Publicação: 8 de abril de 2024
colaboradores: Matt Kosinski
A Lei de Inteligência Artificial da UE, ou Lei de IA da UE, é uma lei que rege o desenvolvimento e o uso da inteligência artificial na União Europeia (UE). A lei adota uma abordagem baseada em riscos para a regulamentação, aplicando diferentes regras aos sistemas de IA de acordo com as ameaças que representam à saúde, à segurança e aos direitos humanos.
Considerada a primeira estrutura regulatória abrangente do mundo para aplicações de IA, a Lei de IA da UE proíbe totalmente alguns usos de IA e implementa padrões rigorosos de segurança e transparência para outros.
A lei também cria regras específicas para projetar, treinar e implementar modelos de inteligência artificial de uso geral, como os modelos de base que alimentam o ChatGPT e o Google Gemini.
As penalidades por não conformidade podem chegar a 35 milhões de euros ou 7% da receita anual mundial de uma empresa, o que for maior.
Da mesma forma que o Regulamento Geral sobre a Proteção de Dados (RGPD) da UE inspirou outras nações a adotar leis de privacidade de dados, os especialistas preveem que a Lei de IA da UE estimulará o desenvolvimento de padrões éticos e de governança de IA mais fortes em todo o mundo.
Cadastre-se para obter o relatório da IDC
A Lei de IA da UE se aplica aos fornecedores, implementadores, importadores e distribuidores de sistemas e modelos de IA na UE.
A lei define sistemas de IA como sistemas que podem, com algum nível de autonomia, processar inputs para gerar outputs que influenciam pessoas e ambientes. Esses outputs influentes incluem aspectos como previsões, decisões e conteúdo.
Na linguagem da lei, modelo de IA refere-se principalmente a IAs de uso geral (GPAIs) que podem ser adaptadas para criar vários sistemas de IA. Por exemplo, o modelo de linguagem grande GPT-4 é um modelo de IA. O chatbot do ChatGPT desenvolvido no GPT-4 é um sistema de IA.
Outros termos importantes da lei:
A Lei de IA da UE se aplica a pessoas e organizações fora da Europa se suas ferramentas de IA, ou os outputs dessas ferramentas, forem usados na UE.
Por exemplo, digamos que uma empresa na UE envie dados de clientes para um terceiro fora da UE e esse terceiro use IA para processar os dados do cliente e enviar os resultados de volta para a empresa. Como a empresa usa o output do sistema de IA do terceiro dentro da UE, o terceiro está vinculado à Lei de IA da UE.
Os fornecedores de fora da UE que oferecem serviços de IA na UE devem designar representantes autorizados na UE para coordenar os esforços de conformidade em seu nome.
Embora a lei tenha um amplo alcance, alguns usos da IA estão isentos. Por exemplo:
A Lei de IA da UE contém uma série de regras destinadas a apoiar o uso e o desenvolvimento responsável da IA. Algumas das disposições mais importantes incluem proibições de IA perigosa, padrões para desenvolvimento e implementação de IA de alto risco, obrigações de transparência e regras para modelos de uso geral.
Vale observar que muitos dos detalhes mais sutis da Lei de IA da UE sobre a implementação ainda estão sendo ajustados. Por exemplo, a lei observa que a Comissão Europeia divulgará mais orientações sobre os requisitos como planos de monitoramento pós-comercialização e resumos de dados de treinamento.
A Lei de IA da UE classifica os sistemas de IA em diferentes categorias com base no nível de risco. O risco aqui se refere à probabilidade e à gravidade do dano potencial que uma IA pode causar à saúde, à segurança ou aos direitos humanos.
Em linhas gerais, a lei aborda quatro categorias de risco de IA:
· Risco inaceitável
· Risco alto
· Risco limitado
· Risco mínimo
As aplicações de IA que representam um nível inaceitável de risco são proibidas. A Lei de IA da UE lista explicitamente todas as práticas de IA proibidas, que incluem:
A Comissão Europeia reserva-se o direito de rever e alterar esta lista, portanto, é possível que mais usos de IA sejam proibidos no futuro.
