A Inteligência Artificial (IA) não é mais uma promessa distante, mas uma realidade que permeia nosso dia a dia, transformando mercados, otimizando processos e, cada vez mais, impactando diretamente a vida das pessoas.

No Brasil, o debate sobre a regulamentação dessa tecnologia avança, e o Projeto de Lei que dispõe sobre o uso da IA (n. 2338/23), doravante denominado PL-IA, emerge como um futuro marco crucial para empresas e cidadãos.

Este projeto busca equilibrar a inovação tecnológica com a proteção de direitos fundamentais, estabelecendo um arcabouço legal para o desenvolvimento, implementação e uso responsável de sistemas de IA no país.

Para a sua empresa, entender este PL não é apenas uma questão de conformidade, mas uma oportunidade de construir um futuro mais ético, seguro e confiável com a IA, fortalecendo sua marca no mercado e usufruindo dos ganhos em eficiência que essas ferramentas proporcionam, sem correr riscos de penalizações.

O PL-IA  é construído sobre uma base sólida de valores que devem guiar todas as ações relacionadas à IA. Para as empresas, esses fundamentos e princípios não são meras formalidades, mas diretrizes para uma cultura organizacional que integre a ética e a responsabilidade no uso da tecnologia.

Como destacado no Art. 2º do PL-IA , o desenvolvimento e uso de sistemas de IA no Brasil têm como fundamentos a centralidade da pessoa humana e o respeito aos direitos humanos e aos valores democráticos. Isso significa que a tecnologia deve servir ao bem-estar da sociedade e não o contrário. Para uma empresa, isso se traduz em priorizar o impacto positivo sobre os usuários e a comunidade, evitando usos que possam lesar ou desrespeitar a dignidade humana e os direitos de terceiros de modo geral, como aqueles relativos à direitos autorais, concorrência desleal, proteção de dados.

Outros princípios essenciais incluem:

• Não discriminação: O Art. 3º, IV e o Art. 5º, V sublinham a importância de que sistemas de IA não perpetuem ou criem discriminação. As empresas devem estar atentas aos dados utilizados para treinar os algoritmos e aos resultados gerados, garantindo que não haja vieses diretos ou indiretos. Por exemplo, na contratação de talentos, um sistema de IA não pode desfavorecer candidatos com base em gênero, raça ou idade.
• Transparência, explicabilidade, inteligibilidade e auditabilidade: O Art. 3º, VI exige que os sistemas de IA sejam compreensíveis. Para as empresas, isso implica na necessidade de documentar o funcionamento de seus sistemas, ser capaz de explicar suas decisões e permitir auditorias. Imagine um sistema de análise de crédito que recusa um pedido; a empresa deve ser capaz de explicar os fatores que levaram a essa decisão, em vez de simplesmente fornecer um “não” automatizado.
• Proteção de dados e privacidade: O Art. 2º, VIII e o Art. 5º, VI reforçam a importância da privacidade e da autodeterminação informativa. Empresas que utilizam IA e processam dados pessoais devem estar em plena conformidade com a Lei Geral de Proteção de Dados (LGPD), adotando medidas como “privacidade desde a concepção e por padrão”, conforme o Art. 19, IV. Isso significa que a proteção da privacidade deve ser pensada desde o design do uso do sistema.

Ao internalizar esses princípios, as empresas não apenas se alinham com a legislação futura, mas também fortalecem sua reputação, constroem confiança com seus clientes e mitigam riscos legais significativos.

O PL-IA  garante uma série de direitos às pessoas afetadas por sistemas de IA, detalhados no Capítulo II, Seção I. Sua empresa deve estar preparada para respeitar e viabilizar o exercício desses direitos.

