Geralzão sobre o projeto de lei no Senado que pode regular IA no Brasil

O PL estabelece o SIA, que inclui a Autoridade Nacional de Proteção de Dados (ANPD) como coordenadora.

Além da ANPD, integram o SIA: autoridades setoriais, o Conselho Permanente de Cooperação Regulatória de Inteligência Artificial (CRIA) e o Comitê de Especialistas e Cientistas de Inteligência Artificial (CECIA), cada um com funções específicas dentro do sistema.

Tanto o conselho (CRIA) como o comitê (CECIA) terão a participação da sociedade civil, que não possuía parte direta em versões anteriores do projeto de lei.

• O CECIA orienta e supervisiona tecnicamente o desenvolvimento e aplicação responsável da inteligência artificial.
• O CRIA produz diretrizes para colaboração entre autoridades setoriais e sociedade civil, sugere ações para o Sistema Nacional de Regulação e Governança de IA, realiza estudos e debates públicos sobre IA.

A autoridade competente, coordenadora do SIA, tem várias responsabilidades, incluindo representar o Brasil em organismos internacionais de IA, emitir normas sobre informações de sistemas de IA, procedimentos de avaliação de impacto algorítmico, comunicação de incidentes graves, entre outros.

Ela também supervisiona a aplicação das regras de IA no país e pode celebrar acordos regulatórios com outros integrantes do SIA.

O SIA analisará os critérios de risco para IAs, levando em conta implementação, impactos legais e sociais, potencial discriminatório, efeitos sistêmicos adversos e transparência.

A autoridade competente emitirá orientações normativas gerais e publicará uma lista consolidada de todos os sistemas de alto risco. As autoridades setoriais, por sua vez, detalharão os aspectos técnicos e específicos das aplicações de IA no mercado regulado.

O PL proíbe o desenvolvimento, implementação e uso de IAs que:

• Induzam comportamento danoso aos direitos fundamentais próprios ou de terceiros, ou explorem vulnerabilidades para induzir danos.
• Possibilitem ou facilitem a produção, criação ou disseminação de material de exploração sexual infantil.
• Realizem avaliações sobre a possibilidade de reincidência de crimes ou infrações penais.
• Sejam sistemas de armas autônomas (SAA).
• Criem “sistemas de pontuação de crédito social”, avaliando, classificando ou ranqueando pessoas com base em comportamentos e ações.
• Implementem sistemas de identificação biométrica à distância, como o reconhecimento facial, com quatro exceções para forças de segurança.

Além disso, o PL define outras aplicações específicas de IA que requerem atenção especial, sendo as de alto risco, como:

• Dispositivos de segurança para infraestruturas críticas que possam afetar a integridade física das pessoas ou a interrupção de serviços essenciais.
• Educação e formação profissional para acesso a instituições de ensino ou avaliação de estudantes.
• Recrutamento e gestão de trabalhadores, incluindo tomada de decisões sobre emprego e avaliação de desempenho.
• Avaliação de critérios de elegibilidade para serviços públicos essenciais.
• Classificação de chamadas e priorização de serviços como bombeiros e assistência médica.
• Apoio à administração da justiça, excluindo atividades administrativas.
• Uso de veículos autônomos em espaços públicos com potencial risco à segurança.
• Aplicações na saúde para auxiliar diagnósticos e procedimentos médicos.
• Análise de dados criminais para identificação de padrões comportamentais.
• Investigação administrativa para avaliação de elementos de prova e prevenção de infrações.
• Sistemas biométricos para reconhecimento de emoções, excluindo confirmação de identidade.
• Gestão da imigração e controle de fronteiras.
• Distribuição automatizada de conteúdo por provedores de aplicação com impacto significativo.

De acordo com a versão atual, os desenvolvedores de sistemas de IA precisarão avaliar e documentar as finalidades esperadas e critérios de uso conforme estabelecido em diferentes seções regulatórias.

Eles também deverão manter registros das avaliações preliminares dos sistemas nos últimos cinco anos para responsabilização.

A autoridade competente, com apoio das autoridades setoriais, pode reclassificar sistemas de IA e exigir avaliações mais detalhadas, assegurando direitos de defesa.

Já as autoridades setoriais determinarão quando avaliações preliminares podem ser simplificadas ou dispensadas, seguindo normas gerais estabelecidas.

O SIA poderá desenvolver novos critérios de avaliação para classificação preliminar de risco para sistemas de IA. Alguns critérios já previstos no projeto de lei incluem como modelos de alto risco aqueles que apresentem:

• Implementação em larga escala afetando muitas pessoas e áreas extensas.
• Produção de efeitos jurídicos ilícitos ou que prejudiquem acesso a serviços essenciais.
• Potencial para danos materiais, morais ou discriminatórios.
• Impacto significativo em grupos vulneráveis.
• Danos irreversíveis.
• Histórico negativo relevante.
• Falta de transparência, explicabilidade ou auditabilidade.
• Riscos sistêmicos como segurança cibernética.
• Benefícios versus riscos, com medidas mitigatórias.
• Riscos à saúde física, mental e social.
• Ameaça à integridade da informação e ao processo democrático.
• Impactos negativos a crianças e adolescentes.

