Demócrito Reinaldo Filho – Desembargador do TJPE
Após três dias de intensos debates, representantes do Parlamento Europeu e do Conselho da Europa[1] chegaram a um acordo prévio sobre o texto final do Artificial Intelligente Act (ou simplesmente AI Act), a proposta europeia para regulamentação das tecnologias de inteligência artificial. O acordo conseguido na noite da última sexta-feira (dia 08.12.23) coloca a União Europeia à frente dos Estados Unidos e da China na corrida pela regulamentação dessa tecnologia, por se tratar do texto legislativo mais abrangente já editado sobre sistemas que usam inteligência artificial[2].
O processo legislativo ordinário no âmbito da União Europeia tem a peculiaridade da divisão do poder de legislar, também chamado de processo de “codecisão” por colocar o Parlamento (órgão de parlamentares eleitos diretamente pelos cidadãos europeus) em pé de igualdade com o Conselho da Europa (composto por ministros de governo de cada ente nacional). O direito de iniciativa legislativa é sempre da Comissão Europeia, braço executivo da UE. Depois que a Comissão apresenta uma proposta legislativa, o texto tramita separadamente pelo Conselho e pelo Parlamento. Ambos os órgãos, de acordo com o processo legislativo ordinário, têm as mesmas funções: analisar a legislação, levantar questionamentos e sugerir adição, subtração ou alteração de pontos. Depois disso, seguem os diálogos para se buscar um consenso em torno da proposta. Como a Comissão Europeia também participa nessa fase final das negociações, os debates interinstitucionais são chamados de “trílogos” (conversas entre três partes). Quando se chega ao acordo final, o texto acordado é adotado como ato legislativo (na forma de uma diretiva, de um regulamento ou de uma decisão conjunta).
O texto original do AI Act já havia sido proposto pela Comissão Europeia desde abril de 2021, com uma abordagem regulatória calcada na hierarquização dos riscos oferecidos por sistemas e tecnologias que usam IA. Segundo essa visão regulatória baseada nos riscos (risk-based regulatory approach), as restrições e exigências aumentam conforme maiores sejam os riscos que os sistemas de IA possam oferecer a direitos e garantias fundamentais dos indivíduos. Os níveis de regulação são diferentes de acordo com os riscos, variam conforme os riscos que os sistemas de IA possam apresentar a valores da sociedade e direitos das pessoas.
Nessa acepção, a proposta classifica os sistemas de IA em quatro diferentes patamares de risco: os de “risco inaceitável” (unacceptable risk), os de “risco elevado” (high-risk), os de “risco limitado” (limited risk) e os de “risco mínimo” (minimal risk). O desenvolvimento e utilização de sistemas que apresentem “risco inaceitável” são completamente vedados, em razão do elevado potencial de vulneração de direitos fundamentais[3]. Para os sistemas de risco elevado, o AI Act impõe severas restrições ao desenvolvimento, adoção e uso. Sistemas incluídos nessa categoria sujeitam o provedor a obrigações de documentação, rastreabilidade, supervisão humana e outras imposições indispensáveis para mitigar consequências danosas aos usuários[4]. Já os sistemas de risco limitado estão sujeitos apenas a algumas obrigações de transparência, para propiciar ao usuário tomar decisões informadas, de modo a continuar ou interromper o uso da ferramenta. Os sistemas que oferecem risco mínimo não são objeto de qualquer tipo de obrigação[5].
A versão final do texto acordada não afeta a abordagem regulatória original baseada nos riscos, mas os eurodeputados e a Presidência do Conselho Europeu tiveram que negociar exaustivamente os pontos que geravam maiores controvérsias.