• Direito à informação prévia e à explicação: O Art. 5º, I e II, e o Art. 7º estabelecem que as pessoas devem ser informadas sobre a interação com sistemas de IA e ter direito a explicações sobre as decisões tomadas.
• Direito de contestar decisões e solicitar intervenção humana: O Art. 5º, III, o Art. 9º e o Art. 10 garantem o direito de contestar decisões da IA que produzam efeitos jurídicos ou impactem significativamente os interesses do afetado. Mais importante ainda, o Art. 10 permite solicitar a intervenção ou revisão humana nessas situações, especialmente quando a decisão for “irreversível ou de difícil reversão ou envolvam decisões que possam gerar riscos à vida ou à integridade física de indivíduos” (Art. 11). Sua empresa precisará ter processos claros para a revisão humana de decisões automatizadas, garantindo que haja um “humano no circuito” para reavaliar e, se necessário, anular a decisão da máquina.
• Direito à não-discriminação e correção de vieses: Reforçando o princípio, o Art. 12 veda a implementação e o uso de sistemas de IA que acarretem discriminação direta ou indireta, inclusive por uso de dados sensíveis ou impactos desproporcionais. Sua empresa deve ter mecanismos para identificar e corrigir vieses discriminatórios nos seus sistemas de IA, seja nos dados de treinamento ou nos algoritmos.

O PL-IA  adota uma abordagem baseada em riscos, categorizando os sistemas de IA para aplicar diferentes níveis de regulação. Sua empresa precisa identificar em qual categoria seus sistemas se encaixam, pois isso determinará as obrigações de governança e conformidade.

O Capítulo III do PL-IA  estabelece a avaliação preliminar como um requisito para todos os sistemas de IA antes de sua colocação no mercado ou utilização. Essa avaliação, realizada pelo fornecedor, classificará o sistema de acordo com seu grau de risco (Art. 13).

Sistemas de IA de Risco Excessivo são aqueles cuja implementação e uso são vedados no Brasil, conforme o Art. 14. Isso inclui:

• Uso de técnicas subliminares para induzir comportamentos prejudiciais ou perigosos.
• Exploração de vulnerabilidades de grupos específicos (crianças, idosos, pessoas com deficiência) para induzir comportamentos prejudiciais.
• Poder público avaliando ou ranqueando pessoas naturais com base em comportamento social ou atributos de personalidade para acesso a bens, serviços e políticas públicas de forma ilegítima ou desproporcional.

Um ponto sensível e muito debatido é o uso de sistemas de identificação biométrica à distância em espaços públicos, que só será permitido em casos muito específicos e com autorização judicial, como para persecução de crimes graves ou busca de pessoas desaparecidas (Art. 15). Sua empresa não deve desenvolver ou oferecer soluções que se enquadrem nessas categorias de risco excessivo, pois elas serão proibidas.

A maioria das aplicações críticas de IA se enquadra na categoria de Alto Risco. O Art. 17 lista uma série de finalidades que, devido ao seu potencial de impacto significativo, exigem medidas de governança mais rigorosas. Sua empresa deve prestar atenção redobrada se seus sistemas de IA atuam em:

• Infraestruturas críticas: Controle de trânsito, redes de água e eletricidade (Art. 17, I).
• Educação e formação profissional: Sistemas que determinam acesso a instituições de ensino ou avaliam estudantes (Art. 17, II).
• Emprego e gestão de trabalhadores: Recrutamento, seleção, promoções, avaliação de desempenho (Art. 17, III).
• Acesso a serviços essenciais: Avaliação de elegibilidade para serviços públicos e privados, incluindo assistência social e seguridade (Art. 17, IV).
• Avaliação de crédito/endividamento: Determinar a capacidade de endividamento ou classificação de crédito de pessoas (Art. 17, V).
• Administração da justiça e segurança pública: Sistemas que auxiliam em investigações, avaliação de riscos criminais, análise de evidências (Art. 17, VII, XI, XII, XIII).
• Saúde: Auxílio a diagnósticos e procedimentos médicos (Art. 17, IX).
• Veículos autônomos: Quando há risco à integridade física (Art. 17, VIII).

