por Eduardo Magrani, Consultor Sénior na área de TMT da CCA Law Firm
No dia 14 de junho de 2023, foi aprovada a última proposta do Parlamento Europeu para a elaboração do Artificial Intelligence Act (AI Act ou AIA), que visa estabelecer obrigações para os fornecedores, distribuidores e utilizadores de sistemas de Inteligência Artificial. Esta proposta surge na sequência de uma crescente intervenção regulatória da UE na área tecnológica, necessária perante o exponencial desenvolvimento e utilização de sistemas de IA.
O AI Act estabelece diferentes níveis de exigência, distinguindo entre sistemas de IA de utilização proibida, sistemas de IA de alto risco, e sistemas que não se inserem em nenhuma destas categorias, mas que podem, ainda assim, encontrar-se sujeitos a obrigações de transparência.
Quanto às práticas de inteligência artificial proibidas, o AI Act prevê as seguintes situações:
i) Utilização de técnicas subliminares, com o objetivo de distorcer o comportamento de uma pessoa ou grupo de pessoas, prejudicando a sua capacidade de tomar uma decisão informada, e levando a pessoa a tomar uma decisão que, caso contrário, não tomaria, de uma forma que cause ou seja suscetível de causar danos a essa, a outra pessoa, ou a um grupo de pessoas.
ii) Exploração de vulnerabilidades de uma pessoa, ou um grupo de pessoas, relacionadas com traços de personalidade, situação económica ou social, idade, ou deficiências físicas ou mentais, com o intuito de distorcer o seu comportamento, de uma forma que cause ou seja suscetível de causar danos a essa, a outra pessoa, ou a um grupo de pessoas.
- Sistemas que categorizam pessoas, de acordo com atributos sensíveis ou protegidos, ou de acordo com características baseadas nesses atributos (excecionam-se sistemas de IA utilizados para propósitos terapêuticos aprovados, e baseados no consentimento do indivíduo ou do seu responsável legal)
iii) Sistemas de crédito social, de avaliação ou classificação de pessoas, com base no seu comportamento social, ou em características factuais, inferidas ou previsíveis da pessoa ou da sua personalidade, que resulte no tratamento desfavorável de pessoas ou grupos, sem relação com os dados gerados ou coletados, ou que tenha como consequência um tratamento injustificado ou desproporcional, em relação à gravidade do comportamento;
iv) Utilização de sistemas de identificação biométrica em tempo real, em espaços acessíveis ao público (sistemas que avaliem o risco de ocorrência de uma ofensa, com base no perfil da pessoa; sistemas de criação ou expansão de bases de dados de reconhecimento facial; sistemas que inferem emoções nas áreas de aplicação da lei, controlo de fronteiras, e em instituições de trabalho ou educação; sistemas de análise de filmagens em espaços abertos ao público);
Quanto à classificação como sistemas de IA de alto-risco, o AI Act prevê as seguintes situações:
i) Sistemas utilizados como componentes de segurança de um produto, e para os quais é requerido um parecer de conformidade, relacionado com os riscos para a saúde e segurança, por parte de um terceiro, para a colocação do produto no mercado;
ii) Sistemas de IA que se insiram nas categorias previstas no Anexo III:
- Sistemas biométricos ou baseados em biometria
- Sistemas utilizados para realizar inferências com base em dados biométricos, incluindo sistemas de reconhecimento de emoções;
- Componente de segurança relacionado com tráfego terrestre, ferroviário ou aéreo, com infraestruturas digitais críticas, ou com o fornecimento de água, gás, calor ou eletricidade;
- Acesso à educação ou emprego;
- Acesso a serviços públicos ou privados, e a benefícios sociais;
- Acesso a seguros de saúde e vida;
- Sistemas que estabelecem a prioridade na resolução de emergências dos serviços de socorro;
- Sistemas de crédito social;
- Uso por autoridades públicas de sistemas de IA como polígrafos, ou para avaliação da fiabilidade das provas e definição de perfis, no decurso de uma investigação, ou em estatísticas criminais;
- Sistemas para controlo de fronteiras, e nas áreas de migração e asilo;
- Assistência em decisões judiciais;
- Sistemas com o propósito de influenciar o resultado de eleições ou referendos;
- Sistemas utilizados para recomendações, em plataformas de redes sociais de muito grande dimensão;
Em qualquer destas categorias, a classificação como sistema de alto risco depende ainda da existência de um risco significativo de dano para a saúde, a segurança ou os direitos fundamentais das pessoas.
