O regulamento baseado em risco da União Europeia para inteligência artificial — também conhecido como Lei de IA da UE — está em elaboração há anos. Mas espere ouvir muito mais sobre a regulamentação nos próximos meses (e anos) à medida que os principais prazos de conformidade entram em vigor. Enquanto isso, continue lendo para uma visão geral da lei e seus objetivos.
Então, o que a UE está tentando alcançar? Volte no tempo para abril de 2021, quando a Comissão publicou a proposta original e os legisladores a moldaram como uma lei para fortalecer a capacidade do bloco de inovar em IA, promovendo a confiança entre os cidadãos. A estrutura garantiria que as tecnologias de IA permanecessem “centradas no ser humano”, ao mesmo tempo em que ofereceria às empresas regras claras para trabalhar sua mágica de aprendizado de máquina, sugeriu a UE.
A crescente adoção da automação em toda a indústria e sociedade certamente tem o potencial de supercarregar a produtividade em vários domínios. Mas também apresenta riscos de danos em rápida escala se os resultados forem ruins e/ou onde a IA intersecta com os direitos individuais e falha em respeitá-los.
O objetivo do bloco com a Lei de IA é, portanto, impulsionar a adoção de IA e crescer um ecossistema local de IA, estabelecendo condições que visam diminuir os riscos de que as coisas possam dar terrivelmente errado. Os legisladores acreditam que ter guardrails em vigor aumentará a confiança dos cidadãos e a adesão à IA.
Essa ideia de fomentar um ecossistema por meio da confiança foi bastante inofensiva no início da década, quando a lei estava sendo discutida e elaborada. No entanto, objeções foram levantadas em alguns setores, alegando que era simplesmente cedo demais para regulamentar a IA e que a inovação e competitividade europeias poderiam sofrer.
Poucos diriam que é cedo demais agora, é claro, dado como a tecnologia explodiu na consciência mainstream devido ao boom nas ferramentas de IA generativa. Mas ainda existem objeções de que a lei prejudica as perspectivas dos empreendedores de IA locais, apesar da inclusão de medidas de apoio, como sandbox regulatórias.
Ainda assim, o grande debate para muitos legisladores agora gira em torno de como regular a IA, e com a Lei de IA a UE traçou seu curso. Os próximos anos serão todos sobre o bloco executando o plano.
O que a Lei de IA exige?
A maioria dos usos de IA não é regulamentada pela Lei de IA, pois cai fora do escopo das regras baseadas em risco. (Vale notar que os usos militares da IA estão totalmente fora do escopo, uma vez que a segurança nacional é uma competência legal dos estados membros, e não da UE).
Para os usos da IA que estão dentro do escopo, a abordagem baseada em risco da lei estabelece uma hierarquia onde um punhado de possíveis casos de uso (por exemplo, “técnicas subliminares, manipulativas e enganosas prejudiciais” ou “pontuação social inaceitável”) são enquadrados como portadores de “risco inaceitável” e, portanto, são banidos. No entanto, a lista de usos banidos está repleta de exceções, o que significa que mesmo o pequeno número de proibições da lei carrega muitas ressalvas.
Por exemplo, uma proibição do uso da identificação biométrica remota em tempo real pela aplicação da lei em espaços publicamente acessíveis não é a proibição total que alguns parlamentares e muitos grupos da sociedade civil pressionaram, com exceções permitindo seu uso para certos crimes.
O próximo nível abaixo do risco inaceitável/uso banido é o caso de uso de “alto risco” — como aplicativos de IA usados para infraestrutura crítica; aplicação da lei; educação e treinamento profissional; saúde; e mais — onde os desenvolvedores de aplicativos devem realizar avaliações de conformidade antes do lançamento no mercado, e de forma contínua (como quando fazem atualizações substanciais nos modelos).
Isso significa que o desenvolvedor deve ser capaz de demonstrar que está atendendo aos requisitos da lei em áreas como qualidade de dados, documentação e rastreabilidade, transparência, supervisão humana, precisão, cibersegurança e robustez. Eles devem implementar sistemas de qualidade e gerenciamento de riscos para que possam demonstrar conformidade se uma autoridade de fiscalização aparecer para realizar uma auditoria.
Sistemas de alto risco que são implantados por entidades públicas também devem ser registrados em um banco de dados público da UE.
