O Plenário do Senado Federal aprovou nesta terça-feira, 10, proposta de lei que prevê a regulamentação da inteligência artificial (IA) no Brasil. O texto seguirá para a Câmara dos Deputados, onde o ritmo da tramitação ainda não está definido.
A proposta aprovada é um substitutivo do relator, Eduardo Gomes (PL-TO), que tem como principal base um anteprojeto formulado por comissão de juristas ao longo de 2022, protocolado no ano passado com assinatura do presidente do Senado, Rodrigo Pacheco (PSD-MG), o PL 2338/2023.
A lei em construção abarca o desenvolvimento, teste, uso e aplicação de sistemas de IA em geral, com o objetivo de assegurar direitos fundamentais. Pela proposta, a regulamentação será executada e monitorada por um Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA), ponto que foi objeto dos últimos ajustes antes da votação.
Na versão anterior, a lei estabeleceria diretamente a criação do Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA), na nova redação, o Congresso vai “autorizar” o governo a criar tal estrutura.
Para Gomes, o ajuste é suficiente para afastar a possibilidade de veto ou judicialização de trechos do texto. Isto porque já havia observação por parte do integrantes do governo federal e também de grupos com resistência ao projeto de que o Legislativo não poderia, por exemplo, designar a Autoridade Nacional de Proteção de Dados (ANPD) para a função de coordenar o SIA, sem que a proposta de lei fosse uma iniciativa do Poder Executivo, por incorrer em inconstitucionalidade pela invasão de competência do Planalto.
“Acerca das alegações sobre eventual vício de iniciativa quanto ao SIA, a fim de sanar a questão, ofereço a emenda para especificar o caráter autorizativo à criação do SIA, fica portanto no texto o Poder Executivo ‘autorizado’ a criá-la”, explicou Gomes.
O parecer apresentado pelo senador em plenário rejeitou as últimas emendas apresentadas ao projeto, entre elas, a que buscava reincluir os sistemas diretamente ligados ao funcionamento algorítmico de plataformas digitais na classificação de “alto risco”, que demanda maiores obrigações por parte das empresas. O requerimento para que esse ponto do texto fosse analisado individualmente, em uma emenda de destaque, foi retirado por acordo. Apesar disso, há expectativa de debater mais o tema na Câmara.
Entenda a proposta
O projeto de lei impõe princípios básicos que devem ser observados pelo mercado como um todo no uso, desenvolvimento, aplicação e teste de sistema de IA – com algumas exceções (veja mais abaixo) – que, em síntese, visa garantir direitos, entre eles, a proteção de dados e a possibilidade de remuneração por direitos autoriais.
O principal ponto é a classificação de riscos dos sistemas, onde: “alto risco” implica em maior acompanhamento dos órgãos reguladores e, consequentemente, mais obrigações por parte de quem não é mero consumidor; e “risco excessivo” são aqueles proibidos.
Sistemas considerados de “alto risco”, devem tomar medidas para garantir os seguintes direitos à pessoa ou grupo afetado por ele:
direito à explicação sobre a decisão, recomendação ou previsão feitas pelo sistema;
direito de contestar e de solicitar a revisão de decisões, recomendações ou previsões de sistema de IA; e direito à revisão humana das decisões, levando-se em conta o contexto, risco e o estado da arte do desenvolvimento tecnológico.
Entre as medidas previstas está promover transparência no funcionamento do sistema, apresentando documentações, possuir meios que admitam auditorias e comprovar medidas para mitigar e prevenir vieses discriminatórios.
Classificação de risco de sistemas de IA
Lista de classificação conforme o substitutivo aprovado em Plenário nesta terça-feira, 10.
