União Europeia fecha acordo sobre o AI ACT

Por Paula Guedes e Pedro Henrique Santos

Na última sexta (08), o Parlamento Europeu e o Conselho da União Europeia chegaram a um acordo provisório sobre o Regulamento de Inteligência Artificial (AI Act). A regulamentação, que tem como objetivo garantir que os direitos fundamentais, a democracia, o estado de direito e a sustentabilidade ambiental sejam protegidos contra os riscos da IA, pode estar próxima de seu texto final. 

Vamos ficar por dentro dos principais pontos do acordo? 

1. Contexto e trajetória

• Qual a trajetória recente do AI ACT? 

O AI Act foi proposto pela Comissão Europeia em 2021 e é fruto da estratégia digital da União Europeia, responsável por outras legislações como o Digital Services Act (DSA) e o Digital Markets Act (DMA). Desde então, o projeto passou por diversas discussões e alterações em seu texto. Contudo, em 2023, o projeto de lei precisou ser revisado diante da popularização e difusão de inteligências artificiais generativas, como o ChatGPT. Por conta disso, o Conselho da União Europeia e o Parlamento iniciaram novas negociações sobre tenas controversos sobre o projeto de lei em abril, buscando novas formas de abarcar tais questões.

O repórter Luca Bertuzzi (Euractiv) relatou em diferentes matérias os avanços, discussões e dilemas enfrentados durante todo o processo legislativo. O último capítulo dessa jornada aconteceu no último dia 08 de dezembro. Após uma maratona de negociações de 36 horas, o Conselho e o Parlamento Europeu chegaram a um acordo político sobre diversos temas que estarão presentes na regulamentação da Inteligência Artificial na União Europeia. 

• Porque o acordo é importante?

O acordo político delineia os temas que irão constar no texto da lei que ainda passará por um processo de aprimoramento técnico da redação de suas disposições e outros detalhes. Este aprimoramento irá ocorrer em 11 reuniões técnicas e em seguida será submetido para aprovação dos  Estados-membros. 

Caso o projeto seja aprovado definitivamente, ele entrará em vigor em 1 ano e 6 meses após sua promulgação para os usos de IA proibidos e em 2 anos para todas as outras disposições da lei.

2. pontos do acordo

Até o momento não foi divulgado o texto acordado em sua integralidade, mas o Parlamento Europeu anunciou em comunicado de imprensa os principais pontos deste acordo relativo a regras para uma IA confiável, que foram pensadas a partir de uma abordagem baseada em risco. Vejamos:

• Usos proibidos de sistemas de IA

Diante da ameaça representada para os direitos fundamentais dos cidadãos e para a democracia, certos usos de IA foram considerados de risco inaceitável e, portanto, proibidos, tais como:

• sistemas de categorização biométrica que utilizam características sensíveis, como orientação sexual, raça e opção política;
• coleta não direcionada de imagens faciais da Internet ou de imagens de CCTV para criar bancos de dados de reconhecimento facial;
• reconhecimento de emoções no contexto de trabalho e de ensino;
• pontuação social baseada no comportamento social ou características pessoais;
• sistemas de IA que manipulam o comportamento humano para contornar o seu livre arbítrio;
• demais casos em que a IA é utilizada para explorar vulnerabilidades das pessoas em razão de idade, deficiência, situação social ou econômica.

Apesar da proibição, o acordo prevê exceções para o uso de sistemas de identificação biométrica em espaços de acesso público nos casos de segurança pública, desde que haja autorização judicial prévia ao uso e apenas para os crimes listados estritamente, com variação a depender se a identificação é remota posterior ou em tempo real. 

No primeiro caso, as utilizações permitidas limitam-se à busca direcionada de pessoa condenada ou suspeita de ter cometido crime grave. Já para as hipóteses de identificação biométrica em tempo real, há condições estritas previstas no regulamento. Alguns exemplos são o limite claro de tempo e local para uso da tecnologia, além da delimitação de utilização apenas para as finalidades de busca por vítimas de crimes de sequestro, tráfico ou exploração sexual; prevenção de ameaça terrorista específica e atual; e localização de pessoa suspeita de cometimento de certos crimes definidos pelo regulamento, como o de terrorismo, tráfico, homicídio e exploração sexual. 

• Obrigações específicas para os sistemas de IA de alto risco

Desde a primeira versão do AI Act, publicada pela Comissão Europeia em abril de 2021, diferentes obrigações para sistemas de IA de alto risco foram definidas, a exemplo da necessidade de inclusão de medidas para a governança de dados, documentação técnica, transparência e fornecimento de informações, supervisão humana e cibersegurança. Além destas, o acordo definido em 8 de dezembro incorporou a sugestão do Parlamento Europeu de tornar obrigatória também a elaboração de avaliações de impacto em direitos fundamentais, além de dar aos cidadãos o direito de revisão e de explicação a respeito de decisões tomadas por sistemas de IA de alto risco que afetem seus direitos.

