AI ACT | O Regulamento Europeu sobre Inteligência Artificial

Após cerca de cinco anos de um processo legislativo iniciado em 2019, o Parlamento Europeu aprovou no dia 13 de março de 2024 o Regulamento sobre Inteligência Artificial (“Regulamento IA”), que entrou em vigor a 1 de agosto de 2024 e que estabelece as regras de utilização deste tipo de tecnologia nos Estados-membros da União Europeia (“UE”).

O objetivo do Regulamento IA passa por garantir que os sistemas de Inteligência Artificial colocados no mercado da UE e utilizados sejam seguros e respeitadores da legislação em vigor em matéria de direitos fundamentais e valores da UE, acautelando assim a segurança jurídica em torno dos mesmos de modo a facilitar os investimentos e a inovação no domínio da Inteligência Artificial (“IA”). Assim, o Regulamento IA procura melhorar a governação e a aplicação efetiva da legislação em vigor em matéria de direitos fundamentais e dos requisitos de segurança aplicáveis aos sistemas de IA e facilitar o desenvolvimento de um mercado único para as aplicações de IA legítimas, seguras e de confiança.

O Regulamento em vigor acolheu algumas alterações significativas comparativamente à proposta da Comissão Europeia que fora apresentada em 2021. Para além da introdução de regras para os modelos de base (“foundational models”, no texto inglês), que entretanto despertaram na consciência social por força do lançamento ao público de vários produtos, designadamente o ChatGPT, a versão aprovada do Regulamento prevê também criação de um gabinete de IA e acrescentou ou clarificou várias proibições.

Não obstante estas mudanças, a abordagem do Regulamento IA continua a ter por base o risco inerente ao uso da tecnologia, pelo que, para a concretização destes objetivos, estabelecem-se obrigações para os agentes na cadeia de valor dos sistemas de IA através de uma abordagem que assenta nos níveis de riscos em potencial de cada sistema de IA. Deste modo, o Regulamento classifica os sistemas de IA, consoante as suas caraterísticas e finalidades, em quatro diferentes níveis de risco:

1.  Risco inaceitável/proibido, onde se enquadram as utilizações consideradas particularmente nocivas de IA, na medida em que violam os valores da UE, como é o caso dos sistemas que envolvam a categorização biométrica, manipulação, exploração de vulnerabilidades, classificação social, policiamento preditivo, reconhecimento facial, reconhecimento de emoções e análise de biometria à distância.

2.  Risco elevado, sempre que um sistema de IA, apesar de não se enquadrar na categorização anterior, possa comprometer, de forma significativa e grave, a saúde e a segurança ou os direitos fundamentais das pessoas, como é o caso dos sistemas inseridos nos seguintes contextos:

• Biometria;
• Infraestruturas críticas;
• Educação e formação profissional;
• Emprego, gestão dos trabalhadores e acesso ao trabalho independente;
• Acesso e fruição de serviços privados e públicos essenciais, designadamente serviços de saúde, solvabilidade das pessoas singulares, avaliação e classificação de chamadas de emergência (bombeiros, assistência médica triagem de doentes, etc.), avaliação de risco nos contratos de seguro;
• Aplicação da lei;
• Emigração;
• Administração da justiça e processos democráticos.

3.  Risco limitado, como é o caso dos sistemas de IA dedicados à criação de deepfakes e dos denominados chatbots, onde o risco existente ocorre essencialmente em virtude da eventual falta de transparência deste tipo de sistemas, sendo sempre necessário acautelar que o utilizador sabe estar a interagir com uma máquina.

4.  Risco mínimo, onde se enquadram os sistemas de IA aplicados, por exemplo, aos filtros de spam de e-mail ou à indústria de videojogos.

Com a entrada em vigor do Regulamento IA, os sistemas de inteligência classificados como risco inaceitável passaram a ser proibidos, não podendo, desse modo, ser comercializados, exportados ou utilizados na UE. Por sua vez, nos casos de risco elevado, os prestadores de sistemas de IA (i.e., quem desenvolve e/ou comercializa estes sistemas) passarão a estar sujeitos a variadas obrigações prévias à colocação destes no mercado, desde logo uma avaliação de conformidade que demonstre:

1. A existência de um sistema de gestão de riscos;
2. A adesão a práticas apropriadas de governança de dados, por forma a garantir que os conjuntos de dados do sistema de IA são relevantes e imparciais;
3. A disponibilidade e conservação da documentação técnica do sistema de IA;
4. Que os registos de eventos (“logs”) estejam disponíveis ao longo da vida útil do sistema;
5. A existência de supervisão humana;
6. Uma precisão consistente, robustez e medidas de cibersegurança ao longo da vida do sistema de IA, com métricas de precisão declaradas, resiliência contra erros e medidas apropriadas para abordar possíveis vieses.

Uma vez cumpridos estes requisitos, os prestadores de sistemas de IA de risco elevado deverão ainda:

1. Criar um sistema de gestão da qualidade para cumprimento do regulamento;
2. Conservar a documentação técnica do sistema de IA;
3. Manter os registos gerados automaticamente pelo seu sistema de IA;
4. Sujeitar o sistema de IA a uma verificação de conformidade,
5. Elaborar uma declaração de conformidade;
6. Obter a marcação CE do respetivo sistema;
7. Cumprir com as obrigações de registo do sistema de IA, nos termos do Regulamento.

Caso os prestadores consigam demonstrar que o seu sistema de IA não é de risco elevado ficarão dispensados da maior parte das obrigações acima elencadas, excetuando-se a declaração de conformidade e a obrigação de registar o sistema na base de dados da UE.

