A Lei de IA da UE classifica os sistemas de IA em diferentes categorias com base no nível de risco. O risco aqui se refere à probabilidade e à gravidade do dano potencial que uma IA pode causar à saúde, à segurança ou aos direitos humanos.

Em linhas gerais, a lei aborda quatro categorias de risco de IA:

·       Risco inaceitável

·       Risco alto

·       Risco limitado

·       Risco mínimo

As aplicações de IA que representam um nível inaceitável de risco são proibidas. A Lei de IA da UE lista explicitamente todas as práticas de IA proibidas, que incluem:

• Sistemas que manipulam intencionalmente as pessoas para que façam escolhas prejudiciais que, de outra forma, não fariam.
  
  
• Sistemas que exploram a idade, a deficiência ou o status social ou econômico de uma pessoa para influenciar significativamente seu comportamento.
  
  
• Sistemas de categorização biométrica que usam dados biométricos para inferir informações pessoais confidenciais, como raça, orientação sexual ou opiniões políticas.
  
  
• Sistemas de pontuação social que usam comportamentos e características irrelevantes ou inconsequentes para promover o tratamento prejudicial das pessoas.
  
  
• Sistemas de identificação biométrica remota e em tempo real usados em locais públicos para fins de aplicação da lei. Existem algumas exceções restritas, como o uso dessas ferramentas em buscas direcionadas para vítimas de determinados crimes graves.
  
  
• Sistemas de policiamento preditivo que traçam o perfil das pessoas para avaliar sua probabilidade de cometer um crime. 
  
  
• Bancos de dados de reconhecimento facial que coletam imagens da internet ou de câmeras de segurança sem um alvo específico.
  
  
• Ferramentas de reconhecimento de emoção usadas em escolas ou ambientes de trabalho, exceto quando essas ferramentas são usadas para fins médicos ou de segurança.

A Comissão Europeia reserva-se o direito de rever e alterar esta lista, portanto, é possível que mais usos de IA sejam proibidos no futuro.

A maior parte da lei lida com sistemas de IA de alto risco. Existem duas maneiras de um sistema ser considerado de alto risco de acordo com a Lei de IA da UE: se for usado em um produto regulamentado ou explicitamente nomeado como de alto risco.

Os produtos de alguns setores, como brinquedos, equipamentos de rádio e dispositivos médicos, já são regulamentados por leis pré-existentes da UE. Todos os sistemas de IA que atuam como componentes de segurança desses produtos regulamentados, ou que atuam como produtos regulamentados, são automaticamente considerados de alto risco.

A lei também lista usos específicos de IA que são sempre considerados como de alto risco. Por exemplo:

• Quaisquer sistemas biométricos não expressamente proibidos pela Lei de IA da UE ou por outras leis da UE ou dos estados-membros, exceto sistemas que verificam a identidade de uma pessoa (por exemplo, usar um scanner de impressão digital para conceder a alguém acesso a um aplicativo bancário).
  
  
• Sistemas usados como componentes de segurança para infraestrutura crítica, como fornecimento de água, gás e eletricidade.
  
  
• Sistemas usados em treinamento educacional e vocacional, incluindo sistemas que monitoram o desempenho dos alunos, detectam cola e direcionam admissões.
  
  
• Sistemas usados em ambientes de emprego, como aqueles usados para recrutar e avaliar candidatos e tomar decisões de promoção.
  
  
• Sistemas usados para determinar o acesso a serviços públicos ou privados essenciais, incluindo sistemas que avaliam a elegibilidade para benefícios públicos e avaliam as pontuações de crédito. Isso não inclui sistemas usados para detectar fraudes financeiras.
  
  
• Sistemas usados para a imposição da lei, como polígrafos habilitados por IA e análise de evidências.
  
  
• Sistemas usados para migração e controle de fronteiras, como sistemas que processam solicitações de visto. Isso não inclui sistemas que verificam documentos de viagem.
  
  
• Sistemas usados em processos judiciais e democráticos, como sistemas que influenciam diretamente os resultados das eleições.
  
  
• Criação de perfis–o processamento automático de dados pessoais para avaliar ou prever algum aspecto da vida de uma pessoa, como suas preferências de produto, é sempre de alto risco.

Assim como acontece com a lista de IA proibidas, a Comissão Europeia pode atualizar esta lista no futuro.

Os fornecedores de sistemas de alto risco devem seguir estas regras:

• Implementar um sistema de gerenciamento de risco contínuo para monitorar a IA e garantir a conformidade durante todo o seu ciclo de vida. Espera-se que os provedores mitiguem os riscos apresentados tanto pelo uso pretendido quanto pelo uso indevido previsível de seus sistemas.
  
