A Lei da IA da UE foi aprovada por unanimidade pelos Estados-Membros e, em geral, será plenamente aplicável dentro de dois anos. Esta legislação inovadora é a primeira a nível mundial a estabelecer regras para a inteligência artificial e a sua utilização – tal como o RGPD estabeleceu a fasquia para a regulamentação da privacidade dos dados.

Qualquer empresa que utilize a IA na União Europeia será afetada pela Lei da IA da UE. E, tal como o RGPD, as sanções por incumprimento são severas. Os piores infractores poderão ser objeto de coimas até 35 milhões de euros ou 7% do volume de negócios anual global. O objetivo geral da Lei da IA da UE é impor normas éticas e supervisão humana em torno da utilização da IA para proteger os cidadãos de potenciais perigos. É certo que a IA pode resolver muitos desafios com pouco risco. No entanto, certas aplicações de IA têm o potencial de causar danos significativos aos direitos humanos e à sociedade em geral – e é aqui que as novas regras se centram.

Muitas organizações já tomaram medidas para garantir uma utilização responsável e podem necessitar apenas de alterações relativamente pequenas para demonstrar a sua conformidade. No entanto, se não tiveres considerado os riscos da IA ou desenvolvido um plano para a forma como a IA é utilizada, terás de avaliar a tua posição e determinar o que é necessário para cumprir. IA
O risco da IA e o seu significado

O risco e o seu significado

A Lei da IA da UE proíbe totalmente algumas utilizações da IA. E quando é permitida, a utilização deve ser responsável, direta e transparente. As regras classificam os riscos da IA de acordo com o potencial de dano. Existem quatro categorias principais:

Riscos proibidos. Esta é a categoria mais grave. Os sistemas de IA que constituem uma ameaça clara à segurança, aos direitos humanos fundamentais ou aos meios de subsistência de uma pessoa são inaceitáveis. Não podes utilizar os dados biométricos, por exemplo, para rastrear a raça, a orientação sexual, as crenças ou a filiação sindical de uma pessoa. Não podes criar uma base de dados a partir de imagens faciais retiradas da Internet ou de circuitos fechados de televisão. A pontuação social também é proibida.

  • O que deves fazer: Determinar se estás a utilizar a IA de uma forma proibida.
  • Quando: Tens seis meses após a entrada em vigor para te obrigares a cumprir.

Risco elevado. Esta categoria é altamente regulamentada e inclui sistemas de IA utilizados em infra-estruturas críticas que podem pôr em perigo a saúde dos cidadãos (como os transportes públicos), componentes de segurança de produtos (como a cirurgia assistida por IA), formação educacional que pode determinar o curso da vida de alguém (como a classificação de testes), emprego (como a seleção de currículos) e serviços essenciais (como a classificação de empréstimos).

  • O que deves fazer: Estes sistemas têm de cumprir requisitos rigorosos antes de poderem ser colocados no mercado. Devem ter processos definidos para avaliar e atenuar os riscos, para a governação dos dados e a formação, e para documentar a conformidade. Os sistemas também devem ter uma supervisão humana adequada e uma cibersegurança sólida.
  • Quando: Tens 24 meses a contar da data de entrada em vigor para te conformares.

Um olhar prático sobre os sistemas de IA de alto risco

Se desenvolveres o que o regulamento considera um sistema de IA de alto risco, tens de passar por etapas específicas para obteres aprovação antes de poderes colocar a tecnologia no mercado.

  1. Avalia o sistema para garantir a conformidade com os requisitos da IA e notifica o órgão diretivo adequado.
  2. Regista o sistema de IA numa base de dados da UE.
  3. Assina uma declaração de conformidade e identifica o sistema como aprovado.

Quando o sistema estiver no mercado, tens de comunicar os incidentes graves e as avarias e assegurar a supervisão humana. As autoridades manterão a supervisão do mercado.

Risco limitado. Esta categoria está pouco regulamentada e refere-se principalmente aos riscos associados à falta de transparência na utilização da IA. As pessoas devem ser informadas, por exemplo, quando a IA é utilizada para alimentar os chatbots, para que possam decidir se querem continuar ou terminar a interação. As organizações também têm de identificar os conteúdos gerados por IA como tal. Esta rotulagem aplica-se a texto, bem como a conteúdos de áudio e vídeo.

