Regulamento Inteligência Artificial da Comunidade Europeia: As primeiras regras em matéria de IA no mundo
Em 13 de março de 2024, o Parlamento Europeu aprovou a lei de regulamentação da inteligência artificial (IA) na União Europeia (UE). A legislação visa encontrar um equilíbrio entre inovação e proteção de interesses. É uma conquista significativa para o futuro da IA na Europa e uma referência para o resto do mundo.
No âmbito da sua estratégia digital, a UE regulamenta a inteligência artificial para garantir melhores condições para o desenvolvimento e utilização desta tecnologia inovadora. A IA pode trazer muitos benefícios para a sociedade.
Já em abril de 2021, a Comissão Europeia propôs o primeiro quadro regulamentar da UE para IA e este regulamento aprovado em 13 de março de 2024 é considerado o primeiro do seu tipo no mundo e visa garantir que os sistemas de IA sejam seguros e respeitem os direitos fundamentais e os valores da UE.
Espera-se que os 27 países membros da UE apoiem esta lei. A previsão de publicação no Diário Oficial da UE é maio. As regras para a chamada “IA generativa”, como o ChatGPT, serão aplicadas 12 meses após a ratificação da norma.
As principais disposições do Regulamento Inteligência Artificial aprovado pela União Europeia incluem
1- Categorias de IA: O regulamento classifica os sistemas de IA em diferentes categorias com base no risco associado. Isso inclui sistemas de IA de alto risco, sistemas de risco limitado e sistemas de risco mínimo.
2- Requisitos para Sistemas de Alto Risco: Os sistemas de IA de alto risco devem cumprir várias obrigações, como realizar avaliações de impacto sobre os direitos fundamentais, manter documentação detalhada, garantir transparência, e ter supervisão humana adequada.
3- Proibições Específicas: O regulamento proíbe o uso de sistemas de IA para pontuação social e manipulação comportamental oculta.
4- Marcos de Conformidade: Os fornecedores de sistemas de IA devem seguir os marcos de conformidade estabelecidos no regulamento.
5- Autoridades de Supervisão: As autoridades nacionais de supervisão serão responsáveis por aplicar as regras do regulamento.
6- Sanções: O regulamento prevê sanções em caso de não conformidade.
Essas disposições visam garantir que a IA seja usada de maneira ética, transparente e segura, protegendo os direitos dos cidadãos e promovendo a inovação responsável.
Assista o debate que ocorreu na terça-feira dia 12 de março que antecedeu a votação no dia seguinte
Resumo de alto nível da Lei de IA
Publicado em 27 de fevereiro de 2024 pelo Instituto del Futuro de la Vida
Neste artigo oferecemos – Instituto del Futuro de la Vida, 2024 – um resumo de alto nível da Lei de IA, selecionando as partes com maior probabilidade de serem relevantes para você, independentemente de quem você seja. Se for caso disso, forneceremos os links para o documento original para que possa sempre consultar o texto da Lei.
Para explorar você mesmo o texto completo da Lei de IA, use nosso AI Law Explorer. Se quiser saber quais partes do texto são mais relevantes para você, utilize nosso Verificador de Conformidade .
Resumo em quatro pontos
A Lei da IA classifica a IA com base no seu risco:
- Riscos inaceitáveis (por exemplo, sistemas de pontuação social e IA manipulativa) são proibidos.
- A maior parte do texto aborda sistemas de IA de alto risco, que são regulamentados.
- Uma seção menor trata de sistemas de IA de risco limitado, sujeitos à obrigações de transparência mais leves: os desenvolvedores e implementadores devem garantir que os usuários finais estejam cientes de que estão interagindo com a IA (chatbots e deepfakes).
- O risco mínimo não está regulamentado (incluindo a maioria das aplicações de IA atualmente disponíveis no mercado único da UE, como os videojogos de IA e os filtros de spam, pelo menos em 2021; esta situação está mudando com a IA generativa).