Há também uma terceira categoria de “risco médio”, que aplica obrigações de transparência a sistemas de IA, como chatbots ou outras ferramentas que podem ser usadas para produzir mídia sintética. Aqui a preocupação é que eles podem ser usados para manipular as pessoas, então esse tipo de tecnologia requer que os usuários sejam informados de que estão interagindo com ou visualizando conteúdo produzido por IA.
Todos os outros usos de IA são automaticamente considerados de baixo/minimal risco e não são regulamentados. Isso significa que, por exemplo, usar IA para classificar e recomendar conteúdo de mídia social ou direcionar publicidade não tem obrigações sob essas regras. Mas o bloco incentiva todos os desenvolvedores de IA a seguir voluntariamente as melhores práticas para aumentar a confiança do usuário.
Esse conjunto de regras baseadas em risco em camadas compõe a maior parte da Lei de IA. Mas também existem alguns requisitos dedicados para os modelos multifacetados que sustentam as tecnologias de IA generativa — que a Lei de IA se refere como modelos de “IA de propósito geral” (ou GPAIs).
Esse subconjunto de tecnologias de IA, que a indústria às vezes chama de “modelos fundamentais”, normalmente se senta a montante de muitos aplicativos que implementam inteligência artificial. Os desenvolvedores estão aproveitando APIs dos GPAIs para implantar as capacidades desses modelos em seu próprio software, muitas vezes ajustados para um caso de uso específico para agregar valor. Tudo isso para dizer que os GPAIs rapidamente ganharam uma posição poderosa no mercado, com o potencial de influenciar resultados de IA em larga escala.
A GenAI entrou na conversa…
A ascensão da GenAI não apenas reformulou a conversa em torno da Lei de IA da UE; levou a mudanças no próprio regulamento, à medida que o longo processo legislativo do bloco coincidiu com a hype em torno de ferramentas de GenAI como o ChatGPT. Os legisladores do parlamento europeu aproveitaram a oportunidade para responder.
Os MEPs propuseram adicionar regras adicionais para GPAIs — ou seja, os modelos que sustentam ferramentas de GenAI. Isso, por sua vez, aguçou a atenção da indústria de tecnologia sobre o que a UE estava fazendo com a lei, levando a um intenso lobby por uma isenção para GPAIs.
A empresa francesa de IA Mistral foi uma das vozes mais altas, argumentando que as regras sobre os fabricantes de modelos prejudicariam a capacidade da Europa de competir contra gigantes da IA dos EUA e da China. Sam Altman, da OpenAI, também contribuiu, sugerindo, em uma observação lateral a jornalistas, que poderia retirar sua tecnologia da Europa se as leis se tornassem muito onerosas, antes de rapidamente voltar ao tradicional lobby de pressão sobre os poderosos regionais após a UE chamá-lo sobre essa ameaça desajeitada.
Altman aprendendo sobre diplomacia europeia foi um dos efeitos colaterais mais visíveis da Lei de IA.
O resultado de todo esse barulho foi uma corrida para concluir o processo legislativo. Levou meses e uma maratona de uma sessão final de negociações entre o parlamento europeu, o Conselho e a Comissão para levar o arquivo adiante no ano passado. O acordo político foi selado em dezembro de 2023, abrindo caminho para a adoção do texto final em maio de 2024.
A UE anunciou a Lei de IA como uma “primeira global”. Mas ser o primeiro nesse contexto de tecnologia de ponta significa que ainda há muitos detalhes a serem trabalhados, como estabelecer os padrões específicos em que a lei se aplicará e produzir orientações detalhadas de conformidade (Códigos de Prática) para que o regime de supervisão e construção de ecossistemas que a Lei prevê funcione.
Portanto, em termos de avaliar seu sucesso, a lei ainda é um trabalho em progresso — e assim permanecerá por muito tempo.
Para GPAIs, a Lei de IA continua a abordagem baseada em risco, com (apenas) requisitos mais leves para a maioria desses modelos.
Para GPAIs comerciais, isso significa regras de transparência (incluindo requisitos de documentação técnica e divulgações sobre o uso de material protegido por direitos autorais usado para treinar modelos). Essas disposições têm como objetivo ajudar os desenvolvedores a jusante com sua própria conformidade com a Lei de IA.
Há também um segundo nível — para os GPAIs mais poderosos (e potencialmente arriscados) — onde a Lei aumenta as obrigações sobre os fabricantes de modelos, exigindo avaliação proativa de riscos e mitigação de riscos para GPAIs com “risco sistêmico”.