O AI Act vem reforçar as obrigações dos fornecedores de sistemas de IA de alto risco, prevendo, nomeadamente, as seguintes obrigações:
- Implementação de um sistema de gestão de riscos do sistema;
- Avaliação do impacto em direitos fundamentais;
- Transparência do sistema;
- Supervisão humana;
- Implementação de um sistema de gestão da qualidade;
- Manutenção dos registos gerados automaticamente;
- Registo do sistema na base de dados da EU;
- Aposição da marcação CE no sistema;
Em particular, relativamente às obrigações de transparência, encontram-se estipuladas as seguintes exigências, para os sistemas de alto-risco:
- Criação de instruções de utilização: exige-se que o utilizador possa interpretar e explicar o output do sistema, conhecer o seu funcionamento e os dados que este processa;
- Informação acerca da identidade do fornecedor, das características e limitações do sistema, assim como dos riscos para a saúde, segurança e direitos fundamentais;
- Informação sobre as medidas de supervisão humana, de manutenção e assistência do sistema;
Nos casos em que o sistema não seja considerado como sistema de alto-risco, podem ainda existir algumas obrigações de transparência. Porém, a exigência das obrigações diverge, consoante a finalidade do sistema de IA.
Relativamente aos sistemas de IA desenhados para interagir com pessoas, o AI Act apenas exige que o utilizador seja informado que está a interagir com um sistema de IA. Porém, se tal for relevante, devem ser transmitidas as informações relativas às funções que utilizam IA, ao mecanismo de supervisão humana, ao responsável pelo processo de decisão, e aos direitos e processos existentes, que permitem a oposição à aplicação destes sistemas.
Nos sistemas de IA que geram ou manipulam imagens, áudio ou vídeo que aparentem ser autênticos (deep fake), e que constituam representações de pessoas aparentando realizar ações que não tenham verdadeiramente realizado, determina-se que seja revelado ao utilizador que o conteúdo foi gerado ou manipulado artificialmente, assim como o nome da pessoa que gerou ou manipulou o conteúdo, quando possível (excecionam-se os casos autorizados por lei, ou de exercício da liberdade de expressão, ou da liberdade das artes e ciências).
Quanto aos sistemas de reconhecimento de emoções, ou sistemas de categorização biométrica, estipula-se que o utilizador seja informado que se encontra a interagir com um sistema de IA, e ainda sobre o processo de funcionamento do sistema. É também exigida a obtenção do consentimento para o processamento dos dados biométricos.
A mais recente proposta do AI Act prevê ainda um regime de obrigações específicas para os fornecedores de um foundation model, estipulando-se as seguintes obrigações:
- Demonstrar a mitigação dos riscos do sistema para a saúde, segurança, direitos fundamentais, ambiente e democracia;
- Implementar medidas para garantir a adequação das bases de dados, e evitar enviesamentos;
- Promover a Cibersegurança;
- Aumentar a eficiência energética;
- Criar instruções de utilização;
- Desenvolver um sistema de manutenção de qualidade;
- Registar o foundation model na base de dados da EU;
O conhecimento e implementação das obrigações previstas no AI Act, quer por fornecedores, quer por distribuidores, é essencial, considerando a crescente importância que este irá adquirir, à medida que assistimos ao desenvolvimento de sistemas de Inteligência Artificial.
É relevante realçar que, tal como já sucedeu com vários diplomas da UE, o AI Act poderá vir a inspirar a criação de legislação sobre sistemas de IA, em diversos países, tornando-se um padrão de conformidade de sistemas de IA a nível global.