Narra-se que, certa vez, um poeta aprendiz requisitou o auxílio de Bocage para que lhe apontasse erros em seu soneto, marcando-os com cruzes. Contudo, para seu espanto, o texto retornou sem nenhum sinal. Foi assim, que julgando, em efêmera vaidade, ser um grande sonetista, o jovem teria ouvido do mestre a célebre frase: “a emenda ficaria pior do que o soneto”.
Semelhante raciocínio também serviria para explicar o substitutivo ao PL 2338/2023, que busca regular a inteligência artificial no Brasil, apresentado no último dia 27 de novembro pelo senador Marcos Pontes (PL-SP), atual ocupante da vice-presidência da Comissão Temporária Interna sobre Inteligência Artificial no Brasil.
A título de contextualização, a referida Comissão foi instalada com o objetivo de examinar os projetos concernentes ao relatório final aprovado pela Comissão de Juristas responsável por subsidiar a elaboração de substitutivo sobre inteligência artificial no Brasil, criada pelo ato do Presidente do Senado Federal 4, de 2022, bem como eventuais novos projetos que disciplinem a matéria. Diante disso, foram realizadas, ao longo dos últimos meses, diversas audiências públicas, que receberam a contribuição de especialistas dos mais variados setores.
No contexto macroscópico, o debate em torno da regulação da inteligência artificial no Brasil parece estar concentrado numa tensão maniqueísta (e reducionista) entre duas abordagens regulatórias distintas, representadas pelo PL 21/2020, já aprovado pela Câmara dos Deputados, e pelo PL 2338, que é fruto do trabalho da Comissão de Juristas instituída pelo Senado em 2022 e da qual tive a honra de participar como membro efetivo.
O projeto da Câmara ficou marcado pelo seu reduzo escopo e pela falta de preocupação com assuntos de vital importância, como a proteção de direitos fundamentais, além de apresentar um modelo de responsabilidade civil que beira a inconstitucionalidade. Por outro lado, o projeto do Senado se notabilizou por consolidar uma abordagem inovadora, que vem sendo elogiada internacionalmente e se baseia em riscos e direitos, além de prever detalhadas medidas de governança, que, por outro lado, acabaram por desagradar diversos setores produtivos, que as consideram excessivas.
Um olhar desapaixonado e apartado das soluções imediatistas e binárias poderia facilmente enxergar que o PL 2338 representa um avanço colossal, ainda que não se trate de uma obra pronta, perfeita e acabada. Merece, inequivocamente, aprofundamentos, aperfeiçoamentos e calibragens: basta pensar, por exemplo, que não houve endereçamento expresso (o que se explica pela novidade do tema) aos tão debatidos sistemas de inteligência artificial generativa, que têm sido motivo de paralização nas discussões sobre a regulação da matéria no âmbito do chamado AI Act da União Europeia. Além disso, importa ressaltar que o referido projeto é oriundo de trabalho extenso e dedicado de uma Comissão de Juristas que prestou serviços ao país durante quase um ano inteiro. O texto resulta, assim, de grande reflexão e apuro técnico, ancorados em contribuições, orais e escritas, recebidas dos mais diversos setores.
Eis que, ao arrepio das discussões que vinham sendo levadas a cabo, o senador Marcos Pontes apresenta um texto substitutivo, composto por 22 artigos que ignoram os avanços trazidos pela versão original do Projeto de Lei. E, mais preocupante que isso: consegue produzir sensíveis e sonoros retrocessos, especialmente por eliminar o capítulo de direitos consagrados às pessoas afetadas por sistemas de Inteligência Artificial, as medidas de governança para mitigação de riscos dos sistemas e, de forma espantosa, a avaliação de impacto algorítmico, fundamento de qualquer modelo regulatório baseado em riscos
Logo no artigo 1º, destaca que “esta Lei estabelece normas gerais de caráter nacional para o desenvolvimento, implementação e uso responsável de sistemas de inteligência artificial (IA) no Brasil, com o objetivo de proteger os direitos fundamentais e garantir a implementação de sistemas seguros e confiáveis, em benefício da pessoa humana, do regime democrático e do desenvolvimento científico e tecnológico”.
Na sequência, há uma dose de repetição das normas da versão original do PL nos artigos 2º, 3º e 4º, que trazem, respectivamente, definições (sistemas de IA, agentes, usuários, discriminação, autoridade competente…), fundamentos, objetivos e, por fim, princípios. No artigo 5º, apresenta, em título alarmista, típico de ficções científicas, “princípios norteadores para a proteção da espécie humana e dos dados pessoais no desenvolvimento e uso da IA”, que em nada inovam e tampouco endereçam as críticas feitas às definições apresentadas pela versão original.
Por seu turno, os artigos 6º, 7º e 8º, trazem normas de “fomento ao desenvolvimento e uso da IA no Brasil”, que são absolutamente bem-vindas, embora deslocadas e reduzidas, já que deveriam fazer parte de uma política e uma Estratégia mais ampla de desenvolvimento da inteligência artificial no Brasil. No entanto, a boa intenção dos dispositivos os blinda das críticas mais duras.
