Lei de inteligência artificial da união europeia

Considerada o primeiro framework regulatório abrangente do mundo para IA, a Lei de IA da UE proíbe completamente alguns usos de IA e implementa requisitos rigorosos de governança, gestão de riscos e transparência para outros.

A lei também cria regras para modelos de inteligência artificial de uso geral, como o modelo de base de código aberto Granite da IBM e o Llama 3 da Meta.

As penalidades podem variar de EUR 7,5 milhões ou 1,5% do faturamento anual global até EUR 35 milhões ou 7% do faturamento anual global, dependendo do tipo de não conformidade.

 Da mesma forma que o Regulamento Geral de Proteção de Dados (GDPR) da UE pode inspirar outras nações a adotar leis de privacidade de dados,  os especialistas antecipam que a Lei de IA da UE estimulará o desenvolvimento de padrões de governança e ética de IA em todo o mundo.

A Lei de IA da UE se aplica a vários operadores na cadeia de valor de IA, como fornecedores, implementadores, importadores, distribuidores, fabricantes de produtos e representantes autorizados. Dignas de menção são as definições de provedores, implantadores e importadores sob a Lei de IA da UE.

Os provedores são pessoas ou organizações que desenvolvem um sistema de IA ou um modelo de IA de uso geral (GPAI), ou que mandam desenvolvê-lo em seu nome, e que o colocam no mercado ou o colocam em operação sob seu nome ou marca.

A lei define amplamente um sistema de IA como um sistema que pode, com algum nível de autonomia, processar inputs para inferir como gerar saídas (por exemplo, previsões, recomendações, decisões, conteúdo) que podem influenciar ambientes físicos ou virtuais. Ela define GPAI como modelos de IA que exibem grande generalidade, são capazes de executar com competência uma ampla gama de tarefas distintas e que podem ser integrados em vários sistemas ou aplicações de IA a jusante. Por exemplo, um modelo de fundação é um GPAI; um chatbot ou uma ferramenta de IA generativa construída sobre esse modelo seria um sistema de IA.

Implementadores são pessoas ou organizações que utilizam sistemas de IA. Por exemplo, uma organização que usa um chatbot de terceiros para lidar com consultas de atendimento ao cliente seria um implementador.

Importadores são pessoas ou organizações localizadas ou estabelecidas na UE que trazem sistemas de IA de uma pessoa ou empresa estabelecida fora da UE para o mercado da UE.

A Lei de IA da UE também se aplica a provedores e implementadores fora da UE se sua IA, ou os resultados da IA, forem utilizados na UE.

Por exemplo, suponha que uma empresa na UE envie dados para um provedor de IA fora da UE, que utiliza IA para processar os dados, e depois envie a saída de volta para a empresa na UE para uso. Como a saída do sistema de IA do provedor é usada na UE, o provedor está sujeito à Lei de IA da UE.

Provedores fora da UE que oferecem serviços de IA na UE devem designar representantes autorizados na UE para coordenar os esforços de conformidade em seu nome.

Embora a lei tenha um alcance amplo, alguns usos de IA são isentos. Usos puramente pessoais de IA e modelos e sistemas de IA usados apenas para pesquisa e desenvolvimento científico são exemplos de usos isentos.

A Lei de IA da UE regula sistemas de IA com base no nível de risco. Risco aqui se refere à probabilidade e à gravidade do dano potencial. Algumas das disposições mais importantes incluem:

• uma proibição de certas práticas de IA consideradas de risco inaceitável,
  
  
• normas para o desenvolvimento e a implementação de certos sistemas de IA de alto risco,
  
  
• regras para modelos de IA de propósito geral (GPAI).

Sistemas de IA que não se enquadram em uma das categorias de risco da Lei de IA da UE não estão sujeitos a requisitos sob a lei (esses são frequentemente chamados de categoria de "risco mínimo"), embora alguns possam precisar atender a obrigações de transparência e devam cumprir outras leis existentes.  Exemplos podem incluir filtros de spam de e-mail e videogames. Muitos usos comuns de IA hoje se enquadram nessa categoria.

Vale ressaltar que muitos dos detalhes mais específicos sobre a implementação da Lei de IA da UE ainda estão sendo definidos. Por exemplo, a lei menciona que a Comissão Europeia publicará orientações adicionais sobre requisitos como planos de monitoramento pós-mercado e resumos de dados de treinamento.

A Lei de IA da UE lista explicitamente certas práticas de IA proibidas, consideradas como apresentando um nível inaceitável de risco. Por exemplo, desenvolver ou usar um sistema de IA que manipule intencionalmente pessoas para que tomem decisões prejudiciais que, de outra forma, não tomariam, é considerado pela lei como apresentando risco inaceitável para os usuários e constitui uma prática de IA proibida.