  
• Adotar padrões rigorosos de governança de dados para garantir que os dados de treinamento e teste sejam coletados, manipulados e protegidos adequadamente. Os dados também devem ser de alta qualidade, relevantes para a finalidade do sistema e razoavelmente livres de vieses.
  
  
• Manter uma documentação técnica abrangente das especificações do projeto do sistema, recursos, limitações e esforços de conformidade regulatória.
  
  
• Implementar registros de eventos automatizados nas ferramentas de IA para ajudar a monitorar as operações do sistema, rastrear os resultados e identificar riscos e incidentes graves.
  
  
• Fornecer aos implementadores de sistemas de IA as informações necessárias para cumprir com as regulamentações, incluindo instruções claras sobre como usar o sistema, interpretar os resultados e mitigar os riscos.
  
  
• Projetar sistemas para apoiar e permitir a supervisão humana, por exemplo, fornecendo interfaces que permitam aos usuários monitorar, substituir e intervir nas operações do sistema.
  
  
• Garantir que os sistemas de IA sejam razoavelmente precisos, robustos e seguros. Isso pode incluir a criação de sistemas de backup, a criação de algoritmos para evitar vieses e a implementação de controles de cibersegurança apropriados.

Se um sistema de IA se enquadrar em uma das categorias de alto risco, mas não representar uma ameaça significativa à saúde, à segurança ou aos direitos, os fornecedores podem ignorar esses requisitos. O fornecedor deve documentar a prova de que o sistema não representa nenhum risco, e os órgãos reguladores podem penalizar as organizações por classificar os sistemas de forma incorreta.

Os sistemas de IA de risco limitado são sistemas que cumprem obrigações específicas de transparência– regras que tipos específicos de IA devem seguir, independentemente do seu nível de risco. Essas regras incluem:

• Os sistemas de IA devem informar claramente aos usuários quando eles estiverem interagindo com a inteligência artificial. Por exemplo, um chatbot deve dizer às pessoas que é um chatbot.
  
  
• As organizações devem informar as pessoas sempre que usarem sistemas de reconhecimento de emoções ou de categorização biométrica. Quaisquer dados pessoais coletados por meio desses sistemas devem ser tratados de acordo com o RGPD. 
  
  
• Os sistemas de IA generativa que criam texto, imagens ou outro conteúdo devem usar marcas d'água ou outros sinais legíveis por máquina para marcar esse conteúdo como gerado por IA.
  
  
• Os implementadores devem rotular claramente conteúdos deep fakes e comunicar esse fato ao público.
  
  
• Os implementadores que usam IA para produzir texto sobre assuntos de interesse público, como artigos de notícias, devem rotular o texto como gerado por IA, a menos que um editor humano revise e assuma a responsabilidade por ele.

A categoria de risco mínimo (às vezes chamada de "categoria de risco mínimo ou inexistente") inclui ferramentas de IA que não interagem diretamente com as pessoas ou que têm um impacto significativo muito pequeno quando o fazem. Os exemplos incluem filtros de spam de e-mail e IA em videogames. Muitos usos comuns de IA hoje se enquadram nessa categoria.

A maioria das regras da Lei de IA não se aplica à IA de risco mínimo (embora algumas possam precisar cumprir as obrigações de transparência listadas acima).

Como os modelos GPAI são muito adaptáveis, pode ser difícil categorizá-los de acordo com o nível de risco. Por esse motivo, a Lei de IA da UE cria um conjunto separado de regras explicitamente para GPAI.

Todos os fornecedores de modelos GPAI devem:

• Manter a documentação técnica atualizada descrevendo, entre outros aspectos, os processos de design, teste e treinamento do modelo.
  
  
• Fornecer aos implementadores dos seus modelos, como as organizações que criam sistemas de IA com base neles, as informações necessárias para usar o modelo de forma responsável. Essas informações incluem os recursos, as limitações e a finalidade pretendida do modelo.
  
  
• Estabelecer políticas para seguir as leis de direitos autorais da UE.
  
  
• Escrever e disponibilizar publicamente resumos detalhados dos conjuntos de dados de treinamento.

A maioria dos modelos GPAI gratuitos e de código aberto está livre dos dois primeiros requisitos. Eles só precisam seguir as leis de direitos autorais e compartilhar os resumos dos dados de treinamento.

