A 21 de Abril, a Comissão Europeia ("CE") apresentou a tão esperada Proposta de Regulamento sobre a Abordagem Europeia para a Inteligência Artificial, propondo um conjunto único de regras para regular a Inteligência Artificial ("IA") na União Europeia ("Proposta de Regulamento para a IA" ou "Proposta").

Através das novas regras, a CE pretende alcançar um elevado nível de proteção dos direitos fundamentais dos cidadãos da União Europeia ("UE") quando utilizam a IA, promovendo, ao mesmo tempo, o desenvolvimento da tecnologia. Se aprovada, a Proposta de Regulamento para a IA irá estabelecer um quadro jurídico uniforme que, por um lado, contém regras rigorosas para a IA de alto risco e pesadas sanções por incumprimento, mas que, por outro lado, oferece soluções para facilitar o desenvolvimento da IA através de mecanismos de cooperação com as autoridades de supervisão, sandboxes regulatórias, medidas para reduzir a carga regulatória para fornecedores ou utilizadores de menor dimensão e start-ups, entre outros (artigos 53.º a 55.º da Proposta).

As disposições da Proposta seguem de perto a estratégia da UE quanto à regulação da tecnologia e algumas das obrigações apresentadas são semelhantes ao que já está previsto noutros instrumentos, como o RGPD (que, por exemplo, já regula a IA quando usada para tratar dados pessoais). De facto, as soluções e interpretações propostas podem levar a uma interpretação mais ampla da legislação atualmente em vigor.

 

1. Âmbito de aplicação
 
A Proposta de Regulamento para a IA foi redigida com um âmbito de aplicação alargado, abrangendo e criando obrigações para a maioria dos intervenientes na cadeia de produção de IA, incluindo:
  • Fornecedores de sistemas de IA;
  • Entidades que utilizam sistemas de IA (na Proposta denominadas como “Utilizadores”);
  • Importadores, distribuidores, fabricantes de produto e representantes autorizados.

Do ponto de vista da aplicação territorial, a Proposta será aplicável mesmo quando uma entidade não se encontre estabelecida na UE, desde que o sistema seja colocado no mercado ou ao serviço dentro do mercado europeu ou que o resultado produzido pelo sistema de IA seja utilizado na União.

 

2.  Usos proibidos de IA

De acordo com a Proposta, uma série de utilizações de IA será estritamente proibida na UE, incluindo:

a) sistemas de IA que utilizem técnicas subliminares que vão além da consciência humana para distorcer o comportamento das pessoas de forma prejudicial;
b) sistemas de IA que atinjam vulnerabilidades de um grupo específico, de forma prejudicial;
c) social scoring;
d) utilização de sistemas de identificação biométrica remota "em tempo real“, em espaços acessíveis ao público e para efeitos de aplicação da lei, exceto quando seja aplicável uma das exceções previstas no Regulamento (artigo 5.º da Proposta).

 

3. IA de Alto Risco

Para tentar limitar o efeito inibidor das novas regras, a maioria dos requisitos legais previstos na Proposta de Regulamento para a IA abrangem apenas a IA de Alto Risco (artigos 6.º a 51.º da Proposta).

A Proposta, no seu Anexo III, contém uma lista de utilizações que devem ser consideradas de alto risco (que devem ser lidas em conjunto com os casos previstos no artigo 6.º, nº 1, alíneas a) e b), nos termos dos quais, por exemplo, certos dispositivos médicos e utilizações de AI em veículos a motor também podem ser considerados de alto risco), incluindo os sistemas de IA:

  • Destinados à identificação biométrica remota, "em tempo real" ou em momento posterior, de pessoas singulares;
  • Destinados a serem utilizados como componente de segurança na gestão e funcionamento do tráfego rodoviário e no fornecimento de água, gás, aquecimento e eletricidade;
  • Utilizados na decisão sobre o acesso, colocação ou avaliação de pessoas no contexto de instituições de ensino ou formação profissional, ou na avaliação de participantes em testes regularmente exigidos para admissão em instituições de ensino;
  • Utilizados para efeitos de recrutamento, bem como para tomar decisões sobre promoção e cessação de relações contratuais laborais ou relacionadas, para a atribuição de tarefas e para o acompanhamento e avaliação do desempenho e comportamento laborais;
  • Utilizado para determinar a solvabilidade das pessoas ou estabelecer a sua pontuação de crédito;

A lista contida no Anexo III pode (e, de facto, provavelmente irá) ser alargada pela Comissão através de atos delegados (com base nos critérios contidos no artigo 7.º da Proposta). A CE avaliará a necessidade de alterar a lista anualmente.