A autoridade competente terá a responsabilidade de atualizar essa lista, identificando novas hipóteses com base em critérios como a escala da implementação, impacto em direitos, potencial danoso e grau de transparência (Art. 18). Isso significa que as empresas precisarão monitorar constantemente as regulamentações para garantir que seus sistemas continuem em conformidade.

O Capítulo IV do PL-IA detalha as medidas de governança que os agentes de inteligência artificial (fornecedores e operadores) devem adotar. Para sua empresa, isso significa estruturar processos internos robustos para garantir a segurança dos sistemas e o atendimento aos direitos dos usuários.

Independentemente do grau de risco, sua empresa deve ter:

• Transparência nas interações: Interfaces claras para usuários, indicando o uso de IA (Art. 19, I).
• Medidas de gestão de dados: Adequadas para mitigar e prevenir vieses discriminatórios. Isso inclui o “uso de dados pessoais mínimos” e “privacidade desde a concepção e por padrão” (Art. 19, III e IV).
• Separação e organização de dados: Para treinamento, teste e validação dos sistemas (Art. 19, V).
• Medidas de segurança da informação: Desde a concepção até a operação do sistema (Art. 19, VI).

Essas medidas devem ser aplicadas ao longo de todo o ciclo de vida da IA, da concepção à descontinuação (Art. 19, § 1º).

Se sua empresa opera sistemas de alto risco, as exigências são ainda maiores:

• Documentação detalhada: Sobre o funcionamento do sistema, as decisões envolvidas em sua construção, implementação e uso, cobrindo todas as etapas do ciclo de vida (Art. 20, I).
• Ferramentas de registro automático: Para avaliar acurácia, robustez e apurar potenciais discriminatórios, com atenção para efeitos adversos (Art. 20, II).
• Testes de confiabilidade: Para avaliar níveis apropriados de robustez, acurácia, precisão e cobertura, de acordo com o setor e tipo de aplicação (Art. 20, III).
• Gestão de dados para vieses: Avaliação dos dados para mitigar vieses cognitivos humanos e evitar a incorporação de vieses sociais estruturais (Art. 20, IV, a). Além disso, a composição da equipe responsável pela concepção e desenvolvimento do sistema deve ser inclusiva, buscando diversidade (Art. 20, IV, b).
• Medidas para viabilizar explicabilidade: Sua empresa deve disponibilizar informações gerais sobre o funcionamento do modelo de IA e, mediante requisição, informações que permitam a interpretação dos resultados específicos, respeitando o sigilo industrial e comercial (Art. 20, V).
• Supervisão humana efetiva: Para sistemas de alto risco, a supervisão humana busca prevenir ou minimizar os riscos, permitindo que os responsáveis compreendam as capacidades e limitações do sistema, identifiquem anomalias, interpretem corretamente os resultados e, crucialmente, possam decidir por não usar o sistema ou anular/reverter seu resultado (Art. 20, Parágrafo único).

Avaliação de Impacto Algorítmico (AIA) (Art. 22-26):

A AIA é uma obrigação para sistemas de alto risco (Art. 22). É um processo contínuo e iterativo, realizado por profissionais com conhecimento técnico, científico e jurídico e independência funcional (Art. 23). A metodologia da AIA deve incluir etapas de preparação, cognição do risco, mitigação e monitoramento (Art. 24).

Sua empresa precisará considerar e registrar na AIA:

• Riscos conhecidos e previsíveis, bem como benefícios (Art. 24, § 1º, a e b).
• Probabilidade e gravidade das consequências adversas (Art. 24, § 1º, c e d).
• Lógica de funcionamento do sistema (Art. 24, § 1º, e).
• Resultados de testes e medidas de mitigação, com destaque para impactos discriminatórios (Art. 24, § 1º, f).
• Treinamento e conscientização sobre os riscos (Art. 24, § 1º, g).
• Medidas de mitigação e o risco residual, com testes de controle de qualidade (Art. 24, § 1º, h).
• Medidas de transparência ao público sobre riscos residuais, especialmente se houver nocividade ou periculosidade (Art. 24, § 1º, i).

