Publicação do Regulamento Europeu de Inteligência Artificial: começa a contagem decrescente para a sua completa entrada em vigor

Foi publicado no Jornal Oficial da União Europeia (JOUE) o Regulamento (EU) 2024/1689 do Parlamento Europeu e do Conselho, de 13 de junho de 2024, que cria regras harmonizadas em matéria de inteligência artificial (o Regulamento). O Regulamento é a primeira legislação a nível mundial sobre este importante tema, e influenciará o desenvolvimento económico e social nos próximos anos.

O Regulamento posiciona a UE na vanguarda da regulamentação da IA (outra regulamentação relevante a este respeito, nos EUA, a Ordem Executiva do Presidente Joe Biden, de 30 de outubro de 2023, é significativamente menos exigente no que diz respeito às respetivas obrigações, para além de não provir de uma fonte parlamentar). O Regulamento não se limita a prever mecanismos de controlo e regulação, mas também, e é importante destacá-lo, medidas de promoção (como regulatory sandboxes e medidas para promover o desenvolvimento de sistemas de IA por PMEs), destinadas a incentivar o desenvolvimento destas tecnologias de forma sustentável em termos sociais.

A complexa entrada em vigor

A publicação do texto definitivo no JOUE não permite apenas conhecer a versão final do texto legal, mas também inicia o processo para a sua plena entrada em vigor. O Regulamento não será aplicável, na sua globalidade, até ao dia 2 de agosto de 2026, 24 meses após a sua entrada em vigor (que ocorrerá vinte dias após a sua publicação), mas algumas disposições do mesmo serão aplicáveis em prazos distintos. A este respeito, salienta-se:

• A proibição de certas práticas relacionadas com a IA serão aplicáveis a partir do dia 2 de fevereiro de 2025;
• As disposições relativas aos organismos notificados, aos sistemas de IA gerais que implicam riscos sistémicos, ao sistema de governance da IA na Europa e grande parte da panóplia sancionatória será aplicável a partir de dia 2 de agosto de 2025. Consequentemente, a base organizacional estará preparada para o momento em que as obrigações mais substanciais se tornem exigíveis;
• Por último, a regulação de certos sistemas de IA de alto risco (componentes de segurança de certos produtos ou produtos em si que requerem uma avaliação de conformidade para a sua comercialização ou entrada em serviço, i.e. máquinas, brinquedos, elevadores e dispositivos médicos) será aplicável a partir de dia 2 de agosto de 2027.

Âmbito de aplicação material

No que diz respeito ao âmbito de aplicação material, o Regulamento parte de uma ampla definição do que deve ser entendido por inteligência artificial e deixa de fora do seu âmbito de aplicação apenas algumas manifestações específicas desses sistemas. Assim, no essencial, ficam excluídos do âmbito de aplicação do Regulamento: (i) os sistemas introduzidos no mercado, colocados em serviço ou utilizados, com ou sem modificações, para fins militares, de defesa ou de segurança nacional (exclusão que se estende ao uso dos resultados de sistemas de IA que não sejam introduzidos nem colocados em serviço na UE); e (ii) os sistemas ou modelos de IA, incluindo os seus resultados, desenvolvidos e colocados em serviço com o único propósito específico de investigação e desenvolvimento científico. O Regulamento esclarece que não se aplicará a qualquer atividade de investigação e desenvolvimento científico em sistemas ou modelos de IA antes de serem colocados no mercado ou em serviço, embora esta exclusão não inclua testes em condições reais.

Conteúdo básico do regulamento: mecanismos de controlo e regulação

É necessário analisar, ainda que brevemente, o conteúdo definitivo do Regulamento, que variou, por vezes consideravelmente, ao longo do seu processo de elaboração.

No domínio do controlo e regulamentação, o Regulamento de IA classifica os sistemas de inteligência artificial conforme o risco que podem gerar e os seus usos.

Estabelece três níveis de risco para os sistemas e um específico para os modelos de uso geral:

1. Risco inaceitável: esta categoria aplica-se a um conjunto muito limitado de práticas de IA particularmente prejudiciais que contrariam os valores da UE por violarem direitos fundamentais e, consequentemente, serão proibidas. Estes usos ou práticas proibidas (estabelecidos no artigo 5 do Regulamento) incluem, por exemplo, social scoring para fins públicos e privados, o uso de técnicas subliminares, a exploração de vulnerabilidades das pessoas, a categorização biométrica de indivíduos, ou o reconhecimento de emoções de pessoas no local de trabalho e em instituições educativas (a menos que seja por razões médicas ou de segurança).

2. Risco Elevado: são classificados como de risco elevado um número limitado de sistemas de inteligência artificial definidos no Regulamento e incluídos em duas categorias:

• Produtos ou componentes de segurança de produtos que, de acordo com o previsto no Anexo I, devem ser submetidos a uma avaliação de conformidade realizada por uma parte terceira antes da sua colocação no mercado (incluindo máquinas, brinquedos, elevadores, dispositivos médicos ou veículos a motor, entre outros).
• Diversos sistemas listados no Anexo III, que incluem tanto sistemas a serem utilizados pelas autoridades públicas, por exemplo, no domínio das políticas sociais ou imigração, como no setor privado, designadamente em seguros de vida e saúde, avaliação do risco de crédito de indivíduos, ou na seleção, promoção ou despedimento de pessoal, e que geralmente têm um impacto potencialmente adverso na segurança das pessoas ou nos seus direitos fundamentais, conforme protegidos pela Carta dos Direitos Fundamentais da UE.

