O que é a Lei de Inteligência Artificial da União Europeia (Lei de IA da UE)?

Considerada o primeiro framework regulatório abrangente do mundo para IA, a Lei de IA da UE proíbe completamente alguns usos de IA e implementa requisitos rigorosos de governança, gestão de riscos e transparência para outros.

A lei também cria regras para modelos de inteligência artificial de uso geral, como o modelo de base de código aberto Granite da IBM e Llama 3 da Meta.

As penalidades podem variar de EUR 7,5 milhões ou 1,5% do faturamento anual mundial a 35 milhões de euros ou 7% do faturamento anual mundial, dependendo do tipo de não conformidade.

Da mesma forma que o Regulamento Geral sobre a Proteção de Dados (GDPR) da UE pode inspirar outras nações a adotarem leis de privacidade de dados, especialistas preveem que a Lei de IA da UE impulsionará o desenvolvimento de padrões globais para governança de IA e ética.

A Lei de IA da UE se aplica a vários operadores na cadeia de valor de IA, como fornecedores, implementadores, importadores, distribuidores, fabricantes de produtos e representantes autorizados. Dignas de menção são as definições de provedores, implantadores e importadores sob a Lei de IA da UE.

Os provedores são pessoas ou organizações que desenvolvem um sistema de IA ou um modelo de IA de uso geral (GPAI), ou o desenvolvem em seu nome, e que o colocam no mercado ou colocam o sistema de IA em serviço sob seu nome ou marca registrada.

A lei define amplamente um sistema de IA como um sistema que pode, com certo nível de autonomia, processar inputs para inferir como gerar saídas (por exemplo, previsões, recomendações, decisões, conteúdo) que possam influenciar ambientes físicos ou virtuais. Ela define a GPAI como modelos de IA que apresentam generalidade significativa, são capazes de executar de forma competente uma ampla variedade de tarefas distintas e podem ser integrados a diversos sistemas ou aplicações de IA subsequentes. Por exemplo, um modelo de base é uma GPAI; um chatbot ou ferramenta de IA generativa construída sobre esse modelo seria um sistema de IA.

Implementadores são pessoas ou organizações que utilizam sistemas de IA. Por exemplo, uma organização que utiliza um chatbot IA de terceiros para lidar com consultas de atendimento ao cliente seria uma implementadora.

Importadores são pessoas e organizações localizadas ou estabelecidas na UE que trazem sistemas de IA de uma pessoa ou empresa estabelecida fora da UE para o mercado da UE.

A Lei de IA da UE também se aplica a fornecedores e implementadores fora da UE se sua IA, ou os resultados dessa IA, forem utilizados dentro da UE.

Por exemplo, suponha que uma empresa na UE envie dados para um provedor de IA fora da UE, que utiliza IA para processar os dados e, em seguida, envie a saída de volta para a empresa na UE para uso. Como a saída do sistema de IA do provedor é utilizada na UE, o provedor está vinculado à Lei de IA da UE.

Os fornecedores de fora da UE que oferecem serviços de IA na UE devem designar representantes autorizados na UE para coordenar os esforços de conformidade em seu nome.

Embora a lei tenha amplo alcance, alguns usos da IA estão isentos. As utilizações puramente pessoais de IA e os modelos de IA utilizados somente para pesquisa e desenvolvimento científico são exemplos de usos isentos de IA.

A Lei de IA da UE regula os sistemas de IA com base no nível de risco. Risco aqui refere-se à probabilidade e gravidade do dano em potencial. Algumas das disposições mais importantes são:

• a proibição de determinadas práticas de IA que representem risco inaceitável,
  
  
• normas para desenvolver e implementar determinados sistemas de IA de alto risco,
  
  
• regras de modelos de IA de uso geral (GPAI).

Os sistemas de IA que não se enquadram em uma das categorias de risco da Lei de IA da UE não estão sujeitos a requisitos estabelecidos pela lei (estes são frequentemente classificados como de "risco mínimo"), embora alguns possam precisar atender a obrigações de transparência e cumprir outras leis existentes.  Exemplos podem incluir filtros de spam de e-mail e videogames. Muitas aplicações comuns de IA atualmente se encaixam nessa categoria.

Vale ressaltar que muitos dos detalhes da implementação da Lei de IA da UE ainda estão sendo definidos. Por exemplo, a lei menciona que a Comissão Europeia divulgará diretrizes adicionais sobre requisitos como planos de monitoramento pós-mercado e resumos de dados de treinamento.

A Lei de IA da UE menciona explicitamente certas práticas proibidas de IA consideradas como nível de risco inaceitável. Por exemplo, o desenvolvimento ou a utilização de sistemas de IA que manipulem intencionalmente as pessoas para fazerem escolhas prejudiciais que de outra forma não fariam é considerado pela lei como um risco inaceitável para os usuários e é uma prática proibida de IA.

