Polido: O que esperar com a aprovação do Marco Legal da IA?
Por Fabricio Polido * – No dia 10 de dezembro de 2024, o Senado Federal deu um passo já esperado para a regulamentação da inteligência artificial (IA) no Brasil com a aprovação do Projeto de Lei 2338/2023, em sua versão emendada. O projeto estabelece normas para o uso de IA no Brasil, com o objetivo de promover inovação tecnológica, proteger direitos fundamentais e garantir que as aplicações de IA atendam a princípios éticos, de transparência e de segurança. Próximos passos dependem do Plenário da Câmara dos Deputados, para que o texto aprovado pelo Senado possa ser apreciado e aprovado.
A iniciativa legislativa se alinha à tendência global de leis e regulamentos em matéria de IA, fazendo frente à disputa e corrida tecnológicas entre Estados Unidos e China nesse campo. Importante que se saiba, portanto, que não se trata de uma resposta isolada do Brasil, mas de um movimento deflagrado em nível internacional, para além do pioneirismo da União Europeia. Com a adoção do Regulamento 2024/1689 – “AI Act”, a UE definitivamente estabeleceu seu marco legal para orientar o desenvolvimento e utilização de sistemas de IA e, é claro, influenciou em alguma medida o legislador brasileiro.
No entanto, há várias questões que eu gostaria de antecipar sobre o texto do PL 2338 aprovado pelo Senado (e agora submetido à Câmara), pensando justamente nas repercussões para o direito brasileiro e desenvolvimento e uso de IA pelas organizações, empresas e entes da Administração Pública.
Ao menos existem 15 pontos setoriais relevantes no Projeto aprovados que ainda merecem discussão, mas que já apresentam as dificuldades técnicas para aplicação em concreto. Abaixo, sistematizo os pontos e, na sequência, alguns comentários gerais:
1. Classificação de Riscos
o Divisão dos sistemas de IA em níveis de risco.
o Proibição do desenvolvimento de IA com “risco excessivo”.
o Avaliação preliminar de risco, que agora passa a ser facultativa para sistemas não generativos e de propósito geral.
2. Direitos Autorais
o Uso de conteúdos protegidos por direitos autorais para mineração de textos em IA.
o Garantia de remuneração para os titulares de direitos autorais no uso de seus conteúdos protegidos em aplicações de IA.
o Proteção dos direitos de imagem e voz de pessoas (vs. geração de conteúdo sintético e riscos associados a ‘deep fakes’)
3. Trabalhadores
o Garantia de revisão humana nas decisões jurídicas afetadas por IA.
o Proteção contra discriminação em sistemas de identificação biométrica.
o Supervisão humana em decisões automatizadas de punições disciplinares e demissões.
4. Integridade da Informação
o Exclusão de artigos sobre risco à integridade da informação e liberdade de expressão.
o Exclusão de responsabilidade da IA generativa sobre a integridade da informação (uma grande vitória dos desenvolvedores de IA e grandes plataformas, considerando o que já passa na realidade prática de exoneração de responsabilidade pelo conteúdo gerado por terceiros – art.19 do Marco Civil – e a atual discussão no Tema 987/julgamento do Supremo Tribunal Federal)
5. Riscos Excessivos
o Proibição de sistemas de armas autônomas, uso de técnicas subliminares, exploração de vulnerabilidades e disseminação de material de abuso infantil.
o Restrições ao uso de câmeras de reconhecimento em tempo real em espaços públicos.
6. Classificação de Alto Risco
o Atividades e áreas classificadas como de alto risco, como veículos autônomos, controle de trânsito, diagnóstico médico e reconhecimento biométrico.
o Exclusão dos algoritmos de redes sociais da lista de alto risco.
7. Avaliação de Impacto
o Avaliação de impacto algorítmico obrigatória para sistemas de alto risco.
o Publicação de conclusões e revisão periódica das avaliações.
8. IA Generativa e de Propósito Geral
o Regras específicas para sistemas generativos e de propósito geral.
o Exigência de avaliação preliminar e mitigação de riscos antes de disponibilização no mercado.
o Identificação e rotulagem de conteúdos sintéticos (textos, imagens, vídeos, etc.) gerados por IA.
9. Sanções Administrativas e Responsabilidade Civil
o Multas de até R$ 50 milhões para infrações às normas da Lei.
o Responsabilidade civil por danos causados por IA, com inversão do ônus da prova.
