Publicado o AI Act na União Europeia
Foi publicada, em 12 de julho de 2024, a regulação europeia sobre inteligência artificial (“EU AI Act”). É importante que as empresas brasileiras que operam na União Europeia estejam em conformidade com o EU AI Act, tendo em vista que o escopo material da lei abrangerá tais companhias.
Além disso, considerando o contexto atual do processo legislativo de regulação sobre inteligência artificial no Brasil (Projeto de Lei nº 2.338/2023 – “PL de IA Brasileiro”), cuja proposta é inspirada no EU AI Act, e a narrativa dos parlamentares de que, após o recesso do Poder Legislativo, a matéria será levada à votação, a publicação da regulação europeia poderá acelerar a tramitação da regulação no Brasil.
Há algumas semelhanças entre a regulamentação europeia e a proposta de regulamentação brasileira, que poderão auxiliar empresas que operam no Brasil a antever medidas técnicas e legais a serem implementadas em suas operações, mas também existem algumas diferenças para as quais é importante ter atenção.
Principais convergências entre o EU AI Act e o atual PL de IA Brasileiro
Dentre as principais semelhanças, o intuito principal é garantir o desenvolvimento e a implementação da tecnologia de forma responsável e centralizada na proteção de direitos fundamentais e, ao mesmo tempo, permitir o desenvolvimento tecnológico e a inovação. Além disso, ambos os textos reforçam a necessidade de observância das respectivas leis de proteção de dados e consumeristas.
Assim como o EU AI Act, o PL de IA Brasileiro dispõe sobre a possibilidade de agentes de inteligência artificial formularem códigos de boas práticas e governanças, assim como a necessidade de intervenção humana. Da mesma forma é o sistema de comunicação de incidentes para a autoridade competente, que em ambos os sistemas ainda não está definido.
Nos dois os casos, há a previsão de que sejam criados ambientes regulatórios experimentais, os sandboxes, que têm como propósito a promoção da inovação da tecnologia dentro de um ambiente controlado e de forma cooperativa com as autoridades competentes.
Principais diferenças entre o EU AI Act e o atual PL de IA Brasileiro
Uma das principais diferenças entre a regulação recentemente publicada na Europa e a regulação proposta no Brasil diz respeito à maneira pela qual os sistemas que apresentam risco elevado são identificados.
O art. 14 do PL de IA Brasileiro, caracteriza como sistemas de inteligência artificial de alto risco aqueles utilizados para certas categorias de finalidades (por exemplo, recrutamento, educação, concessão de crédito e serviço público), as quais poderão ser atualizadas periodicamente pela autoridade competente, sem especificar qual seria o sistema de inteligência artificial relacionado a essas grandes categorias.
Já no Anexo III do EU AI Act, dentro da identificação das grandes categorias, as quais se assemelham ao PL de IA Brasileiro, há também a indicação de tecnologias (por exemplo, infraestrutura crítica como água, gás, eletricidade, educação, biometria, recrutamento), o que poderá ser alterado e complementado pela Comissão Europeia.
O AI Act é uma norma bastante técnica e apresenta um detalhamento mais significativo do que as consideradas nas medidas de governança para os sistemas de inteligência artificial de alto risco, o que poderá auxiliar as empresas no Brasil como um roadmap, tendo em vista que o PL de IA Brasileiro é inspirado no AI Act.
Outro ponto de diferença relevante é que, embora ambas as regulamentações classifiquem os níveis de risco dos sistemas de inteligência artificial, ainda que de forma um pouco distinta, o EU AI Act impõe obrigações e medidas de governança mais estritas para sistemas de alto risco e medidas focadas em dever de transparência para os sistemas de AI de propósito geral, que resultam ou não em risco sistêmico. O PL de IA Brasileiro, por sua vez, impõe, ainda que em nível mais brando, obrigações a sistemas de inteligência artificial independentemente do grau de risco, ou seja, a sistemas de baixo ou mínimo risco, o que tem sido objeto de crítica.
No EU AI Act, não há tanta clareza quanto ao sistema de responsabilidade civil dos desenvolvedores, ao passo que, no PL de IA Brasileiro, optou-se por adotar o sistema de responsabilidade civil objetiva quando se tratar de sistema de alto risco. Quando não se tratar de sistema de alto risco, caberá o regime da responsabilidade presumida, com a inversão do ônus probatório em favor da vítima. No entanto, há referência expressa de que, quando se estiver diante de relações de consumo, o regime de responsabilidade do Código de Defesa do Consumidor se mantém aplicável.
O PL brasileiro, com 145 emendas propostas até o momento, sendo a última na data de ontem, dia 11 de julho, no sentido de que “os desenvolvedores, distribuidores e aplicadores de sistemas de IA têm o dever de diligência na adoção de medidas para prevenir abusos aos direitos dos trabalhadores, em colaboração com os entes públicos de inspeção do trabalho, assegurada a revisão humana de decisões que afetem esses direitos”, ainda poderá ter considerável caminho a trilhar.
Apesar das diferenças entre as regulamentações, há muitas semelhanças no modelo de regulação e no seu conteúdo. Em movimento similar ao ocorrido quando da regulamentação da proteção de dados pessoais, em que o Regulamento Geral sobre a Proteção de Dados (GDPR) antecedeu a nossa Lei Geral de Proteção de Dados Pessoais (LGPD), é inegável a tendência de que o legislador e as autoridades administrativas e judiciais olhem para a regulamentação europeia e a considerem diante de lacunas decorrentes da ausência de lei vigente no Brasil ou, até mesmo, posteriormente à introdução da lei no Brasil.
A equipe de Proteção de Dados & Cibersegurança do Souto Correa está à disposição para fornecer mais informações e esclarecimentos sobre o tema. Além disso, nossas equipes de Direito do Consumidor e nosso Startup Hub também estão envolvidas e prontas para oferecer suporte completo, reforçando nossa atuação full service.