Avançando na leitura, os artigos 9º e 10 trazem a chamada “avaliação do risco do uso de IA”, que se baseia em tabela anexa, que traz detalhada matriz de riscos quantitativos e qualitativos, que se subdividem em três níveis (alto, médio e baixo), os quais são calculados a partir de uma análise que conjuga probabilidade e impacto, conforme elencado em tabelas previstas nos anexos I e II.
De acordo com o inciso IV do artigo 9º: “O cálculo do risco de utilização de determinado sistema a ser desenvolvido ou operado no Brasil deverá ser realizado pelo desenvolvedor ou operador do sistema conforme critérios acima e apresentado à autoridade nacional em relatório padrão com as devidas justificativas técnicas utilizadas na definição dos níveis. Uma vez auditado e aprovado pela autoridade competente, o nível de risco do sistema será utilizado para determinar as obrigações do desenvolvedor ou operador, conforme o capítulo V”. Importante ressaltar que não há proibições prévias a nenhum tipo de utilização de IA, diferentemente do que fora estabelecido pela versão original.
O capítulo V, que compreende os artigos 11 a 14, traz “obrigações de desenvolvedores e operadores de sistemas de IA segundo o nível de risco”. Neste ponto, é notória, em comparação à versão original do PL, a redução nas medidas de governança impostas aos agentes de IA, as quais se concentram, no novo texto, em indesejada e preocupante limitação, na elaboração de documentação e notificação da autoridade competente a ser criada pelo governo federal.
Ainda nesse capítulo, em tentativa frustrada de endereçar os riscos oriundos das Inteligências Artificiais Generativas, o artigo 14 dispõe que: “Os operadores de sistemas de IA de qualquer nível de risco que gerem conteúdos devem ter o conteúdo autenticado e a imposição de marca d’água para rotular claramente o conteúdo gerado por IA. Parágrafo único – O desenvolvimento de padrões e melhores práticas para a detecção de conteúdo gerado por IA e autenticação de conteúdo oficial será promovido pela autoridade competente, que estabelecerá diretrizes para autenticação de conteúdo e marca d’água para rotular claramente o conteúdo gerado por IA”.
Ainda que imbuído de boas intenções, a atecnia do dispositivo chega a ser constrangedora por parecer supor que a simples (e, por vezes, onerosa) imposição de “marca d’água” será capaz de atenuar os perigos da IA generativa. Além disso, como inserir uma marca d’água num conteúdo de áudio?
O capítulo VI, composto pelos artigos 15 e 16 busca regulamentar a chamada “autoridade competente”, tal como já previa a versão original do texto. Inova, contudo, ao criar um Conselho Nacional sobre Inteligência Artificial (CNIA), que, coordenado por dita autoridade, teria o objetivo de orientar e supervisionar o desenvolvimento e aplicação da IA no país. Propõe-se, assim, um novo arranjo institucional, que revela-se útil para o avanço dos debates.
Na sequência, o artigo 17 traz diretrizes sobre o tratamento humano à Inteligência Artificial, que se ancora em “respeito”, “conhecimento”, “supervisão”, “responsabilidade” e “promoção do bem-estar”. Trata-se, ao fim do dia, de uma versão empobrecida das medidas de governança previstas pelo PL original, com o agravante de ter eliminado, de forma expressa, o capítulo de direitos, em nítido retrocesso. Os artigos 21 e 22 apenas trazem disposições finais.
No entanto, como se toda essa atecnia e a flagrante desproteção já não fossem graves demais, o Substitutivo reserva para os derradeiros artigos a maior das inconsistências: o capítulo VIII, intitulado “responsabilidade por danos na utilização de IA”. Vejamos a íntegra dos dispositivos:
Art. 18º. A responsabilidade por danos, civis ou penais, decorrentes da utilização de sistemas de IA classificados como de Baixo Risco é imputada exclusivamente ao operador ou usuário de sistema de IA que deliberadamente empregou o referido sistema.
1º Esta responsabilidade abrange, mas não se limita a, danos causados por:
a) Uso indevido ou impróprio do sistema de IA;
b) Falhas em seguir as instruções ou diretrizes operacionais; e
c) Decisões tomadas com base nas informações fornecidas pelo sistema de IA.
2º Exclui-se a responsabilidade do operador ou usuário de sistema de IA nos casos em que seja demonstrado que o dano ocorreu devido a um defeito intrínseco ao sistema de IA, não relacionado à sua operação ou uso.
Art. 19º. A responsabilidade por danos, civis ou penais, decorrentes da utilização de sistemas de IA classificados como de Médio Risco recai sobre o desenvolvedor do sistema quando tais danos forem resultado de decisões autônomas tomadas pelo sistema.
1º Esta responsabilidade inclui, mas não se limita a, danos causados por falhas de projeto, deficiências nos algoritmos, ou erros no processamento de dados.
2º A responsabilidade do desenvolvedor não exclui a possibilidade de corresponsabilidade do operador ou do usuário de sistema de IA, especialmente em casos de uso indevido ou não conforme as instruções fornecidas pelo desenvolvedor.
