Marco Regulatório da Inteligência Artificial no Brasil - Projeto de Lei 2.338/2023

Marco Regulatório da Inteligência Artificial no Brasil - Projeto de Lei 2.338/2023

Autora do artigo: Taís Fernandes Duarte , sócia e diretora jurídica da t-Risk.

A Inteligência Artificial (IA) tem desempenhado um papel cada vez mais central em diversas áreas, trazendo inovações que desafiam os limites do que é possível em termos de eficiência e automação. Com o aumento do uso dessa tecnologia, o Projeto de Lei 2.338/2023, atualmente em tramitação no Congresso Nacional, propõe o estabelecimento de um marco regulatório para a IA no Brasil, com o objetivo de proteger direitos fundamentais e garantir a segurança e confiabilidade dos sistemas de IA.

Como diretora jurídica da t-Risk, empresa especializada na criação e licenciamento de softwares de gestão de riscos empresariais, considero fundamental que as corporações conheçam desde já as futuras exigências e responsabilidades que este marco legal trará.

1. Princípios e Fundamentos do Uso de IA

O projeto de lei estabelece que o desenvolvimento e uso de IA no Brasil devem ser guiados por princípios fundamentais, como a centralidade da pessoa humana, o respeito aos direitos humanos, a proteção ao meio ambiente e a transparência. Esses princípios servirão como base para todas as atividades relacionadas à IA e devem orientar as empresas na implementação de suas soluções tecnológicas.

2. Avaliação Preliminar de Riscos (APR)

A Avaliação Preliminar de Riscos (APR) será uma exigência para as empresas que pretendem implementar sistemas de IA. A APR é um processo que visa identificar, analisar e avaliar os riscos associados ao uso de um sistema de IA antes de sua implantação.

O principal objetivo da APR é mapear e mitigar os riscos potenciais que um sistema de IA pode representar para os direitos das pessoas, a segurança pública e o meio ambiente. Esse processo é especialmente relevante para sistemas de IA classificados como de alto risco, onde as consequências de um mau funcionamento ou de um viés não intencional podem ser significativas.

A realização de uma APR envolve várias etapas, que podem ser baseadas em normas e diretrizes internacionais, como a ISO 31000, que trata de gestão de riscos. A APR geralmente segue as seguintes etapas:


  1. Identificação dos Riscos: Identificar todos os possíveis riscos que o sistema de IA pode apresentar, considerando tanto os riscos operacionais quanto os impactos éticos e sociais.
  2. Análise dos Riscos: Avaliar a probabilidade de ocorrência de cada risco identificado e o impacto potencial no caso de sua materialização.
  3. Avaliação dos Riscos: Classificar os riscos com base na sua criticidade, identificando aqueles que exigem medidas de mitigação mais rigorosas.
  4. Tratamento dos Riscos: Desenvolver estratégias para mitigar os riscos identificados, que podem incluir ajustes no sistema de IA, implementação de controles adicionais ou mesmo a não adoção do sistema em determinados contextos.
  5. Monitoramento e Revisão: A APR deve ser revisada periodicamente, especialmente após a implementação do sistema, para garantir que os riscos estejam sendo adequadamente gerenciados.

Normas e Diretrizes de Referência

A APR pode ser orientada por outras normas e diretrizes, além da mencionada ISO 31000:

  • ISO/IEC 27005: Fornece diretrizes para a gestão de riscos de segurança da informação, que são particularmente relevantes para sistemas de IA que lidam com dados sensíveis.
  • Guia Ético da União Europeia para IA: Oferece princípios éticos que podem ser incorporados na APR para garantir que a IA seja desenvolvida e utilizada de forma ética e responsável.

3. Avaliação de Impacto Algorítmico (AIA)

Caso a APR conclua que o sistema de IA é de alto risco, a empresa será obrigada a realizar uma Avaliação de Impacto Algorítmico (AIA). A AIA é um processo mais aprofundado que visa garantir que os sistemas de IA de alto risco não causem danos significativos aos direitos fundamentais, à segurança ou ao meio ambiente.