As conclusões da AIA, garantidos os segredos industrial e comercial, deverão ser públicas (Art. 26). Isso demonstra o compromisso do PL-IA  com a transparência e a prestação de contas. Para sua empresa, a AIA não é apenas um requisito, mas uma ferramenta vital para identificar e gerenciar riscos, reforçando a confiança em suas soluções.

Um dos pontos mais sensíveis e com maior impacto para as empresas é a definição da responsabilidade civil por danos causados por sistemas de IA, conforme o Capítulo V do PL-IA .

O Art. 27 estabelece que o fornecedor ou operador de sistema de IA que causar dano patrimonial, moral, individual ou coletivo é obrigado a repará-lo integralmente, independentemente do grau de autonomia do sistema.

A diferenciação crucial reside na modalidade da responsabilidade:

• Responsabilidade Objetiva: Para sistemas de alto risco ou risco excessivo, o fornecedor ou operador responde objetivamente pelos danos, na medida de sua participação (Art. 27, § 1º). Isso significa que a vítima não precisará provar a culpa da sua empresa, apenas a existência do dano e o nexo causal com a ação do sistema de IA. Este é um grande incentivo para as empresas que atuam com IA de alto risco investirem pesadamente em segurança, testes e governança.
• Presunção de Culpa: Quando não se tratar de sistema de alto risco, a culpa do agente causador do dano será presumida, e aplica-se a inversão do ônus da prova em favor da vítima (Art. 27, § 2º). Embora não seja responsabilidade objetiva pura, a presunção de culpa facilita consideravelmente a situação da vítima, exigindo que sua empresa prove que não houve culpa para se eximir da responsabilidade.

O PL-IA  também prevê excludentes de responsabilidade (Art. 28), como provar que não colocaram o sistema em circulação, que o dano é decorrente de fato exclusivo da vítima ou de terceiro, ou de caso fortuito externo. Além disso, as relações de consumo permanecem sujeitas ao Código de Defesa do Consumidor (Art. 29).

A lição para as empresas é clara: a responsabilidade é um fator central. A gestão de riscos legais e a conformidade com as exigências de governança são fundamentais para mitigar possíveis litígios e indenizações.

O PL-IA  não apenas impõe deveres, mas também incentiva a autorregulação e a proatividade por parte das empresas.

Empresas, individualmente ou por meio de associações, são incentivadas a formular códigos de boas práticas e governança. A adesão voluntária a esses códigos pode ser considerada indicativo de boa-fé e ser levada em consideração pela autoridade competente na aplicação de sanções administrativas (Art. 30, § 3º). Isso cria um ambiente propício para que o setor se organize e desenvolva padrões éticos e técnicos que complementem a legislação.

Os agentes de IA terão a obrigação de comunicar à autoridade competente a ocorrência de incidentes graves de segurança, especialmente aqueles que oferecem risco à vida, integridade física, interrupção de operações críticas ou graves violações de direitos fundamentais. A comunicação deve ser feita em prazo razoável, e a autoridade poderá determinar providências para mitigar os efeitos do incidente.

O descumprimento das normas da Lei de IA pode acarretar sanções administrativas severas, aplicáveis pela autoridade competente. Elas incluem:

• Advertência.
• Multa simples, limitada a R$ 50.000.000,00 por infração, ou até 2% do faturamento da pessoa jurídica de direito privado (Art. 36, II).
• Publicização da infração.
• Proibição ou restrição para participar de regime de sandbox regulatório.
• Suspensão parcial ou total, temporária ou definitiva, do desenvolvimento, fornecimento ou operação do sistema de IA.
• Proibição de tratamento de determinadas bases de dados.

