Regulamentação da IA na União Europeia: requisitos e perspectivas

A proposta de regulamento que estabelece normas harmonizadas para a utilização de IA, mais conhecida como a lei de IA da União Europeia, está programada para ser finalizada até o final deste ano. Enquanto aguardamos os procedimentos finais da União Europeia, conhecidos como "trílogo", é provável que o regulamento seja adotado no início de 2024, antes das eleições para o Parlamento Europeu em junho de 2024. Após a sua promulgação, haverá um período de transição de pelo menos 18 meses antes que o regulamento se torne plenamente aplicável.

O que é a lei de IA da União Europeia?

A lei de IA é um marco legal que regulamenta a venda e o uso de inteligência artificial na União Europeia. Seu objetivo oficial é assegurar o funcionamento adequado do mercado único da UE, estabelecendo padrões consistentes para sistemas de IA em todos os estados membros da União Europeia. Na prática, este regulamento é o primeiro a abordar de maneira abrangente os riscos associados à inteligência artificial, por meio de um conjunto de obrigações e requisitos destinados a proteger a saúde, a segurança e os direitos fundamentais dos cidadãos da União Europeia e além. Espera-se que tenha um impacto significativo na regulamentação da IA em todo o mundo.

A lei de IA faz parte de um conjunto mais amplo de regulamentações digitais emergentes na União Europeia, que abrangem diversos aspectos da economia digital, incluindo o regulamento geral de proteção de dados, a lei de serviços digitais e a lei de mercados digitais. Portanto, a lei de IA não trata de questões como a proteção de dados, plataformas online ou moderação de conteúdo. Embora a interação entre a lei de IA e a legislação digital existente apresente desafios, a base nas leis existentes permite à União Europeia evitar uma abordagem de "lei única para tudo" em relação a essa tecnologia emergente.

A lei de IA abrange sistemas de IA que sejam "colocados no mercado, utilizados ou prestados de serviços na União Europeia". Isso significa que, além dos desenvolvedores e implementadores na União Europeia, a regulamentação também se aplica a fornecedores globais que vendem ou disponibilizam seus sistemas ou serviços aos usuários na União Europeia.

Existem três exceções:

a) Sistemas de IA desenvolvidos ou utilizados exclusivamente para fins militares e, possivelmente, para fins de defesa e segurança nacional de forma mais ampla, enquanto estão sujeitos a negociações.

b) IA desenvolvida e utilizada para pesquisa científica.

c) Sistemas e componentes de IA de código aberto e gratuitos (um termo ainda não claramente definido), com exceção dos modelos fundamentais, que são discutidos abaixo.

A abordagem baseada em risco

No centro da proposta encontra-se o sistema de categorização de risco, pelo qual os sistemas de IA são regulamentados de acordo com o nível de risco que apresentam para a saúde, segurança e direitos fundamentais das pessoas. Existem quatro categorias de risco: inaceitável, alto, limitado e mínimo/nenhum. A maior parte das disposições de supervisão e regulamentação da lei de IA se concentra nas categorias de risco inaceitável e alto, que são, portanto, o foco principal da discussão a seguir. Na prática, um sistema de IA pode ser classificado em várias categorias.

Sistemas de risco inaceitável serão proibidos

Os sistemas de IA classificados como de risco inaceitável serão proibidos. De acordo com o consenso entre as três propostas, esses sistemas incluem aqueles que apresentam um alto potencial de manipulação por meio de mensagens e estímulos subconscientes, ou que exploram vulnerabilidades, como status socioeconômico, deficiência ou idade. Além disso, a lei de IA proíbe sistemas de IA para pontuação social, que envolve a avaliação e o tratamento de pessoas com base em seu comportamento social. O Parlamento Europeu também propõe a proibição da identificação biométrica remota em tempo real em espaços públicos, como sistemas de reconhecimento facial ao vivo, juntamente com outros casos de uso biométrico e de aplicação da lei.

Sistemas de alto risco serão cuidadosamente regulamentados

a) Os sistemas de IA classificados como de alto risco se enquadram em uma das duas categorias:

b) O sistema é um componente de segurança ou um produto sujeito a padrões e avaliações de segurança existentes, como brinquedos ou dispositivos médicos.