A maior parte da lei lida com sistemas de IA de alto risco. Existem duas maneiras de um sistema ser considerado de alto risco de acordo com a Lei de IA da UE: se for usado em um produto regulamentado ou explicitamente nomeado como de alto risco.
Os produtos de alguns setores, como brinquedos, equipamentos de rádio e dispositivos médicos, já são regulamentados por leis pré-existentes da UE. Todos os sistemas de IA que atuam como componentes de segurança desses produtos regulamentados, ou que atuam como produtos regulamentados, são automaticamente considerados de alto risco.
A lei também lista usos específicos de IA que são sempre considerados como de alto risco. Por exemplo:
Assim como acontece com a lista de IA proibidas, a Comissão Europeia pode atualizar esta lista no futuro.
Os fornecedores de sistemas de alto risco devem seguir estas regras:
Se um sistema de IA se enquadrar em uma das categorias de alto risco, mas não representar uma ameaça significativa à saúde, à segurança ou aos direitos, os fornecedores podem ignorar esses requisitos. O fornecedor deve documentar a prova de que o sistema não representa nenhum risco, e os órgãos reguladores podem penalizar as organizações por classificar os sistemas de forma incorreta.
Os sistemas de IA de risco limitado são sistemas que cumprem obrigações específicas de transparência– regras que tipos específicos de IA devem seguir, independentemente do seu nível de risco. Essas regras incluem:
A categoria de risco mínimo (às vezes chamada de "categoria de risco mínimo ou inexistente") inclui ferramentas de IA que não interagem diretamente com as pessoas ou que têm um impacto significativo muito pequeno quando o fazem. Os exemplos incluem filtros de spam de e-mail e IA em videogames. Muitos usos comuns de IA hoje se enquadram nessa categoria.
A maioria das regras da Lei de IA não se aplica à IA de risco mínimo (embora algumas possam precisar cumprir as obrigações de transparência listadas acima).
Como os modelos GPAI são muito adaptáveis, pode ser difícil categorizá-los de acordo com o nível de risco. Por esse motivo, a Lei de IA da UE cria um conjunto separado de regras explicitamente para GPAI.
Todos os fornecedores de modelos GPAI devem:
A maioria dos modelos GPAI gratuitos e de código aberto está livre dos dois primeiros requisitos. Eles só precisam seguir as leis de direitos autorais e compartilhar os resumos dos dados de treinamento.
A Lei de IA da UE considera que alguns modelos de GPAI representam um risco sistêmico. O risco sistêmico é o potencial de um modelo causar danos graves e de longo alcance à saúde pública, à segurança ou aos direitos fundamentais.
De acordo com a lei, diz-se que um modelo representa um risco sistêmico se tiver "recursos de alto impacto." Basicamente, isso significa que os recursos do modelo correspondem ou excedem os da GPAI mais avançada disponível no momento.
A lei usa recursos de treinamento como critérios-chave para identificar riscos sistêmicos. Se a quantidade cumulativa de poder de computação usada para treinar um modelo for superior a 1025 operações de ponto flutuante (FLOPs), considera-se que ele tem recursos de alto impacto e representa um risco sistêmico.
A Comissão Europeia também pode classificar um modelo como um risco sistêmico se determinar que o modelo tem um impacto equivalente aos recursos de alto risco, mesmo que não atinja o limite das FLOPs.
Os modelos GPAI que representam um risco sistêmico, incluindo os modelos gratuitos e de código aberto, devem atender a todos os requisitos anteriores, além de algumas obrigações adicionais:
Os fornecedores de modelos GPAI podem alcançar a conformidade adotando códigos de prática voluntários, que o Departamento de IA da UE está atualmente elaborando. Espera-se que os códigos sejam concluídos dentro de nove meses após a entrada da lei em vigor. Os fornecedores que não adotarem esses códigos deverão comprovar sua conformidade de outras formas.
Os fornecedores, implementadores, importadores e distribuidores são geralmente responsáveis por garantir que os produtos de IA que fabricam, usam ou distribuem estejam em conformidade. Elas devem documentar as evidências de sua conformidade e compartilhá-las com as autoridades quando solicitado. Eles também devem compartilhar informações e cooperar entre si para garantir que todas as organizações da cadeia de suprimentos da AI possam cumprir a Lei de IA da UE.