Art. 20º. Em casos de sistemas de IA classificados como de Alto Risco, a responsabilidade integral por danos, civis ou penais, decorrentes de decisões autônomas tomadas pelo sistema recai sobre o desenvolvedor do sistema.
1º Esta responsabilidade abrange danos resultantes de falhas de projeto, inadequações nos algoritmos, falhas na integração de dados, e quaisquer outras deficiências técnicas ou de segurança.
2º – O desenvolvedor deve garantir a implementação de medidas de segurança adequadas e mecanismos de supervisão para minimizar riscos.
O texto é, portanto, inadequado, atécnico e inoportuno. Em primeiro lugar, inaugura, ao arrepio do rigor científico, o conceito de “responsabilidade por danos, civis ou penais”, parecendo tentar tratar, a um só tempo, Direito Civil e Direito Penal pela mesma lógica, o que já seria perigoso por si só.
O artigo 18 traz que dita responsabilidade, no caso de IAs de baixo risco, será imputada exclusivamente aos operadores ou usuários de sistemas de IA que deliberadamente a tenham empregado. No entanto, o §2º traz a excludente de responsabilidade (sem deixar claro se serve também ao Direito Penal) caso seja demonstrado que o dano deriva de defeito intrínseco ao sistema de IA, não relacionado à sua operação ou uso. Dito resumidamente, exclui-se a responsabilidade em casos de defeitos.
Na sequência, o artigo 19 aponta que a responsabilidade, em relação aos sistemas de IA de médio risco, recairá sobre o desenvolvedor do sistema quando os danos resultarem de decisões autônomas tomadas pelo sistema. O perigo do dispositivo é que, a contrario sensu, caso a decisão não seja tomada de forma autônoma pelo sistema, isto é, se houver supervisão ou participação humana efetiva, não haverá responsabilidade.
Ainda neste artigo, o §1º traz que a responsabilidade inclui danos oriundos de falhas de projeto, deficiências nos algoritmos, ou erros no processamento de dados, embora a eles não se limite. São, no fundo, conceitos jurídicos indeterminados que mais atrapalham do que auxiliam. Finalmente, o §2º aponta que a responsabilidade do desenvolvedor não exclui a corresponsabilidade dos operadores ou usuários, especialmente em casos de uso indevido ou não conforme as instruções fornecidas. Ora, não seria esta precisamente uma causa de fato de terceiro (aqui transformada em fator de imputação)? Além disso, corresponsabilidade significa solidariedade? Em princípio não, pois a regra geral é de que a solidariedade não se presume.
Eis que surge o artigo 20, que imputa, em caso de danos causados por IAs de alto risco, a responsabilidade integral pelas decisões autônomas do sistema ao seu desenvolvedor. Dito em outras palavras, o ônus passa a recair totalmente sobre os ombros de quem desenvolve, de modo que quem utiliza ou se beneficia da IA em nada responderá pelos seus riscos nessa hipótese.
É forçoso concluir: em matéria de Responsabilidade Civil (e aparentemente Penal também agora) a emenda não saiu pior do que o soneto: ela o destruiu. O novo texto tem graves e irremediáveis problemas em sua truncada redação, que acaba por bagunçar os regimes de responsabilidade, realizando uma repartição acrítica (e sem qualquer rigor técnico) dos riscos entre os agentes envolvidos. Isso sem falar que a própria definição de um sistema de IA como de alto, médio ou baixo risco é tão árdua, que acabaria por dificultar sobremaneira a própria aplicação das normas aos casos concretos.
Merece destaque, ademais, o fato de que o Substitutivo se limita a estabelecer quem são os sujeitos responsáveis, mas não qualifica a qual título eles responderão, isto é, se com base em regime objetivo, subjetivo ou de culpa presumida. Sequer se fala, ademais, da inversão do ônus da prova. E, finalmente, não se faz qualquer menção à harmonização com as normas consumeristas, o que pode abrir margem para dúvidas sobre conflitos entre os diversos diplomas legais, já que o novo texto parece ter querido se imiscuir também na esfera do Código de Defesa do Consumidor.
Como se pode notar, o Substitutivo apresentado é marcado por indesejável retrocesso e ignora completamente os robustos avanços proporcionados pela versão original do PL 2338, eliminando, sem qualquer justificativa, disposições como aquelas que traziam proibições a certos sistemas de IA de risco excessivo, dispunham sobre medidas de governança para mitigação de risco, determinavam a realização de análise de impacto algorítmico, disciplinavam mineração de dados e direitos autorais, e, principalmente, concretizavam direitos fundamentais. Excluindo direitos, a um só tempo o Substitutivo ressuscita aquilo que o PL 21/2020 tinha de pior e sepulta o que a sua versão original tinha de melhor: torna-se mera proclamação retórica, sem qualquer efetividade prática na proteção de garantias fundamentais.
Resta-nos agora aguardar o relatório a ser apresentado pelo senador Eduardo Gomes (PL-TO), na esperança de que o legado do PL 2338/2023 não seja colocado em risco.