Regulação da IA: semelhanças e diferenças entre PL 2.338/2023 e EU AI Act

Pouco mais de um mês após mais uma etapa de aprovação do Regulamento Europeu sobre Inteligência Artificial (EU AI Act) pelo Parlamento Europeu, tido como o primeiro marco legal regulatório geral e abrangente sobre inteligência artificial (IA) no mundo, o senador Eduardo Gomes (PL-TO) apresentou, no dia 24 de abril, relatório preliminar com a proposta da Comissão Temporária sobre Inteligência Artificial do Senado de revisão do Projeto de Lei nº 2.338/2023 (PL 2.338/2023), que visa a regulamentar o uso da IA no Brasil.

O texto proposto, ainda sujeito a alterações, apresenta novidades relevantes, combinando a versão original do PL 2.338/2023 com a proposta principiológica do Projeto de Lei nº 21/2020. A proposta apresentada é mais robusta e se assemelha ainda mais ao EU AI Act na intenção ambiciosa de estabelecer uma legislação de aplicação ampla aos diversos tipos de sistemas de IA desenvolvidos e em utilização no País.

Nesse sentido, tanto o PL 2.338/2023 quanto o EU AI Act adotam uma abordagem baseada em riscos para a classificação dos sistemas de inteligência artificial, preveem medidas de governança a depender dessa classificação, voltadas especialmente à garantia de transparência e mitigação de riscos, e visam a equilibrar a imposição de obrigações específicas aos agentes com medidas de incentivo e fomento à inovação.

Sem a pretensão de se realizar um exame exauriente do PL 2.338/2023 ou do EU AI Act, vale o registro dos principais pontos de convergência e diferenças entre os textos, inclusive para viabilizar uma análise mais fundamentada sobre o tema e a sua adequação à atual realidade brasileira.

Classificação de riscos

 Objetivando garantir um equilíbrio entre a inovação e o desenvolvimento responsável de sistemas de inteligência artificial, ambos os textos adotam uma abordagem baseada em riscos, estabelecendo diferentes obrigações e responsabilidades para cada uma das categorias listadas. No entanto, enquanto o EU AI Act divide as categorias de riscos aplicáveis a sistemas de inteligência artificial entre (1) inaceitável, (2) alto, (3) limitado e (4) mínimo, o PL 2.338/2023 menciona apenas as duas categorias mais sensíveis: (1) excessivo e (2) alto.

As categorias de risco inaceitável e excessivo abordam os tipos de sistemas de inteligência artificial considerados proibidos. São vedados em ambos os textos, por exemplo, a implementação de sistemas de inteligência artificial que avaliem o risco de cometimento de crimes ou de reincidência, assim como aqueles que explorem vulnerabilidade de determinados grupos ou pessoas, de modo a induzir a comportamento prejudicial ou perigoso.

O polêmico uso de sistemas de identificação biométrica a distância, em tempo real e em espaços acessíveis ao público, também é proibido, ressalvadas algumas exceções. Nesse ponto, nota-se uma abordagem mais permissiva do PL 2.338/2023, que autoriza a utilização dos referidos sistemas, por exemplo, para fins de instrução de inquérito ou processo criminal, mediante prévia autorização judicial, bem como para a recaptura de réus evadidos e cumprimentos de mandados de prisão. No EU AI Act, as hipóteses são mais restritas, de modo que a tecnologia poderá ser utilizada, principalmente, para fins de localização de pessoas desaparecidas e para investigação de crimes de maior potencial ofensivo, como terrorismo e homicídio.

Os sistemas de inteligência artificial de alto risco, por sua vez, podem ser desenvolvidos, implementados e disponibilizados, mas os agentes que fornecerem ou operarem esses sistemas ficarão sujeitos a obrigações adicionais específicas – como a elaboração de documentação técnica e o registro automático da operação do sistema.

O EU AI Act optou por definir quais sistemas ficam sujeitos a essa classificação, enquanto o texto do PL 2.338/2023 seria modificado para estabelecer apenas os critérios que deverão ser considerados pelo Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA) para a regulamentação do tema — como os possíveis impactos negativos a direitos e liberdades e à integridade da informação, bem como o grau de explicabilidade e transparência do sistema.

Sistemas de inteligência artificial de propósito geral

 Os sistemas de inteligência artificial de propósito geral — que podem ser utilizados e adaptados para desempenhar funções de aplicação geral em diferentes contextos — também são referenciados em ambos os projetos, em razão do seu alto grau de capilaridade, com potencial de gerar riscos diversos.

