A construção da legislação de Inteligência Artificial no Brasil: análise técnica do texto que será votado no Plenário do Senado Federal

por Rafael A. F. Zanatta e Mariana Rielli

Nesta quinta-feira, 05 de dezembro de 2024, a Comissão Temporária Interna de Inteligência Artificial (CTIA) do Senado Federal aprovou o relatório do substitutivo do Projeto de Lei 2338/2023, que objetiva definir as normas jurídicas de regulamentação dos usos de sistemas de Inteligência Artificial no Brasil. O texto segue para votação em Plenário no dia 10 de dezembro e tem grandes chances de aprovação no Senado.

O projeto de lei, originalmente apresentado pelo senador Rodrigo Pacheco (PSD/MG) após o trabalho de um ano de uma Comissão de Juristas nomeada pelo poder legislativo, foi objeto de grandes debates durante o ano de 2024, sob relatoria do senador Eduardo Gomes (PL/TO). A Data Privacy Brasil teve participação na formulação do texto da Comissão de Juristas, com a participação de Bruno Bioni (codiretor da Data e doutor pela USP) na Comissão liderada pelo ministro Ricardo Villas Boas Cueva (STJ) e pela professora Laura Schertel Mendes (UnB). A Data também atuou na sessão temática do Senado Federal para discussão do texto, apresentando os resultados de suas pesquisas nos últimos quatro anos (confira aqui os materiais sobre IA da Data).

O processo legislativo do PL de IA tem sido influenciado por grandes debates com relação ao modelo de regulação do risco e os novos direitos fundamentais assegurados em lei. Em junho de 2024, houve uma primeira apresentação de relatório para aprovação com análise das centenas de emendas apresentadas. Em julho, houve complementação do voto com análise das emendas e voto pela aprovação. Nesse período, houve o abandono de uma proposta de uma autoridade centralizadora de aplicação da lei e a acomodação das propostas de um Sistema de Regulação de Inteligência Artificial, em composição com as capacidades já existentes das autoridades reguladoras setoriais, como Anatel, Anvisa, Anac, Banco Central, entre outros. A combinação com a abordagem setorial tem sido uma grande pauta das empresas em diferentes setores, evitando a concentração de poderes em uma nova agência estatal. Como notamos em nosso estudo “Temas Centrais da Regulação de IA”, “uma lei geral não exclui, mas, muito pelo contrário, abre espaço para que a regulação setorial floresça a partir de fundações comuns a diferentes setores da economia” (Bioni et al, 2023, p. 6).

No segundo semestre de 2024, houve uma grande mobilização dos setores produtivos, dos artistas (na esteira da intervenção de Marisa Monte, que pediu regras claras sobre direitos autorais) e dos sindicatos em torno das normas previstas no projeto de lei. Em 28 de novembro, o Senador complementou o voto a partir de um novo texto, menos orientado às obrigações regulatórias para atividades de alto risco e mais conciliador com os interesses privados. Atendendo a pedidos da Confederação Nacional das Indústrias (CNI), o relator retirou as normas mais protetivas aos trabalhadores e as regras de contenção de despedidas em massa e direitos de participação de trabalhadores na elaboração de relatórios de impactos a direitos fundamentais. Em nota pública, a Data Privacy Brasil manifestou preocupação com as tentativas de desidratação do PL 2338.

Na primeira semana de dezembro, novas disputas foram travadas em torno do conceito de integridade da informação e o capítulo de direitos autorais, provocando grandes tensões em Brasília. Em 03 de dezembro, o relator publicou uma nova complementação de voto com análise de emendas adicionais. O senador Marcos Rogério (PL/RO) apresentou emendas para retirada da discussão sobre direito autoral do texto, “considerando a complexidade do tema e a necessidade de análise detalhada”, e supressão das diretrizes para proteção do trabalho e dos trabalhadores, “por considerar que a medida gera burocracia excessiva e regulação que pode limitar sua adoção”. As emendas foram rejeitadas por Eduardo Gomes.

Ao apresentar seu voto nesta quinta-feira (05/12), o relator destacou o apoio de entidades como Febraban, CNSaúde, FIESP e Coalizão Direitos na Rede. Artistas se manifestaram publicamente com carta aos senadores, dentre eles Fernanda Torres, Chico Buarque, Pedro Bial, Milton Nascimento, Caetano Veloso e Miguel Falabella. Diversos agentes do setor audiovisual se organizaram na “Frente IA Responsável”, que defende regras básicas para direito autoral, como identificação de autoria em uma obra, remuneração justa pelo trabalho criativo e direito de oposição em usos contrários às suas obras.

De acordo com o portal e-Cidadania do Congresso Nacional, mais de 35.000 cidadãos se manifestaram favoravelmente ao projeto de lei. Essa mobilização em defesa de uma IA responsável – de entidades civis, artistas, produtores culturais e cidadãos – tem produzido maior legitimidade ao posicionamento dos senadores na aprovação da lei.

