O Regulamento Europeu de Inteligência Artificial (“AI-Act”) entrou em vigor em agosto deste ano, tornando-se a principal legislação a criar uma estrutura jurídica abrangente para Inteligência Artificial (“IA”) que visa promover a inovação no setor e, ao mesmo tempo, proteger direitos fundamentais e interesses públicos. Para alcançar esse objetivo, o AI-Act se concentra não apenas no desenvolvedor de sistemas de IA, mas também em toda a cadeia de valor dos mesmos. Esse conceito leva a um maior impacto e uma ampla aplicabilidade do AI-Act, incluindo empresas localizadas fora do território da União Europeia (UE). Assim, é importante que as empresas que atuem na área de IA determinem em seu Programa de Governança em IA qual o papel que elas cumprem na cadeia de valor e quais as suas obrigações.
I. Breves Considerações Gerais
O legislador europeu adotou uma abordagem baseada no risco que os sistema de IA podem representar para direitos fundamentais e interesse públicos, classificando-os em diferentes categorias de risco, com diferentes níveis de regulamentação. Quanto maior o risco, mais rigorosas são as regras para a utilização e a comercialização de sistemas de IA.
Em casos de um risco inaceitável, o uso é proibido (Capítulo II), como em sistemas que manipulam pessoas ou preveem crimes. Já sistemas de risco elevado são permitidos, mas estão sujeitos a diversas regras rígidas (Capítulo III). Exemplos incluem sistemas de IA usados para a identificação biométrica, operação de infraestruturas críticas, processos de recrutamento e aqueles que são máquinas industriais, brinquedos e dispositivos médicos.
O AI-Act também estabelece obrigações de transparência para sistemas de IA que interagem diretamente com pessoas ou geram conteúdo sintético de áudio, imagem, vídeo ou texto (Capítulo IV). Modelos de IA de finalidade geral, como GPT-4 ou Midjourney (Capítulo V), estão sujeitos a regras específicas. É importante notar que o AI-Act não se aplica apenas a empresas localizadas na UE, mas também à empresas no exterior, caso as mesmas distribuam sistemas de IA na UE e quando o output gerado pelo sistema de IA seja utilizado na UE.
II. O Prestador de um Sistema de IA e a Cadeia de Valor
O principal ator na cadeia de valor no AI-Act é o prestador de um sistema de IA. O prestador deve cumprir inúmeras e abrangentes obrigações de compliance. Entre outros, ele deve assegurar que é criado, implantado, documentado e mantido um sistema de gestão de riscos; que os conjuntos de dados de treino, validação e teste estão sujeitos a práticas de governança e gestão de dados; e que os sistemas de IA de risco elevado são concebidos e desenvolvidos de maneira que alcancem um nível apropriado de exatidão, solidez e cibersegurança. Além disso, ele deve elaborar uma declaração de conformidade e criar um sistema de gestão da qualidade que assegure a conformidade com o IA-Act.
1. A Definição do Prestador de um Sistema de IA
Portanto, é importante observar em que circunstâncias uma empresa do ramo de IA pode ser considerada um “prestador de um sistema de IA”. Primeiramente, note-se que o termo “prestador” no AI-Act não se limita apenas ao desenvolvedor do sistema de IA.
O conceito do prestador é muito mais amplo: segundo o Art. 3° nº 3 do AI-Act, o prestador é uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que desenvolva, ou mande desenvolver, um sistema de IA ou um modelo de IA de finalidade geral e o coloque no mercado sob o seu próprio nome ou a sua própria marca. Ou seja, assim que a empresa coloca um sistema de IA no mercado sob a sua própria marca, independentemente se ela mesma desenvolveu o sistema de IA ou se contratou outra empresa para realizar o desenvolvimento, ela assume a posição de prestador e precisa assegurar o cumprimento das obrigações do AI-Act.
Além disso, existem outras hipóteses em que uma empresa pode-se tornar um prestador posteriormente. De acordo com o Art. 25° n° 1. do AI-Act, qualquer distribuidor, importador, responsável pela implementação ou outro terceiro é considerado um prestador de um sistema de IA de risco elevado se colocar seu nome ou marca em um sistema de IA de risco elevado já colocado no mercado; introduzir uma modificação substancial em um sistema de IA de risco elevado que já foi colocado no mercado, de forma que ele continue sendo um sistema de IA de risco elevado; ou modificar a finalidade prevista de um sistema de IA, incluindo um sistema de IA de finalidade geral, que não foi classificado como de risco elevado e que já foi colocado no mercado ou em serviço, de forma que o sistema de IA se torne um sistema de IA de risco elevado. Ou seja, um empresa que nem desenvolveu o sistema de IA nem o mandou desenvolver pode-se tornar um “prestador” posteriormente se coloca a sua marca no sistema de IA de risco elevado ou modifica o mesmo.
Nas hipóteses acima, o prestador que inicialmente colocou o sistema de IA no mercado ou em serviço deixa de ser considerado o prestador desse sistema específico de IA. No entanto, o prestador original ainda tem o dever de cooperação. Esse prestador original deve cooperar estreitamente com novos prestadores, disponibilizando as informações necessárias e fornecendo o acesso técnico e a assistência razoavelmente esperada e necessária para o cumprimento das obrigações estabelecidas no AI-Act. Esta disposição não se aplica nos casos em que o prestador original tenha especificado claramente que seu sistema de IA não deve ser modificado para um sistema de IA de risco elevado, não estando, assim, sujeito à obrigação de fornecer a documentação.
2. A Relação entre o Prestador e seus Fornecedores
Com frequência, o prestador não desenvolve o sistema de IA sozinho, mas adquire, durante o desenvolvimento, ferramentas e serviços, bem como componentes ou processos de terceiros que são incorporados pelo prestador no sistema de IA com vários objetivos, nomeadamente o treinamento de modelos, a requalificação do treinamento de modelos, o teste e a avaliação de modelos, a integração em software ou outros aspectos do desenvolvimento de modelos.
Para cumprir suas obrigações enumeradas no AI-Act, o prestador depende de informações desses terceiros. O Art. 25 n° 4 do AI-Act, portanto, estabelece certos requisitos para a relação contratual entre o prestador de um sistema de IA de risco elevado e terceiros. O prestador e o terceiro que disponibiliza um sistema de IA, ferramentas, serviços, componentes ou processos que sejam utilizados ou integrados em um sistema de IA de risco elevado devem, por meio de acordo escrito, especificar as informações necessárias, as capacidades, o acesso técnico e outra assistência com base no estado da arte amplamente reconhecido, a fim de permitir que o prestador do sistema de IA de risco elevado cumpra plenamente as obrigações estabelecidas neste regulamento. O AI-Act ainda estabeles que o novo AI-Office da UE pode desenvolver e recomendar modelos de cláusulas contratuais voluntários entre prestadores de sistemas de IA de risco elevado e terceiros que forneçam ferramentas, serviços, componentes ou processos utilizados ou integrados nesses sistemas de IA de risco elevado.
Portanto, através das regras sobre a cadeia de valor do IA-Act, existe uma terceira hipótese em que empresas no Brasil possam ser afetadas pelo AI-Act. Acima já mencionamos que o AI-Act se aplica a empresas no Brasil caso coloquem sistemas de IA no mercado europeu e caso o output de um sistema de IA seja utilizado na UE. Além disso, o AI-Act tem um impacto, embora indiretamente, para fornecedores brasileiros de prestadores de sistemas de IA através de meios contratuais.