Marco Regulatório da Inteligência Artificial no Brasil - Projeto de Lei 2.338/2023
Autora do artigo: Taís Fernandes Duarte , sócia e diretora jurídica da t-Risk.
A Inteligência Artificial (IA) tem desempenhado um papel cada vez mais central em diversas áreas, trazendo inovações que desafiam os limites do que é possível em termos de eficiência e automação. Com o aumento do uso dessa tecnologia, o Projeto de Lei 2.338/2023, atualmente em tramitação no Congresso Nacional, propõe o estabelecimento de um marco regulatório para a IA no Brasil, com o objetivo de proteger direitos fundamentais e garantir a segurança e confiabilidade dos sistemas de IA.
Como diretora jurídica da t-Risk, empresa especializada na criação e licenciamento de softwares de gestão de riscos empresariais, considero fundamental que as corporações conheçam desde já as futuras exigências e responsabilidades que este marco legal trará.
1. Princípios e Fundamentos do Uso de IA
O projeto de lei estabelece que o desenvolvimento e uso de IA no Brasil devem ser guiados por princípios fundamentais, como a centralidade da pessoa humana, o respeito aos direitos humanos, a proteção ao meio ambiente e a transparência. Esses princípios servirão como base para todas as atividades relacionadas à IA e devem orientar as empresas na implementação de suas soluções tecnológicas.
2. Avaliação Preliminar de Riscos (APR)
A Avaliação Preliminar de Riscos (APR) será uma exigência para as empresas que pretendem implementar sistemas de IA. A APR é um processo que visa identificar, analisar e avaliar os riscos associados ao uso de um sistema de IA antes de sua implantação.
O principal objetivo da APR é mapear e mitigar os riscos potenciais que um sistema de IA pode representar para os direitos das pessoas, a segurança pública e o meio ambiente. Esse processo é especialmente relevante para sistemas de IA classificados como de alto risco, onde as consequências de um mau funcionamento ou de um viés não intencional podem ser significativas.
A realização de uma APR envolve várias etapas, que podem ser baseadas em normas e diretrizes internacionais, como a ISO 31000, que trata de gestão de riscos. A APR geralmente segue as seguintes etapas:
Normas e Diretrizes de Referência
A APR pode ser orientada por outras normas e diretrizes, além da mencionada ISO 31000:
3. Avaliação de Impacto Algorítmico (AIA)
Caso a APR conclua que o sistema de IA é de alto risco, a empresa será obrigada a realizar uma Avaliação de Impacto Algorítmico (AIA). A AIA é um processo mais aprofundado que visa garantir que os sistemas de IA de alto risco não causem danos significativos aos direitos fundamentais, à segurança ou ao meio ambiente.
A AIA é uma análise detalhada que busca avaliar os impactos éticos, legais e sociais de um sistema de IA antes de sua implementação em larga escala. Este processo é crucial para garantir que a IA seja utilizada de maneira responsável, especialmente em áreas sensíveis como infraestrutura crítica, educação, saúde e segurança pública.
A AIA deve ser conduzida por uma equipe multidisciplinar composta por cientistas de dados, juristas, especialistas em ética e gestores de riscos. Os principais passos incluem:
Assim como a Avaliação de Impacto Ambiental (AIA), que é realizada para prever os efeitos ambientais de grandes empreendimentos e mitigar seus impactos negativos, a Avaliação de Impacto Algorítmico segue uma lógica semelhante, mas focada nos impactos sociais, éticos e legais do uso da IA. Ambas as avaliações são extremamente importantes para garantir que o uso da tecnologia não cause danos irreversíveis e que seus benefícios sejam maximamente aproveitados.
4. Responsabilidade Civil
O Projeto de Lei 2.338/2023 estabelece que fornecedores e operadores de sistemas de IA serão responsáveis por quaisquer danos causados por esses sistemas. Para sistemas de alto risco, a responsabilidade civil será objetiva, significando que não é necessário provar culpa para que haja reparação, o que destaca a importância de realizar uma APR minuciosa e, se necessário, uma AIA rigorosa.
