Mari Leal
Do reconhecimento facial para o desbloqueio de um celular, passando por assistentes no formato chatbot, como o ChatGPT, até a possibilidade de um carro autônomo. Essas e outras séries de ferramentas que dinamizam a vida humana diária operam tendo por base sistemas de inteligência artificial (IA). Com o intuito de regular o uso e a implementação de inteligências artificiais no Brasil, o Senado Federal se debruçará sobre o PL 2.338/2023, apresentado pelo presidente da Casa, Rodrigo Pacheco (PSD-MG), na última quarta-feira (3/5).
Otexto, que propõe a criação de um marco regulatório, chega ao Congresso com a ideia de concentrar a discussão e substituir projetos anteriores, considerados de menor alcance – como os PLs 5.051/2019, de autoria do senador Styvenson Valentim (Podemos-RN); 21/2020, do deputado Eduardo Bismarck (PDT-CE); e 872/2021, do senador Veneziano Vital do Rêgo (MDB-PB).
A proposta atual cria normas gerais de uso e implementação de IAs no território nacional, tendo como elementos centrais direitos e deveres do cidadão, proteção dos direitos fundamentais, a igualdade, respeito à democracia, além da classificação de risco de cada proposta diante de seu contexto de atuação. O texto traz definição de conceitos, designa uma autoridade competente para fiscalização e estabelece a possibilidade de solicitar explicações e intervenção humana.
A redação do PL tem por base o relatório final de uma comissão formada por 18 juristas de referência no Brasil, que, entre fevereiro e dezembro de 2022, promoveu reuniões, audiências públicas e seminário internacional para discutir o tema e alinhar o debate nacional aos princípios internacionais – a exemplo dos observados na União Europeia, Canadá, pela OCDE (Organização para a Cooperação e Desenvolvimento Econômico), hoje com 38 países associados, e a Unesco.
O relatório, entregue ao Senado em dezembro do ano passado, elencou cerca de 40 artigos, embasados em 900 páginas de fundamentações. “A gente poderia dizer que a principal característica da proposta é auxiliar uma abordagem baseada em riscos, com uma modelagem baseada em direitos”, explica Laura Schertel, relatora da iniciativa na comissão de juristas e professora da Universidade de Brasília (UnB) e do Instituto Brasiliense de Direito Público (IDP).
O texto substitutivo é dividido em nove capítulos e pode ser apreciado a partir de cinco eixos principais: fundamentos, direitos e deveres, categorização de riscos, governança e, por fim, supervisão e fiscalização. O projeto propõe um “olhar para todo o ciclo de vida da IA”, tal qual pontua Schertel. A ideia é antecipar a avaliação de possibilidades de danos e/ou impacto negativos em todas as etapas do sistema.
“Desde o começo, quando você estabelece qual o modelo. Antes ainda, quando se estabelecem quais são os dados que vão alimentar esse sistema, ou seja, você pode ter problemas com os dados, com a modelagem do sistema, pode ter problema no método estatístico ou na tomada de decisão. A diferença é você ver todo esse processo, conseguir abordar todo o ciclo e trazer mais segurança jurídica às empresas, assim como mais proteção para o indivíduo.”
Bruno Bioni, diretor-fundador do Data Privacy Brasil, que também integrou a comissão de juristas, avalia que, para o Brasil, ter uma proposta convergente com o debate internacional é benéfico do ponto de vista da inovação.
“Estamos falando de as organizações seguirem requisitos que não são completamente distintos daquilo que o Brasil coloca para o restante do mundo. Em termo qualitativo, ela [a proposta] é mais robusta. Em termo de quantidade de dispositivos, ela não só fala de princípios e de conceitos, mas estabelece parâmetros bastante concretos, ainda que não exaustivos, para que se tenha um uso e uma concepção responsável de IA.”
Classificação de riscos
O PL 2338/2023 adota como técnica regulatória principal a perspectiva de risco, ou seja, o peso da regulação será calibrado de forma dinâmica, de acordo com o risco envolvido na aplicação de determinada IA, em um contexto específico.
Conforme o texto, a classificação do risco — baixo, alto ou excessivo — é iniciada em uma avaliação preliminar, antes mesmo de aquele serviço ser colocado no mercado. Nesta etapa, a avaliação será feita pelo próprio fornecedor, que deverá definir também as finalidades e aplicações do referido sistema.
São considerados sistemas de “alto risco” os dispositivos de segurança na gestão de funcionamento de estruturas críticas, como os de controle de trânsito, redes de abastecimento de água e eletricidade; educação e formação profissional; recrutamento, triagem, filtragem e avaliação de candidatos no contexto do mundo do trabalho; avaliação de acesso ou revogação de serviços privados e públicos considerados essenciais; de avaliação da capacidade de endividamento; veículos autônomos, quando o uso gerar riscos à integridade física; sistemas biométricos e de identificação, entre outros.
A classificação de risco de uma inteligência artificial, no entanto, não será estanque, podendo ser atualizada pela autoridade competente — que ainda será definida — a depender da evolução daquele sistema ao longo do tempo.