A maioria das obrigações recai sobre os fornecedores (desenvolvedores) de sistemas de IA de alto risco:
- Aqueles que pretendem comercializar ou encomendar sistemas de IA de alto risco na UE, independentemente de estarem sediados na UE ou num país terceiro.
- E, também, fornecedores de países terceiros onde o produto do sistema de IA de alto risco é utilizado na UE.
Os utilizadores são pessoas únicas ou coletivas que implantam um sistema de IA à título profissional , e não os utilizadores finais afetados:
- Os utilizadores (implementadores) de sistemas de IA de alto risco têm algumas obrigações, embora menos do que os fornecedores (desenvolvedores).
- Isto aplica-se a utilizadores localizados na UE e à utilizadores em países terceiros onde a produção do sistema de IA é utilizada na UE.
IA de uso geral (GPAI):
- Todos os fornecedores de modelos GPAI devem fornecer documentação técnica, instruções de uso, cumprir a Diretiva de Direitos Autorais e publicar um resumo do conteúdo utilizado para treinamento.
- Os fornecedores de modelos GPAI de licença gratuita e aberta apenas têm de respeitar os direitos de autoria e publicar dados resumidos de formação, a menos que apresentem um risco sistêmico.
- Todos os provedores de modelos GPAI que representam um risco sistêmico – aberto ou fechado – também devem realizar avaliações de modelos, testes de adversários, rastrear e relatar incidentes graves e garantir proteções de segurança cibernética.
Sistemas de IA proibidos (Título II , Art. 5 )
Os seguintes tipos de sistemas de IA são “proibidos” pela Lei de IA.
Sistemas de IA:
- utilização de técnicas subliminares, manipulativas ou enganosas para distorcer o comportamento e prejudicar a tomada de decisões informadas, causando danos significativos.
- explorar vulnerabilidades relacionadas com a idade, deficiência ou circunstâncias socioeconomicas para distorcer o comportamento, causando danos significativos.
- sistemas de categorização biométrica que inferem atributos sensíveis (raça, opiniões políticas, filiação sindical, crenças religiosas ou filosóficas, vida sexual ou orientação sexual), exceto para a rotulagem ou filtragem de conjuntos de dados biométricos adquiridos legalmente ou quando as forças de segurança categorizam dados biométricos.
- pontuação social, ou seja, avaliar ou classificar indivíduos ou grupos com base em comportamentos sociais ou traços pessoais, causando tratamento prejudicial ou desfavorável à essas pessoas.
- avaliar o risco de um indivíduo cometer infracções penais com base apenas em perfis ou traços de personalidade, exceto quando utilizado para complementar avaliações humanas baseadas em fatos objetivos e verificáveis diretamente relacionados com a actividade criminosa.
- Compilação de bancos de dados de reconhecimento facial por meio de coleta não seletiva de imagens faciais da Internet ou de gravações de CFTV.
- inferir emoções em locais de trabalho ou centros educacionais, exceto por razões médicas ou de segurança.
- Identificação biométrica remota (RBI) “em tempo real” em espaços de acesso público para aplicação da lei, exceto quando:
- estiver sendo feita a busca de pessoas desaparecidas, vítimas de sequestros e vítimas de tráfico de pessoas ou exploração sexual;
- na prevenção à uma ameaça substancial e iminente à vida ou um ataque terrorista previsível;
- identificar suspeitos de crimes graves (por exemplo, homicídio, violação, assalto à mão armada, tráfico de drogas e armas ilegais, crime organizado e crimes ambientais, etc.).
Notas sobre identificação biométrica remota
A utilização de RBI – Inspeção Baseada no Risco – em tempo real baseada em IA, só é permitida quando a não utilização da ferramenta possa causar danos consideráveis e deve ter em conta os direitos e liberdades dos indivíduos afetados.
