Marco Legal da Inteligência Artificial no Brasil (PL 2338/2023)

Marco Legal da Inteligência Artificial no Brasil (PL 2338/2023)

MicrosoftTeams-image - 2023-05-05T174420.147

Contexto e história dos PL’s envolvendo IA no Brasil

Desde 2019, projetos de lei sobre uso e desenvolvimento de sistemas de IA integram a pauta do Congresso Nacional, com as mais variadas orientações e metodologias. Pelo menos quatro projetos de lei já tramitaram sobre a matéria em nível federal: (i) PL 5051/2019, de autoria do Senador Styvenson Valentim; (ii) PL 21/2020, de autoria do Senador Eduardo Bismarck; (iii) PL 240/2020, de autoria do Deputado Federal Leo Moraes e, (iv) PL 872/2021, de autoria do Senador Eduardo Gomes.

Em 2021, o PL 21/20[1], conhecido por sua orientação principiológica, foi aprovado na Câmara dos Deputados “em regime de urgência” com aproximadamente três meses de tramitação. A aceleração exigida pelo projeto ensejou duras críticas devido à ausência de tempo hábil à maturação de ideias e ao debate junto aos setores interessados.

Diante desse cenário, em 30 de março de 2022, foi instaurada no Senado Federal a CJSUBIA[2], Comissão de Juristas responsável pela elaboração de um projeto substitutivo para regulamentação da IA no Brasil. O trabalho da Comissão teve como base projetos de lei[3] em trâmite no Congresso Nacional, bem como a escuta ativa de vários setores da sociedade, que subsidiaram seu plano de trabalho e o próprio anteprojeto a ser aprovado.

O resultado do trabalho parece ter culminado na publicação do PL 2338/2023, apresentado pelo Presidente do Senado, Rodrigo Pacheco, que incorporou ideias dos PL’s anteriores e do relatório da Comissão de Juristas – CJUSBIA.

O PL 2338/2023

O novo PL segue a linha da proposta da União Europeia (AI Act) para regulação do tema, ao prever o detalhamento de obrigações e responsabilidades aos fornecedores e operadores de IA no próprio texto da lei, o que difere completamente da abordagem principiológica do PL 21/20, oriundo da Câmara dos Deputados, e da ênfase na regulação setorial e forte investimento privado, dos EUA.

O que muda para as empresas caso o PL 2338/23 seja aprovado

Antes, alguns conceitos importantes:

– Fornecedor de sistema de Inteligência Artificial: pessoa natural ou jurídica, de natureza pública ou privada, que desenvolva um sistema de Inteligência Artificial, diretamente ou por encomenda, com vistas a sua colocação no mercado ou a sua aplicação em serviço por ela fornecido, sob seu próprio nome ou marca, a título oneroso ou gratuito;

– Operador de sistema de Inteligência Artificial: pessoa natural ou jurídica, de natureza pública ou privada, que empregue ou utilize, em seu nome ou benefício, sistema de Inteligência Artificial, salvo se o referido sistema for utilizado no âmbito de uma atividade pessoal de caráter não profissional;

– Agentes de Inteligência Artificial: fornecedores e operadores de sistemas de Inteligência Artificial;

– Autoridade competente: órgão ou entidade da Administração Pública Federal responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional a ser designada pelo Poder Executivo.

  1. Avaliação Preliminar e Classificação de Risco

Antes de disponibilizarem novas tecnologias no mercado, os fornecedores de IA deverão realizar avaliação prévia para classificar o grau de risco, com registro e documentação para responsabilização e prestação de contas no caso de o sistema de Inteligência Artificial não ser classificado como de risco alto.  

Os fornecedores de sistemas de Inteligência Artificial de propósito geral incluirão em sua avaliação preliminar as finalidades ou aplicações indicadas.

Caso o fornecedor classifique o risco inadequadamente, a autoridade fiscalizadora poderá instaurar investigação e determinar a reclassificação do sistema.

  • Classificação dos Riscos

IA de risco excessivo são proibidas, como:

  • quando empregarem técnicas subliminares que tenham por objetivo ou por efeito induzir a pessoa natural a se comportar de forma prejudicial ou perigosa à sua saúde ou segurança ou contra os fundamentos da lei;
  • quando explorarem quaisquer vulnerabilidades de grupos específicos de pessoas naturais;
  • pelo poder público, para avaliar, classificar ou ranquear as pessoas naturais, com base no seu comportamento social ou em atributos da sua personalidade, por meio de pontuação universal, para o acesso a bens e serviços e políticas públicas, de forma ilegítima ou desproporcional.