• Medidas de proteção aplicáveis para os sistemas de IA generativos

Sistemas de IA generativos e os modelos que se baseiam nesses sistemas terão que cumprir com obrigações de transparência que incluem, por exemplo, documentação técnica, além de ter que cumprir com as regras de direito autoral existentes na União Europeia e a divulgação de resumos detalhados sobre os dados utilizados para treinamento dos sistemas. 

Somado a essas medidas, outras mais restritas foram também definidas para os sistemas de IA generativos com riscos sistêmicos, considerados de alto impacto, o que inclui, por exemplo, a necessidade de avaliar e atenuar riscos sistêmicos, realizar testes, comunicar casos de incidentes graves à Comissão Europeia, garantir a cibersegurança e comunicar sobre a sua eficiência energética. 

• Medidas de apoio à inovação e as empresas de pequeno e médio porte (SMEs)

Apesar do claro objetivo de proteção de direitos fundamentais, da democracia, do estado de direito e da sustentabilidade ambiental, o texto acordado também preocupou-se em impulsionar a inovação em território europeu. Para isso, previu a possibilidade de sandboxes regulatórios e casos permitidos para testagens no mundo real, de acordo com as definições das autoridades nacionais competentes. 

3. A reação de organizações da sociedade civil 

Durante todo o trâmite legislativo do AI Act, houve manifestação de diferentes ativistas e organizações de direitos humanos em prol de maior participação pública inclusiva nestes processos e da inclusão de dispositivos mais protetivos de direitos fundamentais dos cidadãos, o que não foi diferente com a obtenção do acordo na última sexta-feira.

De acordo com a Algorithm Watch, o acordo pode permitir várias exceções para o uso de sistemas de IA de alto risco nos contextos de segurança nacional, segurança pública e imigração, onde as autoridades poderão evitar as disposições centrais da Lei.

Além disso, a entidade critica que a proibição prévia de sistemas de IA usados para ‘reconhecer’ emoções limitou-se aos contextos de  educação e do ambiente de trabalho. Isto poderia abrir margem para o uso da tecnologia para monitoramento em tempo real de rostos e emoções em espaços públicos com fins de segurança pública, por exemplo. 

Tais preocupações também foram apresentadas por Hope Barker, Senior Policy Analyst da Border Violence Monitoring e Daniel Leufer, Senior Policy Analyst da AccessNow.

Já Mher Hakobyan, Advocacy Advisor on AI Regulation  da AmnestyTech, manifestou-se no sentido de que o os legisladores envolvidos no acordo mudaram disposições acerca de exportação de Inteligência Artificial proibida pelo AI Act. Antes, não era possível a exportação de inteligência artificial proibida pelo IA Act, agora, parece que o acordo permite com que a exportação desse tipo de IA ocorra. Segundo ele: 

“legisladores frequentemente apontam para países como a China, que utilizam vigilância biométrica e pontuação social, mas parecem concordar com empresas da UE vendendo essa tecnologia no exterior.”

4. Regulação de IA é uma preocupação global

A utilização não regulada da inteligência artificial (IA) representa uma série de riscos para direitos fundamentais, democracia, meio-ambiente e Estado de Direito e etc. Apesar das críticas vindas da sociedade civil, iniciativas como o AI Act são sinais positivos da busca por regular devidamente os usos de tal tecnologia. Essa não é uma iniciativa exclusivamente europeia e vem sendo discutida em uma série de países, incluindo o Brasil. Ao final, o desafio da regulação de inteligência artificial já  perpassa a fronteira local para atingir também os níveis regional e global.

No Brasil, o projeto de lei mais avançado em termos de proteção de direitos fundamentais e IA é o PL 2338/2023, atualmente em discussão no Senado Federal na Comissão Temporária Interna sobre Inteligência Artificial no Brasil (CTIA). 

Assim como o AI Act, a proposta brasileira também segue uma abordagem baseada em riscos, mas é conciliada com a abordagem baseada em direitos, o que faz com que os atores de IA tenham mais obrigações e o dever de cumprimento com um rol maior de direitos das pessoas potencialmente impactadas pelos seus sistemas de IA de acordo com seu grau de risco. 

Ademais, apesar de ainda não termos acesso ao texto final acordado pelo Parlamento Europeu e Conselho da União Europeia, tanto o projeto europeu como o brasileiro trazem a previsão de elaboração de avaliações de impacto algorítmico, tendo o modelo brasileiro uma procedimentalização mínima, considerada essencial para uma boa governança de sistemas de IA. 

Ainda, é válido afirmar que, mesmo com grande inspiração do AI Act, o PL 2338 não é uma importação acrítica do projeto europeu, já que traz preocupações típicas da realidade brasileira como, por exemplo, pelo endereçamento de questões de racismo estrutural e outras formas de discriminação de forma prioritária em todo o texto de lei.

Caso queira conhecer melhor outras iniciativas e ficar por dentro do que há de mais contemporâneo sobre o tema, confira o relatório “Temas centrais na regulação de inteligência artificial: navegando entre o local, regional e global na busca de interoperabilidade” da Data Privacy Brasil. 

Analisamos mais de 20 fontes normativas locais, regionais e globais para encontrarmos pontos de convergência regulatória entre as propostas hoje em discussão, mas sem deixar de lado os aspectos típicos da realidade brasileira. Confira!