Recomendados pelo LinkedIn
5. Governança e Transparência
As empresas que operam sistemas de IA, especialmente aqueles classificados como de alto risco, devem implementar estruturas de governança robustas que garantam a transparência e a segurança dos sistemas. Isso inclui a documentação adequada dos processos e a implementação de medidas para mitigar vieses discriminatórios.
6. Direitos dos Afetados
O projeto de lei garante uma série de direitos às pessoas afetadas por sistemas de IA incluindo o direito à explicação das decisões automatizadas e o direito de contestar essas decisões. As empresas devem estar preparadas para fornecer informações claras e acessíveis aos usuários e para atender a solicitações de revisão humana das decisões tomadas pela IA.
7. Sanções e Penalidades
Em caso de descumprimento das normas estabelecidas pelo marco regulatório, as empresas estarão sujeitas a sanções que podem incluir advertências, multas significativas, suspensão das atividades e até a proibição de operação de determinados sistemas de IA.
8. Sandbox Regulatório
O Sandbox é um ambiente regulatório flexível que permite às empresas, especialmente startups e pequenas e médias empresas, testar seus produtos e serviços inovadores sob a supervisão das autoridades competentes. Esse ambiente controlado facilita a identificação e mitigação de riscos antes que a tecnologia seja lançada no mercado de forma ampla.
O principal objetivo do Sandbox é promover a inovação tecnológica, permitindo que as empresas experimentem novas soluções sem o peso imediato de todas as regulações. Isso ajuda a acelerar o desenvolvimento de tecnologias inovadoras, reduzindo barreiras de entrada e incentivando a competitividade no mercado.
Diversos stakeholders podem se beneficiar do Sandbox Regulatório:
Benefícios do Sandbox Regulatório:
O Sandbox Regulatório não apenas facilita a experimentação tecnológica, mas também incentiva a criação de soluções inovadoras que podem transformar setores inteiros. Ao oferecer um período de experimentação, as empresas podem desenvolver e ajustar seus sistemas de IA de forma iterativa, garantindo que eles atendam aos padrões de segurança e ética antes de uma implementação mais ampla.
Durante o período de sandbox, as empresas têm a oportunidade de:
Conclusão
O Projeto de Lei 2.338/2023 é um marco importante para a regulamentação da IA no Brasil, essa legislação, quando de sua aprovação, entenderá os sistemas de IA a partir de uma categorização assimétrica de riscos, prevendo que Sistemas com Riscos Excessivos à saúde ou segurança serão proibidos de serem utilizados; prevê, ainda, que as corporações deverão realizar uma APR de IA – Avaliação Preliminar de Riscos – e que se a APR conclui ser o sistema de Alto Risco - Sistemas que podem impactar significativamente direitos fundamentais, como os usados, por exemplo, em infraestruturas críticas - a organização será obrigada a realizar uma AIA - Avaliação de Impacto Algorítmico e deverá criar mecanismos de supervisão humana para mitigar riscos.
A realização de uma APR detalhada, seguida de uma AIA, se necessário, será essencial para que as empresas possam se beneficiar das oportunidades trazidas pela IA enquanto mitigam os riscos associados.
Na t-Risk, estamos comprometidos em garantir que nossas soluções estejam em conformidade com essas futuras exigências, ao mesmo tempo em que continuamos trabalhando para inovar e oferecer os melhores softwares de gestão de riscos para nossos clientes.
Estamos à disposição para discutir como as empresas podem se preparar para esse novo cenário regulatório e como nossas soluções podem apoiar a conformidade com o marco regulatório da IA.
Referência: PL n. 2.338/23
Technical Support | IT Analyst | Cyber Security | Infrastructure | Customer Success
2 mExcelente artigo, Dra. Taís! É ótimo ver a t-Risk - Plataforma de Avaliação de Riscos trabalhando para apoiar as empresas nesse novo cenário regulatório garantindo um uso responsável da IA. Parabéns pelo trabalho!