IA de alto risco deverão ter medidas extras de governança. Seguem alguns exemplos de finalidade: 

– Aplicações na área da saúde, inclusive as destinadas a auxiliar diagnósticos e procedimentos médicos;

– Avaliação da capacidade de endividamento das pessoas naturais ou estabelecimento de sua classificação de crédito;

– Sistemas biométricos de identificação;

– Recrutamento, triagem, filtragem, avaliação de candidatos, tomada de decisões sobre promoções ou cessações de relações contratuais de trabalho, controle e avaliação do desempenho nas áreas de emprego, gestão de trabalhadores e acesso ao emprego por conta própria;

– Aplicação como dispositivos de segurança na gestão e no funcionamento de infraestruturas críticas, tais como controle de trânsito e redes de abastecimento de água e de eletricidade;

– Educação e formação profissional, incluindo sistemas de determinação de acesso a instituições de ensino ou de formação profissional ou para avaliação e monitoramento de estudantes;

– Veículos autônomos, quando seu uso puder gerar riscos à integridade física de pessoas;

Caberá à autoridade competente atualizar a lista dos sistemas de IA de risco excessivo ou de alto risco, identificando novas hipóteses, com base em, pelo menos, um dos seguintes critérios:

– A implementação ser em larga escala, levando-se em consideração o número de pessoas afetadas e a extensão geográfica, bem como a sua duração e frequência;

– O sistema puder impactar negativamente o exercício de direitos e liberdades ou a utilização de um serviço;

– O sistema tiver alto potencial danoso de ordem material ou moral, bem como discriminatório;

– O sistema afetar pessoas de um grupo específico vulnerável;

– Serem os possíveis resultados prejudiciais do sistema de IA irreversíveis ou de difícil reversão;

– Um sistema de IA similar ter causado anteriormente danos materiais ou morais;

– Baixo grau de transparência, explicabilidade e auditabilidade do sistema de Inteligência Artificial, que dificulte o seu controle ou supervisão;

– Alto nível de identificabilidade dos titulares dos dados, incluindo o tratamento de dados genéticos e biométricos para efeitos de identificação única de uma pessoa singular;

– Quando existirem expectativas razoáveis do afetado quanto ao uso de seus dados pessoais no sistema de IA, em especial a expectativa de confidencialidade, como no tratamento de dados sigilosos ou sensíveis.

  • Governança dos Sistemas de IA

Os agentes de IA, para qualquer sistema, independentemente do risco, deverão implementar ao longo de todo o seu ciclo de vida, desde a concepção inicial até o encerramento de suas atividades e descontinuação, ao menos:

– Medidas de transparência quanto ao emprego de sistemas na interação com pessoas naturais, o que inclui o uso de interfaces ser humano-máquina adequadas e suficientemente claras e informativas;

– Transparência quanto às medidas de governança adotadas no desenvolvimento e emprego do sistema pela organização;

– Medidas de gestão de dados adequadas para a mitigação e prevenção de potenciais vieses discriminatórios;

– Legitimação do tratamento de dados conforme a legislação de proteção de dados;

– Adoção de parâmetros adequados de separação e organização dos dados para treinamento, teste e validação dos resultados do sistema; e

– Adoção de medidas adequadas de segurança da informação desde a concepção até a operação do sistema.

Além disso, o PL prevê a obrigatoriedade de adoção das seguintes medidas de governança para sistemas de “alto risco”:

– Documentação a respeito do funcionamento do sistema, incluindo todas as etapas relevantes para o seu ciclo de vida, tais como estágio de design, de desenvolvimento, de avaliação, de operação e de descontinuação do sistema;

– Uso de ferramentas de registro automático da operação do sistema, permitindo a avaliação da de acurácia, robustez e potenciais discriminatórios;

– Realização de testes para avaliação de níveis apropriados de confiabilidade, robustez, acurácia, precisão e cobertura;

– Medidas de gestão de dados para mitigar e prevenir vieses discriminatórios, incluindo avaliação dos dados com medidas apropriadas de controle de vieses cognitivos humanos e composição de equipe inclusiva responsável na concepção e desenvolvimento do sistema;

– Adoção de medidas técnicas para viabilizar a explicabilidade dos resultados do sistema; e

– Supervisão humana capaz de compreender, interpretar e corrigir os resultados e decisões do sistema.

Avaliação de Impacto Algorítmico

Fora isso, a Avaliação de Impacto Algorítmico é obrigatória sempre a IA for considerada de alto risco pela avaliação preliminar.

A autoridade competente será notificada sobre o sistema de alto risco, mediante o compartilhamento das avaliações preliminar e de impacto algorítmico.

