A Comissão de Juristas submeteu hoje, dia 6 de dezembro, ao Senado Federal a proposta de substitutivo ao Projeto de Lei 21/20, que regula o desenvolvimento e a utilização de Inteligência Artificial no Brasil.
Diferentemente do texto original vindo da Câmara dos Deputados, que trazia apenas princípios éticos e diretrizes gerais, a proposta da Comissão traz uma série de obrigações de governança aos fornecedores e operadores de sistemas de Inteligência Artificial, escalonadas conforme categorias de risco da aplicação.
Nesse aspecto, o texto se aproxima da proposta de regulação Europeia (European AI Act) e se alinha ao modelo de legislação de proteção de dados (LGPD), no sentido de impor aos agentes que empregam a tecnologia um conjunto de deveres mínimos de mapeamento e de gestão de riscos, aos quais as empresas devem se adequar, respondendo, perante uma autoridade central, por sua conformação às melhores práticas estabelecidas na lei.
De acordo com o Substitutivo, o conceito de Inteligência Artificial abarca sistemas computacionais de diferentes graus de autonomia, seja por meio de aprendizado de máquina (machine learning), seja por meio de lógica e representação de conhecimento. Por sua vez, aqueles que desenvolvem um sistema de IA são chamados “Fornecedores”, enquanto os que empregam, utilizam, ou, de alguma forma, se beneficiam desses sistemas são “Operadores”, exceto se o uso for realizado em atividade de âmbito pessoal, de caráter não-profissional. Isso significa que uma ampla gama de empresas, não só aquelas empresas de I, mas aquelas que contratam e empregam a IA em suas atividades, deverão se adequar às obrigações de governança.
O ponto central do Substitutivo é a classificação de risco que determina as obrigações às quais os fornecedores e operadores estarão submetidos. Nessa perspectiva, o texto separa as aplicações de Inteligência Artificial em três diferentes categorias: inteligências artificiais de risco excessivo ou inaceitável (que são proibidas); inteligências artificiais de alto risco (sujeitas às avaliações de impacto); e inteligências artificiais de risco inferior a alto (sujeitas às obrigações globais propostas no Substitutivo). Para classificar uma IA entre os diferentes níveis de risco, o Substitutivo propõe uma “Avaliação Preliminar”, com critérios estabelecidos na lei, obrigatória para todos os agentes, quer sejam fornecedores quer sejam operadores.
Diferente da abordagem europeia, que apenas traz obrigações de governança para IA’s de alto risco, o Substitutivo contempla obrigações aplicáveis a todos os sistemas de Inteligência Artificial, independentemente do grau de risco. São elas: transparência quanto ao uso de IA na interação com usuários; adequação à proteção de dados pessoais e medidas de cibersegurança; além de medidas adequadas para gestão de dados no treinamento e na validação dos resultados do sistema.
Para as IA’s classificadas como de Alto Risco, conforme a lista de aplicações presente na lei, o Substitutivo propõe, além das obrigações comuns a todos os sistemas de IA, as seguintes: (i) documentação detalhada do processo de desenvolvimento e emprego do sistema de IA; (ii) uso de ferramenta de registro automático da operação do sistema; (iii) realização de testes de confiabilidade compatíveis com a aplicação pretendida; (iv) gestão de dados e medidas específicas para a mitigação e prevenção de vieses discriminatórios; (v) medidas de transparência para explicar o modo de funcionamento do sistema e viabilizar a explicabilidade dos seus resultados; (vi) realização de Avaliação de Impacto Algorítmico para mapeamento e indicação de medidas de mitigação dos riscos identificados. No caso de uso de sistemas de IA pelo poder público, há obrigações adicionais, como a realização de audiências públicas sobre a utilização pretendida e a publicização das avaliações preliminares dos sistemas em veículos de fácil acesso (e.g. os respectivos sítios eletrônicos).
São previstas sanções significativas para os agentes que não se adequarem aos parâmetros de governança previstos na lei. As sanções são medidas que variam de advertências a multas (limitadas a R$ 50 milhões, ou 2% do faturamento do grupo ou conglomerado no Brasil), publicização da infração, exclusão de regime de sandbox, entre outros. A proporcionalidade da sanção observará critérios, como os de gravidade da infração, boa-fé, condição econômica, grau de dano, reincidência etc.