O sistema é utilizado para uma finalidade específica sensível. A lista exata dessas áreas de uso está sujeita a alterações durante as negociações, mas entende-se que incluem as seguintes oito áreas de alto nível: a. Biometria b. Infraestrutura crítica c. Educação e formação profissional d. Emprego, gestão de trabalhadores e acesso ao autoemprego e. Acesso a serviços essenciais f. Aplicação da lei g. Migração, asilo e controle de fronteiras h. Administração da justiça e processos democráticos

Enquanto a proposta do Conselho introduz isenções adicionais para uso da aplicação da lei, o Parlamento Europeu propõe um conjunto mais amplo de casos de uso de alto risco. Ele adiciona, por exemplo, sistemas de recomendação de conteúdo de grandes plataformas on-line, como algoritmos de mídia social, e sistemas de IA usados para a detecção e identificação de migrantes. Ao mesmo tempo, a proposta adiciona um qualificador: Além de seu uso em um contexto crítico, um sistema de IA deve representar um risco significativo de danos para se enquadrar na categoria de alto risco. Mais orientações sobre as circunstâncias em que um sistema atende ou não a esse limite seriam emitidas após a adoção do regulamento.

Requisitos para sistemas de IA de alto risco

Conforme previsto nas propostas, os desenvolvedores de sistemas de IA de alto risco devem atender a diversos requisitos, demonstrando que suas tecnologias e usos não representam uma ameaça significativa à saúde, segurança e direitos fundamentais. Esses requisitos incluem um abrangente conjunto de medidas de gerenciamento de riscos, governança de dados, práticas de monitoramento e manutenção de registros, documentação detalhada, juntamente com obrigações de transparência e supervisão humana. Além disso, são estabelecidos padrões para precisão, robustez e segurança cibernética. Os sistemas de IA de alto risco também deve ser registrados em um banco de dados público em toda a União Europeia.

Os desenvolvedores determinam, por si próprios, a categoria de risco de seus sistemas de IA. Da mesma forma, e com algumas exceções, os desenvolvedores podem realizar autoavaliações e auto certificações da conformidade de seus sistemas de IA e práticas de governança com os requisitos delineados na lei de IA. Para fazer isso, eles devem adotar os próximos padrões ou justificar a equivalência de outras soluções técnicas. A categorização incorreta de um sistema de IA e/ou o não cumprimento das respectivas disposições sujeitam-se a penalidades, que incluem multas de pelo menos 20 milhões de euros ou 4% do volume de negócios global, prevalecendo o valor mais alto (valores sujeitos a possíveis alterações durante o trílogo).

Após a certificação de conformidade pelos desenvolvedores, os implantadores são obrigados a cumprir o monitoramento e a manutenção de registros, bem como as obrigações de supervisão humana e transparência assim que implementarem um sistema de IA de alto risco. O Parlamento Europeu também defende que os implantadores realizem uma avaliação de impacto nos direitos fundamentais, reconhecendo que os riscos variam de acordo com o contexto. Um sistema de IA pode ser adequado em algumas circunstâncias, mesmo que funcione bem tecnicamente e seja seguro.

Relatório de incidentes

Mesmo com protocolos de teste avançados e estratégias de gerenciamento de riscos bem implementadas, é inevitável que incidentes ocorram quando os sistemas de IA são implantados. O acompanhamento sistemático de incidentes de IA e a aprendizagem com eles para melhorar o design, desenvolvimento e implementação de IA são elementos essenciais de qualquer estratégia de segurança.

A lei de IA estipula que os desenvolvedores de IA de alto risco estabeleçam um sistema de relatórios de incidentes graves como parte de um monitoramento pós-mercado abrangente. Incidentes graves são definidos como aqueles que resultaram, podem ter resultado ou podem resultar em sérios danos à saúde de uma pessoa ou à sua morte, danos significativos à propriedade ou ao meio ambiente, interrupção da infraestrutura crítica ou violação de direitos fundamentais de acordo com a legislação da UE. Os desenvolvedores e, em alguns casos, os implantadores devem notificar as autoridades competentes e manter registros das operações do sistema de IA no momento do incidente para comprovar a conformidade com a lei de IA em caso de auditorias posteriores a incidentes.