Neste texto, analisamos brevemente o que foi mantido do Projeto de Lei 2338, das versões debatidas no final do segundo semestre de 2024 e quais foram as modificações que alteraram o conteúdo do texto na versão aprovada na CTIA em 05 de dezembro. Para tanto, analisamos as diferenças entre o texto apresentado em novembro de 2024 e a versão aprovada pela CTIA em dezembro.

Como entidade que acompanha o tema há quatro anos, avaliamos de forma muito positiva o consenso construído na CTIA e a aprovação por unanimidade do texto final apresentado pelo relator Eduardo Gomes. A legislação se mantém como protetiva a direitos fundamentais e avança em normas cruciais para um ecossistema informacional justo nos próximos anos. Defendemos publicamente a aprovação do texto de lei no Senado Federal e, posteriormente, na Câmara dos Deputados, sem retrocessos e modificações às construções democráticas feitas até aqui.

O que foi mantido sobre conceitos e direitos fundamentais?

Como dito, os principais elementos da legislação foram mantidos, como a definição de que a lei orienta-se à proteção dos direitos fundamentais, ao estímulo da inovação responsável e competitividade, e à garantia de sistemas seguros e confiáveis em benefício da pessoa humana. A legislação não se aplicará para “atividades de investigação, pesquisa, testagem e desenvolvimento de sistemas, aplicações ou modelos de IA antes de serem colocados em circulação no mercado”, observadas as leis de proteção do consumidor, meio ambiente e proteção de dados pessoais, e também não se aplicará “aos serviços que se limitem ao provimento de infraestrutura de armazenamento e transporte de dados empregados em sistemas de inteligência artificial”.

A norma prevê vinte fundamentos para desenvolvimento, implementação e uso de IA no Brasil. Entre eles, estão: centralidade da pessoa humana, respeito aos direitos humanos e valores democráticos, livre desenvolvimento da personalidade, proteção ao meio ambiente e desenvolvimento ecologicamente equilibrado, igualdade, não discriminação, pluralidade, diversidade, direitos sociais, privacidade, proteção de dados pessoais, autodeterminação informativa, entre outros assegurados no art. 2.

Há também dezessete princípios básicos para desenvolvimento e usos das IAs no Brasil, como crescimento inclusivo, bem-estar, proteção do trabalhador, liberdade de decisão e escolha, supervisão humana efetiva, não discriminação ilícita e abusiva, justiça, equidade e inclusão, transparência e explicabilidade (“considerada a participação de cada agente na cadeia de valor de IA”), diligência devida e auditabilidade ao longo de todo o ciclo de vida do sistema de inteligência artificial, confiabilidade e robustez do sistema de inteligência artificial, devido processo legal, contestabilidade e contraditório, prestação de contas, responsabilização e reparação integral de danos, possibilidade e condição de utilização de sistemas e tecnologias com segurança e autonomia, por pessoa com deficiência, proteção integral das crianças e dos adolescentes, entre outros previstos no art. 3.

As definições conceituais também foram mantidas. O “sistema de IA” é definido como sistema baseado em máquina que, com graus diferentes de autonomia e para objetivos explícitos ou implícitos, infere, a partir de um conjunto de dados ou informações que recebe, como gerar resultados, em especial, previsão, conteúdo, recomendação ou decisão que possa influenciar o ambiente virtual, físico ou real. Já o “sistema de IA de propósito geral” é definido como sistema de IA baseado em um modelo de IA treinado com bases de dados em grande escala, capaz de realizar uma ampla variedade de tarefas distintas e servir diferentes finalidades, incluindo aquelas para as quais não foram especificamente desenvolvidos e treinados, podendo ser integrado em diversos sistemas ou aplicações. O sistema de IA generativa, por fim, é definido como modelo de IA especificamente destinado a gerar ou modificar significativamente, com diferentes graus de autonomia, texto, imagem, áudio, vídeo ou código de software.

Com relação aos agentes, a legislação prevê o “desenvolvedor” (pessoa natural ou jurídica, de natureza pública ou privada, que desenvolva um sistema de inteligência artificial, diretamente ou por encomenda, com vistas a sua colocação no mercado ou a sua aplicação em serviço por ela fornecido, sob seu próprio nome ou marca, a título oneroso ou gratuito), o “distribuidor” (pessoa natural ou jurídica, de natureza pública ou privada, que disponibiliza e distribui sistema de IA para que terceiro aplique a título oneroso ou gratuito) e o “aplicador” (pessoa natural ou jurídica, de natureza pública ou privada, que empregue ou utilize, em seu nome ou benefício, sistema de inteligência artificial, inclusive configurando, mantendo ou apoiando com o fornecimento de dados para a operação e o monitoramento do sistema de IA).