Os direitos das pessoas afetadas por sistemas de IA que produzem efeitos jurídicos relevantes ou de alto risco incluem:

• Direito à informação prévia
• Direito à privacidade e proteção de dados pessoais, conforme estabelecido na Lei Geral de Proteção de Dados (LGPD)
• Direito à determinação e participação humana
• Direito à não-discriminação

Além disso, pessoas ou grupos afetados por tais sistemas têm direito a:

• Explicação sobre decisões, recomendações ou previsões feitas pelo sistema.
• Contestar e solicitar revisão das decisões do sistema.
• Revisão humana das decisões, considerando o contexto e o estado da tecnologia.

No que se refere à responsabilidade civil, o projeto de lei estabelece que se os danos forem causados por sistemas de IA usados por empresas ou pessoas, a definição da responsabilidade dependerá da autonomia do sistema de IA, do risco envolvido e do tipo de pessoa ou empresa que o utiliza.

No relatório, Gomes explicou que muitas das emendas parlamentares foram rejeitadas por proporem sanções penais para crimes ou infrações envolvendo IA.

Segundo o relator, o objetivo do texto é ser uma base técnica e principiológica.

O PL estabelece que as autoridades setoriais devem aprovar códigos de boas condutas dentro de suas competências legais, informando a autoridade competente, e seguir diretrizes para análise, divulgação e atualização periódica desses códigos.

Além disso, o texto permite que agentes de IA se associem voluntariamente como entidades sem fins lucrativos para promover autorregulação.

As funções da autorregulação incluem estabelecer critérios técnicos para aplicação de IA, compartilhar experiências, definir estruturas de governança, solicitar medidas cautelares às autoridades e adotar padrões internacionais de certificação.

Todas as atividades de autorregulação devem respeitar as regras da Lei n.º 12.529/2011, que protege a livre concorrência, proibindo práticas restritivas nesse sentido.

O SIA e as autoridades setoriais deverão criar diretrizes para definição de políticas públicas e cumprimento das seguintes regras, segundo a versão atual do PL:

• Mitigar os impactos negativos aos trabalhadores, como os riscos de automação.
• Potencializar os impactos positivos, melhorando a saúde, segurança e o desenvolvimento profissional.
• Fomentar negociações coletivas para melhorar as condições de trabalho.
• Ampliar os postos de trabalho e valorizar os trabalhadores atuais.
• Desenvolver programas contínuos de treinamento para os trabalhadores.
• Avaliar e mitigar os impactos negativos da IA no ambiente de trabalho.
• Coibir demissões em massa sem negociação coletiva.
• Garantir supervisão humana em decisões automatizadas sobre disciplina e demissões.

O PL estabelece que desenvolvedores de IA devem informar quais conteúdos protegidos foram utilizados durante o treinamento de seus sistemas, mas também define exceções onde a utilização automatizada de conteúdos protegidos para mineração de textos e dados não constitui violação de direitos autorais.

Essas exceções aplicam-se a organizações de pesquisa, jornalismo, museus, arquivos, bibliotecas e educacionais, desde que respeitem condições como acesso lícito, ausência de fins comerciais principais, e limitação ao necessário para o propósito de pesquisa ou desenvolvimento de IA.

O texto também fala sobre a questão da discriminação contra titulares de direitos autorais por parte de empresas de IA ou entidades vinculadas.

É considerada infração à ordem econômica prejudicar titulares de direitos autorais que estejam exercendo seus direitos conforme a legislação de IA.

Isso acontece quando um agente de IA ou uma entidade do mesmo grupo econômico prejudica o titular em serviços ou aplicações não diretamente ligados ao sistema de IA em que os direitos são exercidos.

No PL, a remuneração pelos direitos autorais utilizados em sistemas de IA deve ser calculada levando em conta o poder econômico do desenvolvedor de IA, o quanto os conteúdos são utilizados e os impactos competitivos resultantes para os detentores dos conteúdos originais.

Essa remuneração é aplicável apenas quando os sistemas de IA são disponibilizados comercialmente.

Isso significa que chatbots e geradores de imagem que têm versões pagas, como os da OpenAI, devem seguir essa regra ao utilizar conteúdos protegidos por direitos autorais.

O PL estabelece que as sanções são aplicadas após um processo administrativo que garante ampla defesa e considera a gravidade da infração, a boa-fé do infrator, o dano causado, entre outros critérios.

Medidas preventivas podem ser adotadas antes ou durante o processo se houver risco iminente de danos irreparáveis.

A autoridade competente definirá os procedimentos e critérios detalhados para aplicação das sanções, incluindo consulta pública e análise de impacto regulatório.