Umas das questões de mais difícil solução envolveu a regulação de sistemas baseados em inteligência artificial generativa, cujo modelo mais conhecido é o ChatGPT. A versão original do AI Act apresentada pela Comissão Europeia em abril de 2021 não trazia qualquer regra específica para os “modelos fundacionais” ou modelos de base, assim considerados os modelos algorítmicos que são capazes de desenvolver diferentes tarefas e que podem ser utilizados em outros sistemas de IA mais específicos. Não havia previsão porque a tecnologia da IA generativa só ficou conhecida do grande público com o lançamento do dispositivo conversacional (chatbot) da OpenAI, em novembro de 2022. Foi por essa época que a empresa de tecnologia estadunidense lançou a versão beta do CHatGPT para uso público, descortinando uma nova realidade e revelando um novo tipo de tecnologia não divisada pelos legisladores europeus. O lançamento do ChatGPT foi um verdadeiro divisor de águas, em razão de sua capacidade descomunal de produzir textos, responder a perguntas sobre praticamente todos os assuntos e estabelecer conversações com raciocínio lógico[6].
Esse tipo de tecnologia colocou a inteligência artificial generativa (generative artificial intelligence) no centro dos debates, em razão dos seus impactos sobre os direitos e segurança das pessoas. Os modelos de linguagem generativa aumentam os riscos de propagação da desinformação, podem violar ou utilizar de forma indevida dados pessoais e também, pela forma como processam os dados, têm potencial para desrespeitar direitos autorais[7].
A primeira reação dos legisladores europeus foi de enquadrar os modelos de base dentro do figurino jurídico traçado para os sistemas de IA de risco elevado. Dois deputados europeus chegaram a apresentar emenda ao AI Act com esse propósito, em março deste ano[8]. Mas quando da votação da proposta de regulamento no Parlamento Europeu, em junho deste ano, a maioria dos eurodeputados entendeu que classificar a inteligência artificial generativa como de “alto risco” poderia embotar o desenvolvimento dessa tecnologia. Prevaleceu o entendimento de se criar para a inteligência artificial generativa um regime jurídico específico, um disciplinamento híbrido, formado por algumas das obrigações atribuídas aos sistemas de IA de “alto risco” e outras especificamente talhadas para esse tipo de tecnologia.
Na versão do AI Act votada pelo Parlamento Europeu, em 14 de junho deste ano, foram estabelecidos requisitos e obrigações específicas para os modelos de base, tendo em conta a complexidade da cadeia de distribuição desses modelos. Para atenuar os riscos e danos potenciais, foram estabelecidas, por exemplo, medidas de governança de dados, incluindo filtragem das fontes de dados e avaliação de eventuais enviesamentos. Com a finalidade de dar mais segurança, foram criados requisitos de concepção técnica, com obrigação de avaliação, análises documentadas e testes exaustivos, durante a concepção e desenvolvimento do modelo. Foram criadas ainda normas ambientais, estabelecendo-se para os desenvolvedores dos modelos de base a obrigação de concebê-los e desenvolvê-los de maneira a reduzir o consumo de energia e de recursos naturais.
Ainda na versão adotada em junho pelo Parlamento Europeu, os modelos de base com funcionalidades generativas também deveriam cumprir com obrigações de transparência, de modo a deixar claro para os usuários que o conteúdo é gerado por um sistema de IA, e não por seres humanos. Quando os dados de treinamento envolver material protegido pelo direito autoral, os desenvolvedores deveriam documentar e disponibilizar ao público um resumo dos dados utilizados. Para aumentar ainda mais a transparência para o público, os legisladores europeus adotaram para os modelos base um requisito já exigido para os sistemas de risco elevado: a necessidade de cadastrá-los em uma base de dados da UE que será criada e gerida pela Comissão Europeia.
Em razão de os modelos de base servirem como estrutura fundamental que pode ser incorporada em sistemas de IA mais específicos, a versão do regulamento aprovado em junho pelo Parlamento ainda impôs aos desenvolvedores desses modelos a obrigação de colaborar com os fornecedores downstream – fornecedores finais da cadeia de distribuição (distribuidor, importador ou responsável pela implantação). Quando o modelo de base estiver diretamente integrado num sistema de IA de risco elevado, o fornecedor deveria elaborar e manter a documentação técnica e instruções de utilização, a fim de permitir que os fornecedores em cadeia também possam prestar as informações sobre uso dos sistemas derivados aos usuários finais. Os fornecedores de “modelos de fundação” ainda teriam a obrigação de estabelecer um sistema de gestão de qualidade, para garantir e documentar o cumprimento das obrigações estabelecidas no regulamento[9].