A AIA é uma análise detalhada que busca avaliar os impactos éticos, legais e sociais de um sistema de IA antes de sua implementação em larga escala. Este processo é crucial para garantir que a IA seja utilizada de maneira responsável, especialmente em áreas sensíveis como infraestrutura crítica, educação, saúde e segurança pública.

A AIA deve ser conduzida por uma equipe multidisciplinar composta por cientistas de dados, juristas, especialistas em ética e gestores de riscos. Os principais passos incluem:

  1. Identificação e Avaliação dos Impactos: Avaliar detalhadamente os possíveis impactos do sistema de IA considerando suas implicações éticas, legais e sociais.
  2. Consultas e Participação Social: Incluir consultas com stakeholders relevantes, como representantes da sociedade civil e especialistas em direitos humanos, para garantir que todos os potenciais impactos sejam considerados.
  3. Mitigação e Adaptação: Desenvolver planos de mitigação para os impactos negativos identificados e ajustar o sistema de IA conforme necessário.
  4. Documentação e Transparência: Documentar todo o processo de AIA de forma clara e acessível, garantindo transparência para todas as partes interessadas.

Assim como a Avaliação de Impacto Ambiental (AIA), que é realizada para prever os efeitos ambientais de grandes empreendimentos e mitigar seus impactos negativos, a Avaliação de Impacto Algorítmico segue uma lógica semelhante, mas focada nos impactos sociais, éticos e legais do uso da IA. Ambas as avaliações são extremamente importantes para garantir que o uso da tecnologia não cause danos irreversíveis e que seus benefícios sejam maximamente aproveitados.

4. Responsabilidade Civil

O Projeto de Lei 2.338/2023 estabelece que fornecedores e operadores de sistemas de IA serão responsáveis por quaisquer danos causados por esses sistemas. Para sistemas de alto risco, a responsabilidade civil será objetiva, significando que não é necessário provar culpa para que haja reparação, o que destaca a importância de realizar uma APR minuciosa e, se necessário, uma AIA rigorosa.

5. Governança e Transparência

As empresas que operam sistemas de IA, especialmente aqueles classificados como de alto risco, devem implementar estruturas de governança robustas que garantam a transparência e a segurança dos sistemas. Isso inclui a documentação adequada dos processos e a implementação de medidas para mitigar vieses discriminatórios.

6. Direitos dos Afetados

O projeto de lei garante uma série de direitos às pessoas afetadas por sistemas de IA incluindo o direito à explicação das decisões automatizadas e o direito de contestar essas decisões. As empresas devem estar preparadas para fornecer informações claras e acessíveis aos usuários e para atender a solicitações de revisão humana das decisões tomadas pela IA.

7. Sanções e Penalidades

Em caso de descumprimento das normas estabelecidas pelo marco regulatório, as empresas estarão sujeitas a sanções que podem incluir advertências, multas significativas, suspensão das atividades e até a proibição de operação de determinados sistemas de IA.

8. Sandbox Regulatório

O Sandbox é um ambiente regulatório flexível que permite às empresas, especialmente startups e pequenas e médias empresas, testar seus produtos e serviços inovadores sob a supervisão das autoridades competentes. Esse ambiente controlado facilita a identificação e mitigação de riscos antes que a tecnologia seja lançada no mercado de forma ampla.

O principal objetivo do Sandbox é promover a inovação tecnológica, permitindo que as empresas experimentem novas soluções sem o peso imediato de todas as regulações. Isso ajuda a acelerar o desenvolvimento de tecnologias inovadoras, reduzindo barreiras de entrada e incentivando a competitividade no mercado.