Aqui, a UE está preocupada com modelos de IA muito poderosos que podem representar riscos à vida humana, por exemplo, ou mesmo riscos de que os fabricantes de tecnologia percam o controle sobre o desenvolvimento contínuo de IAs autoaperfeiçoadas.
Os legisladores decidiram confiar em um limite de computação para o treinamento de modelos como um classificador para esse nível de risco sistêmico. Os GPAIs entrarão nessa categoria com base na quantidade acumulada de computação usada para seu treinamento, medida em operações de ponto flutuante (FLOPs) superiores a 10²⁵.
Até agora, nenhum modelo é considerado dentro do escopo, mas é claro que isso pode mudar à medida que a GenAI continua a se desenvolver.
Há também alguma margem para especialistas em segurança de IA envolvidos na supervisão da Lei de IA sinalizarem preocupações sobre riscos sistêmicos que possam surgir em outros lugares. (Para mais informações sobre a estrutura de governança que o bloco elaborou para a Lei de IA — incluindo os vários papéis do Escritório de IA — consulte nosso relatório anterior).
O lobby de Mistral e outros resultou em um afrouxamento das regras para GPAIs, com requisitos mais leves para provedores de código aberto, por exemplo (sorte da Mistral!). P&D também ganhou uma isenção, significando que GPAIs que ainda não foram comercializados caem totalmente fora do escopo da Lei, sem que mesmo os requisitos de transparência se apliquem.
Uma longa marcha em direção à conformidade
A Lei de IA entrou oficialmente em vigor em toda a UE em 1º de agosto de 2024. Essa data essencialmente disparou um sinal de partida, pois os prazos para cumprir diferentes componentes estão programados para atingir em intervalos diferentes, desde o início do próximo ano até cerca de meados de 2027.
Alguns dos principais prazos de conformidade são seis meses após a entrada em vigor, quando as regras sobre casos de uso proibidos entram em vigor; nove meses quando os Códigos de Prática começam a se aplicar; 12 meses para requisitos de transparência e governança; 24 meses para outros requisitos de IA, incluindo obrigações para alguns sistemas de alto risco; e 36 meses para outros sistemas de alto risco.
Parte da razão para essa abordagem escalonada às disposições legais é dar às empresas tempo suficiente para organizar suas operações. Mas mais do que isso, está claro que o tempo é necessário para os reguladores trabalharem o que a conformidade significa nesse contexto de ponta.
No momento da redação, o bloco está ocupado formulando orientações para vários aspectos da lei antes desses prazos, como Códigos de Prática para fabricantes de GPAIs. A UE também está consultando sobre a definição da lei de “sistemas de IA” (ou seja, quais softwares estarão dentro ou fora do escopo) e esclarecimentos relacionados a usos banidos de IA.
A imagem completa do que a Lei de IA significará para as empresas em escopo ainda está sendo delineada e desenvolvida. Mas detalhes-chave devem ser definidos nos próximos meses e no primeiro semestre do próximo ano.
Uma coisa a mais a considerar: Como consequência do ritmo de desenvolvimento no campo da IA, o que é necessário para permanecer do lado certo da lei provavelmente continuará a mudar à medida que essas tecnologias (e seus riscos associados) continuem evoluindo também. Portanto, este é um livro de regras que pode muito bem precisar permanecer um documento vivo.
Fiscalização das regras de IA
A supervisão dos GPAIs é centralizada em nível da UE, com o Escritório de IA desempenhando um papel fundamental. As penalidades que a Comissão pode alcançar para fazer cumprir essas regras podem chegar a 3% do faturamento global dos fabricantes de modelos.
Em outros lugares, a aplicação das regras da Lei para sistemas de IA é descentralizada, o que significa que será responsabilidade das autoridades de nível estadual (plural, já que pode haver mais de um órgão de supervisão designado) avaliar e investigar questões de conformidade para a maior parte dos aplicativos de IA. Como essa estrutura funcionará, ainda está por ser visto.
No papel, as penalidades podem chegar a 7% do faturamento global (ou €35 milhões, o que for maior) por violações de usos banidos. Violações de outras obrigações de IA podem ser sancionadas com multas de até 3% do faturamento global ou até 1,5% por fornecer informações incorretas aos reguladores. Portanto, há uma escala deslizante de sanções que as autoridades de fiscalização podem recorrer.