 

4. Obrigações aplicáveis à IA de Alto Risco

Os fornecedores são particularmente visados pelas novas regras, devendo assegurar que os seus sistemas de IA cumprem os requisitos dos artigos 8.º a 15.º, que incluem algumas obrigações fundamentais, tais como:

  • Estabelecer práticas adequadas de gestão de dados e assegurar que os data sets são relevantes, representativos, isentos de erros e completos;
  • Manter documentação e registos, incluindo sobre a rastreabilidade das decisões;
  • Assegurar transparência, para permitir ao utilizador compreender e controlar o sistema de IA;
  • Estabelecer, implementar e documentar um sistema de gestão de risco;
  • Garantir a exatidão, robustez, cibersegurança e ainda a supervisão humana.

Além disso, os fornecedores devem também assegurar que: (i) a IA é submetida a procedimento de avaliação de conformidade aplicável, (ii) é elaborada a documentação técnica de acordo com os requisitos do Anexo IV, (iii) é implementado um sistema de gestão da qualidade, (iv) são comunicados às autoridades nacionais competentes quaisquer incidentes graves ou funcionamento defeituoso que constituam uma violação das obrigações destinadas a proteger os direitos fundamentais, e ainda que (v) é feito o registo do sistema de IA, ao abrigo do procedimento legalmente exigido.

Várias obrigações são também aplicáveis às entidades Utilizadoras, tais como as obrigações de: a) monitorizar a IA de alto risco em relação a incidentes graves, funcionamento defeituoso ou indícios de que de existe um risco a nível nacional; b) armazenar registos quando estes estão sob o seu controlo, e; c) controlar os dados introduzidos, assegurando que estes são relevantes para o objetivo do sistema de IA.

Além disso, é importante notar que outras partes (incluindo entidades Utilizadoras) podem ser consideradas como fornecedores e assumir as obrigações correspondentes, quando coloquem um sistema no mercado ou ao serviço sob o seu nome ou marca, modifiquem a sua finalidade ou façam adaptações substanciais a um sistema de IA.

 

5. Obrigações específicas de transparência aplicáveis a alguns sistemas de IA

Certos tipos de IA estão sujeitos a obrigações específicas, devido à sua natureza (independentemente de serem considerados de alto risco), nomeadamente:

  • A IA configurada para interagir com pessoas singulares deve fornecer informações relativas à sua natureza como sistema de IA;
  • Os sistemas de reconhecimento e categorização de emoções devem ver o seu uso notificado aos utilizadores;
  • A IA utilizada para produzir deep fakes deve revelar que o seu conteúdo foi criado ou manipulado artificialmente.

 

6. Autoridade de Controlo para a IA

Os Estados-Membros terão de designar, a nível nacional, uma autoridade de controlo para supervisionar a aplicação e implementação do regulamento. Será igualmente criado um novo organismo europeu, semelhante ao Comité Europeu para a Proteção de Dados: o Comité Europeu para a Inteligência Artificial.

 

7. Sanções e Coimas

As entidades que: a) não respeitem a proibição contra certas utilizações de IA, ao abrigo do artigo 5.º (ver secção 2, acima) ou b) não apliquem as regras de gestão e de data sets ao abrigo do artigo 10.º (secção 4, acima), serão sujeitas a coimas até 30 000 000 EUR, ou, caso o infrator seja uma pessoa coletiva, até 6% do seu volume de negócios anual total, a nível mundial, relativo ao exercício financeiro anterior, conforme o valor mais elevado. A prestação de informações incorretas, incompletas ou enganosas, aos organismos notificados e às autoridades de controlo competentes, pode resultar em coimas até 10 000 000 EUR ou até 2 % do seu volume de negócios anual total, a nível mundial. O incumprimento de qualquer outro requisito ou obrigação prevista no Regulamento pode resultar numa coima até 20 000 000 EUR ou até 4% do total anual do volume de negócios mundial.

Os Estados Membros podem estabelecer regras adicionais em matéria de sanções. No entanto, estas devem ser eficazes, proporcionadas e dissuasivas, não podendo derrogar o acima exposto.

 

8. Próximos passos

A Proposta marca o início (oficial) do processo legislativo da UE e será seguida de discussões tripartidas para chegar uma decisão sobre o texto final.

Espera-se que as negociações possam prolongar-se ao longo deste ano. Além disso, a Proposta apresenta um período de 1 ou 2 anos antes da sua aplicação integral. Tendo isto em mente, qualquer entidade que comece a desenvolver um produto ou serviço baseado em IA, ou que venha a implementá-lo, esperando que este ainda esteja a ser utilizado nos prazos referidos, deverá estar preparada para esta nova regulação, por forma a evitar que essa carga regulatória surja no futuro que poderá mesmo implicar a obrigação de retirar o produto ou serviço do mercado.

 

¹ Dado ainda não se encontrar disponível tradução oficial, esta informação foi elaborada considerando apenas a versão inglesa da Proposta, pelo que a tradução dos conceitos constantes na mesma é livre.