A Comissão Europeia pode alterar a lista de práticas proibidas na lei, portanto é possível que outras práticas de IA sejam proibidas no futuro.

 A lista parcial de práticas de IA proibidas na época da publicação deste artigo contém:

• Sistemas de pontuação social - sistemas que avaliam ou classificam indivíduos com base em seu comportamento social, levando a um tratamento prejudicial ou desfavorável em contextos sociais não relacionados à coleta de dados original e injustificados ou desproporcionais à gravidade do comportamento
  
  
• Sistemas de reconhecimento de emoções no trabalho e em instituições educacionais, exceto quando essas ferramentas são utilizadas para fins médicos ou de segurança
  
  
• IA utilizada para explorar vulnerabilidades das pessoas (por exemplo, vulnerabilidades devido à idade ou deficiência)
  
  
• Obtenção não direcionada de imagens faciais da internet ou circuito fechado de televisão (CCTV) para bancos de dados de reconhecimento facial
  
  
• Sistemas de identificação biométrica que identificam indivíduos com base em características sensíveis
  
  
• Aplicações específicas de policiamento preditivo
  
  
• Uso para cumprimento da lei de sistemas de identificação biométrica remota em tempo real em público (a menos que uma exceção se aplique ou que seja necessária a pré-autorização por uma autoridade judicial ou administrativa independente).

Os sistemas de IA são considerados de alto risco de acordo com a Lei de IA da UE se forem um produto ou componente de segurança de um produto, regulamentado pela legislação específica da UE referenciada pela lei, como leis sobre segurança de brinquedos e dispositivos médicos para diagnóstico in vitro.

A lei também lista usos específicos geralmente considerados de alto risco, incluindo sistemas de IA usados:

• em contexto de emprego, como sistemas usados para recrutar candidatos, avaliar postulantes e tomar decisões de promoção
  
  
• em determinados dispositivos médicos
  
  
• em certos contextos de educação e treinamento profissional
  
  
• no processo judicial e democrático, como sistemas que se destinam a influenciar o resultado das eleições
  
  
• para determinar o acesso a serviços públicos ou privados essenciais, incluindo sistemas que avaliam o direito a benefícios públicos e avaliam as pontuações de crédito.
  
  
• em gerenciamento de infraestrutura crítica (por exemplo, abastecimento de água, gás e eletricidade, entre outros)
  
  
• em qualquer sistema de identificação biométrica que não esteja proibido, exceto para sistemas cujo único propósito é verificar a identidade de uma pessoa (por exemplo, utilizar um leitor de impressão digital para conceder a alguém acesso a um aplicativo bancário).

Para os sistemas incluídos nesta lista, pode haver uma exceção disponível se o sistema de IA não representar uma ameaça considerável à integridade, à segurança ou aos direitos dos indivíduos. A lei especifica critérios, dos quais um ou mais devem ser atendidos, antes que uma exceção possa ser acionada (por exemplo, quando o sistema de IA tem como objetivo executar uma tarefa processual restrita). Se basear-se nessa exceção, o provedor deverá documentar sua avaliação de que o sistema não é de alto risco e os reguladores podem solicitar para ver essa avaliação. A exceção não está disponível para sistemas de IA que processam automaticamente dados pessoais para avaliar ou prever algum aspecto da vida de uma pessoa, como suas preferências de produto (criação de perfis) que sempre são considerados de alto risco.

Assim como na lista de práticas proibidas de IA, a Comissão da UE poderá atualizar a lista de sistemas de IA de alto risco no futuro.

Sistemas de IA de alto risco devem atender a requisitos específicos. Alguns exemplos são:

• Implementar um sistema de gerenciamento de risco contínuo para monitorar a IA durante todo o seu ciclo de vida. Por exemplo, espera-se que os provedores mitiguem os riscos razoavelmente previsíveis apresentados pelo uso pretendido de seus sistemas.
  
  
• A adoção de práticas rigorosas de governança de dados garante que os dados de treinamento, validação e teste atendam a critérios de qualidade específicos. Por exemplo, a governança em torno do processo de coleta de dados e da origem dos dados, bem como medidas para prevenir e mitigar vieses, devem estar em vigor.
  
  
• Manter uma documentação técnica abrangente com informações específicas, incluindo especificações de projeto do sistema, recursos, limitações e esforços de conformidade regulatória.

Existem obrigações adicionais de transparência para tipos específicos de IA. Por exemplo:

• Os sistemas de IA destinados a interagir diretamente com indivíduos devem ser projetados para informar aos usuários que eles estão interagindo com um sistema de IA, a menos que isso seja óbvio para o indivíduo a partir do contexto. Um chatbot, por exemplo, deve ser projetado para notificar os usuários de que é um chatbot.
   .
• Os sistemas de IA que geram texto, imagens ou outros tipos de conteúdo devem utilizar formatos legíveis por máquina para marcar as saídas como geradas ou manipuladas por IA. Isso inclui, por exemplo, IA que gera deepfakes, imagens ou vídeos alterados para mostrar alguém fazendo ou dizendo algo que não fez ou disse.

