A partir de domingo na União Europeia, os reguladores do bloco podem proibir o uso de sistemas de IA que considerem “risco inaceitável” ou prejudicial.
2 de fevereiro é o primeiro prazo de conformidade para a Lei de IA da UE, a abrangente estrutura regulatória de IA que o Parlamento Europeu finalmente aprovou em março passado, após anos de desenvolvimento. A lei entrou oficialmente em vigor em 1º de agosto; o que se segue agora é o primeiro dos prazos de conformidade.
Os detalhes estão estabelecidos no Artigo 5, mas, de forma ampla, a Lei é projetada para cobrir uma infinidade de casos de uso onde a IA pode aparecer e interagir com indivíduos, desde aplicações para consumidores até ambientes físicos.
Sob a abordagem do bloco, existem quatro níveis amplos de risco: (1) Risco mínimo (por exemplo, filtros de spam de e-mail) não enfrentará supervisão regulatória; (2) risco limitado, que inclui chatbots de atendimento ao cliente, terá uma supervisão regulatória leve; (3) alto risco — IA para recomendações de saúde é um exemplo — enfrentará uma supervisão regulatória pesada; e (4) aplicações de risco inaceitável — o foco dos requisitos de conformidade deste mês — serão proibidas completamente.
Algumas das atividades inaceitáveis incluem:
IA usada para pontuação social (por exemplo, construção de perfis de risco com base no comportamento de uma pessoa).
IA que manipula as decisões de uma pessoa de forma subliminar ou enganosa.
IA que explora vulnerabilidades como idade, deficiência ou status socioeconômico.
IA que tenta prever pessoas cometendo crimes com base em sua aparência.
IA que usa biometria para inferir características de uma pessoa, como sua orientação sexual.
IA que coleta dados biométricos “em tempo real” em locais públicos para fins de aplicação da lei.
IA que tenta inferir as emoções das pessoas no trabalho ou na escola.
IA que cria — ou expande — bancos de dados de reconhecimento facial ao coletar imagens online ou de câmeras de segurança.
As empresas que forem encontradas usando qualquer uma das aplicações de IA acima na UE estarão sujeitas a multas, independentemente de onde estejam sediadas. Elas poderão ser responsabilizadas por até €35 milhões (~$36 milhões), ou 7% de sua receita anual do ano fiscal anterior, o que for maior.
As multas não entrarão em vigor por algum tempo, observou Rob Sumroy, chefe de tecnologia do escritório de advocacia britânico Slaughter and May, em uma entrevista ao TechCrunch.
“As organizações devem estar totalmente em conformidade até 2 de fevereiro, mas… o próximo grande prazo que as empresas precisam estar cientes é em agosto”, disse Sumroy. “Até lá, saberemos quem são as autoridades competentes, e as multas e disposições de aplicação entrarão em vigor.”
Compromissos preliminares
O prazo de 2 de fevereiro é, de certa forma, uma formalidade.
No último setembro, mais de 100 empresas assinaram o Pacto de IA da UE, um compromisso voluntário para começar a aplicar os princípios da Lei de IA antes de sua entrada em aplicação. Como parte do Pacto, os signatários — que incluíam Amazon, Google e OpenAI — se comprometeram a identificar sistemas de IA que provavelmente seriam categorizados como de alto risco sob a Lei de IA.
Alguns gigantes da tecnologia, notavelmente Meta e Apple, pularam o Pacto. A startup francesa de IA Mistral, uma das críticas mais severas da Lei de IA, também optou por não assinar.
Isso não quer dizer que a Apple, Meta, Mistral ou outros que não concordaram com o Pacto não cumprirão suas obrigações — incluindo a proibição de sistemas inaceitavelmente arriscados. Sumroy aponta que, dada a natureza dos casos de uso proibidos delineados, a maioria das empresas não estará engajando nessas práticas de qualquer maneira.
“Para as organizações, uma preocupação chave em torno da Lei de IA da UE é se diretrizes, padrões e códigos de conduta claros chegarão a tempo — e, crucialmente, se eles fornecerão clareza sobre a conformidade”, disse Sumroy. “No entanto, os grupos de trabalho estão, até agora, cumprindo seus prazos sobre o código de conduta para… desenvolvedores.”
Possíveis isenções
Existem exceções a várias proibições da Lei de IA.
Por exemplo, a Lei permite que a aplicação da lei use certos sistemas que coletam biometria em locais públicos se esses sistemas ajudarem a realizar uma “busca direcionada” por, digamos, uma vítima de sequestro, ou para ajudar a prevenir uma “ameaça específica, substancial e iminente” à vida. Essa isenção requer autorização do órgão governante apropriado, e a Lei enfatiza que a aplicação da lei não pode tomar uma decisão que “produza um efeito legal adverso” sobre uma pessoa com base apenas nas saídas desses sistemas.
A Lei também faz exceções para sistemas que inferem emoções em locais de trabalho e escolas onde há uma “justificativa médica ou de segurança”, como sistemas projetados para uso terapêutico.
A Comissão Europeia, o ramo executivo da UE, disse que publicaria diretrizes adicionais em “início de 2025”, após uma consulta com as partes interessadas em novembro. No entanto, essas diretrizes ainda não foram publicadas.
Sumroy disse que também não está claro como outras leis em vigor podem interagir com as proibições e disposições relacionadas da Lei de IA. A clareza pode não chegar até mais tarde no ano, à medida que a janela de aplicação se aproxima.
“É importante que as organizações se lembrem de que a regulamentação da IA não existe isoladamente”, disse Sumroy. “Outras estruturas legais, como GDPR, NIS2 e DORA, interagirão com a Lei de IA, criando desafios potenciais — particularmente em torno de requisitos de notificação de incidentes sobrepostos. Entender como essas leis se encaixam será tão crucial quanto entender a própria Lei de IA.