Valendo-se dos aportes do direito antidiscriminatório, a legislação também manteve as definições conceituais de “discriminação abusiva ou ilícita” (qualquer distinção, exclusão, restrição ou preferência, em qualquer área da vida pública ou privada, cujo propósito ou efeito seja anular ou restringir, de forma abusiva ou ilícita, o reconhecimento, gozo ou exercício, em condições de igualdade, de um ou mais direitos ou liberdades previstos no ordenamento jurídico, em razão de características pessoais) e “discriminação indireta abusiva ou ilícita” (discriminação que ocorre quando normativa, prática ou critério aparentemente neutro tem a capacidade de acarretar desvantagem para pessoa ou grupos afetados, ou as coloquem em desvantagem, desde que essa normativa, prática ou critério seja abusivo ou ilícito).

A legislação também introduz a “avaliação preliminar” (processo simplificado de autoavaliação, anterior à utilização ou colocação no mercado de um ou mais sistemas de IA, para classificação de seu grau de risco, com o objetivo de determinar o cumprimento das obrigações definidas nesta Lei) e a” avaliação de impacto algorítmico” (análise do impacto sobre os direitos fundamentais, apresentando medidas preventivas, mitigadoras e de reversão dos impactos negativos, bem como medidas potencializadoras dos impactos positivos de um sistema de IA).

Há, ainda, outros conceitos jurídicos novos como “efeitos jurídicos relevantes” (consequências jurídicas modificativas, impeditivas ou extintivas negativas que atingem direitos e liberdades fundamentais), “conteúdos sintéticos” (informações, tais como imagens, vídeos, áudio e texto, que foram significativamente modificadas ou geradas por sistemas de inteligência artificial) e “integridade da informação” (resultado de um ecossistema informacional que viabiliza e disponibiliza informações e conhecimento confiáveis, diversos e precisos, em tempo hábil para promoção da liberdade de expressão).

A legislação também aborda o “risco sistêmico”, que ocorre em situações de potenciais efeitos adversos negativos decorrentes de um sistema de IA de propósito geral e generativa com impacto significativo sobre direitos fundamentais individuais e sociais.

O capítulo sobre direitos fundamentais não sofreu alterações nesta reta final. Definiu-se que a pessoa e grupo afetado por sistema de IA, independentemente do seu grau de risco, têm os seguintes direitos:

• direito à informação quanto às suas interações com sistemas de IA, de forma acessível, gratuita e de fácil compreensão inclusive sobre caráter automatizado da interação, exceto nos casos em que se trate de sistemas de IA dedicados única e exclusivamente à cibersegurança e à ciberdefesa conforme regulamento;
• direito à privacidade e à proteção de dados pessoais, em especial os direitos dos titulares de dados nos termos da Lei nº 13.709, de 14 de agosto de 2018 e da legislação pertinente;
• direito à não-discriminação ilícita ou abusiva e à correção de vieses discriminatórios ilegais ou abusivos sejam eles diretos ou indiretos;

Os sistemas de IA que se destinem a grupos vulneráveis deverão, em todas as etapas de seu ciclo de vida, ser transparentes e adotar linguagem simples, clara e apropriada à idade e capacidade cognitiva, e implementados considerando o melhor interesse desses grupos. A informação sobre os direitos básicos deve ser fornecida com o uso de ícones ou símbolos uniformizados facilmente reconhecíveis, sem prejuízo de outros formatos.

A legislação também manteve os direitos específicos de pessoas e grupos afetados por sistemas de IA de alto risco. Os três direitos básicos são:

• direito à explicação sobre a decisão, recomendação ou previsão feitas pelo sistema;
• direito de contestar e de solicitar a revisão de decisões, recomendações ou previsões de sistema de IA;
• direito à revisão humana das decisões, levando-se em conta o contexto, risco e o estado da arte do desenvolvimento tecnológico;

Esses direitos são qualificados por dois limitadores. Primeiro, o segredo comercial e industrial, que pode afetar o direito à explicação. Segundo, a determinação legal de que os direitos “serão implementados considerando o estado da arte do desenvolvimento tecnológico, devendo o agente do sistema de IA de alto risco sempre implementar medidas eficazes e proporcionais”.

A lei também determina que o direito à explicação será fornecido por processo gratuito, em linguagem simples, acessível e adequada que facilite a pessoa compreender o resultado da decisão ou previsão em questão, dentro de um prazo razoável a depender da complexidade do sistema de IA e do número de agentes envolvidos.

Os prazos e procedimentos para exercício do direito à explicação serão determinados pela autoridade competente (o SIA).

O que foi mantido sobre regulação do risco?

A regulação do risco é um componente central da regulação da IA. Essa técnica jurídica prevê uma procedimentalização dinâmica de obrigações a partir do grau de risco que um sistema de IA pode produzir aos interesses das pessoas e respeito aos seus direitos fundamentais. Como explicamos em nosso estudo, “a ideia é calibrar o peso da regulação – a intensidade de obrigações, direitos e deveres de um determinado agente regulado – de acordo com o nível do risco em um determinado contexto” (Bioni et al., 2023, p. 6).

