoriza os sistemas de IA em quatro classificações de risco:
1. IA Inaceitável: Esta categoria proíbe o uso de tecnologias de IA que ameaçam valores democráticos ou direitos humanos, como sistemas de crédito social e vigilância biométrica invasiva.
2. IA de Alto Risco: Sistemas de IA que possam causar danos significativos a setores críticos—como infraestrutura, emprego e saúde pública—são considerados de alto risco. Os desenvolvedores desses sistemas devem cumprir requisitos rigorosos, incluindo avaliações de conformidade, registro, governança de dados e protocolos de cibersegurança.
3. IA de Baixo Risco: Sistemas que apresentam riscos menores, como chatbots básicos, requerem medidas de transparência, obrigando que os usuários sejam informados quando o conteúdo é gerado por IA.
4. IA de Mínimo ou Nenhum Risco: Esta categoria abrange aplicações de baixo risco, como resumidores automáticos e filtros de spam, que tipicamente não apresentam riscos significativos aos usuários.
Penalidades por Não Conformidade
Violar as disposições do AI Act pode resultar em penalidades substanciais. Estas variam de €7,5 milhões ou 1,5% da receita anual global até €35 milhões ou 7% da receita global, dependendo da gravidade da infração. A versão do Parlamento de 2023 propõe as seguintes multas potenciais:
- IA Inaceitável: Até 7% da receita anual global, um aumento em relação ao anterior 6%.
- IA de Alto Risco: Até €20 milhões ou 4% da receita global.
- IA de Uso Geral (ex: ChatGPT): Multas de até €15 milhões ou 2% da receita global, com disposições especiais para aplicações de IA generativa.
- Fornecimento de Informações Incorretas: Multas de até €7,5 milhões ou 1,5% das receitas globais.
Preparando-se para o AI Act
Para navegar efetivamente pelo AI Act, as organizações precisam adotar uma estratégia de governança abrangente que inclua controles internos robustos e gestão da cadeia de suprimentos. Empresas que desenvolvem ou implantam sistemas de IA de alto risco devem realizar avaliações minuciosas de suas operações e considerar as seguintes questões:
- Quais departamentos estão utilizando ferramentas de IA?
- Essas ferramentas estão processando informações proprietárias ou dados pessoais sensíveis?
- Esses casos de uso se enquadram nas categorias inaceitável, alto ou baixo/ninho risco, conforme definido pelo AI Act?
- A empresa atua como Fornecedor de IA ou como Implantador de IA?
- Quais disposições existem nos contratos com fornecedores em relação à proteção de dados e conformidade?
A iniciativa da UE em relação ao AI Act pode desencadear mudanças significativas nas abordagens legislativas globais para gerenciar os riscos da IA. Juntamente com a recente Ordem Executiva sobre IA dos EUA anunciada em outubro, este acordo fundamental sinaliza uma era transformadora em como as empresas podem aproveitar a tecnologia de IA de forma responsável e eficaz.