UE proíbe totalmente sistemas de IA de “risco inaceitável”

• O uso de sistemas de IA classificados como “risco inaceitável (unacceptable risk)” na UE passa a ser totalmente proibido
• 2 de fevereiro é o primeiro prazo de conformidade do EU AI Act, e a regra se aplica a todas as tecnologias de IA oferecidas ou usadas dentro da UE
• Em caso de violação, pode ser aplicada multa de 7% do faturamento anual ou até 35 milhões de euros (cerca de 36 milhões de dólares), valendo o valor mais alto

Visão geral do EU AI Act

• A regulação classifica o risco da IA em 4 níveis
  • Risco mínimo: ex.) filtro de spam
  • Risco limitado: ex.) chatbot de atendimento ao cliente
  • Alto risco: ex.) sistema de apoio a decisões médicas
  • Risco inaceitável: IA com alto potencial de causar danos físicos ou mentais às pessoas, ou discriminação
• A IA designada como de risco inaceitável fica sujeita à proibição total de uso
• Exemplos representativos
  • Pontuação social: IA que cria perfis de risco com base no comportamento de indivíduos
  • Manipulação subliminar: IA que manipula decisões das pessoas de forma oculta ou enganosa
  • Exploração de grupos vulneráveis: IA que se aproveita de idade, deficiência, condição econômica etc.
  • Previsão de crimes com base na aparência: IA que prevê a probabilidade de crime com base na aparência de uma pessoa
  • Análise de características com base em biometria: IA que infere características pessoais, como orientação sexual
  • Coleta em tempo real de dados biométricos em locais públicos: IA de coleta em tempo real de dados biométricos para fins de aplicação da lei
  • IA de inferência emocional: IA que analisa as emoções das pessoas no trabalho ou na escola
  • Construção de banco de dados de reconhecimento facial: IA que coleta imagens online ou de câmeras de segurança para criar ou ampliar bancos de dados de reconhecimento facial

Compromisso prévio

• Antes do prazo de 2 de fevereiro, por volta de setembro de 2024, cerca de 100 empresas assinaram o ‘EU AI Pact’, prometendo cumprir voluntariamente as normas antes mesmo da entrada em vigor plena do AI Act
• Amazon, Google e OpenAI participaram, mas Meta, Apple e Mistral não assinaram
• Mesmo empresas que não participam do Pact, em princípio, também estão proibidas de usar IA de risco inadequado

Possíveis exceções

• Há exceções limitadas para que órgãos de aplicação da lei usem informações biométricas em situações específicas (ex.: busca por vítima de sequestro, ameaça urgente)
  • Mesmo nesses casos, a regra determina que não se pode tomar uma decisão desfavorável a uma pessoa com base apenas no resultado de um único sistema de IA
• IA de análise emocional em escolas e locais de trabalho também pode ser permitida de forma limitada se houver justificativa legítima, como “finalidade médica ou segurança”
• Diretrizes adicionais devem ser publicadas no início de 2025, mas os detalhes ainda não foram divulgados

Desafios futuros

• A aplicação efetiva de penalidades e a implementação em larga escala são esperadas para depois de agosto
  • Nessa fase, deverão ser definidos em cada país os “órgãos competentes (competent authorities)”, e multas e medidas de execução devem passar a ter efeito
• Pode haver sobreposição com outras regulações (GDPR, NIS2, DORA etc.), o que pode gerar confusão para as empresas
  • É preciso cuidado para que obrigações de notificação e formas de gestão de dados exigidas simultaneamente por diferentes regras não entrem em conflito
• As empresas precisam se preparar de forma sistemática com base nos padrões, diretrizes e códigos de conduta que serão publicados daqui para frente