Esse foi um dos elementos mais disputados entre 2021 e 2022, quando grande parte do setor privado se mobilizou em defesa de uma “legislação principiológica” sem a estruturação de mecanismos de regulação do risco. No entanto, como defendemos em audiências públicas no Senado Federal, uma lei federal sem normas específicas para risco excessivo e alto risco passa a ser inócua. A regulação do risco pode ser assimétrica, beneficiando pequenas empresas e empreendimentos inovadores.

A estrutura central do projeto preparado pela Comissão de Juristas foi mantida com relação à técnica de gradatividade do risco e diferentes graus de obrigações impostas aos agentes a partir do grau de risco identificado. O projeto prevê que antes de sua introdução e circulação no mercado, emprego ou utilização, o agente de IA poderá realizar avaliação preliminar para determinar o grau de risco do sistema, baseando-se nos critérios da lei, de acordo com o estado da arte e do desenvolvimento tecnológico. O resultado da avaliação preliminar poderá ser utilizado pelo agente de IA para demonstrar conformidade com os requisitos de segurança, transparência e ética previstos na lei.

Além do estímulo à avaliação dos próprios riscos, a legislação prevê uma categorização sobre tipos de riscos, variando dos intoleráveis (riscos excessivos) aos toleráveis a partir de certas medidas (alto e baixo risco). A legislação determina que são vedados o desenvolvimento, implementação e uso de sistemas de IA para:

• instigar ou induzir o comportamento da pessoa natural ou de grupos de maneira que cause danos à saúde, segurança ou outros direitos fundamentais próprios ou de terceiros;
• explorar quaisquer vulnerabilidades de pessoa natural ou de grupos com o objetivo ou o efeito de induzir o seu comportamento de maneira que cause danos à saúde, segurança ou outros direitos fundamentais próprios ou de terceiros;
• avaliar os traços de personalidade, as características ou o comportamento passado, criminal ou não, de pessoas singulares ou grupos, para avaliação de risco de cometimento de crime, infrações ou de reincidência;
• possibilitar a produção, disseminação ou facilitem a criação de material que caracterize ou represente abuso ou exploração sexual de crianças e adolescentes;
• pelo poder público, para avaliar, classificar ou ranquear as pessoas naturais, com base no seu comportamento social ou em atributos da sua personalidade, por meio de pontuação universal, para o acesso a bens e serviços e políticas públicas, de forma ilegítima ou desproporcional;
• em sistemas de armas autônomas (SAA);
• em sistemas de identificação biométrica à distância, em tempo real e em espaços acessíveis ao público, com exceção das seguintes hipóteses: (a) instrução de inquérito ou processo criminal, mediante autorização judicial prévia e motivada, quando houver indícios razoáveis da autoria ou participação em infração penal, a prova não puder ser feita por outros meios disponíveis e o fato investigado não constitua infração penal de menor potencial ofensivo; (b) busca de vítimas de crimes, de pessoas desaparecidas ou em circunstâncias que envolvam ameaça grave e iminente à vida ou à integridade física de pessoas naturais; (c) flagrante delito de crimes punidos com pena privativa de liberdade superior a 2 (dois) anos, com imediata comunicação à autoridade judicial; (d) recaptura de réus evadidos, cumprimento de mandados de prisão e de medidas restritivas ordenadas pelo Poder Judiciário.

Por exemplo, é vedado colocar no mercado um sistema de IA, via software para celular, que ajude jovens a criarem componentes químicos entorpecentes em suas próprias casas, como versões caseiras de lança perfume ou drogas feitas com componentes químicos de produtos de limpeza que notoriamente fazem mal à saúde. Esse cenário é absolutamente distinto, em termos contextuais, dos usos experimentais de IA em pesquisas científicas de antibióticos.

Exemplificando, também é vedado distribuir sistemas de modelos de linguagem que possam emular um personagem e estimular comportamentos contra a vida, como já ocorreu nos EUA na ocasião da morte de um adolescente de 14 anos, após uso compulsivo de um chatbot que simulava um personagem de Game of Thrones.

O uso de sistemas de reconhecimento facial à distância (um ponto que a Data se opôs durante o ano de 2024) deverá ser proporcional e estritamente necessário ao atendimento do interesse público, observados o devido processo legal e o controle judicial, bem como os princípios e direitos previstos na lei e, no que couber, da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais), especialmente a garantia contra a discriminação e a necessidade de revisão da inferência algorítmica pelo agente público responsável.