Antes do seu destacamento, a polícia deve realizar uma avaliação de impacto nos direitos fundamentais e registar o sistema na base de dados da UE, embora, em casos de urgência devidamente justificados, o destacamento pode começar sem registo, desde que seja registado posteriormente sem demora injustificada.
Antes do destacamento, devem também obter autorização de uma autoridade judicial ou de uma autoridade administrativa independente [1 ], embora, em casos de urgência devidamente justificados, o destacamento possa começar sem autorização, desde que a autorização seja solicitada num prazo de 24 horas. Se a autorização for negada, a implantação deverá cessar imediatamente, com todos os dados, resultados e produtos deletados.
↲ [1] As autoridades administrativas independentes podem estar sujeitas a maior influência política do que as autoridades judiciais (Hacker, 2024 ).
Sistemas de IA de alto risco (Título III )
Alguns sistemas de IA são considerados de “alto risco” pela Lei de IA. Os fornecedores destes sistemas estarão sujeitos a requisitos adicionais.
Regras para a classificação de sistemas de IA de alto risco (artigo 6.º )
Os sistemas de IA de alto risco são aqueles:
- É utilizado como componente ou produto de segurança abrangido pela legislação do Anexo II da UE e deve ser submetido a uma avaliação de conformidade por terceiros, de acordo com essa legislação do Anexo II;
- Os casos de uso secundários do Anexo III (abaixo), exceto se:
- o sistema de IA executa uma tarefa processual limitada;
- melhora o resultado de uma atividade humana anteriormente realizada;
- detecta padrões de tomada de decisão ou desvios de padrões de tomada de decisão anteriores e não se destina a substituir ou influenciar avaliações humanas previamente concluídas sem revisão humana apropriada;
- realiza uma tarefa preparatória para uma avaliação relevante para os casos de utilização enumerados no anexo III.
- Os sistemas de IA são sempre considerados de alto risco se realizarem a definição de perfis de pessoas, ou seja, o tratamento automatizado de dados pessoais para avaliar vários aspectos da vida de uma pessoa, como o seu desempenho profissional, sua situação económica, sua saúde, suas preferências, seus interesses, sua confiabilidade, seu comportamento, sua localização ou seus movimentos;
- Os fornecedores que considerem que o seu sistema de IA, que não cumpre o Anexo III , e não é de alto risco, devem documentar esta avaliação antes de colocarem no mercado ou em serviço.
Requisitos para fornecedores de sistemas de IA de alto risco (artigos 8.º a 25.º)
Os fornecedores de IA de alto risco devem:
- Estabelecer um sistema de gestão de riscos ao longo de todo o ciclo de vida do sistema de IA de alto risco;
- Realizar a governança de dados, garantindo que os conjuntos de dados de treinamento, validação e teste sejam relevantes, suficientemente representativos e, na medida do possível, livres de erros e completos de acordo com a finalidade pretendida.
- Preparar documentação técnica para demonstrar a conformidade e fornecer às autoridades as informações necessárias para avaliar essa conformidade.
- Projetar seu sistema de IA de alto risco para que ele possa registrar automaticamente eventos relevantes para identificar riscos em todo o país e modificações substanciais ao longo do ciclo de vida do sistema.
- Fornecer instruções de uso aos responsáveis pela implementação posterior para permitir o cumprimento por parte destes.
- Desenvolver soluções no seu sistema de IA de alto risco para permitir que os implantadores apliquem supervisão humana e atingir níveis apropriados de precisão, robustez e segurança cibernética.
- Estabelecer um sistema de gestão da qualidade para garantir a conformidade.
