Regulação de IA no Brasil: onde estávamos, onde estamos e onde podemos estar

Na última quarta-feira (24/04), o senador Eduardo Gomes (PL-TO) apresentou o relatório preliminar do Projeto de Lei 2338/2023, texto atual que propõe uma regulamentação do uso de inteligência artificial no Brasil. Mais recente estágio de um longo processo, a proposta na mesa apresenta pontos fortes para uma regulação equilibrada em proteger direitos humanos fundamentais e fomentar a inovação. Ao mesmo tempo, há retrocessos muito significativos, como em relação às provisões sobre reconhecimento facial, que impõem à sociedade civil já organizada em torno do processo, bem como a todos preocupados com a pauta antirracista, a urgência de posicionamentos contundentes e articulados. Nesse texto, retomamos brevemente a trajetória até aqui, bem como o posicionamento da Data Privacy Brasil, e apontamos pontos concretos sobre o texto em pauta.

O tema da regulação de IA tem sido trabalhado pela Data Privacy Brasil desde 2019. Em contribuição submetida ao Ministério da Ciência, Tecnologia, Inovação e Comunicações em 2020, apresentamos nossas preocupações sobre direito antidiscriminatório, a centralidade da precaução e salvaguardas que poderiam ser instituídas, como as avaliações de impacto, que possuem grande conexão com o direito à proteção de dados pessoais. Também traduzimos a Declaração de Toronto de 2018, um documento pioneiro da sociedade civil escrito por colegas de outras entidades civis. Em 2021, nos juntamos ao movimento internacional pelo banimento do reconhecimento biométrico (reconhecimento facial) de forma massiva. Junto com mais de 170 organizações, o apelo pelo banimento abrangia o uso dessas tecnologias quando utilizadas para vigilância em espaços acessíveis ao público e em espaços que as pessoas não podem evitar. Em março de 2022, assinamos a carta aberta da campanha “Tire Meu Rosto da Sua Mira”, que identifica riscos sociais inaceitáveis no reconhecimento facial massificado em segurança pública.

Além das articulações com a sociedade civil, temos produzido pesquisas que orientam nosso posicionamento institucional sobre uma legislação de IA no Brasil. Desde a tramitação do PL 21/2020, da Câmara dos Deputados (de autoria do Dep. Eduardo Bismarck e de relatoria da Dep. Luiza Canziani), a Data Privacy Brasil tem contribuído ativamente para que o Brasil tenha uma regulação de IA equilibrada e, principalmente, protetiva de direitos.  Além de participar de audiências públicas na Câmara dos Deputados, elaboramos notas técnicas cujas sugestões foram, parcialmente, adotadas. Ainda assim, nossa avaliação era que o projeto ainda era muito tímido no estímulo de uma inovação responsável. Como defendido em audiência pública por nós, o projeto possuía baixa normatividade e não demonstrava como seus objetivos poderiam ser alcançados.

Partindo de estudos técnicos que conduzimos nos últimos cinco anos sobre regulação do risco, aprofundamos nossas análises sobre como uma regulação poderia combinar inovação responsável com um sistema protetivo a direitos. Considerando que os riscos podem variar e podem representar diferentes graus de ameaças e direitos fundamentais, entendemos que uma legislação pode calibrar obrigações para desenvolvedores e utilizadores de sistemas de IA a partir dos riscos produzidos a direitos fundamentais.

Em 2022, além da participação de um dos co-diretores na Comissão de Juristas sobre Inteligência Artificial na sua posição acadêmica e individual, também estivemos presentes nas audiências públicas realizadas sobre o tema para posicionamentos institucionais. Em audiência realizada em 2022, criticamos as limitações de uma abordagem baseada em princípios e a necessidade de uma regulação policêntrica e com orientação para mitigação de riscos para direitos fundamentais. Em diálogo com diversos acadêmicos internacionais, criticamos abordagens de autorregulação e defendemos que, dada a complexidade da regulação de IA, uma abordagem deve ser policêntrica, atribuindo responsabilidades e obrigações para vários agentes. A análise de risco e mitigação pode ser realizada em um nível micro (da empresa e de um setor, por exemplo) ou no nível macro (como nos mercados em geral de forma mais transversal, com participação e intervenção do estado). No nível micro, o processo costuma ser iniciado por uma análise do sistema para identificação de riscos, seguida de sua mitigação e, ao final, teste para garantir que esta mitigação foi efetiva. Esse processo pode ser contínuo, incluindo a análise do comportamento da tecnologia após inserida no mercado. No nível do mercado, a análise de risco e mitigação se torna uma abordagem regulatória. Os reguladores, entidades públicas e privadas identificam riscos e catalogam com diferentes níveis de risco determinadas empresas ou atividades.