Para sistemas de risco excessivo, a aplicação de multa e, para pessoa jurídica, a suspensão parcial ou total, provisória ou definitiva de suas atividades, é o mínimo (Art. 36, § 4º). As sanções serão aplicadas de forma gradativa, considerando parâmetros como a gravidade da infração, a boa-fé do infrator, a reincidência e a adoção de medidas corretivas.

É fundamental que sua empresa esteja ciente desses riscos e invista em um programa de governança que minimize a probabilidade de infrações.

Diante de todo o exposto, quais são os passos práticos que sua empresa deve seguir para se preparar para este novo cenário regulatório?

1. Mapeamento e Classificação dos Sistemas de IA: Comece identificando todos os sistemas de IA que sua empresa já utiliza ou pretende utilizar. Classifique-os de acordo com os níveis de risco (excessivo, alto ou outros) conforme as diretrizes do PL-IA . Isso ajudará a priorizar as ações de conformidade.
2. Due Diligence Abrangente: Ao contratar ou desenvolver uma ferramenta de IA, realize uma due diligence rigorosa. Verifique a conformidade do fornecedor com os princípios de transparência, explicabilidade, segurança da informação e proteção de dados. Peça documentação detalhada e evidências de testes de vieses.
3. Estabelecimento de um Programa de Governança de IA: Crie uma estrutura interna que defina responsabilidades claras para o desenvolvimento, implementação e uso de IA. Isso deve incluir políticas internas, processos de gestão de dados (incluindo mitigação de vieses), e protocolos de segurança cibernética. Considere a criação de um comitê de ética em IA.
4. Realização de Avaliações de Impacto Algorítmico (AIA): Para sistemas de alto risco, a AIA é mandátoria. Sua empresa deve investir em equipes multidisciplinares (técnicos, jurídicos, éticos) capazes de realizar essas avaliações de forma independente e contínua. As conclusões devem ser documentadas e, quando exigido, publicizadas.
5. Garantia de Human-in-the-Loop: Assegure que seus sistemas de IA, especialmente os de alto risco, permitam a supervisão e intervenção humana. Crie processos para que decisões automatizadas possam ser contestadas e revisadas por um ser humano, como previsto nos Arts. 9º, 10 e 11.
6. Treinamento e Conscientização: Capacite suas equipes – desde desenvolvedores até gerentes e usuários finais – sobre os princípios da IA responsável, os direitos dos usuários e as obrigações da empresa. A cultura da IA responsável deve permear toda a organização.
7. Monitoramento Contínuo e Auditorias Regulares: Os sistemas de IA são dinâmicos. Implemente ferramentas e processos para monitorar continuamente o desempenho, a acurácia, os vieses e os riscos de seus sistemas de IA. Realize auditorias internas e externas periodicamente para garantir a conformidade e identificar possíveis falhas.
8. Mecanismos de Resposta a Incidentes: Desenvolva e teste planos de resposta para incidentes de segurança ou violações de direitos causadas por IA. Garanta que sua empresa possa comunicar incidentes graves às autoridades e às pessoas afetadas de forma rápida e eficaz (Art. 31).

O Projeto de Lei sobre o uso da Inteligência Artificial no Brasil representa um avanço significativo na tentativa de conciliar a inovação tecnológica com a proteção dos direitos fundamentais. Para a Abreu Fattori, é evidente que as empresas têm um papel crucial neste cenário.

Mais do que apenas cumprir a lei, a adoção de práticas de IA responsável é um investimento no futuro e na reputação da sua marca. Assegurar a transparência, a ética, a proteção de dados e a responsabilidade algorítmica não só mitigará riscos jurídicos, como também fortalecerá a confiança dos consumidores e posicionará sua empresa como líder em inovação ética.

Prepare-se para o futuro da IA, um futuro onde a tecnologia caminha lado a lado com a responsabilidade e o respeito aos direitos humanos.

Fique atento às próximas atualizações sobre a regulamentação da IA e conte com a Abreu Fattori para navegar nesse novo e desafiador ambiente jurídico-tecnológico!