Para a fiscalização e a aplicação das sanções, o Substitutivo propõe a designação de autoridade competente, a qual poderá, também, aplicar medidas cautelares e realizar acordos com agentes, conforme sua discricionariedade.
Além do enforcement pela autoridade administrativa, o Substitutivo traz uma abordagem baseada em direitos, que diverge do tratamento pela legislação europeia. São previstos uma série de direitos aos sujeitos impactados pela Inteligência Artificial, como o direito à explicação, contestação e revisão de decisões automatizadas que possam limitar acesso a direitos ou interesses significativos.
Isso significa que a lei abre espaço também para o ajuizamento, perante o Poder Judiciário, de pretensões perante fornecedores e operadores que desrespeitem esses direitos. Assim, não só pode haver pretensões quanto a danos causados por IA, como pela violação de direitos reflexos aos deveres procedimentais de governança. Ou seja, o Substitutivo, nesse sentido, é mais rigoroso e abrangente que a legislação europeia, por trazer um duplo enforcement, administrativo e judicial.
O Substitutivo introduz também um regime especial de responsabilidade civil no qual sistemas de IA de alto risco (ou de risco excessivo) implicam responsabilidade objetiva do fornecedor e/ou do operador daquele sistema, na medida da participação de cada um no dano causado. Para os casos de IA que não sejam de alto risco, o texto prevê uma presunção de culpa com inversão do ônus da prova em favor da vítima.
Em qualquer um dos casos são admitidos como excludentes de responsabilidade a demonstração de inexistência de nexo causal, da culpa exclusiva da vítima ou de terceiros, ou de fortuito externo. São preservados também os dispositivos do Código de Defesa do Consumidor, no que se refere à responsabilidade nas relações de consumo.
Outro ponto relevante e que merece destaque é a previsão de mecanismo de autorregulação regulada. Assim, a proposta permite que entidades setoriais proponham códigos de conduta e melhores práticas específicas para as aplicações de IA em suas respectivas atividades, buscando garantir a adesão das regras gerais de governança previstas na lei às realidades particulares de diferentes setores econômicos. Esses códigos de conduta, uma vez propostos, podem ser levados à autoridade central de Inteligência Artificial para validação.
O Substitutivo ainda será analisado pelo Senado Federal, mas, desde já, indicamos algumas boas práticas para empresas fornecedoras ou operadoras de IA:
- Atuar no debate legislativo no Senado e, posteriormente, em seu retorno à Câmara dos Deputados, para propor alterações e se mobilizar para participar de possíveis consultas ou audiências públicas;
- Mobilizar-se junto a entidades associativas para o início de discussão de autorregulação setorial sobre melhores práticas no desenvolvimento e na aplicação de IA em sua atividade, de modo a minimizar o impulso regulatório externo ao setor e proporcionar segurança jurídica às empresas, com um conjunto de regras de governança adaptados e congêneres à atividade, sem ônus excessivos, bem como em relação aos deveres de cuidado que deverão pautar as análises de responsabilidade civil, no âmbito judicial.
- Começar a se organizar internamente para levantamento dos sistemas de IA desenvolvidos ou operados pela empresa de modo a propiciar avaliações preliminares, com o objetivo de estruturar uma política de governança de IA. O levantamento preliminar de tipos e aplicações de Inteligência Artificial, na atividade econômica atual, é relevante para conhecer o grau de risco em jogo, o que deve incluir, não só os sistemas desenvolvidos internamente como aqueles contratados de fornecedores externos. Além disso, para empresas que operem ou forneçam IA’s já classificadas no Substitutivo como de alto risco, erguer, desde logo, mitigação de riscos, por meio de políticas de governança e avaliações de impacto, em relação a iniciativas “pioneiras” de membros do Ministério Público ou do Judiciário inspirados no texto legislativo proposto pela Comissão de Juristas.
Esse material possui caráter informativo, não constituindo opinião legal. As informações comunicadas foram consubstanciadas no mais elevado critério jurídico, com base na legislação atual, doutrina e jurisprudência, mas autoridades competentes, notadamente em razão da subjetividade e da interpretação da matéria, poderão manifestar entendimentos divergentes.