  • O que deves fazer: Determinar como estás a utilizar a IA e que conteúdos/interacções precisam de ser rotulados.
  • Quando: Tens 36 meses após a entrada em vigor para te obrigares a cumprir.

Risco mínimo ou nulo. Esta categoria inclui a utilização geral da IA que não tem um objetivo pré-determinado. A maior parte dos sistemas de IA actuais pertence a esta categoria.

  • O que deves fazer: Embora a utilização não seja restrita, o AI Act da UE exige a autoavaliação e a atenuação dos riscos sistémicos, documentação técnica, instruções de utilização, conformidade com os direitos de autor e supervisão humana de sistemas como os chatbots. Todos os fornecedores destes modelos devem realizar testes contraditórios, comunicar incidentes graves e garantir a aplicação de medidas de cibersegurança adequadas. Os sistemas de risco mínimo, como jogos e filtros de spam, podem ser utilizados livremente.
  • Quando: Dispõe de 12 meses a contar da data de entrada em vigor para se conformar.

Como começar

Com os prazos a aproximarem-se, dedica agora algum tempo a compreender as tuas obrigações legais e a forma de agir.

1. Conduzir uma análise de lacunas para determinar que alterações são necessárias nas estruturas de governação de dados, políticas, processos de avaliação de riscos, etc., para atingir a conformidade e fornecer documentação adequada às entidades reguladoras.

2. Operacionaliza os teus processos para incutir os passos necessários e garantir o alinhamento em toda a organização. Os requisitos devem ser integrados nos fluxos de trabalho de conformidade existentes na empresa. Além disso, devem ser efectuados controlos periódicos para reavaliar os riscos, caso a categoria mude.

3. Atribui responsabilidades pela avaliação do risco, acompanhamento, métricas, supervisão e conformidade ao conselho de administração, ao C-suite, aos gestores, etc., de acordo com a tua cultura e práticas existentes. Pensa em quem é notificado quando há um problema.

4. Investe na literacia da IA, formando os trabalhadores sobre a ética da IA e as especificidades da Lei da IA da UE. É provável que os cientistas e engenheiros de dados necessitem de formação e desenvolvimento especiais para as suas funções.

O caminho a seguir. A Lei da IA da UE: O que tens de saber agora .

O caminho a seguir

A inteligência artificial – e a IA generativa em particular – está a evoluir a uma velocidade vertiginosa, e o Ato UE sobre a IA foi concebido para se adaptar às futuras mudanças tecnológicas. Uma constante, no entanto, é que as aplicações de IA devem permanecer fiáveis e os fornecedores devem continuar a avaliar e a mitigar os riscos ao longo do ciclo de vida da aplicação.

Os conselhos de administração e a direção são os principais responsáveis pela proteção da organização contra os riscos, incluindo os regulamentares e de reputação. E, num mundo perfeito, veriam o AI Act da UE como um ponto de partida para reforçar a fiabilidade da marca. Na prática, porém, pode ser difícil atingir esse ideal. As prioridades concorrentes e os recursos limitados podem limitar as acções a fazer simplesmente o que é necessário para marcar a caixa de conformidade.

Seja qual for o caminho que tomes, os líderes devem estar envolvidos na avaliação dos riscos e na determinação do curso de ação adequado, dada a gravidade das multas por incumprimento. As ferramentas tecnológicas podem ajudar, fornecendo uma forma consistente de avaliar os riscos, monitorizar as acções, acompanhar as métricas e colaborar entre funções. Mas esta lei não é um regulamento do tipo “define e esquece”. Mesmo algo tão simples como o fornecimento de informações incompletas ou enganosas pode dar origem a uma coima de 7 milhões de euros ou 1% do volume de negócios anual global.

A IA oferece possibilidades interessantes e as empresas podem e devem continuar a inovar. A Lei da IA da UE garante que os membros da sociedade – individual e coletivamente – possam usufruir dos benefícios das capacidades actuais e futuras da IA sem receio do lado negro.

Para obter mais informações sobre conformidade corporativa eficiente, faça o download do nosso ebook, Transformando a Conformidade de Check-the-Box em Campeã, e confira a solução de software de conformidade da Riskonnect.