Os desenvolvedores desses sistemas devem observar medidas específicas de mitigação, como a elaboração de documentação técnica e instruções claras aos aplicadores. Uma diferença quanto a esse ponto é que o EU AI Act estabelece obrigações adicionais aos sistemas considerados de “risco sistêmico” — como a realização de testes para avaliação e mitigação desses riscos —, enquanto o PL 2.338/2023 não faz essa diferenciação, estabelecendo as mesmas regras gerais também para os sistemas de inteligência artificial generativa e fundacionais.

Medidas de governança e obrigações impostas aos agentes

Além das obrigações específicas aplicáveis aos sistemas de alto risco e de propósito geral, o PL 2.338/2023 dedica um de seus artigos às medidas de governança aplicáveis a todos os agentes de inteligência artificial, independentemente do grau de risco. São mencionados o dever de transparência quanto ao emprego de sistema de inteligência artificial na interação com pessoas naturais, adoção de medidas adequadas de segurança da informação e transparência quanto às medidas de governança adotadas no desenvolvimento do sistema, em especial para a mitigação de vieses discriminatórios.

Adicionalmente, antes da introdução do produto ou serviço no mercado, os agentes devem realizar uma avaliação preliminar do sistema de inteligência artificial, que determinará o seu grau de risco.

No EU AI Act, esse tema é tratado de forma mais pontual, e as obrigações mais específicas e robustas são direcionadas, em geral, aos sistemas de alto risco ou que apresentem outras especificidades definidas na regulação. Sem prejuízo, também no EU AI Act os fornecedores deverão garantir transparência aos usuários, especialmente nos sistemas voltados à interação com pessoas naturais.

Quanto à comunicação de incidentes de segurança, o PL 2.338/2023 prevê a obrigação de comunicação à autoridade competente em prazo razoável, pelo agente de inteligência artificial, quando houver incidente considerado grave, que implique, por exemplo, risco à vida, ao meio ambiente e ao processo democrático, nos termos do regulamento a ser emitido pela autoridade competente.

O EU AI Act também exige a notificação de incidentes graves relacionados a sistemas de inteligência artificial, mas impõe essa obrigação especificamente aos fornecedores de sistemas de alto risco, estabelecendo, em qualquer caso, que tal comunicação não pode ultrapassar o prazo de 15 dias contados do conhecimento do incidente. Além disso, também há menção às medidas corretivas específicas que devem ser adotadas pelos fornecedores nessa hipótese.

Avaliação de impacto algorítmico

 O PL 2.338/2023 também atribui a obrigação de realizar avaliação de impacto algorítmico aos agentes, sempre que o sistema for considerado de alto risco, para mapear e mitigar riscos a direitos fundamentais e possíveis consequências adversas. O EU AI Act, por sua vez, apesar de não prever a obrigação de avaliação de impacto algorítmico, dispõe que determinados fornecedores e categorias específicas de sistemas de alto risco devem elaborar relatório de impacto a direitos fundamentais, de forma similar à avaliação prevista no PL 2.338/2023.

Além disso, diversamente do EU AI Act, o PL 2.338/2023 prevê que a avaliação deverá ser necessariamente realizada por profissionais com independência funcional.

Direitos dos usuários e princípios

O novo texto proposto para o PL 2.338/2023 dedica duas seções específicas aos direitos das pessoas e grupos afetados por sistemas de inteligência artificial. De modo geral, é garantido o direito à informação prévia quanto à interação com sistemas de inteligência artificial, bem como o direito à não discriminação e à correção de vieses discriminatórios diretos.

Mais especificamente, em se tratando de sistema de inteligência artificial que produza efeitos jurídicos relevantes ou de alto risco, é garantido o direito de explicação, contestação e supervisão humana das decisões.

No EU AI Act, por sua vez, esses direitos estão, de forma geral, associados a situações mais específicas. Por exemplo, quanto ao direito à informação e explicabilidade, o regulamento europeu é mais detalhado sobre as informações que devem ser fornecidas de acordo com o tipo de sistema de inteligência artificial. As hipóteses de intervenção humana também são mais restritas e não há uma garantia de que a pessoa diretamente afetada possa solicitar tal intervenção. O direito à não discriminação também é abordado de forma mais genérica, ainda que reconhecida a importância do tratamento isonômico e do afastamento de vieses discriminatórios.