Os provedores e implementadores também devem garantir que os membros da equipe ou outras partes que trabalham com a IA em nome da organização tenham o conhecimento necessário em IA para lidar com a IA de forma responsável.
Além desses requisitos amplos, cada parte tem suas próprias obrigações específicas.
Os importadores e distribuidores devem garantir que os sistemas e modelos de IA que eles distribuem estejam em conformidade com a Lei de IA da UE.
Um importador ou distribuidor é considerado um fornecedor de IA se colocar seu próprio nome ou marca registrada em um produto ou fizer uma alteração substancial no produto. Nesse caso, o importador ou distribuidor deve assumir todas as responsabilidades do fornecedor descritas na lei.
A aplicação da lei será dividida entre alguns órgãos diferentes.
A nível de UE, a Comissão Europeia criou o Departamento de IA para ajudar a coordenar a aplicação consistente da lei em todos os estados-membros. O Departamento de IA também aplicará diretamente as regras de GPAI, podendo multar as organizações e forçar ações corretivas.
Os estados-membros designarão autoridades nacionais competentes para fazer cumprir todos os regulamentos não relacionados à GPAI. A lei exige que cada Estado estabeleça duas autoridades diferentes: uma autoridade de fiscalização do mercado e uma autoridade notificadora.
As autoridades de fiscalização do mercado garantem que as organizações cumpram a Lei de IA da UE. Elas podem ouvir as reclamações dos consumidores, investigar violações e multar as organizações.
As autoridades notificadoras supervisionam os terceiros que realizam as avaliações de conformidade de novos produtos de IA de alto risco.
As organizações podem ser multadas em até 35 milhões de euros ou 7% do faturamento mundial, o que for maior, por usarem práticas proibidas de IA.
Por outras violações, incluindo violações das regras de GPAI, as organizações podem ser multadas em até 15 milhões de euros ou 3% do faturamento mundial, o que for maior.
As organizações podem ser multadas em até 7,5 milhões de euros ou 1% do faturamento, o que for maior, por fornecer informações incorretas ou enganosas às autoridades.
É importante observar que a Lei de IA da UE tem regras diferentes para multar startups e outras organizações de pequeno porte. Para essas empresas, a multa é o menor dos dois valores possíveis. Isso se alinha com o esforço geral da lei para garantir que os requisitos não sejam tão onerosos a ponto de tirar as empresas menores do mercado de IA.
O Parlamento Europeu aprovou a Lei de IA da UE em 13 de março de 2024. O Conselho Europeu concluirá uma rodada final de verificações, e a lei entrará em vigor 20 dias após sua publicação no Diário Oficial da União Europeia. Os observadores esperam que isso aconteça em maio de 2024.
A lei não entrará totalmente em vigor até 2026, com diferentes disposições sendo introduzidas gradualmente ao longo do tempo:
Implemente e incorpore com facilidade a IA na sua empresa, gerencie todas as fontes de dados e acelere fluxos de trabalho de IA responsáveis, tudo em uma única plataforma.
Simplifique a governança de dados, o gerenciamento de riscos e a conformidade regulatória com o IBM OpenPages — uma plataforma GRC altamente escalável, impulsionada por IA e unificada.
Nosso ebook mais recente descreve os principais blocos de construção da governança de IA e compartilha um framework detalhado de governança de IA que você pode aplicar em sua organização.
Explore o potencial transformador da IA responsável para a sua organização e saiba mais sobre os fatores cruciais por trás da adoção de práticas éticas de IA.
Participe da discussão sobre por que as empresas precisam priorizar a governança de IA para implementar uma IA responsável.
Saiba como a governança de dados garante que as empresas aproveitem ao máximo seus ativos de dados.
A IA explicável é fundamental para que uma organização crie confiança e segurança ao colocar modelos de IA em produção.
A IA ética é uma área multidisciplinar que estuda como otimizar o impacto benéfico da IA e, ao mesmo tempo, reduzir os riscos e resultados adversos. Saiba mais sobre a abordagem da IBM em relação à IA ética.