A metodologia da avaliação de impacto conterá, ao menos, as seguintes etapas: (a) preparação; (b) cognição do risco; (c) mitigação dos riscos encontrados; e (d) monitoramento.

Garantidos os segredos industrial e comercial, as conclusões da avaliação de impacto serão públicas, contendo ao menos as seguintes informações:

– Descrição da finalidade pretendida para a qual o sistema será utilizado, assim como de seu contexto de uso e escopo territorial e temporal;

– Medidas de mitigação dos riscos, bem como o seu patamar residual, uma vez implementada tais medidas; e

– Descrição da participação de diferentes segmentos afetados, caso tenha ocorrido.

Boas práticas de Governança

De forma semelhante ao previso na LGPD, o PL prevê a possibilidade de que as empresas se organizem por meio de associações para a adoção de códigos de conduta ou o façam individualmente. A adesão voluntária a estes códigos poderá ser considerada indicativo de boa-fé por parte da empresa e será considerada como atenuante, pela autoridade competente, em caso de aplicações de sanções administrativas.

Assim, as empresas poderão formular “códigos de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, inclusive sobre reclamações das pessoas afetadas, as normas de segurança, os padrões técnicos, as obrigações específicas para cada contexto, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e as medidas de segurança técnicas e organizacionais apropriadas para a gestão dos riscos decorrentes da aplicação dos sistemas”.

O PL também prevê a adoção de um Programa de Governança de IA nas empresas, que deverá conter minimamente:  (i) processos e políticas internas que assegurem o cumprimento de normas e boas práticas; (ii) adaptação à estrutura, à escala e ao volume das operações do sistema e de seu potencial danoso; (iii) objetivo de estabelecer relação de confiança com as pessoas afetadas, por meio de atuação transparente; (iv) integração à estrutura geral de governança da empresa e aplicação de mecanismos de supervisão internos e externos; (v) planos de resposta para reversão dos possíveis resultados prejudiciais do sistema e (vi) atualização constante a partir de monitoramento contínuo e avaliações periódicas.

Direitos dos Usuários

As empresas deverão também se adequar para atender aos direitos dos usuários, incluindo, por exemplo, (i) o direito à explicação sobre o funcionamento dos sistemas de Inteligência Artificial, (ii) o direito à informação prévia sobre a utilização de IA em um determinado produto ou serviço, (iii) o direito à contestação das decisões e previsões de IA que afetem os interesses de usuários, entre outros.

O cumprimento do rol de direitos disposto no PL deverá implicar em alterações na organização e estrutura das empresas, a fim de que possam atender às exigências dentro dos prazos estabelecidos.

Comunicação de incidentes

Também merece destaque a comunicação obrigatória de incidentes graves relacionados ao uso da tecnologia. Segundo o texto, os desenvolvedores, fornecedores e usuários de sistemas de IA deverão comunicar imediatamente ao órgão regulador designado pelo governo qualquer incidente que envolva riscos significativos à saúde, segurança ou direitos fundamentais das pessoas.

Essa comunicação deverá ser feita de forma clara e objetiva, descrevendo as circunstâncias do incidente, as possíveis consequências para as pessoas envolvidas e as medidas adotadas para mitigar os riscos. O órgão regulador, por sua vez, deverá avaliar a gravidade desse incidente e determinar quais medidas devem ser adotadas para conter o impacto.

O PL estabelece, ainda, que a comunicação de incidentes graves não deverá prejudicar a responsabilidade civil, administrativa ou penal dos fornecedores ou operadores do sistema de IA. Em outras palavras, a obrigação de comunicar não isenta as empresas ou indivíduos de suas responsabilidades legais em caso de descumprimento da lei ou de danos causados a terceiros.

Responsabilidade Civil

Os agentes de IA que causem dano patrimonial, moral, individual ou coletivo são obrigados a repará-lo integralmente, independentemente do grau de autonomia do sistema.

Para IA de alto risco ou risco excessivo, o fornecedor ou operador respondem objetivamente pelos danos causados, na medida de sua participação no dano.

Quando não se tratar de sistema de Inteligência Artificial de alto risco, a culpa do agente causador do dano será presumida, aplicando-se a inversão do ônus da prova em favor da vítima.

Supervisão, Fiscalização e Sanções Administrativas

O projeto determina que o Poder Executivo designe uma autoridade competente para zelar pelo cumprimento das normas estabelecidas, expedição de novos regulamentos e aplicação de sanções administrativas em caso de violação.