A Lei de IA da UE considera que alguns modelos de GPAI representam um risco sistêmico. O risco sistêmico é o potencial de um modelo causar danos graves e de longo alcance à saúde pública, à segurança ou aos direitos fundamentais.

De acordo com a lei, diz-se que um modelo representa um risco sistêmico se tiver "recursos de alto impacto." Basicamente, isso significa que os recursos do modelo correspondem ou excedem os da GPAI mais avançada disponível no momento.

A lei usa recursos de treinamento como critérios-chave para identificar riscos sistêmicos. Se a quantidade cumulativa de poder de computação usada para treinar um modelo for superior a 1025 operações de ponto flutuante (FLOPs), considera-se que ele tem recursos de alto impacto e representa um risco sistêmico.

A Comissão Europeia também pode classificar um modelo como um risco sistêmico se determinar que o modelo tem um impacto equivalente aos recursos de alto risco, mesmo que não atinja o limite das FLOPs.

Os modelos GPAI que representam um risco sistêmico, incluindo os modelos gratuitos e de código aberto, devem atender a todos os requisitos anteriores, além de algumas obrigações adicionais:

• Realizar avaliações de modelo padronizadas, incluindo testes adversários, para identificar e mitigar os riscos sistêmicos.
  
  
• Documentar e comunicar incidentes graves ao Departamento de IA da UE e aos órgãos reguladores relevantes a nível de Estado.
  
  
• Implementar controles de segurança adequados para proteger o modelo e sua infraestrutura física.

Os fornecedores de modelos GPAI podem alcançar a conformidade adotando códigos de prática voluntários, que o Departamento de IA da UE está atualmente elaborando. Espera-se que os códigos sejam concluídos dentro de nove meses após a entrada da lei em vigor. Os fornecedores que não adotarem esses códigos deverão comprovar sua conformidade de outras formas.

Os fornecedores, implementadores, importadores e distribuidores são geralmente responsáveis por garantir que os produtos de IA que fabricam, usam ou distribuem estejam em conformidade. Elas devem documentar as evidências de sua conformidade e compartilhá-las com as autoridades quando solicitado. Eles também devem compartilhar informações e cooperar entre si para garantir que todas as organizações da cadeia de suprimentos da AI possam cumprir a Lei de IA da UE.

Os provedores e implementadores também devem garantir que os membros da equipe ou outras partes que trabalham com a IA em nome da organização tenham o conhecimento necessário em IA para lidar com a IA de forma responsável.

Além desses requisitos amplos, cada parte tem suas próprias obrigações específicas.

• Projetar sistemas e modelos de IA para atender aos requisitos relevantes.
  
  
• Enviar novos produtos de IA de alto risco às autoridades competentes para avaliações de conformidade antes de colocá-los no mercado. As avaliações de conformidade são avaliações de terceiros sobre a conformidade de um produto com a Lei de IA da UE.
  
  
• Se um fornecedor fizer uma mudança substancial em um produto de IA que altere sua finalidade ou afete seu status de conformidade, o fornecedor deverá reenviar o produto para avaliação.
  
  
• Registrar produtos de IA de alto risco no banco de dados da UE.
  
  
• Implementar planos de monitoramento pós-comercialização para rastrear o desempenho da IA e garantir a conformidade contínua durante o ciclo de vida do sistema.
  
  
• Relatar incidentes graves de IA, como mortes, interrupções críticas na infraestrutura e violações de direitos fundamentais, às autoridades dos estados-membros e tomar as medidas corretivas necessárias.

• Usar os sistemas de IA para a finalidade pretendida e conforme as instruções dos fornecedores.
  
  
• Garantir que os sistemas de alto risco tenham a supervisão humana apropriada.
  
  
• Informar os fornecedores, distribuidores, autoridades e outras partes relevantes sobre incidentes graves de IA.
  
  
• Manter os registros do sistema de IA por pelo menos seis meses ou mais, dependendo da legislação do estado-membro.
  
  
• Os implementadores que usam sistemas de IA de alto risco para fornecer serviços essenciais, como instituições financeiras, órgãos governamentais e agências de aplicação da lei, devem realizar avaliações de impacto nos direitos fundamentais antes de usar uma IA pela primeira vez.

Os importadores e distribuidores devem garantir que os sistemas e modelos de IA que eles distribuem estejam em conformidade com a Lei de IA da UE.

Um importador ou distribuidor é considerado um fornecedor de IA se colocar seu próprio nome ou marca registrada em um produto ou fizer uma alteração substancial no produto. Nesse caso, o importador ou distribuidor deve assumir todas as responsabilidades do fornecedor descritas na lei.