Esses requisitos e obrigações específicas não equivalem a considerar os modelos de base como sistemas de IA de risco elevado, para os quais o regulamento continuou a exigir medidas bem mais rígidas. Ainda assim, representantes da Alemanha, França e Itália – os três países economicamente mais fortes da UE – reagiram ao estabelecimento desse conjunto de requisitos para os “modelos fundacionais”, em uma declaração conjunta emitida no dia 20 de novembro deste ano. Defenderam regras mais brandas para os modelos de base, ao argumento de que uma regulação mais rígida pode comprometer a competitividade das empresas de tecnologia europeias. Com receio de que os novos requisitos trouxessem ônus excessivo para as empresas europeias e pudessem obstar o desenvolvimento da tecnologia de inteligência artificial generativa dentro do bloco europeu, propuseram um modelo auto-regulatório para os desenvolvedores de “modelos fundacionais”[10].
A pressão dos três países mais fortes do bloco europeu parece ter refletido na nova versão negociada do AI Act. A versão decorrente dos “trílogos” flexibiliza a que tinha sido aprovada pelo Parlamento Europeu, em relação aos “modelos fundacionais”. Na versão do Parlamento as obrigações de segurança cibernética e transparência eram aplicadas indistintamente. Agora, parece ter havido uma sub-categorização desses modelos, com obrigações mais rigorosas apenas para os “systemic models” ou modelos de “high impact”, assim considerados os que tenham performance bem acima dos modelos de desempenho médio e possam disseminar riscos sistêmicos ao longo da cadeia de distribuição. O conjunto de obrigações relativas à segurança cibernética, governança de dados e de concepção técnica foi mantido, mas para “modelos sistêmicos” (systemic models). Passam a ser enquadrados nesse conceito os modelos que são treinados com poder computacional entre 10 a 25 floating points operations por segundo[11], atinjam certo número de usuários empresariais e funcionem com muitos parâmetros de processamento[12]. Para esses modelos de alto impacto, continuam as exigências de avaliação de riscos, testes, comunicação de incidentes, medidas de segurança cibernética e redução de consumo de energia. Para os demais modelos, não enquadrados nessa nova conceituação, sobram apenas as obrigações de transparência, como as de prestar informações sobre dados utilizados para treinamento do modelo, dar conhecimento ao usuário de que está lidando com um sistema de IA e de rotular conteúdos produzidos por meio dessa tecnologia.
Ainda não se sabe se os modelos GPT-4, da Open AI[13], e o Gemini, da Google[14], serão alcançados pelo novo enquadramento legal, porque somente as próprias empresas detêm as informações acerca do poder computacional dos modelos que desenvolvem[15].
A versão negociada do AI Act acrescenta novas disposições para disciplinar especificamente a tecnologia de uso geral (General Purpose AI – GPAI), a que pode ser utilizada para diferentes fins e ser integrada noutros sistemas[16]. A tecnologia do ChatGPT, por exemplo, já é empregada em grande número de diferentes serviços e aplicações[17]. Os riscos associados com a proliferação de modelos de inteligência artificial de uso geral (general purpose AI) despertam a necessidade de haver um maior controle sobre sua utilização. O acordo provisório aborda casos específicos de sistemas de IA de uso geral (GPAI).