No caso de ocorrência de incidente causado pelo uso irresponsável da IA, as empresas poderão ser penalizadas na seara administrativa com:

  • Advertência;
  • Multa simples, limitada, no total, a R$ 50 milhões por infração, sendo, no caso de pessoa jurídica de direito privado, de até 2% do seu faturamento;
  • Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • Proibição ou restrição para participar de regime de sandbox regulatório previsto na Lei, por até cinco anos;
  • Suspensão parcial ou total, temporária ou definitiva, do desenvolvimento, fornecimento ou operação do sistema de Inteligência Artificial;
  • Proibição de tratamento de determinadas bases de dados.

Medidas para fomentar a inovação

Também são previstas medidas para fomentar a inovação no mercado de Inteligência Artificial no Brasil, com destaque para a criação de um ambiente regulatório experimental (“sandbox regulatório”).

De acordo com o artigo 38 do PL, a autoridade competente poderá autorizar sandbox regulatório para as empresas que o requererem e preencherem os requisitos do PL e da regulamentação que será criada sobre este tema específico.

No requerimento a ser apresentado pelas empresas requerentes deverá ser demonstrado o seguinte: “(i)  inovação no emprego da tecnologia ou no uso alternativo de tecnologias existentes; (ii) aprimoramentos no sentido de ganhos de eficiência, redução de custos, aumento de segurança, diminuição de riscos, benefícios à sociedade e a consumidores, entre outros; (iii) plano de descontinuidade, com previsão de medidas a serem tomadas para assegurar a viabilidade operacional do projeto uma vez encerrado o período da autorização do sandbox regulatório”.

Nossa equipe de Inteligência Artificial permanece à disposição.

[1] Projeto aprovado na forma do substitutivo da relatora, Deputada Federal Luisa Cansiani (PTB). Disponível em: https://www.camara.leg.br/propostas-legislativas/2236340.

[2] Comissão de Juristas responsável por subsidiar a elaboração de minuta de substitutivo para instruir a apreciação dos Projetos de Lei nº s 5.051, de 2019, 21, de 2020, e 872, de 2021, que têm como objetivo estabelecer princípios, regras, diretrizes e fundamentos para regular o desenvolvimento e a aplicação da Inteligência Artificial no Brasil, criada pelo Ato do Presidente do Senado Federal nº 4, de 17 de fevereiro de 2022. Disponível em: https://legis.senado.leg.br/sdleg-getter/documento/download/211b69b7-dfcf-45fd-9de6-763becafca90.

[3] Projeto de Lei nº 21 de 2020, Projeto de Lei nº 5051 de 2019 e Projeto de Lei nº 872 de 2021. Disponível em: https://legis.senado.leg.br/comissoes/comissao?codcol=2504.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp

Últimas

Tags

#direitodigital #empresas #LGPD2ANOS #opiceblum advocacia advogado ANPD bancocentral CEO cibersegurança CLO compliance dadospessoais Dados Pessoais dinheiro direito direitodigital direitotributário DPO economia empresas Fake news finanças GDPR IA incidentedesegurança Inovação Inteligência Artificial InteligênciaArtificial internet LGPD metaverso negócios opiceblum pequenasempresas Privacidade proteçãodedados proteção de dados Proteção de Dados segurançacibernética segurançadainformação startups STF tecnologia VisualLaw
Cadastre-se em nossa newsletter

Quer receber nossa newsletter com notícias especializadas, cursos e eventos?
Registre seu e-mail.

*Para saber como tratamos seus dados pessoais, consulte nosso Aviso de Privacidade.

Al. Joaquim Eugênio de Lima, 680,
1º andar, Jardim Paulista – São Paulo / SP

© 2023 Todos os direitos reservados. | Site designed by FutureBrand
© 2023 Todos os direitos reservados. | Build by Mamutt

+55 11 2189-0061
contato@opiceblum.com.br

Aviso de privacidade | Política de Cookies
Fale Conosco

Linkedin Instagram Facebook-f Youtube
Cadastre-se em nossa newsletter

Quer receber nossa newsletter com notícias especializadas, cursos e eventos?
Registre seu e-mail.

*Para saber como tratamos seus dados pessoais, consulte nosso Aviso de Privacidade.

Al. Joaquim Eugênio de Lima, 680,
1º andar, Jardim Paulista – São Paulo / SP

© 2023 Todos os direitos reservados. | Site designed by FutureBrand

Al. Joaquim Eugênio de Lima, 680,

1º andar, Jardim Paulista – São Paulo / SP

+55 11 2189-0061
contato@opiceblum.com.br

Linkedin Instagram Facebook-f Youtube

Aviso de privacidade
Política de Cookies
Fale Conosco

© 2023 Todos os direitos reservados.
| Site designed by FutureBrand
| Build by Mamutt