Parlamento europeu aprova lei de inteligência artificial com restrições à IA de alto risco

O Parlamento Europeu aprovou nesta quarta-feira, 13, a regulação para a inteligência artificial (IA) na região. A lei foi acordada depois de extensas negociações entre embaixadores dos estados-membros em dezembro de 2023, e aprovada com 523 votos a favor, 46 contra e 49 abstenções.

A proposta geral da legislação é estabelecer limites que protegem direitos fundamentais, a democracia, o Estado de direito e a sustentabilidade ambiental da IA de alto risco (como a generativa). Ao mesmo tempo, quer impulsionar a inovação e estabelecer a Europa como líder neste segmento. A lei prevê regras mais rígidas para as IAs de alto risco, entre elas, a generativa.

Proibições

As novas regras proíbem aplicações de IA que ameacem os direitos dos cidadãos, incluindo sistemas de categorização biométrica baseados em características sensíveis e raspagem não direcionada de imagens faciais da Internet ou imagens de CCTV (closed-circuit television, em inglês ou Circuito Fechado de TV) para criar bases de dados de reconhecimento facial. Também estão proibidos: o reconhecimento de emoções no local de trabalho e nas escolas; a pontuação social (social scoring); policiamento preditivo (quando se baseia apenas no perfil de uma pessoa ou na avaliação das suas características); e a IA que manipula o comportamento humano ou explora as vulnerabilidades das pessoas.

Restrições

A legislação aprovada pelo parlamento europeu também apresenta uma série de barreiras para o uso de sistemas de identificação biométrica (RBI, na sigla em inglês) pelas forças policiais. Ela, de uma forma geral, está proibida, porém, situações específicas e bem definidas são permitidas. O RBI em tempo real, por exemplo, pode ser implementado. Porém, seu uso deve ser por um tempo determinado e limitado a um espaço geográfico. Além do mais, é preciso de uma autorização judicial prévia para fazer uso da tecnologia nessas situações.

Entre as possibilidades de uso do RBI está a busca direcionada de uma pessoa desaparecida ou prevenção de ataque terrorista. E no caso de uso do RBI pós-facto, por ser considerado de alto risco, precisa de autorização judicial e deve estar vinculado a um crime.

Sistemas de alto risco

As IAs consideradas de alto risco – como a generativa, oferecida por Gemini, do Google, ou ChatGPT, da OpenAI – precisam de camadas extras de obrigações.

É preciso que se façam avaliação, redução de riscos e registros de utilização; e é preciso ser transparentes e objetivo com garantia de supervisão humana para os seguintes casos: infraestruturas críticas; educação e formação profissional; emprego; serviços públicos e privados essenciais (como cuidados de saúde, serviços bancários); determinados sistemas de aplicação da lei; migração e gestão de fronteiras; justiça e processos democráticos (entre eles, influenciar eleições). Os cidadãos da União Europeia poderão apresentar queixas sobre sistemas de inteligência artificial e receber explicações sobre decisões baseadas em sistemas de IA de alto risco que afetem os seus direitos.

Transparência

Imagens ou áudios criados ou manipulados por IA (chamados de deepfakes) precisam ser claramente rotulados como tal.

Além do mais, os sistemas gerais e os modelos de IA devem estar em conformidade com a legislação de direitos de autor da União Europeia. Os modelos de IA mais poderosos, com possibilidade de causar riscos sistêmicos, vão precisar de avaliações extra, como avaliação de modelos, avaliação de mitigação de riscos sistêmicos e a elaboração de relatórios sobre incidentes.

Pequenas e médias empresas

Para as PMEs e startups serão criados sandboxes regulatórios em todos os territórios do grupo para que essas empresas testem seus produtos antes de serem enviados ao mercado.

Quando entra em vigor

Para entrar em vigor, a legislação deve passar por uma verificação final jurídico-linguística. Espera-se que os 27 estados da UE endossem o texto em abril e a publicação da lei seja entre maio ou junho. Mas a lei também precisa ser formalmente aprovada pelo Conselho. A lei entra em vigor 20 dias após sua publicação no Diário Oficial e será aplicada em sua plenitude 24 meses depois. A previsão é que os 27 estados da UE endossem o texto em abril, antes que a lei seja publicada no Jornal Oficial da EU, estimada entre maio e junho.

Mas há exceções de quando a lei começa a ser aplicada. São elas: banimento de práticas proibidas, aplicáveis seis meses após a data de entrada em vigor; códigos de prática (nove meses após a entrada em vigor); regras de IA para fins gerais, incluindo governança (12 meses após a entrada em vigor); e obrigações para sistemas de alto risco (36 meses).