O EU AI Act faz parte do esforço regulatório da União Europeia para a denominada “Década Digital”. São 113 artigos, 180 considerando e 13 anexos, totaliza 458 páginas de comandos legais que os reguladores e regulados precisam entender para aplicá-lo de forma coerente e correta.
Analisamos profundamente o seu conteúdo e aplicamos legal design[1] para traduzi-lo em uma rede de infográficos concisos, visuais e interativos, que abordam de forma clara e simplificada os temas mais relevantes da nova norma[2], os quais explicaremos neste artigo.
Tipos de IA em operação
O AI Act separa as tecnologias de inteligência artificial em dois níveis: modelos de IA de propósito geral e sistemas de IA. Embora os primeiros possam ser integrados nos segundos (via APIs, bibliotecas, download direto etc.), eles podem ser desenvolvidos por agentes diferentes, que terão responsabilidades distintas.
A Lei regula apenas os modelos de IA de propósito geral (GPAI), que são aqueles que tiverem: (i) ao menos um bilhão de parâmetros; (ii) treinamento com grande volume de dados e auto supervisão em escala; e (iii) capacidade de executar com competência uma vasta gama de tarefas (Art. 3, (63)). Um modelo de IA pode ser alterado, aperfeiçoado, ou então integrado em uma aplicação final – o sistema de IA – se for adicionado algum componente, como uma interface de usuário (Considerando 97).
Já os sistemas de IA são definidos como sistemas baseados em máquinas, com níveis de autonomia variados, capacidade de adaptação após a implantação, inferência de resultados (outputs, como previsões, conteúdos, recomendações ou decisões) com base nos dados de entrada (inputs), e influência em ambientes físicos ou virtuais (Art. 3º, (1)). A Lei chega a definir sistemas de IA de propósito geral (Art. 3, (66)), mas não traz disposições específicas para eles.
Grau de risco
Os modelos de IA de propósito geral são classificados pela presença ou ausência de riscos sistêmicos, definidos como impactos elevados no mercado com possíveis efeitos negativos na saúde pública, segurança, direitos fundamentais ou sociedade (Art. 3, (65)), usando critério de cálculo usado no treino, excedendo 10^25 FLOPS.
Para os sistemas de IA, a gradação de riscos se divide em quatro níveis, de acordo com a finalidade de uso. Nos extremos, temos os sistemas de risco mínimo, que são a maioria (e.g. filtros de spam e jogos de videogame) e não enfrentam obrigações legais de governança; e os de risco inaceitável, que são os usos proibidos (e.g. score social de cidadãos, identificação biométrica à distância em espaços públicos e reconhecimento de emoções no trabalho e nas escolas).
Entre esses extremos, há sistemas de risco limitado, que exigem transparência, especialmente pelo potencial de manipulação (e.g. sistemas de conversação automática); e os de alto risco, que podem afetar a segurança ou direitos fundamentais, e figuram em uma lista que será revisada periodicamente conforme a evolução dos casos de uso.
Tipo de operador/agente de IA
“Fornecedores” são aqueles que desenvolvem ou mandam desenvolver sistema de IA ou modelo de IA de propósito geral, além de: colocar o modelo ou sistema no mercado da UE; ou, no caso dos sistemas, colocá-los em serviço na UE, sob o próprio nome ou marca, onerosa ou gratuitamente, ou produzir outputs que sejam utilizados na UE.
“Fabricantes de produtos” que colocarem no mercado ou em serviço na UE um sistema de IA de alto risco como componente de segurança do seu produto, sob o seu próprio nome ou marca, estão sujeitos às mesmas obrigações de um fornecedor. Também são equiparados a tais obrigações quaisquer terceiros que: colocarem sua marca ou nome em um sistema de IA de alto risco já no mercado ou em serviço na UE; modificarem-no substancialmente; ou alterarem a finalidade de um sistema que não era de alto risco, passando a caracterizá-lo como tal (Art. 25).
“Implantadores” são aqueles que utilizam, sob a própria autoridade, dentro da UE ou desde um país terceiro (se produzir outputs que sejam nela utilizados), um sistema de IA, independentemente do seu grau de risco.