10. Autoridade Nacional de Proteção de Dados (ANPD)
o ANPD como órgão responsável pela regulamentação, fiscalização e aplicação de sanções.
o Criação do Sistema Nacional de Regulação e Governança de IA (SIA).
o Coordenação com outros órgãos reguladores e criação de fóruns de cooperação.
11. Poder Público
o Regulação do uso de IA no setor público, com exigência de transparência e supervisão humana.
o Proteção de trabalhadores afetados por IA e incentivo ao letramento digital.
12. Direitos dos Afetados pelo Uso e Decisões de IA
o Garantia de direitos como explicação das decisões de IA, contestação e revisão humana.
o Proteção contra discriminação e vieses discriminatórios (‘bias’).
13. Boas Práticas
o Códigos de conduta e certificação de boas práticas de governança de IA.
o Autorregulação e adesão a boas práticas como indicativo de boa-fé.
14. Vigência
o Definição de prazos de vigência para diferentes dispositivos da lei, com exceção das sanções que terão vigência imediata.
15. Sistemas Excluídos
o Exclusão da regulamentação para sistemas de IA usados exclusivamente para fins pessoais ou de defesa nacional.
Questões pontuais sobre as regras já aprovadas pelo Senado no PL2338
Classificação de Risco e Risco Excessivo
O projeto divide os sistemas de IA em diferentes categorias de risco e impõe uma regulamentação mais rigorosa para aqueles considerados de alto risco, como sistemas usados em veículos autônomos, diagnóstico médico, e controle de segurança pública. A medida visa proteger a sociedade contra os potenciais danos causados pelo uso inadequado de tecnologias.
O PL 2338 cria um modelo de avaliação baseado nos riscos apresentados pelas aplicações de IA. Sistemas de IA que impactem diretamente a vida humana ou os direitos fundamentais serão classificados como de “alto risco” e estarão sujeitos a regras mais restritivas. Entre os exemplos estão sistemas utilizados em recrutamento de trabalhadores, controle de fronteiras, e diagnósticos médicos.
O projeto também proíbe o desenvolvimento de sistemas com “risco excessivo”, como armas autônomas e o uso de IA para explorar vulnerabilidades humanas. Além disso, o uso de técnicas subliminares ou a exploração de dados para induzir comportamentos prejudiciais à saúde estão expressamente proibidos.
Avaliação Preliminar e Avaliação de Impacto Algorítmico – AIA
O relator do projeto, senador Eduardo Gomes, incorporou alterações significativas no texto pelas emendas trazidas ao PL2338, com destaque para a avaliação preliminar dos sistemas de IA, que deve ser realizada pelos desenvolvedores antes da introdução do sistema no mercado. Para os sistemas de alto risco e generativos, a avaliação será obrigatória. Para os demais, a avaliação será facultativa, mas recomendada como boa prática.
Igualmente, quando sistemas de IA forem classificados como de alto risco, será necessária uma Avaliação de Impacto Algorítmico – AIA para identificar os potenciais danos aos direitos fundamentais e definir estratégias para mitigar esses riscos. A transparência e a disponibilização pública dos resultados dessas avaliações são requisitos fundamentais.
Na prática, AIA compreende:
• Propósito e funcionamento do sistema: Qual o objetivo do algoritmo? Como ele funciona?
• Dados utilizados: Quais dados são coletados e como eles são utilizados?
• Efeitos/Impactos potenciais: Quais os possíveis efeitos do algoritmo sobre indivíduos, grupos sociais, e a sociedade como um todo?
• Medidas de mitigação: Quais as medidas que podem ser tomadas para reduzir os riscos e impactos negativos sobre indivíduos, grupos e sociedade?
• Monitoramento e avaliação contínua: Como o desempenho do algoritmo será monitorado e avaliado ao longo do tempo?
O AI Act da UE já exige a realização de avaliações de impacto para sistemas de IA classificados como de alto risco, incluindo, por exemplo, sistemas usados em áreas como saúde, justiça, segurança pública, recrutamento e reconhecimento facial.
Segundo o direito da UE, a AIA deve avaliar o impacto potencial do sistema nas liberdades fundamentais e nos direitos das pessoas afetadas. A AIA inclui a necessidade de revisar periodicamente os sistemas de IA e considerar os riscos de direitos fundamentais, como a não discriminação, a privacidade e a transparência.
