A Inteligência Artificial - IA não é mais apenas um conceito futurista; suas aplicações práticas já permeiam a vida cotidiana do consumidor. Desde assistentes virtuais em smartphones até sistemas de recomendação em plataformas de e-commerce, a IA afeta diretamente como os consumidores interagem com produtos e serviços. No entanto, essa integração traz consigo desafios significativos, especialmente sob a ótica do Código de Defesa do Consumidor - CDC.
Desde 2019, projetos de lei sobre uso e desenvolvimento de sistemas de IA integram a pauta do Congresso Nacional, com as mais variadas orientações e metodologias. Pelo menos quatro projetos de lei já tramitaram relacionados à matéria em nível federal: (i) PL 5051/19; (ii) PL 21/20; (iii) PL 240/20 e, (iv) PL 872/21.
O novo PL 2338/23 segue a linha da proposta da União Europeia (AI Act) para regulação do tema. Ele prevê o detalhamento de obrigações e responsabilidades aos fornecedores e operadores de IA no próprio texto da lei, o que difere completamente da abordagem principiológica do último PL.
O PL 2338/23, ao introduzir regulamentações específicas para a IA, aborda diretamente esses desafios. Um dos aspectos mais críticos do projeto é a forma como propõe lidar com a responsabilidade por danos decorrentes de sistemas de IA, especialmente através de uma análise de risco.
Análise de risco na IA: como funciona
O PL 2338/23 estabelece que a responsabilidade por danos causados por sistemas de IA deve ser baseada em uma análise rigorosa de riscos. Essa análise envolve a avaliação do potencial de dano que um sistema de IA pode causar e se classifica em diferentes categorias:
- Baixo Risco: Sistemas de IA com baixo potencial de causar danos significativos. Nestes casos, a regulamentação pode ser mais flexível, permitindo inovação e experimentação.
- Risco Moderado: Envolve sistemas de IA que podem causar danos moderados, exigindo uma supervisão mais atenta e possíveis medidas de mitigação.
- Alto Risco: Inclui sistemas de IA com alto potencial de causar danos graves, como aqueles usados em contextos médicos ou de segurança. Estes requerem regulamentações mais rígidas e um controle mais estrito, exigindo medidas extra de governança.
Os sistemas de IA classificados como de risco excessivo são proibidos, tais como:
- quando empregarem técnicas subliminares que tenham por objetivo ou por efeito induzir a pessoa natural a se comportar de forma prejudicial ou perigosa à sua saúde ou segurança ou contra os fundamentos da lei;
- quando explorarem quaisquer vulnerabilidades de grupos específicos de pessoas naturais;
- pelo poder público, para avaliar, classificar ou ranquear as pessoas naturais, com base no seu comportamento social ou em atributos da sua personalidade, por meio de pontuação universal, para o acesso a bens e serviços e políticas públicas, de forma ilegítima ou desproporcional.
Caberá à autoridade competente atualizar a lista dos sistemas de IA de risco excessivo ou de alto risco, identificando novas hipóteses, com base em, pelo menos, um dos seguintes critérios:
- A implementação ser em larga escala, levando-se em consideração o número de pessoas afetadas e a extensão geográfica, bem como a sua duração e frequência;
- O sistema puder impactar negativamente o exercício de direitos e liberdades ou a utilização de um serviço;
- O sistema tiver alto potencial danoso de ordem material ou moral, bem como discriminatório;
- O sistema afetar pessoas de um grupo específico vulnerável;
- Serem os possíveis resultados prejudiciais do sistema de IA irreversíveis ou de difícil reversão;
- Casos em que um sistema de AI similar já tenha causado danos materiais ou morais anteriormente;
- Baixo grau de transparência, explicabilidade e auditabilidade do sistema de Inteligência Artificial, que dificulte o seu controle ou supervisão;
- Alto nível de identificabilidade dos titulares dos dados, incluindo o tratamento de dados genéticos e biométricos para efeitos de identificação única de uma pessoa singular;
- Quando existirem expectativas razoáveis do afetado quanto ao uso de seus dados pessoais no sistema de IA, em especial a expectativa de confidencialidade, como no tratamento de dados sigilosos ou sensíveis.
Implicações práticas no cotidiano do consumidor
Sob o CDC, os consumidores têm o direito de ser informados sobre os produtos e serviços que utilizam, incluindo aqueles baseados em IA. O PL 2338/23 reforça essa exigência, especialmente para sistemas de IA de alto risco, onde a transparência quanto aos potenciais riscos e medidas de segurança se torna fundamental.
Por exemplo, um consumidor que utiliza um serviço de saúde baseado em IA terá o direito de saber como esse sistema foi avaliado em termos de risco e quais medidas de segurança foram implementadas. Da mesma forma, em ambientes de e-commerce, os consumidores devem ser informados sobre como os sistemas de recomendação de IA funcionam e quais dados são utilizados.
As empresas deverão também se adequar para atender aos direitos dos usuários, incluindo, por exemplo, (i) o direito à explicação sobre o funcionamento dos sistemas de Inteligência Artificial, (ii) o direito à informação prévia sobre a utilização de IA em um determinado produto ou serviço, (iii) o direito à contestação das decisões e previsões de IA que afetem os interesses de usuários, entre outros.
Responsabilidade Civil baseada na análise de risco
O PL 2338/23 aborda a questão da responsabilidade civil por danos causados por sistemas de IA, esclarecendo que os agentes de IA que causem dano patrimonial, moral, individual ou coletivo são obrigados a repará-lo integralmente, independentemente do grau de autonomia do sistema.
A necessidade de uma avaliação de risco bem elaborada fundamenta-se na possível aplicação da responsabilidade civil objetiva. Isso porque, para IA de alto risco ou risco excessivo, o fornecedor ou operador respondem objetivamente pelos danos causados, mesmo que não haja falha comprovada em sua parte.
Quando não se tratar de sistema de IA de alto risco, a culpa do agente causador do dano será presumida, aplicando-se a inversão do ônus da prova em favor da vítima.
Este enfoque na análise de risco é uma evolução significativa no campo da responsabilidade civil e do Direito do Consumidor. Ele garante que, à medida que a IA se torna mais prevalente, os consumidores estarão protegidos contra possíveis danos, enquanto os inovadores e fornecedores terão diretrizes claras sobre como gerir os riscos associados aos seus produtos.
Além disso, o projeto estipula que seja designada pelo Poder Executivo uma autoridade responsável, que terá a função de garantir a observância das normas vigentes, elaborar novas regulamentações e impor sanções administrativas em situações de descumprimento das regras.
No caso de ocorrência de incidente causado pelo uso irresponsável da IA, as empresas poderão ser penalizadas na seara administrativa com:
- Advertência;
- Multa simples, limitada, no total, a R$ 50 milhões por infração, sendo, no caso de pessoa jurídica de direito privado, de até 2% do seu faturamento;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Proibição ou restrição para participar de regime de sandbox regulatório previsto na Lei, por até cinco anos;
- Suspensão parcial ou total, temporária ou definitiva, do desenvolvimento, fornecimento ou operação do sistema de Inteligência Artificial;
- Proibição de tratamento de determinadas bases de dados.
Em resumo, o PL 2338/23 representa uma abordagem inovadora e necessária para lidar com os desafios que a IA apresenta ao Direito do Consumidor. Ao enfatizar a análise de risco, o projeto não apenas protege os consumidores, mas também promove um ambiente de inovação responsável, assegurando que o desenvolvimento da IA no Brasil prossiga de maneira ética e segura.