Vale mencionar que, como parte das obrigações de transparência, tanto o texto proposto para o PL 2.338/2023 quanto o EU AI Act preveem a necessária identificação de conteúdo sintético pelo sistema responsável por sua geração, inclusive para verificação de sua autenticidade e suas modificações.

Nessa mesma linha, o PL 2.338/2023 estabelece os fundamentos da lei – como a centralidade da pessoa humana, o desenvolvimento econômico e a livre iniciativa – bem como os princípios aplicáveis ao desenvolvimento, à implementação e ao uso da inteligência artificial, refletindo a influência do Projeto de Lei nº 21/2020, mais principiológico, na proposta apresentada. No EU AI Act, por outro lado, não há uma seção específica que preveja os princípios e fundamentos da norma.

Fomento à inovação

Em ambos os textos, o pilar de fomento à inovação traz como principal medida a criação de ambientes regulatórios experimentais para o desenvolvimento e a aplicação de inteligência artificial (os chamados sandboxes regulatórios). No entanto, enquanto o PL 2.338/2023 prevê que o funcionamento e a autorização para participação nesses ambientes de testagem dependerão de regulamentação futura, o EU AI Act é mais detalhado, indicando regras, prazos e procedimentos específicos para a criação e o desenvolvimento dos sandboxes regulatórios.

Âmbito de aplicação

Quanto ao âmbito espacial de aplicação das normas, o EU AI Act será aplicado a qualquer fornecedor que disponibilize no mercado ou coloque em funcionamento sistemas de inteligência artificial na União Europeia, ainda que esteja localizado em um país fora desse território, bem como a fornecedores e usuários, independentemente de sua localização, se o output gerado pelo sistema de inteligência artificial for utilizado na União Europeia.

O PL 2.338/2023, por outro lado, não aborda esse ponto de forma específica, indicando apenas que visa a regular o desenvolvimento, a implementação e utilização de sistemas de inteligência artificial no Brasil — o que pode levar, ao menos em um primeiro momento, a uma aplicação mais limitada territorialmente.

Fiscalização e sanções

 Tanto o PL 2.338/2023 como o EU AI Act estabelecem a designação de autoridade competente responsável por fiscalizar a aplicação da lei. Enquanto no PL 2.338/2023 não há definição sobre qual seria a autoridade competente — se órgão já existente ou criado para esse fim —, o EU AI Act prevê a criação do Serviço Europeu para a inteligência artificial, somada à necessária designação de uma autoridade notificadora para cada Estado-membro.

Ambos os textos também preveem a aplicação de sanções em caso de descumprimento das normas, que variam de advertência a multa, limitada a um percentual do faturamento da empresa infratora.

Conclusão

As semelhanças entre o PL 2.338/2023 e o EU AI Act são nítidas e evidenciam que o legislador brasileiro optou por nortear o projeto de regulação da inteligência artificial com base na legislação europeia, como já se observou no passado recente com a Lei Geral de Proteção de Dados Pessoais (LGPD), inspirada no Regulamento Geral de Proteção de Dados da União Europeia (GDPR).

A regulação europeia é mais detalhada, específica e taxativa, enquanto o legislador brasileiro parece optar por deixar alguns pontos em aberto para regulação futura, que deve ser baseada no extenso rol de princípios e fundamentos estabelecidos já nos primeiros artigos do texto do PL 2.338/2023.

A opção de estabelecer apenas critérios para futura regulamentação pode evitar o engessamento desnecessário do texto e a inclusão de proibições e restrições que não necessariamente se adequam ao atual estágio de desenvolvimento e uso da inteligência artificial em nosso país. Por outro lado, abre-se margem para maior subjetividade na aplicação da norma, principalmente em sua fase inicial, o que pode se refletir em menor segurança jurídica.

Há de se refletir, sobretudo, se o debate a respeito do tema está suficientemente maduro no Brasil e se o estágio de desenvolvimento e uso de sistemas de inteligência artificial no país, de fato, demanda uma regulação de tamanha magnitude. Ainda que possam existir benefícios em seguir o chamado “Efeito Bruxelas” e replicar decisões regulatórias da União Europeia, alternativas — como a regulação setorial e de temas mais sensíveis — também são válidas e não deveriam ser descartadas sob influência de um sentimento de urgência na regulação de matéria tão complexa e de impactos tão relevantes para o país.