UE aprova primeira Lei para a regulação das IAs

A gente sabia que isso não demoraria a acontecer: nesta quarta-feira (13), o parlamento da União Europeia (UE) aprovou, com larga maioria, a Lei que regula soluções baseadas em Inteligência Artificial (IA), nos 27 países-membros do bloco.

• IA: UE define diretrizes para regulação
• IA: EUA, China, Brasil anunciam regulação coordenada

As medidas, definidas inicialmente em 2023, banem modelos de algoritmos considerados nocivos, e impõem limites severos à operação dos modelos generativos no continente; como de praxe, é desejo da UE que a Lei sirva como um modelo a ser adotado em mais países.

UE autoriza IA em vigilância, com ressalvas

Em maio de 2023, o parlamento europeu apresentou uma ratificação em cima do projeto da Lei da IA, proposta originalmente em 2021, e que visava regular originalmente as soluções para vigilância. O texto passou a trazer as regras de operação, as restrições e as proibições a outras categorias, como as soluções generativas, tais como ChatGPT, Stable Diffusion e similares.

Em dezembro do mesmo ano, os legisladores europeus aprovaram a prévia do texto, o qual foi a votação nesta semana, e ratificado em definitivo com 523 votos a favor, 46 contra, e 49 abstenções. A agora Lei passará por um crivo final por especialistas, a fim de eliminar contradições e discrepâncias, mas, na prática, ela está pronta para entrar em vigor, MUITO em breve, em praticamente todo o continente europeu.

O texto não mudou muito em relação ao que havia sido estabelecido nas últimas revisões; as soluções de IA banidas em qualquer cenário, sem direito a argumentação, são as seguintes:

• Sistemas de pós-identificação biométrica, seja via conteúdo pré-gravado, coletado de circuitos internos, TV, ou internet, para treinamento de bancos de dados de reconhecimento facial;
• Sistemas biométricos de categorização, que classificam pessoas com base em traços e informações sensíveis, como gênero, orientação sexual, etnia, cidadania, religião, orientação política, etc.;
• Sistemas de ranking social, baseados no comportamento do cidadão, características pessoais, hábitos de consumo, etc.;
• Sistemas de IA que exploram vulnerabilidades dos cidadãos europeus, como idade, deficiências físicas e/ou mentais, situação econômica e/ou social, etc.;
• Sistemas de IA usadas para manipular o comportamento, de modo a estimular o cidadão a tomar atitudes e ações contra a vontade, quer eles percebam ou não;
• Sistemas de reconhecimento de emoções por nenhum órgão privado ou público, inclusos instituições de ensino, órgãos de segurança pública, ambientes de trabalho, patrulhamento de fronteiras, etc.;
• Sistemas de policiamento preditivo, o que insinua que um cidadão vai cometer um crime no futuro, com base em características ou comportamento.

As exceções previstas na Lei são as mesmas de sempre: autoridades e órgãos de segurança pública podem usar sistemas de identificação biométrica em espaços públicos, da forma que o Reino Unido já faz, no entanto, apenas em situações específicas e com autorização judicial, e por padrão, o conteúdo será sempre pré-gravado, e nunca em tempo real.

O uso em tempo real no reconhecimento biométrico, que originalmente seria banido em qualquer situação, foi autorizado em situações ainda mais específicas e críticas, que são:

• Rastreio e busca de vítimas, em casos de abdução (remoção/transporte da vítima sem autorização do mesmo ou de responsáveis, geralmente menor de idade, cometido por um dos pais que não detém a guarda do mesmo), exploração sexual, e/ou tráfico humano;
• Atos preventivos sob a ameaça de ataque terrorista;
• Localização e identificação de suspeitos, envolvidos nos cenários acima citados, e/ou em casos de homicídio, estupro, assalto à mão armada, rapto/sequestro, crime ambiental, ou participação em uma organização criminosa.

De forma resumida, empresas e órgãos públicos não podem usar sistemas de reconhecimento em tempo real, os primeiros nunca, os segundos apenas em casos muito, MUITO específicos. A análise padrão de dados permitida, na maioria dos cenários, será a de material pré-gravado por câmeras de vigilância, internet, etc., e mesmo nesses, apenas com autorização expressa de um juiz.

Modelos generativos: restrições sem dó

O texto aprovado da Lei de IA também não pega leve com os modelos generativos. A mudança na proposta, motivada inicialmente pelo banimento momentâneo do ChatGPT na Itália, pouco menos de um ano atrás, escalou em uma velocidade impressionante, em tese justificada pela rápida evolução de produtos como Stable Diffusion, Fooocus AI, Whisper e cia. ltda.

As regras, visando inicialmente a proteção do usuário e de direitos autorais, vão bater em todo mundo e não será pouco:

• Empresas e algoritmos ficam obrigados a divulgar, com clareza, quando um conteúdo for gerado por IA, o que deve ser feito agora, não importa o quão difícil seja implementar a identificação, que deve ser segura e à prova de invasões;
• É proibido criar modelos que infrinjam, ou façam alusão, a conteúdos protegidos por direitos autorais;
• É obrigatória a divulgação pública de TODOS os modelos e conteúdos usados no treinamento das redes neurais, sejam de domínio público, ou protegidos por direitos autorais, e não interessa se isso vai levar a processos, movidos pelos donos dos copyrights. Esta cláusula foi criada de propósito, a fim de garantir que estes possam exigir sua parte na grana, ou proibir o uso de seus materiais, determinando que sejam removidos dos modelos;
• Empresas e algoritmos devem ser claros sobre o uso dos dados dos usuários, e ficam obrigados a garantir a proteção dos mesmos, como prioridade.

Soluções de alto risco são obrigadas a atender critérios mais elevados da UE, como a submissão de seus modelos para avaliação dos governos locais, além de terem que conduzir testes de segurança periódicos, reportar vazamentos imediatamente às autoridades, e emitir relatórios periódicos sobre a eficiência energética de suas soluções, com base em estudos recentes (cuidado, PDF) sobre o impacto ambiental negativo dos modelos generativos, mesmo que isso não seja lá tão crítico assim.

Exemplos de modelos de alto risco incluem IAs assistentes em cirurgias, sistemas de pontuação de crédito (scoring), algoritmos em procedimentos legais que entrem em conflito com a manutenção e garantia de direitos fundamentais, como os usados pela polícia, que podem criar falsos positivos ao reproduzir preconceitos, soluções que analisam pedidos de visto, etc.

E agora?

A Lei de IA entrará em vigor em ondas, algumas de suas características passarão a valer no bloco dentro de 6 meses, enquanto as com prazo mais longo, em 24 meses; na prática, a totalidade do texto entrará em efeito em meados de 2026.

Todas as companhias, locais ou não, grandes ou pequenas, deverão se sujeitar às novas regras, o que gerou protestos de diversas empresas europeias. Sobre isso, legisladores várias vezes disseram que a Lei foi criada para proteger os cidadãos, e não para favorecer o mercado local de IA.

Em última análise, e como é de costume, a UE vê seu pioneirismo em regular IAs como um norte a ser seguido por mais países, a fim de implementar regras que estabeleçam como os algoritmos deverão operar no resto do mundo; Reino Unido, Estados Unidos, China, Japão e Brasil, entre outros, já têm seus Projetos de Lei, mais ou menos adiantados nesse sentido.

Fonte: European Parliament