Outra questão que exigiu intensa negociação estava relacionada com a vigilância biométrica. Os membros do Parlamento Europeu (MEPs) queriam banir por completo a utilização por órgãos do Poder Público de sistemas de identificação biométrica remota (como, p. ex., reconhecimento facial) em espaços públicos. Os sistemas de identificação biométrica de forma remota realmente oferecem grandes riscos de violação a direitos fundamentais, por se tratar de tecnologia particularmente intrusiva, que pode afetar a vida privada de grande parcela da população e submeter as pessoas a uma constante vigilância, o que indiretamente pode dissuadi-las do exercício de liberdades individuais. Mas a versão negociada com o Conselho da Europa terminou admitindo algumas exceções, justificadas pela necessidade de investigação e repressão a crimes de natureza grave[18].
Somente delitos graves podem justificar a utilização de sistemas de IA de identificação biométrica para encontrar criminosos. A nova versão do AI Act arrola 16 tipos de crimes que podem ser investigados por meio de sistemas de vigilância biométrica, a exemplo de terrorismo, tráfico de pessoas, exploração sexual de crianças e tráfico de drogas. Mesmo nesses casos, é exigida autorização judicial ou de autoridade administrativa competente, que deve avaliar se o uso do sistema de identificação biométrica remota é necessário e proporcional para atender à situação de excepcionalidade.
Continuará proibida da utilização de dados biométricos para categorização das pessoas, em razão de crenças religiosas, orientação sexual e outros dados sensíveis. Também são considerados de risco inaceitável (unacceptable risk) – e, portanto, banidos – sistemas que proporcionam a manipulação cognitivo-comportamental[19], a recolha de imagens faciais da Internet ou de imagens de CCTV, o reconhecimento de emoções no local de trabalho e em instituições educativas e a pontuação social (social scoring)[20].
Ficam excluídos do âmbito de aplicação do AI Act os sistemas livres e de código aberto (open source), a não ser que sejam classificados como de risco elevado. Sistemas de IA utilizados para fins militares ou de defesa também estão excluídos do escopo do regulamento resultante das negociações. Do mesmo modo, o acordo prevê que o regulamento não se aplicará aos sistemas de IA utilizados exclusivamente para fins de pesquisa e inovação, ou a pessoas que utilizem a IA para fins não profissionais.
O AI Act também cria toda uma estrutura de governança, a fim de assegurar o cumprimento de suas normas. Está previsto a criação do AI Office, órgão vinculado à Comissão Europeia, que terá como atribuição principal a fiscalização dos modelos de IA de uso geral (General Purpuse AI – GPAI). Autoridades nacionais se encarregarão da aplicação das normas do AI Act no âmbito de cada país integrante da UE. Essas autoridades nacionais terão assento no European Artificial Intelligence Board, um colegiado com a função de harmonizar a aplicação do AI Act em todo o bloco europeu. Ainda está previsto um órgão consultivo (advisory forum), formado por especialistas em IA, para aconselhar em assuntos técnicos, advertir sobre riscos sistêmicos e auxiliar na classificação de modelos de IA de alto impacto.
Os órgãos de fiscalização poderão aplicar multas, que variam conforme a gravidade da infração. As multas por violações das normas do AI Act foram definidas com base em percentual (podendo chegar até 7%) do volume de negócios anual global da empresa infratora no exercício financeiro anterior ou em montante predeterminado (no limite de 35 milhões de euros), o que for maior. O acordo provisório prevê limites menores e proporcionais para as multas administrativas aplicáveis às pequenas e médias empresas e startups.
Essa é uma análise bem superficial dos principais pontos da versão do AI Act decorrente dos “trílogos”, pela razão de que o texto negociado não foi divulgado. Todas as alterações indicadas como tendo sido produzidas em relação à versão original do regulamento foram colhidas em notícias divulgadas pela imprensa, daí que podem não corresponder integralmente ou em parte à redação final do texto negociado.
As próximas semanas serão dedicadas ao trabalho de aperfeiçoamento linguístico e redacional do documento acordado, que terá que ser submetido novamente aos representantes do Conselho da Europa e do Parlamento Europeu para aprovação e adoção formal do texto final. A previsão é que esse trabalho seja concluído em janeiro do próximo ano, com entrada em vigor do texto final dois anos depois.
