IA: UE define diretrizes para regulação

Na última sexta-feira (8), os legisladores da União Europeia (UE) chegaram a um acordo preliminar sobre a Lei para a regulação da Inteligência Artificial (IA), definindo as diretrizes, limitações e obrigações das empresas, indivíduos e organizações que desenvolvem ou trabalham com algoritmos e soluções generativas, em todos os 27 países-membros do bloco.

• IA: EUA, China, Brasil anunciam regulação coordenada
• Inteligência Artificial – Retrospectiva 2023

O texto mantém as medidas anunciadas anteriormente em 2023, que deliberam sobre o uso de dados protegidos para o treinamento de algoritmos, reconhecimento facial, identificação de conteúdos, e proteção dos dados dos usuários.

IA para vigilância: só autoridades

O acordo estabelecido entre os 705 membros do Parlamento Europeu, e os 29 chefes de estado e governo que compõem o Conselho Europeu, ratifica basicamente o que já havia sido estabelecido em maio de 2023, quando o texto original da Lei de IA, que focava no uso de algoritmos para vigilância, foi atualizado para também "contemplar" as IAs generativas.

As alterações foram um movimento reativo ao ban do ChatGPT da Itália no início de abril, por coleta de dados de usuários sem autorização, após uma falha crítica ocorrida no fim de março, que expôs dados dos utilizadores da ferramenta. A UE já ensaiava um conjunto de regras visando a regulação, mas o caso foi entendido pelos legisladores locais como uma questão urgente.

Sobre as soluções de IA banidas em qualquer cenário, estas são essencialmente as mesmas estabelecidas antes, que são:

• Sistemas de pós-identificação biométrica (via conteúdo pré-gravado, coletado de circuitos internos, TV, ou internet), para treinamento de bancos de dados de reconhecimento facial;
• Sistemas biométricos de categorização, usando características sensíveis (gênero, orientação sexual, etnia, cidadania, religião, orientação política, etc.);
• Sistemas de ranking social baseados no comportamento ou características pessoais;
• Sistemas de IA que exploram vulnerabilidades, como idade, deficiências, situação econômica/social, etc.;
• Sistemas de IA capazes de manipular o comportamento de indivíduos, estimulando-os a tomar atitudes e ações contra a vontade, quer percebam ou não;
• Sistemas de reconhecimento de emoções por nenhum órgão privado ou público, incluindo instituições de ensino, órgãos de segurança pública, ambientes de trabalho, patrulhamento de fronteiras, etc.

As exceções são as mesmas previstas anteriormente: autoridades e órgãos de segurança pública serão autorizados a usarem sistemas de identificação biométrica em espaços públicos, a exemplo do que já é feito no Reino Unido, porém, apenas em situações específicas e com autorização judicial. Nesses cenários, o conteúdo será por padrão pré-gravado.

Por outro lado, o Conselho e o Parlamento Europeus estabeleceram cenários para o uso de reconhecimento biométrico em tempo real, anteriormente banido em qualquer situação, mas apenas em cenários ainda mais específicos, que são:

• Rastreio e busca de vítimas, em casos de abdução (remoção/transporte da vítima sem autorização do mesmo ou de responsáveis, geralmente menor de idade, cometido por um dos pais que não detém a guarda do mesmo), exploração sexual, e/ou tráfico humano;
• Atos preventivos sob a ameaça de ataque terrorista;
• Localização e identificação de suspeitos, envolvidos nos cenários acima citados, e/ou em casos de homicídio, estupro, assalto à mão armada, rapto/sequestro, crime ambiental, ou participação em uma organização criminosa.

No geral, empresas e órgãos públicos não poderão usar sistemas de reconhecimento em tempo real, os primeiros em nenhum cenário possível, os segundos, apenas em casos restritos; para os demais, o padrão será a análise de material pré-gravado captado em câmeras de vigilância, internet e afins, e mesmo assim, com autorização expressa de um juiz.

ChatGPT e cia.: restrições severas

O texto acordado pela UE também estabelece, de forma definitiva, todas as restrições e limitações que o bloco impôs inicialmente a soluções de IA generativas, como ChatGPT, StableDiffusion, Whisper, etc. Estas, identificadas como "IAs de propósito geral" (GPAIs), foram separadas das chamadas de "alto risco", que incluem os algoritmos de recomendação presentes em sites e redes sociais.

Essencialmente, as GPAIs serão submetidas a todas as exigências especificadas em maio de 2023, que são:

• Divulgar, com clareza, que um modelo exibido publicamente trata-se de conteúdo gerado por IA, o que deve ser feito agora, não interessa o quão difícil seja implementar a identificação, que deve ser segura e à prova de invasão. Como previsto, a UE mandou um "se virem" às empresas;
• Não criar modelos que infrinjam, ou façam alusão, a conteúdos protegidos por direitos autorais;
• Divulgar publicamente todos os modelos e conteúdos usados no treinamento das redes neurais, sejam eles de domínio público, ou protegidos por direitos autorais, e não interessa se isso vai levar a processos (na verdade, é esta a intenção);
• Serem claros sobre o uso de dados dos usuários, e garantir a proteção dos mesmos, como prioridade.

Soluções de alto risco, por outro lado, terão que atender critérios mais elevados da UE, o que inclui submissão de seus modelos para avaliação pelo governo, conduzir testes de segurança periódicos, reportar imediatamente às autoridades casos de vazamentos, e emitir relatórios periódicos sobre a eficiência energética de suas soluções.

Sim, além de tudo, terão que ser eco-friendly, este ato baseado em estudos recentes que denunciam IAs generativas como comedoras vorazes de energia, a criação de uma única imagem consome quase o mesmo que uma carga completa de um smartphone.

Gigantes locais não escaparam

As restrições contra IAs generativas, embora mirem em companhias de fora da UE, afetarão de igual maneira as companhias locais, pois a legislação parte do princípio de que algoritmos do tipo são nocivos por natureza, logo, não receberão benesses em troca da privacidade dos cidadãos, que foi priorizada.

Por outro lado, o Parlamento reconhece e irá estabelecer condições para estimular o crescimento de empresas de médio porte locais, para que estas possam criar e desenvolver seus algoritmos sem sofrer pressão das big techs, sejam internas ou externas. Claro, estas também serão submetidas a testes e terão que cumprir todas as diretrizes para operarem sem prejudicar os usuários.

As gigantes europeias, como ARM, Siemens, Carrefour, Heineken, Airbus, Renault, TomTom, Ubisoft, Mistral AI e outras, estas terão que se resignar ao fato de que competirão com OpenAI, Google, Meta, Microsoft e cia. de forma desigual, por estas terem mais condições de atenderem às exigências da UE, sem prejudicarem seus negócios.

Multas e vigência

Dependendo da infração e do tamanho da empresa, quem não seguir as leis de IA na UE poderá ser multado entre 1,5% e 7% de seu faturamento global, limitados a respectivamente 7,5 € milhões e 35 € milhões.

A UE espera que a nova legislação seja votada no Parlamento entre em votação no início de 2024, e uma vez aprovada, ela deverá entrar em vigor já em 2025, um ano mais cedo do que o inicialmente projetado, até para não deixar as IAs generativas sem regulação por muito tempo mais.

Fonte: European Parliament