Art. 6(4) do Regulamento Europeu de IA: “Um prestador que considere que um dos sistemas de IA a que se refere o anexo III não é de risco elevado deve documentar a sua avaliação antes de esse sistema ser colocado no mercado ou colocado em serviço. Esse prestador está sujeito à obrigação de registo prevista no artigo 49.o, no. 2. A pedido das autoridades nacionais competentes, o prestador deve facultar a documentação da avaliação”. Trata-se da obrigação de registro na Base de dados da UE relativa a sistemas de IA de risco elevado enumerados no anexo III (Art.79 do AI ACT).
Proteção aos Direitos Autorais e Personalidade
Outro ponto importante do projeto diz respeito à relação entre IA e a proteção aos direitos autorais. O substitutivo trazido ao PL2338 aprovado pelo Senado em 10.12.2024 estabelece que obras protegidas por direitos autorais podem ser utilizadas para o treinamento de IA, desde que sejam obtidas de forma legítima e sem fins comerciais. No entanto, a utilização deve ser restrita ao necessário para a finalidade educacional ou de pesquisa, sem prejudicar os interesses econômicos dos criadores, uma salvaguarda que está inspirada na disciplina das exceções e limitações aos direitos de autor.
Em relação aos direitos da personalidade, o projeto assegura que o uso de imagens e vozes de indivíduos em sistemas de IA deve respeitar a privacidade e a integridade da imagem pessoal, exigindo consentimento prévio para tais utilizações – também uma regra que prestigia a fórmula do direito brasileiro, em especial segundo a Constituição Federal (art.5, inciso X), Código Civil, Marco Civil da Internet e Lei Geral de Proteção de Dados Pessoais – LGPD.
Riscos Sistêmicos e Impactos para Desenvolvedores e Usuários
Um dos aspectos mais debatidos no projeto foi a abordagem do risco sistêmico. O texto prevê que, em caso de impactos adversos de larga escala, os desenvolvedores devem adotar medidas de mitigação e garantir a segurança dos sistemas. Isso inclui a necessidade de implementar controles que permitam uma explicação clara sobre como os sistemas de IA tomam decisões. Para os desenvolvedores de IA, isso significa que haverá uma maior responsabilidade em garantir que os sistemas sejam transparentes e que possam ser auditados.
O PL também prevê que os usuários de IA terão garantidos direitos como explicação sobre decisões automatizadas e a possibilidade de revisão humana em decisões com impacto jurídico relevante. A proteção contra discriminação também é central no texto, especialmente em sistemas que utilizam reconhecimento biométrico.
A título comparativo, o Art.3(65) do Regulamento da UE de IA define ‘Risco sistêmico’ como risco específico das capacidades de elevado impacto dos modelos de IA de finalidade geral que têm um impacto significativo no mercado da União devido ao seu alcance ou devido a efeitos negativos reais ou razoavelmente previsíveis na saúde pública, na segurança, na segurança pública, nos direitos fundamentais ou na sociedade no seu conjunto, que se pode propagar em escala ao longo da cadeia de valor.
Sanções e Governança
A fiscalização da conformidade com as normas ficará a cargo de órgãos como a Autoridade Nacional de Proteção de Dados (ANPD), que poderá aplicar sanções severas, incluindo multas de até R$ 50 milhões para empresas que descumprirem as regras. A ANPD também deverá se manifestar sobre processos normativos dos órgãos reguladores e exercerá competência normativa, regulatória e sancionatória quanto ao uso de IA para atividades econômicas que não tiverem órgão regulador específico. A ANPD também zelará pelos direitos fundamentais, estimulará a adoção de boas práticas, receberá denúncias e representará o Brasil em organismos internacionais da área.
O projeto ainda estabelece a criação do Sistema Nacional de Regulação e Governança de IA, composto por autoridades setoriais e outras entidades para assegurar a harmonização das normas e promover boas práticas na governança da IA.
Avanços e Benefícios para o Brasil
A aprovação do PL 2338 pelo Senado pode ser vista como um marco importante para o Brasil na regulação de tecnologias emergentes. Além de garantir uma regulamentação alinhada com o movimento global em torno da disciplina normativa para IA, a futura Lei se preocupa com a proteção dos direitos dos cidadãos, promove o desenvolvimento de soluções inovadoras no setor de IA, ao mesmo tempo em que assegura que o país esteja alinhado com as melhores práticas internacionais.
* Fabricio Polido é sócio de L.O. Baptista em Inovação & Tecnologia e Solução de Disputas e Professor Associado de Direito Internacional, Direito Comparado e Novas Tecnologias da Universidade Federal de Minas Gerais – UFMG.
