Ao que tudo indica, o Governo Federal está trabalhando com o Congresso Nacional para que o Marco Regulatório da Inteligência Artificial brasileiro seja sancionado na reunião de Cúpula do G20, em novembro deste ano de 2024.
Para isso, depois da aprovação em 2021 do PL 21/20 (principiológico), na Câmara dos Deputados, e da apresentação do PL 2.338/23 (prescritivo), pelo presidente do Senado, Rodrigo Pacheco, nesta quarta-feira (24.04) a Comissão Temporária de IA do Senado (CTIA) apresentou seu texto preliminar sobre os Projetos de Lei nº 2338/2023, 21/2020, 5051/2019, 5691/2019, 872/2021, 3592/2023, 145/2024, 146/2024, 210/2024 e 266/2024.
A proposta do novo texto regulatório é preliminar e pode ser criticada. Porém, o prazo deve ser curto, já que o encerramento da CTIA está previsto para 23/05/2024 – esse prazo poderá ser prorrogado. O Senador Eduardo Gomes disse que irá aguardar eventuais emendas e sugestões de mudança no texto até a semana de 09 de maio.
Ou seja, agora é preciso analisar os impactos da nova proposta para o desenvolvimento da melhor regulação de IA para o Brasil, com foco em inovação, segurança jurídica e mitigação de riscos.
A equipe do Vlk Advogados, Rony Vainzof, Caio Lima e Gisele Kurassawa, elencou os principais pontos de atenção da proposta preliminar da CTIA:
Classificação por Grau de Risco do Sistema: há classificação de riscos em: i) Excessivo – os sistemas são vedados, a exemplo de identificação biométrica a distância, exceto em casos específicos; uso de técnicas subliminares que levem a pessoa a se comportar de forma prejudicial à sua saúde ou segurança; e sistemas que explorem vulnerabilidades; e ii) Alto – devem ser regulamentados pela SIA (Sistema Nacional de Regulação e Governança de Inteligência Artificial) com base em critérios específicos. As demais categorias não são especificamente endereçadas. A Autoavaliação Preliminar é que permitirá essa correta classificação do risco.
Regulamentação de Sistemas de IA de Propósito Geral e IA Generativa: foram estabelecidas medidas de governança específicas para esses sistemas, como: i) disponibilização de documentação, incluindo sobre riscos não mitigáveis; ii) adoção de medidas de governança e qualidade de dados; e iii) medidas para interpretabilidade e corrigibilidade no desenvolvimento do sistema.
Responsabilidade Civil: há responsabilidade de reparar danos independentemente do grau de autonomia do sistema, tendo sido estabelecida a responsabilidade objetiva para sistemas de alto risco ou risco excessivo, na medida da participação do fornecedor ou operador no dano. A culpa do causador do dano é presumida para sistemas que não forem considerados de alto risco, aplicando-se a inversão do ônus da prova em favor da vítima.
Autoridade Competente e Arranjo Institucional: há previsão de autoridade competente, que é referida como entidade governamental responsável pela supervisão e regulação de atividades específicas, a quem caberá coordenar o Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA). O arranjo institucional apresentado traz à autoridade responsável o foco em promover a cooperação entre as demais autoridades existentes e que estejam relacionadas a determinado sistema de IA – órgãos setoriais, o Conselho Administrativo da Defesa e Concorrência, entidades de certificação, entre outros. A referida autoridade competente tem competência normativa, regulatória e sancionatória plena para desenvolvimento, implementação e uso de sistemas de inteligência artificial para atividades econômicas em que não haja órgão ou ente regulador setorial específico, bem como entidade autorregulação credenciada;
Governança: há Capítulo integralmente dedicado a aspectos de governança, que deve ser aplicável em todo o ciclo de vida dos sistemas de IA e focar em garantir a segurança dos sistemas e o atendimento dos direitos das pessoas afetadas, especialmente a transparência. Há medidas diferentes, de acordo com o grau de risco e o tipo de sistema. Por exemplo, a documentação técnica de sistemas de IA de alto risco será elaborada antes de sua disponibilização no mercado ou de seu uso para prestação de serviço e será mantida atualizada durante sua utilização.
Governança Especial para Modelos Fundacionais e de Propósito Geral: antes de disponibilizar no mercado, deverão, por exemplo: demonstrar por meio de testes e análises adequados, a identificação, a redução e a mitigação de riscos razoavelmente previsíveis; apenas processar e incorporar conjuntos de dados coletados e tratados em conformidade com as exigências legais, sujeitos a uma adequada governança de dados; conceber e desenvolver o modelo fundacional de modo a permitir que alcance, ao longo do seu ciclo de vida, níveis apropriados de desempenho, previsibilidade, interpretabilidade, corrigibilidade, segurança e a cibersegurança; e elaborar documentação técnica e instruções de utilização inteligíveis, a fim de permitir que os fornecedores posteriores cumpram as suas obrigações.
Avaliação e Impacto Algorítmico (“AIA”): a AIA é trazida como obrigatória para sistemas de alto risco e seus resultados deverão ser compartilhados com a autoridade competente (a quem caberá regulamentar o tema) e tornados públicos, respeitados segredos industriais e comerciais.
Direitos das Pessoas Afetadas por Sistemas de IA: há Capítulo específico sobre direitos de pessoas afetadas por sistemas de IA, incluindo: direito à informação sobre a interação com sistemas de IA; privacidade; proteção de dados pessoais; e não discriminação. Há Seção específica para sistemas de IA de alto risco ou que produzam efeitos jurídicos relevantes, o que inclui os direitos à explicação, contestar decisões ou previsões dos sistemas e supervisão humana.
Códigos de Conduta, Certificadoras e Autorregulação: poderão ser estipulados Códigos de Conduta pelos agentes de IA, individuais ou coletivos, os quais poderão ser analisados pela autoridade competente. Há também a menção à acreditação e certificadoras (com previsão de selos para os agentes que apresentem boas práticas de governança) e autorregulação (pessoas jurídicas de direito privado sem fins lucrativos poderão se associar para essa finalidade).
Direitos Autorais e Direitos da Personalidade: há Seção específica sobre conteúdos protegidos, inclusive com previsão de autores restringirem o uso de suas obras em sistemas de IA. Há também a indicação sobre o que deve ser entendido como fair use (ou seja o que não constitui ofensa a direitos autorais na utilização de sistemas de IA), que é restrito a instituições de pesquisa, jornalismo, museus, arquivos, bibliotecas e educacionais, sem fins comerciais.
Comunicação de Incidentes: deverão ser comunicadas à autoridade competente situações que representem graves riscos de segurança, incluindo: risco à vida e integridade física; interrupção de infraestruturas críticas; graves danos ao meio ambiente; ameaça ao processo democrático e a disseminação de desinformação; violação de direitos fundamentais; discursos de ódio, entre outros;
Sanções: foram estabelecidas sanções, como: i) advertência; ii) multa simples, limitada, no total, a R$ 50.000.000,00 por infração, com o teto de 2% do faturamento do grupo ou conglomerado no Brasil; iii) publicização da infração; iv) proibição ou suspensão parcial da participação em regime de sandbox regulatório ou do fornecimento ou operação de sistema de IA; e v) proibição de tratamento de determinadas bases de dados.
Vacatio Legis: foi estipulado o prazo de 730 dias (2 anos), após a publicação para entrada em vigor.