Como defendido em nossos estudos, entendemos que uma regulação policêntrica e focada em riscos evita erros do século passado e tipos tradicionais de regulação de “comando e controle”. A regulação policêntrica de IA envolve um empreendimento democrático com atribuição de responsabilidades para vários atores, incluindo empresas e sociedade civil, em um esforço coletivo de redução de riscos para direitos fundamentais.

Ao final daquele ano, em conjunto com a Coalizão Direitos na Rede, saudamos a nova proposta regulatória, que viria a se tornar o PL 2338/23 de autoria do Presidente do Congresso Nacional – Senador Rodrigo Pacheco. Posteriormente, também participamos de audiências públicas da Comissão Temporária que apresentou uma primeira proposta de substitutivo de relatoria do Senador Eduardo Gomes. Em uma primeira avaliação, sem a pretensão de sermos exaustivos, notamos 05 (cinco) principais vetores:

AVANÇOS

• SISTEMA DE FISCALIZAÇÃO HÍBRIDO:  a nova proposta é uma síntese entre os modelos regulatórios do PL 21/20 e PL 2338/23, que pode ser ilustrada pelo chamado Sistema de Regulação e Governança de Inteligência Artificial. Uma estrutura híbrida que busca valorizar o trabalho de regulação e de fomento já feito pelas agências reguladoras setoriais existentes, mas que devem cooperar entre si e com uma autoridade que seja coordenadora deste sistema. Com isso, a princípio, a proposta brasileira conjuga as abordagens estadunidenses e britânica à europeia, esta última que já era uma clara inspiração do PL 2338/23; 
• HARMONIA ENTRE REGULAÇÃO & POLÍTICAS PÚBLICAS: há uma nova gramática que busca posicionar a regulação como sendo um componente de fomento para um progresso tecnológico que seja realmente inclusivo. Há a criação de (02) dois capítulos novos, quais sejam, de fomento e sobre poder público que traçam diretrizes programáticas e obrigações ao Estado que vão desde mais investimento em pesquisa até padrões interoperáveis para que não haja dependência tecnológica e, por conseguinte, mais soberania. 
• VALORIZAÇÃO DO HUMANO: toda a atuação da Data é pautada por uma dupla de vetores: justiça social e redução de assimetrias de poder. O novo texto se mostra preocupado com o que há de material por trás das linhas de código de sistemas de IA. Além de ter um capítulo dedicado à proteção do trabalho, também acena para os impactos ambientais destes por consumirem muitos recursos naturais, o que afeta principalmente o chamado Sul Global. E, principalmente, busca conciliar a proteção de criatividade-inventividade, que são objeto da proteção de direitos autorais, a um uso justo sobre os dados que são essenciais para a modelagem de tais sistemas.  
• PRESERVAÇÃO DE UMA ESTRUTURA DE DIREITOS E ESCRUTÍNIO PÚBLICO: de forma forma geral, foi preservada a estrutura de direitos, antes contida no PL 2338/23, em especial o que chamamos, quando do julgamento do caso IBGE no Supremo Tribunal Federal, de devido processo informacional. Em especial, os direitos de não discriminação, de transparência, de explicação e de revisão quando um sistema de IA pode gerar impactos materiais significativos sobre uma pessoa ou grupo. A esse respeito, nota-se, ainda, uma preocupação com o fenômeno da desinformação que tem desestabilizado a nossa e diversas outras democracias ao redor do mundo. Por fim, há a manutenção de mecanismos como avaliação de impacto e uma base de dados públicas sobre sistemas de IA para uma efetiva accountability e escrutínio público sobre quais são os riscos aceitáveis do lançamento desta tecnologia em nosso meio ambiente. 

RETROCESSOS

• RECONHECIMENTO FACIAL: tendo aderido à Campanha Tira Meu Rosto da Mira da Coalizão Direitos na Rede e em vista das parcerias com as Defensorias Públicas sobre o tema, a Data historicamente se opôs à adoção de tecnologia que, empiricamente, tem se mostrada racistas e ineficientes para a melhoria da segurança pública. Diferentemente da abordagem do PL 2338/23 que estabelecia uma espécie de moratória, a nova versão legaliza tais tipos de IA, ainda que submetidas a determinadas condicionantes 

• DEFESA NACIONAL: A previsão de proibição de armas letais no novo texto vem acompanhada da exceção do escopo da lei à defesa nacional. Em vista de que o seu uso, em âmbito internacional, se dá massivamente no contexto de defesa nacional, tal previsão acaba por ser esvaziada de sentido e efetivamente inócua.    

Na linha do convite feito pelo relator da matéria, é o momento de compreender onde estávamos ao início de todo o processo, onde estamos e onde poderemos estar com um projeto de desenvolvimento e uma regulação democrática sobre tal tecnologia tão importante para o futuro do país. Saudando positivamente a iniciativa de apresentação de um texto como sendo preliminar para que a sociedade possa digerir e afinar os avanços das nova proposta, a Data também se posiciona firmemente contrária aos pontos entendidos como retrocessos.