Já as normas sobre alto risco determinam que considera-se de alto risco o sistema de IA empregado para as seguintes finalidades e contextos de usos, levando-se em conta a probabilidade e a gravidade dos impactos adversos sobre pessoa ou grupos afetados, nos termos da regulamentação:

• aplicação como dispositivos de segurança na gestão e no funcionamento de infraestruturas críticas, tais como controle de trânsito e redes de abastecimento de água e de eletricidade, quando houver risco relevante à integridade física das pessoas e à interrupção de serviços essenciais, de forma ilícita ou abusiva, e desde que sejam determinantes para o resultado ou decisão, funcionamento ou acesso a serviço essencial;
• sistemas de IA utilizados como fator determinante na tomada de decisões de seleção de estudantes em processos de ingresso a instituições de ensino ou de formação profissional, ou para avaliações determinantes no progresso acadêmico ou monitoramento de estudantes, ressalvadas as hipóteses de monitoramento exclusivamente para finalidade de segurança;
• recrutamento, triagem, filtragem, avaliação de candidatos, tomada de decisões sobre promoções ou cessações de relações contratuais de trabalho, avaliação do desempenho e do comportamento das pessoas afetadas nas áreas de emprego, gestão de trabalhadores e acesso ao emprego por conta própria;
• avaliação de critérios de acesso, elegibilidade, concessão, revisão, redução ou revogação de serviços privados e públicos que sejam considerados essenciais, incluindo sistemas utilizados para avaliar a elegibilidade de pessoas naturais quanto a prestações de serviços públicos de assistência e de seguridade;
• avaliação e classificação de chamadas, ou determinação de prioridades para serviços públicos essenciais, tais como de bombeiros e assistência médica;
• administração da justiça, no que toca o uso de sistemas que auxiliem autoridades judiciárias em investigação dos fatos e na aplicação da lei quando houver risco às liberdades individuais e ao Estado democrático de direito, excluindo-se os sistemas que auxiliem atos e atividades administrativas;
• veículos autônomos em espaços públicos, quando seu uso puder gerar risco relevante à integridade física de pessoas;
• aplicações na área da saúde para auxiliar diagnósticos e procedimentos médicos, quando houver risco relevante à integridade física e mental das pessoas;
• estudo analítico de crimes relativos a pessoas naturais, permitindo às autoridades policiais pesquisar grandes conjuntos de dados, disponíveis em diferentes fontes de dados ou em diferentes formatos, no intuito de identificar padrões e perfis comportamentais;
• investigação por autoridades administrativas para avaliar a credibilidade dos elementos de prova no decurso da investigação ou repressão de infrações, para prever a ocorrência ou a recorrência de uma infração real ou potencial com base na definição de perfis de pessoas singulares;
• sistemas de identificação e autenticação biométrica para o reconhecimento de emoções, excluindo-se os sistemas de autenticação biométrica cujo único objetivo seja a confirmação de uma pessoa singular específica;
• gestão da imigração e controle de fronteiras para avaliar o ingresso de pessoa ou grupo de pessoas em território nacional;

Um ponto crucial foi a manutenção da possibilidade de as autoridades regulamentarem a classificação dos sistemas de IA de alto risco, “bem como identificar novas hipóteses de aplicação de alto risco, levando em consideração a probabilidade e a gravidade dos impactos adversos sobre pessoa ou grupos afetados”. Havia um movimento de pressão, com possível aval do governo federal, para flexibilizar o texto do caput deste artigo (15), em situação detrimental ao interesse público.

Os elementos de governança também foram mantidos no texto, com regras específicas para IA de conteúdo sintético. Quando o sistema de IA gerar conteúdo sintético, deverá incluir, considerando estado da arte do desenvolvimento tecnológico e o contexto de uso, identificador em tais conteúdos para verificação de autenticidade ou características de sua proveniência, modificações ou transmissão, conforme regulamento.

Em diálogo com a cultura de dados abertos na LAI e na LGPD, a lei define que o poder público, ao desenvolver ou contratar sistemas de IA, deve garantir o acesso aos bancos de dados e a plena portabilidade de dados dos cidadãos brasileiros e da gestão pública. Outro ganho é a padronização mínima dos sistemas em termos de sua arquitetura de dados e metadados, a fim de promover interoperabilidade entre sistemas e promover uma boa governança de dados.

No caso de utilização de sistemas biométricos para fins de identificação pelo poder público, como nos aeroportos ou prédios públicos, deverá ser realizada avaliação de impacto algorítmico, observadas as garantias para o exercício dos direitos das pessoas ou grupos afetados e a proteção contra a discriminação direta, indireta, ilegal ou abusiva.

Com relação à avaliação de impacto algorítmico – um importante artefato jurídico da Lei de IA para transparência e prevenção de danos -, o projeto define que:

• É uma obrigação do desenvolvedor ou aplicador que introduzir ou colocar sistema de IA em circulação no mercado quando o seu uso for de alto risco;
• A obrigação será calibrada de acordo com o papel e participação de cada agenda na cadeia;
• Os agentes são livres para criar suas metodologias, mas deve existir um mínimo de avaliação de riscos e benefícios aos direitos fundamentais, medidas de atenuação e efetividade das medidas de gerenciamento;
• Existirá norma específica para detalhar em que situações os agentes devem compartilhar a avaliação de impacto algorítmico com a autoridade setorial;
• Os agentes de IA poderão requerer aos demais agentes da cadeia informações necessárias para realizar a avaliação de impacto algorítmico, respeitado o segredo industrial e comercial;
• A avaliação deverá ser realizada em momento prévio e de acordo com contexto específico da introdução ou colocação em circulação no mercado;
• As empresas e o setor privado poderão colaborar com a autoridade competente para definir critérios gerais e elementos para elaboração da avaliação de impacto e periodicidade;
• As conclusões da avaliação de impacto algorítmico serão públicas, observados os segredos industrial e comercial, nos termos do regulamento futuro.