Recife, dezembro de 2023.
NOTAS:
[1] Que é composto por representantes dos 27 países da União Europeia.
[2] Ver notícia publicada na revista The Verge, em 08.12.23, disponível em: https://www.theverge.com/2023/12/8/23991850/eu-ai-act-artificial-intelligence-regulation-provisional-deal-law-brussels
[3] Sobre os sistemas de risco inaceitável (unacceptable risk), sugerimos a leitura de nosso artigo intitulado “A proposta regulatória da União Europeia para a inteligência artificial (2ª. parte) – sistemas de risco inaceitável”, publicado no site Jus Navigandi, em 28.05.21, disponível em: https://jus.com.br/artigos/90817/a-proposta-regulatoria-da-uniao-europeia-para-a-inteligencia-artificial-2-parte-sistemas-de-risco-inaceitavel
[4] Exemplos de tais sistemas de IA de risco elevado incluem certas infraestruturas críticas, nos domínios da produção e distribuição de água, de gás e de eletricidade; dispositivos médicos; sistemas para determinar o acesso a instituições de ensino ou para recrutar pessoas; e certos sistemas utilizados nos domínios da aplicação da lei, controle de fronteiras, administração da justiça e processos democráticos. Sobre os sistemas de risco elevado (high–risk), sugerimos a leitura de nosso artigo intitulado “A proposta regulatória da União Europeia para a inteligência artificial (3ª. parte) – Sistemas de alto risco”, publicado no site Jus Navigandi, em 20.06.21, disponível em: https://jus.com.br/artigos/91363/a-proposta-regulatoria-da-uniao-europeia-para-a-inteligencia-artificial-3-parte-sistemas-de-alto-risco
[5] A maioria dos sistemas de IA enquadra-se nessa categoria. Podem ser citados como exemplo sistemas de recomendação de filmes e filtros de spam, pois são sistemas que apresentam risco mínimo ou mesmo nenhum risco para os direitos e segurança dos usuários. As empresas que desenvolvem esses sistemas podem, no entanto, adotar voluntariamente códigos de conduta.
[6] O ChatGPT é uma ferramenta algorítimica que imita a linguagem natural, um tipo de inteligência artificial conversacional, ou seja, um chatbot que conversa e estabelece diálogos com o usuário. Para saber mais sobre as características técnicas do ChatGPT, recomendamos a leitura do nosso artigo “O fenômeno do ChatGPT desperta a necessidade de regulamentação da IA”, publicado no site Consultor Jurídico, em 19.03.23, acessível em: https://www.conjur.com.br/2023-mar-19/democrito-filho-necessidade-regulamentacao-ia/
[7] Sobre os riscos que os modelos de linguagem generativa podem causar aos direitos e segurança das pessoas, sugerimos a leitura do artigo mencionado no item anterior.
[8] O liberal romeno Dragos Tudorache e o social-democrata italiano Brando Benifei, relatores do AI Act no Parlamento Europeu, apresentaram emenda para impor aos desenvolvedores de sistemas de IA generativa as mesmas obrigações previstas para a categoria de sistemas de “alto risco”. Para maiores informações, sugerimos a leitura do nosso artigo “O ChatGPT é um sistema de inteligência artificial de “alto risco”?”, publicado no site Consultor Jurídico, em 03.04.23, acessível em: https://www.conjur.com.br/2023-abr-03/democrito-filho-chatgpt-sistema-alto-risco/
[9] Para saber de forma mais detalhada sobre os requisitos impostos aos desenvolvedores de modelos de inteligência artificial generativa, na versão do AI Act aprovada pelo Parlamento Europeu em junho deste ano, sugerimos a leitura de nosso artigo “O ChatGPT não é um sistema de IA de “Alto Risco”, mas necessita de regulamentação específica, publicado no site da LEX Editora, em 14.09.23, disponível em: https://www.lex.com.br/o-chatgpt-nao-e-um-sistema-de-ia-de-alto-risco-mas-necessita-de-regulamentacao-especifica/
[10] Ver notícia publicada pelo site português Politico, em 20.11.23, disponível em: https://www.politico.eu/article/france-germany-power-grab-kill-eu-blockbuster-ai-artificial-intelligence-bill/
[11] Floating-point operations per second (FLOPS) é uma medida do desempenho de um computador com base no número de cálculos aritméticos de ponto flutuante que o processador pode realizar em um segundo.
