O texto substitutivo do Marco Legal da Inteligência Artificial (IA) prevê tanto a regulação estatal quanto a autorregulação para empresas que trabalham com a tecnologia. A Comissão Temporária Interna sobre Inteligência Artificial no Brasil (CTIA) do Senado, que analisa o PL 2338/2023, tinha previsão de ser encerrada em 23 de maio, mas foi prorrogada por 55 dias.
Assim, o substitutivo, apresentado em abril, ainda deve mudar. O texto recebe contribuições até 22/5 – e já recebeu sugestões vindas da Autoridade Nacional de Proteção de Dados (ANPD) e do Ministério Público Federal. O relator, Eduardo Gomes (PL-TO), deve apresentar o relatório final em 5 de junho. A votação na comissão está agendada para 12 de junho, e, no plenário, para 18 de junho.
Tenha acesso ao JOTA PRO Poder, uma plataforma de monitoramento político com informações de bastidores que oferece mais transparência e previsibilidade para empresas. Conheça!
Apesar do sistema de riscos, também presente no projeto, ser semelhante ao AI Act da União Europeia, a regulação descrita nele tem elementos semelhantes aos do AI Executive norte-americano, com um sistema estatal que inclui entidades de autorregulação.
“Apesar de ter prevalecido, como os EUA, um modelo mais descentralizado e multissetorial, ainda é um nível de burocracia que vai causar um ônus, uma série de cumprimento de requisitos que as startups [que desenvolvem IA] não estão aparelhadas para atender”, diz Solano de Camargo, presidente da Comissão de Privacidade, Proteção de Dados e IA da OAB/SP e sócio da LBCA.
SIA
Esse sistema foi batizado de Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA). Ainda está por definir qual será a autoridade competente centralizadora. O poder Executivo tomará a decisão. Outros integrantes do SIA são os órgãos setoriais estatais, o Conselho Administrativo da Defesa e Concorrência (CADE), além de entidades de autorregulação e as entidades acreditadas de certificação.
Apesar da ausência de outros tipos de representantes, isso ainda pode ser ajustado, diz Karin Klempp, sócia do Cascione Advogados. “Um dos jeitos é convidar pessoas indicadas por associações, órgãos de classe, para reuniões abertas ao público”, diz. “É possível seguir o caso da ANPD, onde há o conselho diretor mas também o consultivo, e lá temos a sociedade civil participando”.
Inscreva-se no canal de notícias do JOTA no WhatsApp e fique por dentro das principais discussões do país!
Segundo o substitutivo, o objetivo do sistema é “valorizar e reforçar as competências regulatórias, sancionatórias e normativas das agências e órgãos reguladores setoriais em harmonia com as correlatas gerais da autoridade competente que coordena o SIA”. Em caso de controvérsia entre os integrantes do SIA, “caberá à Câmara de Mediação e de Conciliação da Administração Pública Federal a resolução”.
Assim, será possível padronizar exigências regulatórias, fiscalizatórias e sancionatórias por meio de um “fórum permanente de comunicação”. O SIA também será responsável por publicizar incidentes “graves, notadamente quando afetarem direitos fundamentais” envolvendo IA.
O projeto descreve o tipo de medidas de governança que devem incidir sobre sistemas de IA considerados de alto risco – mas sem detalhes, que devem ser discutidos pelo SIA na fase de regulamentação. Por exemplo, redações sobre as ações de governança a serem adotadas como “medidas […] para a mitigação e prevenção de potenciais vieses discriminatórios” e “medidas de conscientização, treinamento e capacitação do seu pessoal e outras pessoas que se ocupam da operação e utilização de sistemas de IA em seu nome” abrem margem para discussões sem apontar ações concretas a serem tomadas pela empresa.
“A possibilidade de fazer regulamentação por profissionais da área é uma boa iniciativa, mas, com um projeto tão pesado e minucioso, sobra pouco espaço para isso”, diz José Mauro Decoussau Machado, sócio do Pinheiro Neto Advogados. “Esse aspecto de “regulamentar depois”, definir hipóteses depois, é tipicamente brasileiro, do afã de tentar regular o que não se tem clareza. Até que ponto isso vale a pena?”.
Autoridade competente
A Autoridade Nacional de Proteção de Dados (ANPD) e a Agência Nacional de Telecomunicações (Anatel) são algumas das cotadas para exercer o papel de autoridade competente. Quem ganhar esse papel ficará responsável por “estimular a adoção de boas práticas, inclusive códigos de conduta, no desenvolvimento e utilização de sistemas de inteligência artificial”.
Também terá o poder de “celebrar, a qualquer momento, compromisso com agentes de inteligência artificial para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos”.
Como representante internacional do Brasil em assuntos de IA, a autoridade pode promover ações de cooperação internacional. Também será esse órgão que credenciará “instituições, mediante critérios estabelecidos em regulamento sujeito a consulta pública, para acesso a dados para fins de auditorias”.
É também a autoridade que determinará a realização de auditorias externas, além de ela mesma “realizar auditorias internas de sistemas de inteligência artificial quando necessária para a aferição de conformidade com esta Lei”.
Sanções
A autoridade competente também aplicará sanções às empresas de tecnologia em caso de infrações. Elas podem variar de uma advertência até uma multa “limitada, no total, a R$ 50 milhões de reais por infração, sendo, no caso de pessoa jurídica de direito privado, de até 2% (dois por cento) de seu faturamento”.
As punições também podem incluir publicização da infração e a proibição ou restrição para participar de regime de sandbox regulatório (o espaço previsto em lei para experimentação tecnológica) por até cinco anos. Entre as possíveis sanções, também está a “suspensão parcial ou total, temporária ou definitiva do desenvolvimento, fornecimento ou operação do sistema de inteligência artificial” e a proibição de uso de certas bases de dados.
A autoridade competente definirá como se dará a apuração da infração a partir de consultas públicas. “As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa”, segundo o substitutivo.
A gravidade e a natureza das infrações, bem como a boa-fé e a cooperação do infrator e a adoção de mecanismos de amortização de riscos estão entre os critérios considerados para o nível da sanção, e a expectativa é que sejam objetivamente descritos após regulamentação.
Autorregulação
A autorregulação é prevista sob a forma de associações, e “caberá à autoridade competente regulamentar os requisitos vinculantes para a instituição de entidade autorreguladora, em colaboração com as demais agências e órgãos reguladores do SIA”.
Segundo o substitutivo, as instituições de autorregulação podem estabelecer critérios técnicos dos sistemas de inteligência artificial aplicada e “definição contextual de estruturas de governança”. No entanto, “a autoridade competente poderá sustar as normas de autorregulação […] relativas ao uso de inteligência artificial de alto risco”.
Algumas das ferramentas que empresas de tecnologia têm usado para aplacar riscos de compliance são a resolução da Organização das Nações Unidas (ONU) sobre IA e também as recomendações da Organização para a Cooperação e Desenvolvimento Econômico (OCDE) sobre o tema.
“A autorregulação é válida e já está acontecendo para empresas preocupadas com preceitos ESG [ambientais, sociais e de governança, na sigla em inglês]”, diz Karin Klempp. “Mas a regulação estatal é necessária para definir melhor os agentes dentro do âmbito de atividades de IA”. Um exemplo é a diferenciação entre o desenvolvedor da tecnologia e aquele que a aplica, chamado de deployer. “O conceito do deployer ainda está muito vago na lei. Se você for olhar a fundo, o indivíduo usuário pode ser considerado ‘deployer’”, explica a advogada, para quem isso poderia trazer sanções desproporcionalmente pesadas para usuários.