O Projeto de Lei n° 2338, apresentado pelo Senado Federal em substituição ao Projeto de Lei n° 2120, visa estabelecer o marco regulatório da inteligência artificial (IA) no Brasil. O projeto é resultado do trabalho de uma comissão de juristas presidida pelo ministro do Superior Tribunal de Justiça, Ricardo Villas Bôas Cueva, responsável por propor subsídios à regulação do tema no país.
A proposta cria normas gerais para desenvolvimento, implementação e uso responsável de sistemas de inteligência artificial para proteger direitos fundamentais e garantir sistemas seguros e confiáveis. Para refletir sobre o tema, o
Blog IBGC convidou Juliano Maranhão, professor da Faculdade de Direito da Universidade de São Paulo (USP), diretor da Lawgorithm e da Associação Internacional de Inteligência Artificial e Direito, e sócio do Maranhão&Menezes Advogados. Confira!
Blog IBGC: Quais são as principais propostas/objetivos do marco regulatório?
Juliano Maranhão: No Brasil existem algumas regras relativas ao tratamento de dados, que é uma das operações importantes dos sistemas de inteligência artificial, mas voltadas a dados pessoais. É um artigo específico da Lei Geral de Proteção de Dados Pessoais (LGPD), que fala sobre decisões automatizadas; nele, uma das preocupações principais é a IA, e nem todos os sistemas de IA são baseados em perfis pessoais para tomadas de decisão, predição ou para recomendações.
Existem como principais desafios, de um lado, uma tecnologia que pode trazer e já traz benefícios em vários campos de aplicação, seja na indústria, educação e saúde, por exemplo, mas que, por outro lado, apresenta riscos que precisam ser enfrentados e geridos no sentido de mitigá-los para que benefícios sejam produzidos e ao mesmo tempo, eventuais ameaças sejam evitadas.
Entre os principais riscos está a questão da discriminação: o sistema de aprendizado da máquina reproduz padrões reconhecidos nos dados e que podem incorporar vieses discriminatórios estruturais da nossa sociedade. Outro ponto diz respeito aos sistemas de IA mais complexos, que envolvem modelos matemáticos de alta complexidade e volumes enormes de dados, que podem ser opacos no sentido de não se compreender quais foram os critérios relevantes na tomada de decisão.
Ocorre, ainda, o problema de transparência quanto ao uso da IA nas interações com os humanos e quanto aos critérios de tomada de decisão e recomendação. E, por fim, os riscos ligados ao tratamento de dados pessoais, porque temos legislação e alguns novos desafios trazidos pela IA em função da elevada capacidade de inferência que esses sistemas têm e que podem trazer mudanças de finalidade no uso e tratamento dos dados.
Em função desses riscos, é importante que haja o consenso de que a IA precisa ser regulada para contê-los. Mas o grande desafio é fazê-lo de uma forma que não leve embaraços ao desenvolvimento da tecnologia.
O que é preciso fazer para encarar os desafios trazidos pela IA? O cenário internacional pode sinalizar algumas iniciativas interessantes?
Sim, o caminho que vem sendo trilhado com as propostas internacionais – e que foi o adotado pela nossa comissão de juristas – é fazer com que os agentes que desenvolvem e operam os sistemas de IA se comprometam com procedimentos de governança de gestão de riscos, ou seja, adotem melhores práticas de governança para que esses riscos sejam monitorados e mitigados, seja por meios técnicos (na própria tecnologia), seja por meios organizacionais. Então, é preciso:
- realizar uma análise de impacto para o tipo de aplicação a ser desenvolvida, verificando riscos e elementos que podem ser afetados;
- fazer uma gestão dos dados para evitar que vieses estruturais na sociedade sejam reproduzidos e incorporados;
- realizar testes de validação e de verificação de sistema, e estabelecer parâmetros de governança sobre quais órgãos de uma determinada organização devem fazer uma revisão das propostas de decisão;
- documentar todas as decisões relevantes nos ciclos de desenvolvimento e emprego da IA, para que se tenha controle e atribuições de responsabilidade, caso haja algum dano;
- adotar medidas de transparência informando sobre uso de sistemas de IA na tomada de decisão pela organização;
- na medida do possível, trazer explicações sobre como funciona o sistema, e seus critérios importantes de decisão;
- adotar medidas de gestão para que os dados coletados não sejam usados para outras finalidades que legitimaram a coleta.
Normalmente, as iniciativas de legislação buscam estabelecer procedimentos de governança mínimos, que seriam capazes de evitar riscos. Não se trata de proibir tecnologia, e sim, comprometer os agentes a adotar medidas de mitigação e melhores práticas para que a IA desenvolvida seja responsável e confiável.
O marco regulatório vai conseguir esse comprometimento das empresas?
Depende do modelo de fiscalização e enforcement. De certo modo, é uma preocupação natural das empresas mostrar aos usuários que seu sistema de IA é confiável, mas existe a questão da legitimação. Sabemos que as empresas são guiadas por interesses comerciais, então, o grau de comprometimento diz respeito ao mecanismo de enforcement, que tem duas questões:
- fazer uma legislação transversal com medidas de governança e que se aplique a qualquer setor, ou uma legislação que delegue para entidades setoriais estabelecer quais são as medidas de governança para cada setor;.
- deixar o enforcement como autoridade administrativa estatal ou criar algum mecanismo institucional para que haja autorregulação pelas entidades associativas setoriais, combinadas com enforcement de estatal.
Deve-se, então, ir para o lado do Estado, que faz todo o enforcement? Nesse caso, o problema é que pode haver um descompasso entre expertise do órgão do estado e as imposições das necessidades do desenvolvimento da tecnologia. Ou devemos recorrer à autorregulação, em que cada setor desenvolve, emprega e estabelece as melhores práticas? Isso traria maior legitimação para adoção e correção de instrumentos e compliance, mas poderia gerar problema de leniência, pela não implementação efetiva.
O PL 2338/2023 é alinhado com a solução europeia, que tem base na regulação externa: criar autoridade com regras transversais de governança de IA que imponha essas obrigações de procedimentos de gestão de riscos.
Pode falar um pouco sobre segurança jurídica, em relação à aplicação da IA?
É muito importante que haja um delineamento mínimo pelo Estado de quais são as medidas de governança relevantes para a mitigação de riscos, ainda que se deixe um espaço para que a autorregulação especifique quais as medidas de governança necessárias para cada setor de atividade. Isso cria um parâmetro em relação às melhores práticas de IA, tanto para as empresas quanto para o judiciário, que em caso de danos poderá decidir se a empresa foi negligente ou não no desenvolvimento do sistema.
Algum ponto a acrescentar a este bate-papo?
Eu poderia citar o Lawgorithm, uma iniciativa de pesquisa em inteligência artificial, fundada por professores de diferentes áreas da USP. Ele deu origem ao Fórum Brasileiro de IA Responsável, cujo objetivo é reunir empresas que atuam em IA para discussão de quais seriam as melhores práticas setoriais e para divulgação de standards dessas práticas.