Pular para o conteúdo

Comissão Europeia publica sua Proposta de Regulação para Inteligência Artificial na Europa

Regulação para Inteligência Artificial

Em 21 de abril de 2021 a Comissão Europeia propôs ao Parlamento Europeu uma atualização das regulações sobre o desenvolvimento e utilização de Inteligência Artificial no bloco econômico. 

Considerando que os mesmos elementos e técnicas que proporcionam os benefícios socioeconômicos possíveis a partir da Inteligência Artificial (IA) também podem apresentar grandes riscos para indivíduos e para a sociedade, a Comissão Europeia desenvolveu uma legislação com o objetivo de proporcionar um framework de equilíbrio entre os riscos e benefícios da tecnologia. O objetivo central da regulação é que, a partir deste equilíbrio entre as possibilidades positivas e negativas da IA, floresça um ambiente de desenvolvimento tecnológico baseado na confiança na tecnologia, confiança essa que só é possível a partir da criação de limites e diretrizes para seu desenvolvimento e aplicação.

A nova Regulação se aplica a toda e qualquer empresa na União Europeia e também a empresas em quaisquer outros países que venham a vender ou oferecer seus sistemas de IA para entidades dentro da União Europeia ou que afetem cidadãos europeus. 

Objetivos

Os objetivos específicos deste framework regulatório são:

  • Garantir que os sistemas de IA utilizados no mercado único europeu são seguros e respeitam leis existentes sobre os direitos fundamentais e os valores da União Europeia;
  • Garantir segurança jurídica para facilitar o investimento em inovação em IA;
  • Desenvolver melhor a governança e a aplicação efetiva das leis já existentes nos contextos aplicáveis à IA;
  • Facilitar o desenvolvimento de um mercado único para aplicações legais, seguras e confiáveis de IA, impedindo a fragmentação do mercado. 

Segundo o Artigo 1 da regulação, os objetivos da legislação é providenciar:

  • Regras harmonizadas para a disponibilização no mercado único europeu de tecnologias e sistemas de IA;
  • Proibições a certas utilizações nocivas da IA;
  • Requerimentos específicos para sistemas de IA considerados de alto-risco, bem como obrigações para operadores destes sistemas;
  • Regras harmonizadas de transparência para sistemas de IA utilizados para reconhecimento de emoção, categorização biométrica e gerar ou manipular conteúdo em imagem, áudio ou vídeo;
  • Regras sobre vigilância e monitoramento de mercado;

Definições

A regulação traz uma grande gama de definições, solidificando conceitos para 44 temas. Dentre esses temas, define um sistema de inteligência artificial como:

“Software desenvolvido com uma ou mais técnicas e abordagens listadas no Anexo I do documento e que pode, para um dado grupo de objetivos definidos por humanos, gerar outputs como conteúdo, predições, recomendações ou decisões influenciando os ambientes com os quais interage”

As técnicas e abordagens listadas no Anexo I são: aprendizado de máquina (machine learning), abordagens baseadas em lógica/conhecimento (como programação em lógica indutiva e sistemas indutivos e de inferência), bem como abordagens estatísticas, inferências Bayesianas e métodos de busca e otimização. 

Outras definições importantes trazidas pelo Artigo 3 da regulação:

“Dados Biométricos: Dados pessoais resultantes de processamentos técnicos específicos em relação às características físicas, fisiológicas ou comportamentais de uma pessoa natural que permitem ou confirmam a identificação única destas pessoas naturais, tais quais imagens faciais ou dados dactiloscópicos.”

“Sistema de identificação biométrica remota: Sistema de IA com o objetivo de identificar pessoas naturais à distância por meio da comparação dos dados biométricos da pessoa com os dados biométricos presentes em uma base de dados de referência, e sem o conhecimento prévio do usuário do sistema de IA sobre se a pessoa estará na base de dados e pode ser identificada”

Utilizações proibidas da Inteligência Artificial

O Título II da Regulação apresenta as 4 utilizações de Inteligência Artificial que devem ser proibidas caso o texto seja aprovado. 