A legislação também define que a avaliação de impacto algorítmico não se confunde com o relatório de impacto à proteção de dados pessoais, que é uma obrigação legal prevista na Lei Geral de Proteção de Dados Pessoais. No entanto, quando for útil, esses documentos podem ser elaborados em conjunto, para ganhos de eficiência para as organizações.

Além dessas normas protetivas, foram mantidas as regras sobre autorregulação, certificação, comunicação de incidentes e responsabilidade civil.

O que é o SIA e como ele pode funcionar?

Um dos grandes elementos de negociação durante o ano de 2024 foi o arranjo final da estrutura de aplicação da legislação. De forma bem distinta da União Europeia, que optou por um modelo centralizador no “Escritório de IA”, a lei brasileira opera a partir das capacidades já existentes.

A lei cria o SIA, que é o Sistema Nacional de Regulação e Governança de Inteligência Artificial. Esse sistema é integrado por:

• Autoridade Nacional de Proteção de Dados (ANPD), autoridade competente que coordenará o SIA;
• Autoridades setoriais (Anatel, Anvisa, Anac, Aneel, Banco Central, etc);
• Conselho Permanente de Cooperação Regulatória de Inteligência Artificial (CRIA);
• Comitê de Especialistas e Cientistas de Inteligência Artificial (CECIA);

O CRIA tem como atribuição a produção de diretrizes, sendo fórum permanente de colaboração, inclusive por meio de acordos de cooperação técnica, com as autoridades setoriais e com a sociedade civil. Já o CECIA tem como objetivo orientar e supervisionar técnica e cientificamente o desenvolvimento e aplicação da IA de forma responsável, sendo formado por cientistas e especialistas.

O SIA, nos termos do projeto, tem como funções (i) valorizar e reforçar as competências regulatória, sancionatória e normativa das autoridades setoriais em harmonia com as correlatas gerais da autoridade competente que coordena o SIA; e (ii) buscar a harmonização e colaboração com órgãos reguladores de temas transversais.

Nesse formato, a ANPD teria uma função de coordenação, azeitando as relações com os diversos reguladores setoriais. Além disso, entre muitas funções definidas no art. 46, faria a representação do Brasil em órgãos internacionais de IA, teria capacidade de elaborar normas sobre formas e requisitos das informações a serem publicizadas e procedimentos para elaboração da avaliação de impacto algorítmico, e ocuparia uma função “normativa e regulatória” em atividades econômicas não reguladas.

Quais os incentivos para pequenas e médias empresas?

Uma preocupação central do processo de construção do PL de IA foi o impacto para a emergente economia de empresas que atuam de forma intensiva com IA, com especial cuidado aos incentivos econômicos para pequenas e médias empresas.

O projeto propõe um ambiente regulatório experimental (chamado de sandbox, conforme literatura especializada em regulação financeira), que objetiva facilitar o desenvolvimento, a testagem e a validação de sistemas inovadores de IA por um período limitado antes da sua colocação no mercado ou colocação em serviço de acordo com um plano específico. Esse modelo permite afastar a incidência de normas sob sua competência em relação à entidade regulada ou aos grupos de entidades reguladas.

A autoridade competente e as autoridades setoriais que compõem o SIA regulamentarão os procedimentos para a solicitação e autorização de funcionamento de sandboxes regulatórios, podendo limitar ou interromper o seu funcionamento e emitir recomendações. O projeto também prevê que autoridades setoriais deverão proporcionar às micro e pequenas empresas, startups e Instituições Científicas Tecnológicas e de Inovação (ICTs) públicas e privadas acesso prioritário aos ambientes de testagem.

Quais os incentivos para sustentabilidade?

Outro elemento consensuado no Senado é o fomento da inovação pelos estados e municípios, com enfoque em IAs. A legislação prevê como diretrizes a promoção da inovação por parcerias público-privadas, investimento em pesquisa para o desenvolvimento de IA no país, “prezando pela autonomia tecnológica e de dados do País e sua inserção e competitividade no mercado interno e internacional”, financiamento de recursos físicos e tecnológicos de IA de difícil acesso para pequenas e médias empresas e centros de pesquisa que promovam práticas sustentáveis, e incentivo à ampliação de data centers sustentáveis de alta capacidade de processamento de dados para sistemas de IA.

A lei geral também estimula criação de centros multidisciplinares de pesquisa, desenvolvimento e inovações em inteligência artificial, o que pode ter um efeito cascata nas universidades públicas e institutos de pesquisa no Brasil. Com relação aos cuidados ambientais, a lei define que entidades públicas e privadas devem priorizar a utilização de sistemas e aplicações de IA que visem a eficiência energética e racionalização do consumo de recursos naturais.