Estes sistemas estão sujeitos a uma regulamentação intensa que afeta os seus prestadores, mas também, em diferentes graus, outros intervenientes na sua cadeia de valor (representantes autorizados, importadores, distribuidores, responsáveis pela implementação), de modo a não poderem exonerar-se das respetivas responsabilidades.

Devem, inicialmente, submeter-se a uma avaliação de conformidade com os requisitos obrigatórios de uma IA confiável (por exemplo, qualidade dos dados, documentação e rastreabilidade, transparência, supervisão humana, precisão, cibersegurança e robustez – resiliência a erros, falhas e inconsistências). Esta avaliação pode ser realizada pelo próprio prestador, se cumprir com as regras harmonizadas ou especificações estabelecidas pela UE, ou, caso contrário, por um organismo notificado conforme o procedimento estabelecido no Anexo VII. Se o resultado obtido for uma avaliação positiva, declara-se a conformidade do sistema com o Regulamento (Declaração UE de Conformidade, que o prestador deve disponibilizar às autoridades de supervisão se solicitado) e procede-se à sua Marcação CE de Conformidade. Os sistemas de alto risco também são registados num registo público (exceto quando são utilizados pelas autoridades públicas para fins policiais ou de migração, caso em que o registo é de acesso restrito, por razões óbvias).

Também devem ser implementados sistemas de gestão da qualidade e de riscos, mesmo após a comercialização dos produtos.

3. Risco mínimo ou nulo: os outros sistemas de inteligência artificial podem, em princípio, ser desenvolvidos e utilizados de acordo com a legislação em vigor, sujeitos a um regime relativamente simples de obrigações de informação e de respeito pelos direitos de propriedade intelectual, autorais e similares (impostos pelo artigo 53). A vasta maioria dos sistemas de inteligência artificial utilizados atualmente ou que serão utilizados no futuro pertencem a esta categoria. Nestes casos, os prestadores destes sistemas podem optar voluntariamente por aderir a códigos de conduta voluntários ou demonstrar conformidade com as suas obrigações de transparência e respeito pelos direitos de propriedade intelectual de outras formas, sob supervisão da Comissão Europeia.

No entanto, excecionalmente, são impostas obrigações específicas de transparência (artigo 50) a certos sistemas de IA de risco reduzido, quando existe um claro perigo de confusão ou manipulação do utilizador (por exemplo, através do uso de chatbots ou técnicas de deep fake, onde os conteúdos obtidos por IA podem levar uma pessoa a pensar erroneamente que são autênticos ou verdadeiros). Nestes casos, o Regulamento exige, por exemplo, que seja garantido que os utilizadores saibam que estão a interagir com uma máquina ou que os conteúdos a que estão expostos foram gerados ou manipulados de forma artificial.

Por fim, em relação aos sistemas de IA de uso geral, o Regulamento leva em conta o risco sistémico que pode resultar do seu uso, incluindo os grandes modelos geradores de inteligência artificial. Estes sistemas, que podem ser usados para várias tarefas que podem apresentar riscos sistémicos se tiverem capacidades de elevado impacto ou impacto equivalente (modelos de IA de uso geral treinados com uma performance computacional total superior a 10^25 FLOPS - ChatGPT 4 ou GEMINI - implicam riscos sistémicos). Dado que esses modelos podem causar acidentes graves ou serem indevidamente usados para ataques cibernéticos em larga escala, o Regulamento impõe obrigações adicionais de avaliação e mitigação de riscos, comunicação em caso de incidentes e proteção cibernética (artigo 55), devendo os prestadores desses sistemas também recorrer a códigos de boas práticas para demonstrar conformidade com essas obrigações.

Estrutura administrativa de controlo e sistema de sanções

Para garantir a eficácia de toda esta regulamentação, o Regulamento obriga os Estados-Membros a designar um ou vários órgãos competentes para supervisionar o cumprimento das obrigações que impõe.

A nível europeu, o European AI Office, estabelecido pela Decisão da Comissão de 24 de janeiro de 2024 (JOUE-Z-2024-70007), será o organismo de supervisão ao qual caberão importantes funções, especialmente na supervisão dos modelos de IA de uso geral.

Os poderes que serão conferidos às autoridades para garantir a eficácia do Regulamento de IA incluem o poder de impor multas por violações do Regulamento, estabelecidas por referência a uma percentagem do volume de negócios anual global da empresa infratora no exercício económico anterior ou um montante predeterminado, se este for superior, podendo atingir até 35 milhões de euros ou 7% do volume de negócios anual total a nível mundial do infrator no exercício económico anterior, se este montante for superior.