A primeira das utilizações proibidas é a implementação de IA para influenciar ou distorcer o comportamento de uma dada pessoa de modo a fazer mal físico ou psicológico a ela por meio de técnicas subliminares de manipulação. 

A segunda proibição, similar à primeira, consiste em vedar a venda ou utilização de sistemas de IA que se aproveitem de vulnerabilidades de grupos específicos com base, por exemplo, em sua idade, deficiência física ou mental, com o fim de modificar o comportamento de uma ou mais pessoas pertencentes a estes grupos de modo a fazer mal físico ou psicológico a elas por meio de técnicas subliminares de manipulação.

Em terceiro lugar, a Regulação proíbe a utilização de sistemas de IA por autoridades públicas com o fim de avaliar pessoas naturais para classificar sua confiabilidade com base em seu comportamento social ou características pessoais conhecidas ou presumidas, proibindo na prática a utilização de sistemas de classificação social (social scoring) que possam gerar tratamento desfavorável aos indivíduos com base em dados que não tenham relação direta com o contexto do tratamento ou que o tratamento desfavorável seja desproporcional ao comportamento social indicado. 

Por fim, a quarta utilização proibida segundo a proposta de Regulação da Comissão Europeia é a aplicação de Sistemas de Identificação Biométrica Remota em espaços públicos para fins de segurança pública. A Regulação cria então três exceções que justificam a utilização destes sistemas:

  • a busca por vítimas específicas de crimes, como crianças desaparecidas por exemplo;
  • a prevenção a um risco específico, substancial e iminente de um ataque terrorista ou outro evento que possa ameaçar a vida ou a segurança física de pessoas naturais;
  • a detecção, localização, identificação ou investigação de suspeitos de ofensas criminais previstas no mandado de detenção europeu previstos pela decisão-quadro do Conselho Europeu de 13 de junho de 2002. 

Questões sobre Sistemas de Identificação Biométrica Remota

Como é sabido, sistemas de reconhecimento facial trabalham por meio do reconhecimento errático de todos os rostos presentes em seu campo de visão, não sendo possível limitar este reconhecimento somente ao reconhecimento de suspeitos procurados ou de crianças desaparecidas. Para encontrar estes suspeitos ou crianças, o sistema deve necessariamente escanear e comparar com suas bases de dados todos os rostos a que tiver acesso, gerando os mesmos riscos de falsos positivos e de submissão da população à vigilância intrusiva que motivariam a proibição desta utilização já de cara. 

Na prática, esta proibição pode servir para diminuir a implementação das tecnologias de identificação biométrica remota para fins de segurança pública no sentido de que, não havendo um suspeito específico sendo procurado, os sistemas não podem ser utilizados. Porém, considerando a vasta lista de situações em que um suspeito pode ser investigado conforme o mandado de detenção europeu, é possível imaginar que a todo momento e em praticamente todas as localidades existirão sistemas efetuando o reconhecimento em pessoas inocentes, expondo estas aos riscos inerentes à essas tecnologias.

O ponto 3 do Artigo 5 da Regulação previne que a utilização de sistemas de identificação biométrica remota para identificar suspeitos com mandados de detenção abertos deve ser feita somente com a autorização das autoridades judiciais, devendo haver evidências objetivas ou claras indicações de que a utilização da tecnologia é necessária e proporcional na busca do suspeito em questão, não devendo ser permitidas buscas genéricas. A definição específica dos requisitos para autorização deve ser feita a nível nacional por cada estado-membro da União Europeia. 

