A nova legislação da União Europeia sobre a inteligência artificial (AI Act) foi aprovada e a Europa é a primeira região do mundo a adotar um regulamento comunitário sobre a inteligência artificial (IA), contando com coimas até 35 milhões de euros ou (de 7%) do volume de negócios para os casos de violações do regime.

Antes já existiam referenciais de boas práticas sobre a matéria, sem força de lei, como os da Organização para a Cooperação e Desenvolvimento Económico (OCDE) e os da Organização Internacional de Normalização (ISO). Apesar de continuarem válidos naquilo que não contrariar a nova legislação, agora as regras sobre a IA foram consolidadas de forma obrigatória na União Europeia.

Apesar de ser uma legislação regional, o seu impacto é significativo a nível mundial para as empresas que desenvolvem ou utilizam IA, considerando o “efeito Bruxelas”, que é influência da legislação da União Europeia nos países terceiros com interesse no mercado único digital europeu.

É exemplo deste efeito nas Américas o Regulamento Geral da Proteção de Dados (RGPD), que influenciou a Lei Geral da Proteção de Dados no Brasil (LGPD) e o Privacy Framework nos Estados Unidos.

Não é abusurdo dizer que esse efeito, no caso da IA, será muito maior, considerando a sua influência em múltiplas áreas socioeconómicas transversais a nível global, importantes e sensíveis. São exemplo as áreas de infraestruturas públicas essenciais (água, gás e fornecimento de eletricidade), o acesso à edução e avaliação, o recrutamento e emprego, a migração e o controlo de fronteiras e a aplicação da lei, gestão em saúde e prática clínica, processos democráticos (eleições), controlo da opinião pública e o setor de seguros e banca.

Para já, importa saber que o rigor aplicável no controlo da utilização da tecnologia vai variar consoante o seu potencial e a sua finalidade, numa lógica baseada em riscos. Como tal, os criadores de sistemas com IA estão obviamente sujeitos a elevado número de obrigações, especialmente os fornecedores de sistemas de IA. Entretanto, a maioria das organizações actuará como implementador de sistemas de IA.

A legislação assenta no risco, o que significa que alguns sistemas e finalidades serão proibidos, enquanto outros serão designados de alto risco e sujeitos a obrigações mais rigorosas para os fornecedores de sistemas de IA, que devem ser os mais preocupados neste momento com o cumprimento da legislação.

Devem-se preocupar aquelas entidades que desenvolvem ou adquirem um sistema de IA com o objetivo de o colocar no mercado ou colocá-lo a serviço sob seu próprio nome ou marca registada. Na prática, o que se deve cuidar é de produzir documentação técnica que demonstre a precisão, robustez, cibersegurança, transparência, supervisão humana, monitorização pós-mercado e o registo como forncedeores no banco de dados da União Europeia.

A nova lei não reinventou a roda, uma vez que funciona com uma lógica semelhante com a realidade dos dispositivos médicos. É que, nos casos de sistemas de alto risco, eles devem-se sujeitar à marcação CE e realizar avaliações do seu impacto. Isso significa submeter a tecnologia a um procedimento de avaliação de conformidade antes da colocação no mercado.

Uma vez aprovado, será aposta a marcação CE para dar asas à solução no mercado. Sem a marcação, o voo está condenado à queda.

Outros operadores (incluindo implementadores, distribuidores e importadores) também estão sujeitos a obrigações menores. Entretanto, chama-se atenção para o facto de que, ainda que não desenhem a tecnologia, os operadores também podem tornar-se fornecedores perante a lei em algumas circunstâncias, como quando modificarem um sistema de alto risco e quando comprarem um sistema de IA colocando-o no mercado com a sua própria marca.

Somando a isso, não se deve esquecer que a legislação da IA é a principal coluna que liga várias peças de um puzzle, mas não é a única. Isso porque obriga a conjugar medidas que respeitem múltiplos regimes, como a proteção de dados, a privacidade nas comunicações eletrónicas, os direitos de propriedade intelectual, as regras de responsabilidade civil e de ética nas várias áreas, pelo que não se deve olhar para apenas para a lei europeia da IA, mas para a legislação conexa.

Entretanto, antes de haver um colapso nervoso pela complexidade da nova legislação, deve-se refletir que nem todos os sistemas serão classificados como IA e podem não estar sujeitos às mesmas regras.

A definição de sistema de IA é: “Um sistema baseado em máquina desenhado para operar com diferentes níveis de autonomia e que pode ser adaptavel após a implementação e que, para objetivos explícitos ou implícitos, infere, a partir das entradas recebidas, como gerar saídas como previsões, conteúdo, recomendações ou decisões que podem influenciar ambientes físicos ou virtuais.”

Exemplos: sistemas de vigilância com reconhecimento facial, ChatGPT. Portanto, tudo o que não estiver enquadrado neste conceito, não estará sujeito à lei da IA.

Tudo vai depender do modelo de negócio, das finalidades e do potencial da tecnologia. Quanto mais eficiente, mais sensível.

A norma entra em vigor após dois anos de implementação pelas entidades. Durante este período, o puzzle será composto por mais peças. Estende-se várias outras legislações associadas e de apoio, orientações e normas conexas para auxiliar na conformidade com a legislação principal.

Atenção: este cronograma de dois anos está sujeito a exceções. As proibições de alguns sistemas de IA entrarão em vigor após seis meses, enquanto os requisitos para a IA para finalidades gerais serão aplicados após 12 meses.

Por ser um tema de elevado interesse económico, respeitar a legislação é uma condição inevitável e as entidades já começam a trabalhar para montar o seu puzzle com as peças certas. Agora é o momento de encaixar as primeiras peças para que as atividades não sejam postas em causa, como aconteceu com a WorldCoin.

A propósito de saber quem pode interromper as atividades de quem não estiver em conformidade, a Autoridade Europeia de Proteção de Dados passa a ser responsável pelo controlo da utilização da IA a nível comunitário. Sendo uma resposta para o futuro próximo, será o homólogo nacional, a Comissão Nacional da Proteção de Dados, a autoridade de controlo em Portugal?

As entidades com atividade na UE, mais do que se preocuparem com a probabilidade de uma coima, devem olhar para as vantagens de que o cumprimento da lei poderá colocá-las na frente da corrida global contra Pequim e a Califórnia.

O autor escreve segundo o novo acordo ortográfico