A Comissão Europeia pode alterar a lista de práticas proibidas da lei, portanto, é possível que mais práticas de IA sejam proibidas no futuro.

 Uma lista parcial de práticas de IA proibidas no momento da publicação deste artigo inclui:

• Sistemas de pontuação social (sistemas que avaliam ou classificam indivíduos com base em seu comportamento social) levando a tratamento prejudicial ou desfavorável em contextos sociais não relacionados à coleta original de dados e injustificados ou desproporcionais à gravidade do comportamento
  
  
• Sistemas de reconhecimento de emoções no trabalho e em instituições educacionais, exceto quando essas ferramentas forem usadas para fins médicos ou de segurança
  
  
• IA usada para explorar vulnerabilidades das pessoas (por exemplo, vulnerabilidades devido à idade ou deficiência)
  
  
• Raspagem não direcionada de imagens faciais da internet ou de circuitos fechados de TV (CCTV) para bancos de dados de reconhecimento facial
  
  
• Sistemas de identificação biométrica que identificam indivíduos com base em características sensíveis
  
  
• Aplicações específicas de policiamento preditivo
  
  
• Uso por autoridades de segurança de sistemas de identificação biométrica remota em tempo real em locais públicos (a menos que se aplique uma exceção, sendo geralmente exigida autorização prévia de uma autoridade judicial ou administrativa independente).

Os sistemas de IA são considerados de alto risco segundo a Lei de IA da UE se forem um produto ou um componente de segurança de um produto regulamentado por leis específicas da UE referenciadas pela lei, como leis de segurança de brinquedos e de dispositivos médicos de diagnóstico in vitro.

A lei também lista usos específicos que são geralmente considerados de alto risco, incluindo sistemas de IA utilizados:

• em contextos de emprego, como os usados para recrutar candidatos, avaliar candidatos e tomar decisões de promoção
  
  
• em certos dispositivos médicos
  
  
• em determinados contextos de educação e formação profissional
  
  
• no processo judicial e democrático, como sistemas destinados a influenciar o resultado de eleições
  
  
• para determinar o acesso a serviços essenciais públicos ou privados, incluindo sistemas que avaliam a elegibilidade para benefícios públicos e pontuações de crédito
  
  
• na gestão de infraestrutura crítica (por exemplo, fornecimento de água, gás e eletricidade)
  
  
• em qualquer sistema de identificação biométrica que não seja proibido, exceto para sistemas cujo único propósito seja verificar a identidade de uma pessoa (por exemplo, usar um leitor de impressões digitais para conceder acesso a um aplicativo bancário).

Para os sistemas incluídos nesta lista, pode haver uma exceção disponível se o sistema de IA não representar uma ameaça significativa à saúde, segurança ou aos direitos dos indivíduos. A lei especifica critérios, um ou mais dos quais devem ser cumpridos, para que uma exceção possa ser aplicada (por exemplo, quando o sistema de IA se destina a realizar uma tarefa processual limitada). Se confiar nessa exceção, o provedor deve documentar sua avaliação de que o sistema não é de alto risco, e os reguladores podem solicitar essa avaliação. A exceção não está disponível para sistemas de IA que processam automaticamente dados pessoais para avaliar ou prever algum aspecto da vida de uma pessoa, como suas preferências de produtos (perfilamento), que são sempre considerados de alto risco.

Assim como ocorre com a lista de práticas de IA proibidas, a Comissão Europeia pode atualizar a lista de sistemas de IA de alto risco no futuro.

Sistemas de IA de alto risco devem cumprir requisitos específicos. Alguns exemplos incluem:

• Implementar um sistema contínuo de gestão de riscos para monitorar a IA durante todo o seu ciclo de vida. Por exemplo, espera-se que os provedores mitiguem riscos razoavelmente previsíveis decorrentes do uso pretendido de seus sistemas. 
  
  
• Adotar práticas rigorosas de governança de dados para garantir que os dados de treinamento, validação e teste atendam a critérios de qualidade específicos. Por exemplo, deve haver governança sobre o processo de coleta de dados e a origem dos dados, além de medidas para prevenir e mitigar vieses.
  
  
• Manter documentação técnica abrangente com informações específicas, incluindo especificações de design do sistema, recursos, limitações e esforços de conformidade regulatória.

Existem obrigações adicionais de transparência para tipos específicos de IA. Por exemplo:

• Sistemas de IA destinados a interagir diretamente com indivíduos devem ser projetados para informar os usuários de que estão interagindo com um sistema de IA, a menos que isso seja óbvio para o indivíduo pelo contexto. Um chatbot, por exemplo, deve ser projetado para notificar os usuários de que é um chatbot.
   