Sistemas de IA de alto risco

Uma nova definição criada pela Regulação é a classificação de sistemas de IA em alto, médio e baixo risco. O Anexo III da Regulação traz uma lista extensa de áreas e modelos de sistema de IA que são considerados de alto risco, como:

  • Identificação e categorização biométrica de pessoas naturais;
  • Sistemas que auxiliam na determinação do acesso à educação e sistemas avaliativos para alunos;
  • Sistemas para auxílio na contratação, progressão profissional e demissão de funcionários;
  • Sistemas que definem ou limitam o acesso a serviços públicos;
  • Sistemas utilizados para a aplicação da lei;
  • Sistemas utilizados no contexto de gestão de imigração, asilo e controle de fronteiras;
  • Sistemas utilizados na administração de processos de justiça ou processos democráticos;

Dentre as exigências apresentadas para estes sistemas de alto risco, podemos ressaltar a criação de sistemas de gestão de risco (artigo 9), a implementação de boas práticas de governança de dados (artigos 10-12) desenvolvimento pautado pela transparência e pelo acesso à informação (artigo 13), desenvolvimento que permita o acompanhamento e supervisão humana (artigo 14) e um enfoque em cibersegurança e precisão dos sistemas (artigo 15). 

Além disso, todos os sistemas de alto risco devem ser submetidos a um registro governamental, podendo ser implementadas futuramente medidas de análise destes sistemas tanto ex-ante (análise do que o sistema se propõe a fazer) quanto ex-post (análise do conhecimento e informações coletados em retrospecto acerca da performance do sistema). Este registro será denominado “EU Database for Stand-Alone High-Risk AI Systems” (Artigo 51, em conjunto com o Título VII).

Outra exigência proposta para estes sistemas de alto risco é a obrigatoriedade de implementação de monitoramento de performance e dos resultados do sistema após sua apresentação e disponibilização no mercado (Artigos 9(2)(c), 12(3) e 17(1)(h), em conjunto com o Título VIII). 

Os outros capítulos do Título III da Proposta de Regulação tratam sobre as relações entre os usuários e operadores dos sistemas (Capítulo 3), empresas e desenvolvedores com os órgãos governamentais e autoridades competentes (Capítulo 4), bem como apresentam o quadro de standards, certificados e testes de conformidade que se aplicam aos sistemas de Inteligência Artificial (Capítulo 5).

O Título IV da Proposta de Regulação apresenta algumas obrigações dos usuários de sistemas de IA em relação à transparência, com o objetivo central de que as pessoas naturais que estão em contato com os sistemas de Inteligência Artificial sejam sempre devidamente informadas sobre o fato de estarem lidando com uma IA. Neste sentido, o Artigo 52 prevê que todos os sistemas de IA que tem como objetivo a interação com pessoas naturais sejam desenvolvidos de modo a informar que estas estão interagindo com uma IA. Do mesmo modo, usuários que implementam sistemas de reconhecimento de emoções ou categorização biométrica devem sempre informar os cidadãos expostos à IA acerca destes sistemas. Por fim, previne que os chamados “deep fakes” devem sempre informar o fato de terem sido criados ou manipulados por Inteligência Artificial. 

Medidas de Incentivo à Inovação

No Título 5 da proposta, a Comissão Europeia apresenta uma série de medidas a serem implementadas com o objetivo de apoiar e acelerar a inovação. Algumas das mais importantes são:

  • Criação de Sandboxes regulatórios para a IA por parte das autoridades nacionais e da Autoridade Europeia de Proteção de Dados (EDPS – European Data Protection Supervisor) para o desenvolvimento, teste e validação de formas inovativas de IA antes de sua apresentação para o mercado. Dentre outras medidas, estes Sandboxes regulatórios podem permitir a utilização de dados coletados legalmente conforme o GDPR para outras finalidades além das que justificaram sua coleta, sendo estas finalidades listadas pelo Artigo 54 da Proposta de Regulação;
  • Os provedores de menor escala, bem como as startups, devem ser privilegiados no acesso aos Sandboxes regulatórios, bem como quaisquer taxa e cobranças devem apresentar descontos para estas empresas menores;