Destacamos abaixo algumas das obrigações dos principais operadores de sistemas de IA de alto risco na cadeia de valor de IA (fornecedores e implementadores).

Os fornecedores de sistemas de IA de alto risco devem cumprir os requisitos, incluindo:

• Garantir que os sistemas de IA de alto risco cumpram os requisitos dos sistemas de IA de alto risco descritos na lei. Por exemplo, implementar um sistema de gestão contínua de riscos.
  
  
• Ter um sistema de gerenciamento de qualidade implementado.
  
  
• A implementação de planos de monitoramento pós-mercado é necessária para acompanhar o desempenho dos sistemas de IA e avaliar a conformidade contínua ao longo de seu ciclo de vida.

Os implantadores de sistemas de IA de alto risco terão obrigações:

• Tomar medidas técnicas e organizacionais adequadas para garantir que utilizem esses sistemas de acordo com suas instruções de uso.
  
  
• Manter registros do sistema de IA gerados automaticamente, desde que esses registros estejam sob seu controle, por um período especificado.
  
  
• Para os implantadores que utilizam sistemas de IA de alto risco para oferecer determinados serviços essenciais, como órgãos do governo ou organizações privadas que prestam serviços públicos, realizar avaliações de impacto sobre os direitos fundamentais antes de utilizar determinados sistemas de IA de alto risco pela primeira vez.

A Lei de IA da UE cria regras separadas para modelos de IA de uso geral (GPAI). Os fornecedores de modelos GPAI terão obrigações que incluem as seguintes:

• Estabelecimento de políticas para respeitar as leis de direitos autorais da UE.
  
  
• Escrever e disponibilizar publicamente resumos detalhados dos conjuntos de dados de treinamento.

Se um modelo de GPAI for classificado como apresentando risco sistêmico, os fornecedores terão obrigações adicionais. O risco sistêmico refere-se ao risco específico das capacidades de alto impacto dos modelos de GPAI, que podem ter um impacto significativo no mercado da UE devido à sua abrangência ou aos efeitos negativos atuais ou razoavelmente previsíveis sobre a saúde pública, segurança, segurança pública, direitos fundamentais ou a sociedade como um todo, podendo ser propagados em larga escala ao longo da cadeia de valor. A lei usa recursos de treinamento como um dos critérios para identificar risco sistêmico, se a quantidade cumulativa de poder computacional usada para treinar um modelo for superior a 10^25 operações de ponto flutuante (FLOPs), presume-se que ele tenha capacidades de alto impacto e represente um risco sistêmico. A Comissão Europeia também pode classificar um modelo como apresentando risco sistêmico.

Fornecedores de modelos GPAI que representam risco sistêmico, incluindo os modelos gratuitos e de código aberto, devem atender a algumas obrigações adicionais, por exemplo:

• Documentar e comunicar incidentes graves ao Departamento de IA da UE e aos órgãos reguladores nacionais relevantes.
  
  
• Implementar a segurança cibernética adequada para proteger o modelo e sua infraestrutura física.

Para não conformidade com as práticas proibidas de IA, as organizações podem ser multadas em até EUR 35.000.000 ou 7% do faturamento anual mundial, o que for maior.

Para a maioria das outras violações, incluindo não conformidade com os requisitos para sistemas de IA de alto risco, as organizações podem ser multadas em até EUR 15.000.000 ou 3% do faturamento anual mundial, o que for maior.

A apresentação de informações incorretas, incompletas ou enganosas às autoridades pode resultar em multas de até 7,5 milhões de euros ou 1% do faturamento mundial anual, o que for maior, para as organizações.

É importante destacar que a Lei de IA da UE prevê regras diferentes para startups e outras pequenas e médias empresas. Para esses negócios, a multa será o menor dos dois valores possíveis especificados acima.

A lei entrou em vigor em 1 de agosto de 2024 com diversas disposições da lei entrando em vigor em etapas. Algumas das datas mais marcantes são:

• A partir de 2 de fevereiro de 2025, as proibições de práticas proibidas de IA entrarão em vigor.
  
  
• A partir de 2 de agosto de 2025, as regras para IA de propósito geral (GPAI) entrarão em vigor para novos modelos de GPAI. Os fornecedores de modelos de GPAI que já estavam no mercado antes dessa data terão até 2 de agosto de 2027 para se adequar.
  
  
• A partir de 2 de agosto de 2026, as regras para sistemas de IA de alto risco entrarão em vigor.
  
  
• A partir de 2 de agosto de 2027, serão aplicadas as regras para sistemas de IA de produtos ou componentes de segurança de produtos regulamentados por leis específicas da UE.