Finalmente, há os “mandatários”: quem recebe ou aceita um mandato escrito de um fornecedor de um sistema de IA de alto risco (Art. 22), ou de um modelo de IA de propósito geral, com ou sem risco sistêmico (Art. 54); “importadores”: quem importa e coloca no mercado da UE um sistema de IA de alto risco (Art. 23); e os “distribuidores”, quem fornece sistemas de IA de alto risco para distribuição ou utilização no mercado da UE em âmbito comercial (Art. 24).
Governança
Fornecedores de modelos de IA são obrigados, entre outros, a manter documentação técnica atualizada; fornecer informações críticas para a sua integração em sistemas de IA; assegurar conformidade em direitos autorais; colaborar com as autoridades regulatórias; e disponibilizar resumo do conteúdo utilizado para o treinamento (Arts. 53 e 54). Havendo risco sistêmico, devem ainda avaliar e mitigar riscos; monitorar e comunicar incidentes graves; realizar testes e avaliações de modelos de ponta; garantir a segurança cibernética; e informar acerca do consumo energético (Art. 55).
Para os sistemas de alto risco, há um conjunto extenso de obrigações aos fornecedores (Art. 16), incluindo gestão de riscos, qualidade e de governança de dados; sistema de acompanhamento pós comercialização; transparência e fornecimento de informações; registros automáticos dos sistemas; medidas corretivas e obrigações de cibersegurança; e cooperação com autoridades. Em alguns casos, é necessário elaborar Avaliação de Impacto sobre Direitos Fundamentais, que prevê as formas de uso do sistema e identifica as populações afetadas e os riscos potenciais aos direitos fundamentais.
Já os implantadores (Art. 26) devem garantir o seu uso de acordo com as instruções do fornecedor; supervisão humana; controle sobre dados de entrada; monitoramento do sistema e possível interrupção de uso; obrigações de cibersegurança e manutenção de logs e documentações; informação sobre o seu uso para tomada de decisão ou para substituição de trabalho; e cooperação com autoridades.
Para sistemas de IA de risco limitado, as regras são voltadas à garantia de transparência quanto ao uso, à operação, aos riscos e aos benefícios dos sistemas, e são distintas para os fornecedores e implantadores: aos primeiros, incumbe assegurar transparência imediata sobre a interação com IA e rotular conteúdo sintético como artificialmente gerado (Art. 50, §§ 1 e 2); aos segundos, informar e tratar dados pessoais em sistemas que envolvem reconhecimento de emoções ou categorização biométrica e esclarecer a origem artificial de conteúdos que possam influenciar a opinião pública (Art. 50, §§ 3 e 4).
Na ausência de risco, a única exigência obrigatória é o letramento em IA, para assegurar que todos os envolvidos na operação e uso desses sistemas possuam conhecimento técnico e contextual adequado sobre sua aplicação e impacto (Art. 4º). Ademais, fornecedores e implantadores podem voluntariamente adotar práticas de governança, como as aplicáveis a sistemas de alto risco, elaborando ou aderindo a códigos de conduta (Art. 95).
O AI Act tem impacto significativo, endossado pelos seus efeitos extraterritoriais, e estabelece padrões que podem influenciar as práticas de governança das organizações em todo o mundo. Porém, dada sua natureza intrinsecamente complexa e densa, a ausência de uma compreensão plena e clara das disposições legais pode gerar ambiente de incertezas, dificultando a inovação e o avanço tecnológico.
Na interação com as 458 páginas da legislação, nossa sugestão é concentrar-se nos aspectos abordados: o tipo de IA em operação, o grau de risco associado e o enquadramento do operador de IA envolvido. A partir daí, é cuidar das suas respectivas obrigações de governança.
[1] “Legal design is the application of human-centered design to the world of law, to make legal systems and services more human-centered, usable, and satisfying” (HAGAN, Margaret). Disponível em https://lawbydesign.co/legal-design/. Acessado em 27/5/24.
[2] EU AI Act: Mapa Interativo das Obrigações e Categorias de Riscos. 18 de abril de 2024. VLK Advogados. Faça o download do material para utilizá-lo de forma interativa. Disponível em https://vlklaw.com.br/wp-content/uploads/2024/04/AI-Act-Mapa-Interativo-de-Obrigacoes-e-das-Categorias-de-Riscos-VLK-Advogados.pdf. Acessado em 27/5/2024.