Ao olhar para o futuro, o projeto define que o CRIA, em cooperação com o Ministério do Meio Ambiente e Mudança do Clima, fomentará pesquisa e o desenvolvimento de programas de certificação para redução do impacto ambiental de sistemas de IA.

Em síntese, o projeto promove uma importante conexão entre o ambiental e o digital, já identificado na literatura especializada e nos grupos de trabalho do G20 (Zanatta, Vergili, Saliba, 2024; T20 et al., 2024).

De que modo o projeto protege trabalhadores?

Como argumentamos no texto “IA e direitos para quem trabalha” (Mendonça et al, 2024), a IA tem um grande potencial de impactar nas relações laborais em diferentes níveis. A construção de regras específicas para trabalhadores foi um dos pontos de tensão no segundo semestre de 2024, com posicionamentos contrários entre Fenadados/CUT e Fiesp/CNI.

A versão final do texto diminuiu as proteções aos trabalhadores, porém manteve alguns pontos importantes. O primeiro é a cooperação entre autoridades. A autoridade competente, as autoridades setoriais que compõem o SIA e o Conselho de Cooperação Regulatória de Inteligência Artificial (CRIA), em cooperação com o Ministério do Trabalho, deverão desenvolver diretrizes para avançar quatro objetivos:

• mitigar os potenciais impactos negativos aos trabalhadores, em especial os riscos de deslocamento de emprego e oportunidades de carreira relacionadas à IA;
• potencializar os impactos positivos aos trabalhadores, em especial para melhoria da saúde e segurança do local de trabalho;
• valorizar os instrumentos de negociações e convenções coletivas;
• fomentar o desenvolvimento de programas de treinamento e capacitação contínua para os trabalhadores em atividade, promovendo a valorização e o aprimoramento profissional;

As regras específicas de contenção das despedidas em massa e de direitos de participação dos trabalhadores nas avaliações de impactos algorítmicos foram retiradas do texto final.

De que modo o projeto protege os direitos dos criadores de conteúdo?

Uma das principais vitórias da sociedade civil, criadores, artistas e profissionais do jornalismo e audiovisual foi a manutenção da seção sobre direitos de autor e conexos no relatório final da CTIA. O texto apresenta uma linguagem protetiva aos criadores de conteúdos e garante condições dignas de exercício de direitos.

Primeiramente, o projeto prevê que o desenvolvedor de IA que utilizar conteúdo protegido por direitos de autor e conexos deverá informar sobre os conteúdos protegidos utilizados nos processos de desenvolvimento dos sistemas de IA, por meio da publicação de sumário em sítio eletrônico de fácil acesso, observados os segredos comercial e industrial, nos termos de regulamento específico.

Em segundo, o projeto prevê um direito de oposição. O titular de direitos de autor e conexos poderá proibir a utilização dos conteúdos de sua titularidade no desenvolvimento de sistemas de IA, caso o uso seja contrário aos interesses do criador. Ainda, a proibição do uso de obras e conteúdos protegidos nas bases de dados de um sistema de IA posterior ao processo de treinamento não exime o agente de IA de responder por perdas e danos morais e materiais.

Em terceiro, institui-se um sistema de remuneração justa. O projeto diz que o agente de IA que utilizar conteúdos protegidos por direitos de autor e direitos conexos em processos de mineração, treinamento ou desenvolvimento de sistemas de IA deve remunerar os respectivos titulares desses conteúdos em virtude dessa utilização.

Essa remuneração (somente devida aos titulares de direitos de autor e de direitos conexos nacionais ou estrangeiros domiciliados no Brasil) deve assegurar que os titulares de direitos tenham condições de negociar coletivamente, que o cálculo da remuneração considere os princípios de razoabilidade e proporcionalidade (considerando o porte do agente de IA e efeitos concorrenciais), a livre negociação da utilização de conteúdos protegidos, visando a promoção de um ambiente de pesquisa e experimentação que possibilite o desenvolvimento de práticas inovadoras.

Ainda, a lei trava um diálogo com o Código Civil ao afirmar que a utilização de conteúdos de imagem, áudio, voz ou vídeo que retratem ou identifiquem pessoas naturais pelos sistemas de IA deverá respeitar os direitos da personalidade.

Importante ressaltar que essas regras – informação, oposição e remuneração – não se aplicam não se aplicam para fins de pesquisa e desenvolvimento de sistemas de IA por organizações e instituições científicas e de pesquisa, museus, arquivos públicos, bibliotecas e educacionais, desde que observadas as seguintes condições:

• o acesso tenha se dado de forma lícita;
• não tenha fins comerciais;
• a utilização de conteúdos protegidos por direitos de autor e conexos seja feita na medida necessária para o objetivo a ser alcançado.