Embora detalhes importantes da estrutura de relatórios - como o prazo para notificação, o tipo de informações a serem coletadas, a acessibilidade dos registros de incidentes, entre outros - ainda não tenham sido finalizados, o rastreamento sistemático de incidentes de IA na União Europeia se tornará uma fonte crucial de informações para aprimorar os esforços de segurança na área de IA. A Comissão Europeia, por exemplo, planeja acompanhar métricas, como o número absoluto de incidentes, sua proporção em relação aos aplicativos implantados e o número de cidadãos da UE afetados por danos, a fim de avaliar a eficácia da lei de IA.

Nota sobre sistemas de risco limitado e mínimo

Por fim, a categoria de risco limitado engloba sistemas de IA com um potencial limitado de manipulação, que devem cumprir obrigações de transparência. Isso inclui informar as pessoas sobre sua interação com um sistema de IA e sinalizar quando o conteúdo é gerado ou manipulado artificialmente. Um sistema de IA é classificado como de risco mínimo ou inexistente se não se encaixar em nenhuma outra categoria.

Governando a IA de uso geral

A abordagem da lei de IA baseada em casos de uso apresenta desafios quando se trata de regulamentar a inovação mais recente em IA, incluindo sistemas de IA gerativos e modelos de fundação de forma mais ampla. Uma vez que esses modelos surgiram apenas recentemente, a proposta da Comissão na primavera de 2021 não contém disposições relevantes. A abordagem do Conselho, em dezembro de 2022, também se baseia em uma definição bastante vaga de "IA de propósito geral" e aponta para adaptações legislativas futuras (conhecidas como leis de Implementação) para requisitos específicos. O que está claro é que, sob as propostas atuais, os modelos de fundação de código aberto estão sujeitos à legislação, mesmo que seus desenvolvedores não obtenham benefícios comerciais com eles - uma medida que recebeu críticas da comunidade de código aberto e especialistas da área de IA.

Conforme previsto nas propostas do Conselho e do Parlamento, os fornecedores de IA de uso geral devem cumprir obrigações semelhantes às dos sistemas de IA de alto risco, incluindo o registro de modelos, o gerenciamento de riscos, a governança de dados e práticas de documentação. Além disso, eles devem implementar um sistema de gerenciamento de qualidade e atender a padrões relacionados ao desempenho, segurança e, possivelmente, eficiência de recursos.

A proposta do Parlamento Europeu também estabelece obrigações específicas para diferentes categorias de modelos. Em primeiro lugar, inclui disposições sobre a responsabilidade de diferentes atores na cadeia de valor da IA. Os fornecedores de modelos de fundação proprietários ou "fechados" são obrigados a compartilhar informações com desenvolvedores a jusante para permitir que demonstrem conformidade com a lei de IA ou para transferir o modelo, dados e informações relevantes sobre o processo de desenvolvimento do sistema. Em segundo lugar, os fornecedores de sistemas generativos de IA, definidos como um subconjunto de modelos de fundação, devem cumprir, além dos requisitos descritos acima, as obrigações de transparência. Eles também devem demonstrar esforços para evitar a geração de conteúdo ou documentos ilegais e publicar um resumo do uso de material protegido por direitos autorais em seus dados de treinamento.

Perspectivas

Há uma clara vontade política de avançar com a regulamentação da IA, porém, as partes envolvidas enfrentarão debates complexos sobre questões como a lista de sistemas de IA proibidos e de alto risco, os requisitos de governança correspondentes, como regular os modelos de fundação, o tipo de infraestrutura de aplicação necessária para supervisionar a implementação da lei de IA e a questão das definições. É importante ressaltar que a verdadeira implementação da lei de IA será desafiadora e exigirá recursos consideráveis. A Comissão Europeia também será responsável por emitir diretrizes adicionais sobre como implementar as disposições da lei. A dependência de padrões confere responsabilidade e poder aos órgãos europeus de padronização para determinar o que é considerado "suficientemente justo", "suficientemente preciso" e outros aspectos da IA "confiável" na prática. Portanto, o impacto real desta legislação dependerá da dedicação à implementação, execução rigorosa das disposições, compromisso com a supervisão e esforços colaborativos dos órgãos de padronização, que definirão o que significa IA confiável na Europa e em todo o mundo.