Alto Risco
Considera-se de alto risco o sistema de IA empregado para as seguintes finalidades e contextos de usos, levando-se em conta a probabilidade e a gravidade dos impactos adversos sobre pessoa ou grupos afetados, nos termos da regulamentação:
• aplicação como dispositivos de segurança na gestão e no funcionamento de infraestruturas críticas, tais como controle de trânsito e redes de abastecimento de água e de eletricidade, quando houver risco relevante à integridade física das pessoas e à interrupção de serviços essenciais, de forma ilícita ou abusiva, e desde que sejam determinantes para o resultado ou decisão, funcionamento ou acesso a serviço essencial;
• sistemas de IA utilizados como fator determinante na tomada de decisões de seleção de estudantes em processos de ingresso a instituições de ensino ou de formação profissional, ou para avaliações determinantes no progresso acadêmico ou monitoramento de estudantes, ressalvadas as hipóteses de monitoramento exclusivamente para finalidade de segurança;
• recrutamento, triagem, filtragem, avaliação de candidatos, tomada de decisões sobre promoções ou cessações de relações contratuais de trabalho, avaliação do desempenho e do comportamento das pessoas afetadas nas áreas de emprego, gestão de trabalhadores e acesso ao emprego por conta própria;
• avaliação de critérios de acesso, elegibilidade, concessão, revisão, redução ou revogação de serviços privados e públicos que sejam considerados essenciais, incluindo sistemas utilizados para avaliar a elegibilidade de pessoas naturais quanto a prestações de serviços públicos de assistência e de seguridade;
• avaliação e classificação de chamadas, ou determinação de prioridades para serviços públicos essenciais, tais como de bombeiros e assistência médica;
• administração da justiça, no que toca o uso de sistemas que auxiliem autoridades judiciárias em investigação dos fatos e na aplicação da lei quando houver risco às liberdades individuais e ao Estado democrático de direito, excluindo-se os sistemas que auxiliem atos e atividades administrativas;
• veículos autônomos em espaços públicos, quando seu uso puder gerar risco relevante à integridade física de pessoas;
• aplicações na área da saúde para auxiliar diagnósticos e procedimentos médicos, quando houver risco relevante à integridade física e mental das pessoas;
• estudo analítico de crimes relativos a pessoas naturais, permitindo às autoridades policiais pesquisar grandes conjuntos de dados, disponíveis em diferentes fontes de dados ou em diferentes formatos, no intuito de identificar padrões e perfis comportamentais;
• investigação por autoridades administrativas para avaliar a credibilidade dos elementos de prova no decurso da investigação ou repressão de infrações, para prever a ocorrência ou a recorrência de uma infração real ou potencial com base na definição de perfis de pessoas singulares;
• sistemas de identificação e autenticação biométrica para o reconhecimento de emoções, excluindo-se os sistemas de autenticação biométrica cujo único objetivo seja a confirmação de uma pessoa singular específica; e
• gestão da imigração e controle de fronteiras para avaliar o ingresso de pessoa ou grupo de pessoas em território nacional.
*Não se considera uso de alto risco aquele no qual o sistema de IA é utilizado como tecnologia intermediária que não influencie ou determine resultado ou decisão ou quando desempenha uma tarefa processual restrita.
Risco excessivo
São proibidos o desenvolvimento, a implementação e o uso de sistemas de IA:
• com o propósito de:
– instigar ou induzir o comportamento da pessoa natural ou de grupos de maneira que cause danos à saúde, segurança ou outros direitos fundamentais próprios ou de terceiros;
– explorar quaisquer vulnerabilidades de pessoa natural ou de grupos com o objetivo ou o efeito de induzir o seu comportamento de maneira que cause danos à saúde, segurança ou outros direitos fundamentais próprios ou de terceiros;
– avaliar os traços de personalidade, as características ou o comportamento passado, criminal ou não, de pessoas singulares ou grupos, para avaliação de risco de cometimento de crime, infrações ou de reincidência;
• pelo poder público, para avaliar, classificar ou ranquear as pessoas naturais, com base no seu comportamento social ou em atributos da sua personalidade, por meio de pontuação universal, para o acesso a bens e serviços e políticas públicas, de forma ilegítima ou desproporcional;
• em sistemas de armas autônomas (SAA);
• que possibilitem a produção, disseminação ou facilitem a criação de material que caracterize ou represente abuso ou exploração sexual de crianças e adolescentes;
• em sistemas de identificação biométrica à distância, em tempo real e em espaços acessíveis ao público, com exceção das seguintes hipóteses:
– instrução de inquérito ou processo criminal, mediante autorização judicial prévia e motivada, quando houver indícios razoáveis da autoria ou participação em infração penal, a prova não puder ser feita por outros meios disponíveis e o fato investigado não constitua infração penal de menor potencial ofensivo;
– busca de vítimas de crimes, de pessoas desaparecidas ou em circunstâncias que envolvam ameaça grave e iminente à vida ou à integridade física de pessoas naturais;
– flagrante delito de crimes punidos com pena privativa de liberdade superior a 2 anos, com imediata comunicação à autoridade judicial; e
– recaptura de réus evadidos, cumprimento de mandados de prisão e de medidas restritivas ordenadas pelo Poder Judiciário.
