2021/04/28

A Nova Proposta de Regulamento Europeu para a IA

Gonçalo Gil Barreiros e Beatriz Assunção Ribeiro escrevem sobre a proposta de regulação para o desenvolvimento e utilização de sistemas que envolvam Inteligência Artificial (IA), desenvolvidos na União Europeia (UE).

No passado dia 21 de abril de 2021 a Comissão Europeia apresentou a muito aguardada proposta de regulação para o desenvolvimento e utilização de sistemas que envolvam Inteligência Artificial (IA), desenvolvidos na União Europeia (UE), com exclusão de sistemas de uso militar.

Esta proposta legislativa, sob a forma de regulamento, que pretende ser de aplicação direta a todos os Estados Membros, foi o resultado de muitos relatórios, estudos e debates levados a cabo com o propósito de desenvolver uma proposta adequada às necessidades e sérias dificuldades apresentadas pela IA. O resultado, ainda sujeito a discussão nos próximos meses ou anos, não poderia ter sido outro senão um documento inovador e complexo.

Dividido em dez títulos e nove anexos, na sua maioria tão importantes quanto o próprio texto da proposta legislativa, importa, desde logo, fazer menção à utilidade da definição de sistema de IA facultada pela proposta, a qual determina como tal, qualquer software desenvolvido por via das técnicas ou abordagens constantes do Anexo I (Machine Learning, com ou sem supervisão, sistemas lógicos ou baseados em conhecimento e abordagens estatísticas como modelos bayesianos) e que possa gerar resultados como conteúdos, previsões, recomendações ou que tome decisões que possam influenciar o ambiente com o qual interage.

Propondo uma alteração significativa, surge, no artigo 5 daquela, a proibição de qualquer tipo de sistema de IA que possa colocar em causa todo e qualquer direito humano, incluindo os polémicos sistemas de avaliação dos cidadãos, que já estão operacionais em países como a China, com a finalidade de permitir ou vedar o acesso a bens e serviços (como por exemplo, empréstimos bancários). De acordo com a Proposta, ora apresentada, são, também, banidos quaisquer sistemas que possam manipular o comportamento humano de forma negativa, sistemas que procurem explorar vulnerabilidades de grupos específicos e, ainda, sistemas de identificação biométrica remota.

De notar, ainda, a consagração de sistemas de IA de alto risco (artigo 6), cujo desenvolvimento e gestão ficariam sujeitos a obrigações rigorosas, bem como, o controlo por parte de uma Entidade Reguladora a criar ou nomear em cada Estado Membro.

Nestes sistemas, cujo catálogo se encontra enunciado ao longo do Anexo III - o qual pode vir a ser alargado - incluem-se, entre outros, sistemas de identificação biométrica remota bem como sistemas ligados a áreas como infraestruturas críticas (como no caso dos transportes), componentes de segurança de produtos, gestão de trabalhadores e emprego (inserindo-se, neste caso, algoritmos de recrutamento), serviços públicos e privados essenciais, gestão da migração e administração da justiça. Adicionalmente, serão ainda considerados sistemas de alto risco os que preencham cumulativamente duas condições: se se tratarem de um produto ou componente de segurança de um produto e se existir a obrigação legal de esse produto ou componente ser submetido a uma avaliação de conformidade por um terceiro.

Conforme supra referido, as entidades que desenvolvem e colocam no mercado estes sistemas, estarão sujeitas a obrigações e controlo apertado. A este propósito, importa referir:

  • A obrigatoriedade de existência de sistemas de avaliação, prevenção e mitigação dos riscos (art.º. 9);
  • A obrigação de garantir a qualidade dos dados pessoais utilizados no treino destes sistemas, que inclui questões ligadas à representatividade geográfica (art.º. 10);
  • O registo constante da atividade (logs), com garantias de rastreabilidade para facilitar a monitorização do sistema (art.º. 12);
  • As obrigações de transparência e de apresentação de documentação detalhada e adequada, quer para averiguação de cumprimento da legislação por parte de entidades de regulação (art.º. 11) quer para os próprios utilizadores (art.º. 13);
  • A obrigatoriedade de supervisão humana aquando do desenvolvimento do sistema (art.º. 14); e
  • A consagração de princípios como a precisão, robustez do sistema e ciberssegurança (art.º. 15).

Em conformidade, por sua vez, os fornecedores destes sistemas terão que garantir o cumprimento destas obrigações, estando sujeitos às normas que especificam o seu modo, tempo e lugar, conforme resulta do artigo 16 e seguintes da Proposta.

As multas por incumprimento, para já, enunciadas na Proposta, dividem-se em três frentes:

  • 30.000.000,00 € ou até 6% do valor de volume de negócios anual, em caso de violação das obrigações relacionadas com a utilização de dados (art.º. 10) e a utilização de IA que possa lesar os direitos humanos (art.º. 5);
  • 20.000.000,00 € ou até 4% do valor de volume de negócios anual, em caso de incumprimento das restantes obrigações;
  • 10.000.000 € ou até 2% do valor de volume de negócios anual, se o incumprimento estiver relacionado com o fornecimento de documentação incorreta, incompleta ou enganosa às entidades reguladoras.

Por fim, de destacar, ainda, a criação de um Comité Europeu especializado em IA.

Gonçalo Gil Barreiros | Associado Sénior | goncalo.barreiros@pra.pt
Beatriz Assunção Ribeiro | Associada | beatriz.ribeiro@pra.pt