[12] Os critérios para definição de um modelo fundacional de “high impact” poderão ser revistos e atualizados, de acordo com a evolução da tecnologia. Por exemplo, com o aperfeiçoamento da tecnlogia a quantidade de dados para se treinar um modelo potente poderá ser menor, o que afetará o critério da definição de um modelo fundacional de alto impacto. Caberá ao AI Office, órgão de fiscalização e supervisão, implementar eventuais alterações nos critérios.
[13] Generative Pre-trained Transformer 4 é um modelo de linguagem grande (LLM – large language model) multimodal criado pela OpenAI e o quarto modelo da série GPT. Foi lançado em 14 de março de 2023, e se tornou publicamente aberto de forma limitada por meio do ChatGPT Plus.
[14] Gemini é a nova ferramenta de inteligência artificial, um modelo multimodal com capacidades generativas, lançada pela Google no início deste mês e incorporada ao Bard, modelo algorítimico de processamento de linguagem natural. O Gemini amplia a capacidade de processamento de dados e execução de tarefas do Bard.
[15] Cf. artigo publicado por Melissa Heikkilä, na MIT Technology Review, em 11.12.23, acessível em: https://www.technologyreview.com/2023/12/11/1084942/five-things-you-need-to-know-about-the-eus-new-ai-act/
[16] Os grandes modelos de linguagem (Large Language Models – LLMs) enquadram-se nessa acepção da tecnologia GPAI. São modelos treinados em grandes quantidades de dados para realizar diversas tarefas, incluindo algumas para as quais não foram especificamente desenvolvidos e treinados. Devido a essa característica dos grandes modelos de linguagem, de se prestarem a realizar variadas funções, podem ser utilizados como aplicação de modelo base para outros sistemas de IA. As tecnologias de IA com capacidades generativas podem ser empregadas como estruturas de base para outros sistemas, com o mínimo de ajuste fino. Esses modelos subjacentes são disponibilizados para outros desenvolvedores por meio de APIs e acesso de código aberto, para fornecer serviços aos usuários finais. Essa é, aliás, a característica marcante dos sistemas de inteligência artificial de uso geral: a possibilidade de serem aproveitados em sistemas de IA mais especializados. Os modelos baseados em inteligência artificial generativa permitem larga variedade de uso. Podem ser utilizados para diferentes tarefas, em diversos campos, geralmente sem necessidade de modificações substanciais na sua programação. Por isso esses sistemas são às vezes chamados de “modelos de fundação” (foundation models), devido ao seu uso como modelos pré-treinados para outros sistemas de IA mais especializados.
[17] No início de março de 2023, a OpenAI lançou sua API para desenvolvedores poderem adicionar a tecnologia do ChatGPT em seus próprios serviços.
[18] A França foi um dos países que mais ofereceu resistência ao banimento total dos sistemas biométricos em lugares público, justificando a necessidade de combater o terrorismo.
[19] O Regulamento procura banir do mercado todos os sistemas artificialmente inteligentes que induzam ou manipulem o comportamento das pessoas, por meio do uso de técnicas subliminares não percebidas pela consciência ou da exploração de vulnerabilidades causadas pela idade ou deficiências fisiológicas.
[20] O Regulamento bane a utilização de sistemas equivalentes ao “crédito social” chinês. Como se sabe, o Governo da China desenvolveu ao longo dos últimos anos o maior e mais eficiente aparato tecnológico para monitoramento digital, o chamado sistema de “crédito social”. A União Europeia repudia o sistema chinês, por entender que é incompatível com as democracias liberais.