Quanto aos sistemas de IA de risco limitado, os prestadores passarão a estar sujeitos a deveres de informação e de transparência para com os utilizadores, sendo-lhes assim exigido informar os utilizadores de que o conteúdo foi gerado por Inteligência Artificial.

Finalmente, quanto aos sistemas de risco mínimo, os prestadores terão a possibilidade de aderir a códigos de conduta.

Por sua vez, os responsáveis pela implantação de sistemas de IA de risco elevado (i.e., quem utiliza estes sistemas sob a sua própria autoridade no âmbito da sua atividade profissional) passam a ser sujeitos a várias obrigações de transparência, designadamente:

1. Adotarem medidas técnicas e organizacionais para garantia do cumprimento das instruções de uso;
2. Cumprirem com deveres de informação a diversas entidades;
3. Manterem os registos gerados pelos sistemas de IA, nos termos da legislação aplicável;
4. Registarem os sistemas de IA nas bases de dados da União Europeia;

Os responsáveis pela implantação deverão ainda realizar uma avaliação prévia do impacto sobre os direitos fundamentais que a utilização do sistema possa vir a produzir, bem como notificar subsequentemente a autoridade nacional competente dos resultados de tal avaliação.

No que diz respeito aos sistemas de IA de risco limitado, os responsáveis pela implantação de tais sistemas, quando estes gerem ou manipulem conteúdos de imagem, áudio ou vídeo de modo a criar deepfakes, ou manipulem conteúdos informativos sobre assuntos de interesse público, passam a ter de divulgar que o texto foi artificialmente gerado ou manipulado.

Tal como sucede com os prestadores, os responsáveis pela implantação de sistemas de IA também passarão a ter a possibilidade de aderir a códigos de conduta relativamente aos sistemas de IA considerados como sendo de risco mínimo.

Ademais, no que se refere às obrigações dos demais sujeitos da cadeia de valor dos sistemas de IA, designadamente dos importadores, distribuidores e fabricantes de produtos, cumpre destacar que o Regulamento vem estabelecer, em determinados casos, uma equipação destes intervenientes aos prestadores, o que significa que aqueles passarão a estar sujeitos às obrigações destes, nas seguintes situações:

1. Quando, no caso dos distribuidores e dos importadores, estes coloquem as suas próprias marcas em sistemas de IA já inseridos no mercado, ou sempre que modifiquem tais sistemas ou as finalidades originárias de utilização dos mesmos; ou
2. Quando, no caso dos fabricantes de produtos, os produtos se enquadrarem em categorias de alto risco nos termos que vêm consignados no Regulamento.

Por fim, importa referir que, caso venham a ser colocados no mercado da UE, ou nele permaneçam em utilização, sistemas de inteligência artificial que não respeitem os requisitos previstos no Regulamento IA, este impõe aos Estados-Membros a aplicação de sanções efetivas, proporcionadas e dissuasivas, incluindo coimas, aos infratores, bem como a comunicação dessas infrações à Comissão Europeia.

O Regulamento estabelece os limiares que devem ser tidos em conta, em matéria de coimas:

• Até 35 milhões de euros ou 7 % do volume de negócios anual a nível mundial no exercício financeiro anterior (consoante o valor que for mais elevado) por infrações respeitantes a práticas proibidas ou incumprimento de requisitos relativos a dados;
• Até 15 milhões de euros ou 3 % do volume de negócios anual a nível mundial no exercício financeiro anterior (consoante o valor que for mais elevado) por incumprimento de quaisquer outros requisitos ou obrigações do regulamento, incluindo infração das regras sobre modelos de IA de finalidade geral;
• Até 7,5 milhões de euros ou 1,5 % do volume de negócios anual a nível mundial no exercício financeiro anterior (consoante o valor que for mais elevado) pela prestação de informações incorretas, incompletas ou enganosasa organismos notificados e autoridades nacionais competentes em resposta a um pedido;
• Para cada categoria de infração, o limiar corresponde ao mais baixo dos dois montantes para as PME e o mais elevado entre ambos para as restantes empresas.

Para efeitos de supervisão da sua aplicação e da execução a nível nacional, o Regulamento impõe aos Estados-Membros a designação de uma ou mais autoridades nacionais competentes e, entre elas, uma autoridade nacional de controlo que atue enquanto autoridade notificadora e autoridade de fiscalização do mercado[1].

As disposições de caráter geral e relativas a práticas de IA proibidas constantes dos capítulos I e II do Regulamento IA encontram-se já em aplicação desde 2 de fevereiro de 2025. O capítulo III, secção 4 (autoridades notificadoras e organismos notificados), o capítulo V (modelos de IA de finalidade geral), o capítulo VII (governação) e o capítulo XII (sanções) e o artigo 78.º (confidencialidade) do diploma serão aplicáveis já a partir de 2 de agosto de 2025, com exceção do artigo 101.º. Por fim, o remanescente do Regulamento IA será aplicável a partir de 2 de agosto de 2026, à exceção do seu artigo 6.º n.º 1 referente a sistemas de IA de risco elevado, aplicável a partir de 2 de agosto de 2027.

Os particulares deverão, nessa medida, procurar adaptar-se à nova realidade regulatória tendo em consideração as obrigações de cada etapa e correspondente janela temporal.

[1] https://digital.gov.pt/regulamentacao/ai-act/lista-de-entidades-que-supervisionam-a-protecao-dos-direitos-fundamentais-no-ambito-do-artigo-77-do-AI-Act