Diversos stakeholders podem se beneficiar do Sandbox Regulatório:

  • Startups e Empresas de Tecnologia: Podem testar e desenvolver suas inovações de IA com menor risco regulatório, permitindo ajustes e melhorias antes da implementação total.
  • Autoridades Reguladoras: Obtêm insights sobre novas tecnologias e suas implicações, facilitando a criação de normas mais eficazes e atualizadas.
  • Consumidores: Têm acesso a produtos e serviços inovadores que são testados em ambientes seguros, garantindo maior confiança na adoção dessas tecnologias.
  • Setor Financeiro e Outros Setores Regulamentados: Podem explorar novas aplicações de IA, como fintechs, com suporte regulatório adequado, promovendo a inovação dentro de um quadro de segurança.

Benefícios do Sandbox Regulatório:

  • Fomento à Inovação: Cria um ambiente propício para o desenvolvimento e aprimoramento de tecnologias emergentes.
  • Mitigação de Riscos: Permite a identificação precoce de potenciais riscos e a implementação de medidas corretivas antes do lançamento comercial.
  • Colaboração entre Setor Público e Privado: Facilita o diálogo e a cooperação entre empresas e reguladores, promovendo uma regulamentação mais alinhada com as realidades tecnológicas.
  • Aceleração de Processos Regulatórios: Reduz o tempo e os custos associados à conformidade regulatória para novas tecnologias

O Sandbox Regulatório não apenas facilita a experimentação tecnológica, mas também incentiva a criação de soluções inovadoras que podem transformar setores inteiros. Ao oferecer um período de experimentação, as empresas podem desenvolver e ajustar seus sistemas de IA de forma iterativa, garantindo que eles atendam aos padrões de segurança e ética antes de uma implementação mais ampla.

Durante o período de sandbox, as empresas têm a oportunidade de:

  • Testar novos algoritmos e modelos de IA em condições reais de mercado.
  • Identificar e corrigir vieses e falhas nos sistemas de IA.
  • Avaliar a eficácia das medidas de mitigação de riscos implementadas.
  • Obter feedback valioso de reguladores e usuários finais para aprimorar seus produtos.

Conclusão

O Projeto de Lei 2.338/2023 é um marco importante para a regulamentação da IA no Brasil, essa legislação, quando de sua aprovação, entenderá os sistemas de IA a partir de uma categorização assimétrica de riscos, prevendo que Sistemas com Riscos Excessivos à saúde ou segurança serão proibidos de serem utilizados; prevê, ainda, que as corporações deverão realizar uma APR de IA – Avaliação Preliminar de Riscos – e que se a APR conclui ser o sistema de Alto Risco - Sistemas que podem impactar significativamente direitos fundamentais, como os usados, por exemplo, em infraestruturas críticas - a organização será obrigada a realizar uma AIA - Avaliação de Impacto Algorítmico e deverá criar mecanismos de supervisão humana para mitigar riscos.

A realização de uma APR detalhada, seguida de uma AIA, se necessário, será essencial para que as empresas possam se beneficiar das oportunidades trazidas pela IA enquanto mitigam os riscos associados.

Na t-Risk, estamos comprometidos em garantir que nossas soluções estejam em conformidade com essas futuras exigências, ao mesmo tempo em que continuamos trabalhando para inovar e oferecer os melhores softwares de gestão de riscos para nossos clientes.

Estamos à disposição para discutir como as empresas podem se preparar para esse novo cenário regulatório e como nossas soluções podem apoiar a conformidade com o marco regulatório da IA.

Referência: PL n. 2.338/23

Pedro Gallo

Technical Support | IT Analyst | Cyber Security | Infrastructure | Customer Success

2 m

Excelente artigo, Dra. Taís! É ótimo ver a t-Risk - Plataforma de Avaliação de Riscos trabalhando para apoiar as empresas nesse novo cenário regulatório garantindo um uso responsável da IA. Parabéns pelo trabalho!

Entre para ver ou adicionar um comentário

Outras pessoas também visualizaram

Conferir tópicos