  
• Sistemas de IA que geram texto, imagens ou outros tipos de conteúdo devem usar formatos legíveis por máquina para marcar as saídas como geradas ou manipuladas por IA. Isso inclui, por exemplo, IA que gera deepfakes, imagens ou vídeos alterados para mostrar alguém fazendo ou dizendo algo que não fez ou disse.

Destacamos abaixo algumas obrigações para operadores-chave de sistemas de IA de alto risco na cadeia de valor da IA — provedores e implementadores:

Os fornecedores de sistemas de IA de alto risco devem cumprir os requisitos, incluindo:

• Garantir que os sistemas de IA de alto risco cumpram os requisitos dos sistemas de IA de alto risco descritos na lei. Por exemplo, implementar um sistema de gestão contínua de riscos.
  
  
• Ter um sistema de gerenciamento de qualidade implementado.
  
  
• Implementar planos de monitoramento pós-mercado para monitorar o desempenho do sistema de IA e avaliar sua conformidade contínua ao longo do ciclo de vida do sistema.

Implementadores de sistemas de IA de alto risco terão obrigações, incluindo:

• Tomar medidas técnicas e organizacionais adequadas para garantir que utilizem esses sistemas de acordo com suas instruções de uso.
  
  
• Manter registros do sistema de IA gerados automaticamente, desde que esses registros estejam sob seu controle, por um período especificado.
  
  
• Para implementadores que usam sistemas de IA de alto risco para fornecer certos serviços essenciais — como agências governamentais ou organizações privadas que oferecem serviços públicos — realizar avaliações de impacto sobre direitos fundamentais antes de usar determinados sistemas de IA de alto risco pela primeira vez.

A Lei de IA da UE cria regras separadas para modelos de IA de uso geral (GPAI). Os fornecedores de modelos GPAI terão obrigações que incluem as seguintes:

.

• Estabelecimento de políticas para respeitar as leis de direitos autorais da UE.
  
  
• Escrever e disponibilizar publicamente resumos detalhados dos conjuntos de dados de treinamento.

Se um modelo de GPAI for classificado como apresentando um risco sistêmico, os provedores terão obrigações adicionais. Risco sistêmico é um risco específico dos recursos de alto impacto dos modelos de GPAI que têm um impacto significativo no mercado da UE devido ao seu alcance ou aos efeitos negativos reais ou razoavelmente previsíveis sobre a saúde pública, segurança pública, direitos fundamentais ou a sociedade como um todo, que podem ser propagados em escala ao longo da cadeia de valor. 

A lei utiliza os recursos de treinamento como um dos critérios para identificar o risco sistêmico — se a quantidade cumulativa de poder computacional usada para treinar um modelo for superior a 10^25 operações de ponto flutuante (FLOPs), presume-se que ele tenha capacidades de alto impacto e represente um risco sistêmico. A Comissão Europeia também pode classificar um modelo como representando um risco sistêmico.

Provedores de modelos de GPAI que apresentem risco sistêmico, incluindo modelos gratuitos e de código aberto, devem cumprir algumas obrigações adicionais, por exemplo:

• Documentar e comunicar incidentes graves ao Departamento de IA da UE e aos órgãos reguladores nacionais relevantes.
   
  
• Implementar cibersegurança adequada para proteger o modelo e sua infraestrutura física.

Para não conformidade com as práticas proibidas de IA, as organizações podem ser multadas em até EUR 35.000.000 ou 7% do faturamento anual mundial, o que for maior.

Para a maioria das outras violações, incluindo o descumprimento dos requisitos para sistemas de IA de alto risco, as organizações podem ser multadas em até EUR 15.000.000 ou 3% do faturamento anual mundial, o que for maior.

A apresentação de informações incorretas, incompletas ou enganosas às autoridades pode resultar em multas de até EUR 7,5 milhões ou 1% do faturamento mundial anual, o que for maior, para as organizações.

Notavelmente, a Lei de IA da UE possui regras diferentes para multar startups e outras organizações de pequeno e médio porte. Para essas empresas, a multa é o menor dos dois valores possíveis especificados acima.

A lei entrou em vigor em 1º de agosto de 2024, com diferentes disposições entrando em vigor em fases. Algumas das datas mais importantes incluem:

• A partir de 2 de fevereiro de 2025, as proibições de práticas proibidas de IA entrarão em vigor.
  
  
• A partir de 2 de agosto de 2025, as regras para IA de uso geral entrarão em vigor para novos modelos GPAI. Os fornecedores de modelos GPAI que já estavam no mercado antes dessa data terão até 2 de agosto de 2027 para se adequar.
  
  
• A partir de 2 de agosto de 2026, as regras para sistemas de IA de alto risco entrarão em vigor.
  
  
• A partir de 2 de agosto de 2027, as regras para sistemas de IA que são produtos ou componentes de segurança de produtos regulados sob leis específicas da UE serão aplicáveis.