Direitos gerais
Independentemente da classificação de risco, a pessoa ou grupo afetado por sistema de IA têm os seguintes direitos:
à informação quanto às suas interações com sistemas de IA, de forma acessível, gratuita e de fácil compreensão inclusive sobre caráter automatizado da interação, exceto nos casos em que se trate de sistemas de IA dedicados única e exclusivamente à cibersegurança e à ciberdefesa conforme regulamento;
à privacidade e à proteção de dados pessoais; e
à não-discriminação ilícita ou abusiva e à correção de vieses discriminatórios ilegais ou abusivos sejam eles diretos ou indiretos.
Exceções à lei
A lei não se aplica a sistemas de IA que sejam usados exclusivamente para uso particular e não econômico ou para defesa nacional.
Há ressalvas também para sistemas que se limitem ao provimento de infraestrutura de armazenamento e transporte de dados, o que se aplicaria aos data centers. Contudo, associações representativas apontam que restrições aplicadas a treinamentos acabam por incorporar o setor.
SIA
Para acompanhar o cumprimento da lei, o projeto prevê a criação do SIA, definido como um “ecossistema” a ser coordenado peor uma “autoridade competente”, sendo a ANPD indicada, com a finalidade de “promover e garantir a cooperação e a harmonização com as demais autoridades setoriais e entes reguladores, sem vínculo de subordinação hierárquica entre eles, e outros sistemas nacionais para a plena implementação e fiscalização do cumprimento da lei em todo o território nacional com segurança jurídica”.
Ou seja, os órgãos reguladores continuarão responsáveis pelos seus respectivos setores, e a ANPD zelará pela atuação harmoniosa entre eles, seguindo as diretrizes previstas na lei.
Conforme a proposta, a ANPD, em conjunto com os órgãos setoriais, poderão realizar investigações em casos de suspeita de violação aos princípios, direitos e deveres.
O SIA contará também com um Comitê de Especialistas e Cientistas de Inteligência Artificial (CECIA) com o objetivo de orientar e supervisionar de forma técnica e científica o desenvolvimento e aplicação da IA de forma responsável, e um Conselho Permanente de Cooperação Regulatória de Inteligência Artificial (CRIA), que funcionará como um fórum de colaboração com a ANPD.
Uma das principais competências do SIA é a possibilidade de incluir ou excluir sistemas da classificação de riscos de IA nos próximos anos, em procedimento que garanta o direito ao contraditório, e mediante avaliação de impacto algorítmico.
Independentemente da classificação de riscos, a lei impõe fundamentos que devem ser observados no desenvolvimento, implementação e uso de sistemas de IA no país, entre eles, a proteção ao meio ambiente, privacidade, proteção de dados pessoais e integridade da informação.
Responsabilidade civil
A proposta em discussão prevê que a responsabilidade civil decorrente de danos causados por sistemas de inteligência artificial, no âmbito das relações de consumo permanecem sujeitas às regras do Código de Defesa do Consumidor e na legislação pertinente, incluindo o Código Civil, sem prejuízo da aplicação de outras normas, mesmo se estiver ainda em ambiente de testagem (sandbox).
O texto prevê que a análise da responsabilidade civil seja baseada, como critérios, no nível de autonomia do sistema de IA e seu grau de risco, além da natureza dos agentes envolvidos e a consequente existência de regime de responsabilidade civil próprio na legislação.
Sugere-se a participação da Justiça na responsabilização, já que a redação determina a um juiz a competência de inverter o ônus da prova nos casos em que a vítima for hipossuficiente ou quando as características de funcionamento do sistema de IA tornem excessivamente oneroso para a vítima provar os requisitos da irregularidade.