Alterações no texto final e possíveis retrocessos

As principais mudanças no texto final da Lei de IA aprovada na CTIA ocorreram com relação ao tema de liberdade de expressão e integridade da informação. O relator escreveu que “diante da imperatividade de se garantir a liberdade de expressão como valor fundamental para qualquer sociedade democrática”, houve a supressão, no art. 15, “do risco à integridade à informação, à liberdade de expressão, ao processo democrático e ao pluralismo político como critérios para regulamentação e identificação de novas hipóteses de IA de alto risco”.

Essa mudança foi combinada com a inserção de um novo artigo no texto da lei que diz: “A regulação de aspectos associados à circulação de conteúdo online e que possam afetar a liberdade de expressão, inclusive o uso de IA para moderação e recomendação de conteúdo, somente poderá ser feita por meio de legislação específica” (art. 77).

Houve, ainda, uma mudança substancial com a eliminação do texto que dizia: “O desenvolvedor de um sistema de IA generativa deve, antes de disponibilizar no mercado para fins comerciais, garantir a adoção de medidas para identificação, análise e mitigação de riscos razoavelmente previsíveis no que tange a direitos fundamentais, o meio ambiente, a integridade da informação, liberdade de expressão e o acesso à informação”.

A sociedade civil organizada, especialmente por meio das articulações da Coalizão Direitos na Rede (2024), tem alertado para as tentativas de emendas supressivas para eliminar os artigos sobre direitos do autor e as normas protetivas aos criadores de conteúdos.

Há, também, um risco de mudanças nas regras sobre regulação das atividades de alto risco e supressão de normas que instituem a possibilidade de intervenção da autoridade competente, removendo a capacidade fiscalizatória e normativa do SIA no futuro.

É crucial que as conquistas feitas democraticamente, mediante discussão consensual entre senadores da CTIA, não sejam desmobilizadas em razão de pressões de grupos econômicos poderosos e interesses privados que se contrapõem ao interesse público. A Data Privacy Brasil defende uma IA com direitos e um ecossistema informacional justo. A aprovação do PL 2338/2023 é etapa necessária para avançarmos nesse sentido.

Referências

BRASIL. Senado Federal. Projeto de Lei 2338/2023, Senador Rodrigo Pacheco. Brasília: Senado Federal, 2023. Disponível em: https://www25.senado.leg.br/web/atividade/materias/-/materia/157233

BIONI, Bruno; GARROTE; Marina; GUEDES, Paula. Temas Centrais da Regulação de Inteligência Artificial no Brasil: O local, o regional e o global na busca da interoperabilidade regulatória. São Paulo: Associação Data Privacy Brasil de Pesquisa, 2023. Disponível em: https://www.dataprivacybr.org/wp-content/uploads/2024/02/nota-tecnica-temas-regulatorios-ia_data.pdf

BIONI, Bruno; PIGATTO, Jaqueline; KARCZESKI, Louise; PASCHOALINI, Nathan. Exploring Opportunities in the Digital Economy and AI at the G20. SGD Knowledge Hub, 2024. Disponível em: https://www.dataprivacybr.org/exploring-opportunities-in-the-digital-economy-and-ai-at-the-g20-2/

COALIZÃO DIREITOS NA REDE. Regular para promover uma IA responsável e protetiva de direitos: alertas sobre retrocessos, ameaças e garantias de direitos no PL nº 2.338/23. Brasília: Coalizão Direitos na Rede, 2024.

DATA PRIVACY BRASIL. Nota pública sobre apresentação do projeto de lei de Inteligência Artificial. São Paulo: Data Privacy Brasil, 2023. Disponível em: https://www.dataprivacybr.org/documentos/nota-publica-sobre-apresentacao-do-projeto-de-lei-de-inteligencia-artificial/

MENDONÇA, Eduardo; MENDONÇA, Júlia; RODRIGUES, Carla; ZANATTA, Rafael. IA e Direitos para quem trabalha. Projeto IA com Direitos. São Paulo: Data Privacy Brasil, 2024. Disponível em: https://www.dataprivacybr.org/ia-e-direitos-para-quem-trabalha/

MENDONÇA, Eduardo; MENDONÇA, Júlia; RODRIGUES, Carla. IA com Direitos: diálogo e colaboração para regular e proteger. São Paulo: Data Privacy Brasil, 2024. Disponível em: https://www.dataprivacybr.org/ia-com-direitos-dialogo-e-colaboracao-para-regular-e-proteger/

T20; C20; L20; W20. São Luís Declaration: Artificial Intelligence. Joint Statement from Engagement Groups to the G20 States on Artificial Intelligence. Brasília: G20, 2024. Disponível em: https://www.dataprivacybr.org/wp-content/uploads/2024/09/20240910-Sao-Luis-Declaration-Artificial-Intelligence.pdf

ZANATTA, Rafael; VERGILI, Gabriela; SALIBA, Pedro. O nexo entre o ambiental e o digital, Revista PolitICS, 2024. Disponível em: https://politics.org.br/pt-br/infraestrutura-news/o-nexo-entre-o-ambiental-e-o-digital