Casos de uso do Anexo III |
---|
Biometria não proibida: Sistemas remotos de identificação biométrica, excluindo verificação biométrica que confirma que uma pessoa é quem diz ser, sistemas de categorização biométrica que inferem atributos ou características sensíveis ou protegidos e sistemas de reconhecimento de emoções. |
Infraestruturas críticas: Componentes de segurança na gestão e exploração de infraestruturas digitais críticas, no tráfego rodoviário e no abastecimento de água, gás, aquecimento e eletricidade. |
Ensino e formação profissional: Sistemas de IA que determinam o acesso, admissão ou colocação em instituições de ensino e formação profissional à todos os níveis. A avaliação dos resultados de aprendizagem, incluindo aqueles usados para direcionar o processo de aprendizagem do aluno, como o nível de educação apropriado para um indivíduo. Supervisão e detecção de comportamentos proibidos dos alunos durante os exames. |
Emprego, gestão de trabalhadores e acesso ao trabalho independente: Sistemas de IA utilizados para recrutamento ou seleção, em particular anúncios de emprego específicos, análise e filtragem de candidaturas e avaliação de candidatos, promoção e rescisão de contratos, atribuição de tarefas com base em traços ou características de personalidade e comportamento, e acompanhamento e avaliação de desempenho. |
Acesso e usufruto de serviços públicos e privados essenciais: Sistemas de IA utilizados pelas autoridades públicas para avaliar o direito à benefícios e serviços, incluindo sua atribuição, redução, revogação ou recuperação. Avaliação de solvência, exceto para detecção de fraude financeira, para fazer triagem de chamadas de emergência, incluindo priorização de despachos para polícia, bombeiros, assistência médica e serviços urgentes de triagem de pacientes. Avaliação de riscos e precificação de seguros de saúde e de vida. |
Aplicação da lei: sistemas de IA utilizados para avaliar o risco de uma pessoa se tornar vítima de um crime. Polígrafos. Avaliação da confiabilidade das provas durante investigações ou processos penais, do risco de crime ou reincidência de uma pessoa não baseada apenas na definição de perfis ou na avaliação de traços de personalidade ou de comportamento criminoso anterior. Criação de perfis durante detecções, investigações ou processos criminais. |
Gestão de migração, asilo e controlo de fronteiras: Polígrafos, avaliações de migração irregular ou riscos para a saúde. Análise de pedidos de asilo, vistos e autorizações de residência e reclamações relacionadas com a admissibilidade. Detecção, reconhecimento ou identificação de pessoas, exceto verificação de documentos de viagem. |
Administração da justiça e processos democráticos: Sistemas de IA utilizados na investigação e interpretação de fatos e na aplicação da lei à fatos específicos ou utilizados na resolução alternativa de conflitos. Influência nos resultados eleitorais e referendos ou no comportamento eleitoral, excluindo produtos que não interajam diretamente com as pessoas, como ferramentas utilizadas para organizar, otimizar e estruturar campanhas políticas. |
IA de uso geral (GPAI)
O modelo GPAI refere-se a um modelo de IA que mesmo quando treinado em uma grande quantidade de dados usando automonitoramento em escala apresenta generalidade significativa e é capaz de executar com competência uma ampla gama de tarefas diferentes, independentemente da forma em que o modelo é utilizado ou comercializado, e pode ser integrado em uma variedade de sistemas ou aplicações downstream. Isto não inclui modelos de IA que são utilizados antes da comercialização para atividades de investigação, desenvolvimento e prototipagem.
O sistema GPAI refere-se a um sistema de IA baseado num modelo de IA de uso geral, que tem a capacidade de servir uma variedade de propósitos, tanto para uso direto quanto para integração em outros sistemas de IA.
Os sistemas GPAI podem ser usados ou integrados em sistemas de IA de alto risco. Os fornecedores de sistemas GPAI serão obrigados a cooperar com esses fornecedores de sistemas de IA de alto risco para permitir a conformidade destes últimos.
Todos os provedores de modelos GPAI devem:
- Escrever a documentação técnica , incluindo o processo de treinamento e teste e os resultados da avaliação.
- Preparar a informação e documentação para prover aos fornecedores subsequentes que pretendam integrar o modelo GPAI no seu próprio sistema de IA, para que estes compreendam as capacidades e limitações e possam cumprir a legislação.