A Comissão Europeia propõe, no Título VI da Regulação, um modelo de governança, supervisão e aplicação da Regulação formado por:

  • Um Conselho Europeu de Inteligência Artificial composto pelas autoridades nacionais de supervisão e pela Autoridade Europeia de Proteção de Dados (EDPS), nos artigos 56-58.
  • Autoridades Nacionais Competentes, no artigo 59. Cada membro da União Europeia deve estabelecer quais são suas autoridades competentes para tratar da implementação e aplicação da Regulação, designando entre elas a sua autoridade nacional de supervisão

Considerando a importância do desenvolvimento e da aplicação de diretrizes éticas para reger o desenvolvimento da IA, a Comissão Europeia encoraja o desenvolvimento e a publicação de Códigos de Conduta (Artigo 69) que incluam nas diretrizes do desenvolvimento e da aplicação de sistemas de IA boas práticas referentes, por exemplo, a sustentabilidade ambiental, acessibilidade para pessoas com deficiências, etc. 

Multas e Penalidades

Por fim, no Título X, o Artigo 71 da Regulação propõe penalidades para os agentes que não atuarem de acordo com suas disposições, incluindo multas administrativas. A utilização de sistemas proibidos pelo Artigo 5 da Regulação, bem como a falta de adequação às exigências de governança de dados previstas no Artigo 10 podem gerar multas de até 30 milhões de euros ou, no caso de empresas, de até 6% do faturamento global da empresa. Outras infrações à Regulação que não sejam referentes aos Artigos 5 e 10 podem causar multas de até 20 milhões de euros ou de 4% do faturamento global das empresas, e a apresentação de documentação falsa ou incompleta sobre os sistemas de IA pode gerar multas de até 10 milhões de euros ou 2% do faturamento global das empresas. A Regulação tem também disposições específicas acerca das multas e penalidades que são impostas às instituições e agências de países membros da União Europeia. 

Entrada em vigor

Caso aprovada, a Regulação entra em vigor 20 dias após sua publicação no Jornal Oficial da União Europeia. Após sua entrada em vigor, os estados-membros da União Europeia têm até 24 meses para se adaptar e adaptar suas leis e estruturas internas de acordo com a Regulação. As penalidades previstas pelo Artigo 71, porém, já serão aplicáveis 12 meses após a entrada em vigor do texto, um ano antes do prazo final para adequação dos estados-membros. A obrigatoriedade de notificação das autoridades prevista pelo Capítulo 4 do Título III da Regulação começa a valer a partir de 3 meses após a entrada em vigor da Regulação, assim como as regras de Governança previstas no Título VI. 

Para Consultoria Jurídica, Elaboração de Contratos de Desenvolvimento de Software ou Análise Regulatória, contate nossos advogados!

Para elaboração de Contrato de Desenvolvimento de Software, elaboração de Políticas de Compliance, incluindo Compliance Digital, Política de KYC/KYE, Código de Ética e Conduta,  Análise Regulatória setorial, Assessoria Jurídica em Privacy by design,  Proteção de Dados (LGPDGDPR & CCPA), adequação à LGPD, ou ainda, para elaboração de Termos de Uso e Política de Privacidade, para aplicativos, software ou site de sua empresa, entre em contato com a gente!

Precisando de auxílio jurídico? Entre em contato!

Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias.

    Rodrigo Glasmeyer
    Rodrigo Glasmeyer
    Graduando em Direito na Universidade Federal do Paraná, membro do Programa de Educação Tutorial Direito (PET-Direito) e do Grupo de Estudos de Direito Autoral e Industrial (GEDAI) da UFPR. É estagiário do BL Consultoria Digital na área de Proteção de Dados.

    Posts Relacionados

    Fale Conosco

      Categorias

      Assine nossa Newsletter

      Open chat
      Olá, tudo bem? Como podemos te ajudar?
      Olá! Como podemos ajudar?