Já as iniciativas de “risco excessivo” são aquelas que empregam técnicas subliminares com efeito de induzir o usuário a colocar em risco sua segurança, saúde e/ou outros direitos fundamentais definidos pelo texto, assim como sistemas que permitam ao poder público avaliar, classificar ou ranquear as pessoas naturais com base eu seus comportamentos sociais ou em atributos da sua personalidade para o acesso a serviços e políticas públicas. Neste caso, caberá a autoridade competente regulamentar a possibilidade ou impedir a implementação dos sistemas.
A definição dos graus de risco de um sistema é um dos pontos mais importantes do modelo regulatório adotado pelo PL, segundo Bioni.
“Você tem praticamente dois escopos de aplicação da lei. Um mais alargado, em que diferentes sistemas de IA estarão sob o guarda-chuva da lei, mas, ao mesmo tempo, não significa que eles vão ser regulados da mesma forma”, pontua. “Um carro autônomo, que circula em via pública e tem potencial de causar lesão física à vida de uma pessoa, vai demandar um cuidado muito maior do que simplesmente um sistema que automatiza um serviço de atendimento ao cliente”, exemplifica.
Ele acrescenta que “quem implementa vai ter que olhar e avaliar o impacto desse sistema de IA e entender como ela mitiga riscos de vieses, riscos de discriminação, riscos que têm sido chamados de ‘falsos positivos’”.
A regulação, portanto, é um processo continuado, tendo o regulador o desafio de olhar o processo como uma dinâmica de aprendizagem.
“Por isso que a gente fala que ela mescla uma abordagem ex-anteeex-post. Significa que, na entrada, já de forma antecipada, estabelece critérios e exemplos indicativos que podem ser considerados inteligências artificiais de risco excessivo, de risco alto e assim por diante. Mas também abre espaço para que a posteriori, ao entender como o sistema de IA tem se comportado e ganhado maturidade e resiliência, ela possa, dinamicamente, em uma linha do tempo mais alongada, fazer esse exame de taxionomia de riscos de forma mais dinâmica”, diz Bioni.
Regulação x fomento à inovação
Apesar de considerar importante a proposta apresentada no Senado, o advogado Gustavo Artese, sócio do escritório Artese Advogados, faz algumas ponderações, que podem, em sua análise, dar o tom do debate da matéria junto aos senadores. Para o especialista, o texto apresenta uma proposta “muito ampla e ambiciosa”, se considerado o tempo que se tem de tecnologia e os riscos investigados no contexto nacional.
“A gente não vê nenhum tipo de situação que uma IA criou dificuldade para alguém. A outra questão é que os maiores problemas de inteligência artificial são danos que vão ter alguém responsável por responder por esses danos. Então, o Código Civil, em tese, já é uma resposta. Não é como se estivéssemos em uma terra sem lei.”
Conforme reflete Artese, “as restrições feitas pela proposta podem inibir uma indústria nascente no Brasil, pois na visão dele os autores estariam “colocando muita obrigação”, tanto para o desenvolvedor quanto para o operador.
“A questão é timing e abrangência. Por que agora se não tem nenhuma lei no mundo? Os grandes países ainda estão discutindo. Por que a gente vai tomar um primeiro passo? A questão é o ganho líquido de fazer isso tão rápido. Sempre que você cria essas obrigações, está criando uma restrição no mercado à ação de empresas, por exemplo”, pondera.
Para ele, a regulação, nos moldes da proposta inicial, pode gerar ônus elevados a pequenas empresas e startups que já desenvolvem ou têm interesse em desenvolver soluções baseadas em IAs.
Bioni discorda do argumento. Para o diretor-fundador do Data Privacy Brasil, a “regulação não esfria a inovação”, pois “inovação e desenvolvimento econômico dependem de um mercado em que as trocas sejam baseadas na confiança”.
Perspectiva semelhante é defendida por Schertel: “Sistemas seguros, transparentes e justos beneficiam a toda a sociedade. Empresas, consumidores, o Estado, todo mundo ganha. Os parâmetros básicos que estão propostos vão trazer mais segurança jurídica e fazer com que todo mundo confie. O grande objetivo é fazer com que haja segurança nesses sistemas, fazer com que eles possam continuar sendo desenvolvidos, que não se tenha tanta judicialização sobre seus usos e riscos”, destaca.
Vale ressaltar que o texto protocolado nesta semana será submetido ao trâmite da Casa, passível de mudanças ao longo das discussões.
Em relação ao fomento, o PL define que, “a autoridade competente poderá autorizar o funcionamento de ambiente regulatório experimental para inovação em inteligência artificial (sandbox regulatório) para as entidades que o requererem e preencherem os requisitos especificados por esta Lei e em regulamentação”.
Supervisão e fiscalização
A autoridade competente para fins de implementação e fiscalização do marco regulatório da inteligência artificial no Brasil será definida pelo Poder Executivo. O texto, no entanto, lista as competências necessárias ao órgão.
A proposta descreve ainda as possíveis sanções aplicáveis aos agentes de IA em caso de infrações, podendo variar da mais branda, que é uma advertência, à sanção mais grave, que é a proibição do tratamento de determinada base de dados.