- Estabelecer uma política de respeito pela Diretiva dos Direitos de Propriedade Intelectual .
- Publicar um resumo suficientemente detalhado do conteúdo utilizado para treinar o modelo GPAI.
Os modelos GPAI de licença livre e aberta – cujos parâmetros, incluindo pesos, arquitetura do modelo e utilização do modelo estão disponíveis publicamente, permitindo o acesso, utilização, modificação e distribuição do modelo.
Os modelos GPAI são considerados sistêmicos quando a quantidade cumulativa de computação usada para treiná-los é superior a 1.025 operações de ponto flutuante por segundo (FLOPS) . Os fornecedores devem notificar a Comissão se o seu modelo cumpre este critério dentro de um prazo de duas semanas. O provedor pode apresentar argumentos de que, apesar de atender aos critérios, seu modelo não apresenta riscos sistêmicos. A Comissão pode decidir por si própria, ou através de um alerta qualificado do grupo científico de peritos independentes, que um modelo tem capacidades de elevado impacto, tornando-o sistêmico.
Além das quatro obrigações acima, os fornecedores de modelos GPAI de risco sistêmico também devem:
- Conduzir as avaliações de modelos , incluindo a condução e documentação de testes adversários para identificar e mitigar riscos sistêmicos.
- Avaliar e mitigar potenciais riscos sistêmicos , incluindo as suas fontes.
- Rastrear, documentar e informar incidentes graves e possíveis ações corretivas ao Escritório de IA e às autoridades nacionais competentes relevantes, sem demora injustificada.
- Garantir um nível adequado de proteção da cibersegurança .
Todos os fornecedores de GPAI podem demonstrar o cumprimento das suas obrigações aderindo voluntariamente a um código de boas práticas até à publicação de normas europeias harmonizadas, cujo cumprimento dará origem a uma presunção de conformidade. Os fornecedores que não cumpram o Código de boas práticas serão obrigados a demonstrar meios alternativos de conformidade adequados para aprovação pela Comissão.
Código de boas práticas
- Ter em conta as abordagens internacionais.
- Abranger, mas não se limitar necessariamente, às obrigações acima referidas, em especial as informações relevantes inclusas na documentação técnica para as autoridades e os fornecedores, a identificação do tipo e natureza dos riscos sistêmicos e das suas fontes, e a gestão dos riscos modalidades que tenham em conta os desafios específicos na abordagem dos riscos devido à forma como podem surgir e materializar-se ao longo da cadeia de valor.
- O Gabinete de IA pode convidar fornecedores de modelos GPAI e autoridades nacionais competentes para participar no desenvolvimento dos códigos, enquanto a sociedade civil, a indústria, o meio académico, fornecedores e peritos independentes apoiam o desenvolvimento dos códigos.
Governança
Como será aplicada a Lei da IA?
- Será criado o AI Office , no âmbito da Comissão, para supervisionar a efetiva implementação e conformidade dos fornecedores com o modelo GPAI.
- Os fornecedores podem apresentar queixa de violação causada por outro fornecedor junto do Gabinete de IA.
- O AI Office poderá realizar avaliações do modelo GPAI para:
- avaliar o cumprimento quando a informação recolhida em virtude dos seus poderes de solicitação de informação for insuficiente.
- Investigar os riscos sistêmicos, nomeadamente na sequência de um relatório qualificado do grupo científico de peritos independentes.
Cronologia
Consulte este artigo para obter o cronograma completa e em detalhes. Após a entrada em vigor, a Lei da IA será aplicável:
- 6 meses para sistemas de IA banidos.
- 12 meses para GPAI.
- 24 meses para sistemas de IA de alto risco no anexo III.
- 36 meses para sistemas de IA de alto risco no anexo II.
O código de boas práticas deve estar prontos nove meses após a sua entrada em vigor.
Fonte: Instituto del Futuro de la Vida
Acompanhe o melhor conteúdo sobre Inteligência Artificial publicado no Brasil.