A discussão sobre a regulação da Inteligência Artificial (IA) no Brasil avançou significativamente com o Projeto de Lei nº 2.338/2023, atualmente em tramitação no Congresso Nacional. Recentemente, o Presidente da Câmara dos Deputados, deputado Hugo Motta declarou que o parecer do relator deputado Aguinaldo Ribeiro deve ser apresentado ainda no mês de junho. Nesse contexto, é importante que as empresas brasileiras, de todos os setores e segmentos, estejam preparadas para os desafios (que não são poucos!) relacionados ao cumprimento da futura legislação. Embora ainda sujeita a alterações legislativas, a versão atual do projeto já oferece importantes indicativos sobre o modelo regulatório a ser implementado no Brasil e que orientará o desenvolvimento e a utilização da IA nos próximos anos.

Os fundamentos da regulação

A exemplo do que já tem ocorrido em outras regulações mundo afora, o PL parte da premissa de que a IA deve ser desenvolvida e utilizada em benefício da pessoa humana. Já no art. 2º aparecem princípios como a proteção dos direitos humanos, a privacidade e proteção de dados pessoais, a livre iniciativa, a inovação, a valorização do trabalho humano, a não discriminação e a segurança da informação. Além disso, o texto estabelece regras gerais que deverão orientar todo o ciclo de vida dos sistemas de IA, tais como a transparência, supervisão humana adequada, auditabilidade, prevenção de riscos, responsabilização e proteção dos direitos fundamentais (art. 3º).

Esses elementos indicam claramente que o objetivo da legislação, de regular o desenvolvimento e o uso dessa tecnologia, tem como principal direção a mitigação dos impactos e externalidades negativas que a implementação da IA pode vir a ter na sociedade brasileira como um todo, sem sacrifícios à competitividade e à inovação.

A lógica central: regulação baseada em risco

O PL se estrutura e organiza a partir de uma abordagem baseada em riscos, tal como ocorreu, por exemplo, com a Lei 13.709/2018 (a Lei Geral de Proteção de Dados Pessoais). Isso quer dizer que, ao invés de estabelecer as mesmas obrigações e cuidados para qualquer aplicação de IA, o projeto cria exigências proporcionais ao potencial impacto da tecnologia sobre direitos e liberdades das pessoas (arts. 12 a 21) a partir do risco apresentado por seu desenvolvimento ou uso em uma determinada atividade.

Confira abaixo as gradações de risco propostas no projeto e exemplos de atividades e/ou aplicações:

Risco excessivo               

• Sistemas de pontuação social (social scoring) pelo poder público;

• Armas autônomas;

• Determinadas formas de identificação biométrica em tempo real.

Alto risco           

• Recrutamento e seleção de candidatos a vagas de emprego;

• Sistemas de apoio a diagnósticos médicos;

• Concessão de benefícios ou serviços essenciais.

Demais sistemas de IA 

• Chatbots de atendimento;

• Ferramentas de produtividade;

• Sistemas de geração de conteúdo (imagens e vídeos).

Nos casos definidos como de alto risco pela legislação proposta, a utilização e o desenvolvimento dessa tecnologia deverão observar obrigações adicionais de governança, garantia de supervisão e revisão humana e realização constante de avaliações de impacto. É importante saber, contudo, que essa lista poderá ser ampliada pela regulamentação infralegal que vier a ser editada, de modo que as organizações devem permanecer atentas a atualizações para estarem preparadas para se adaptar caso o rol seja expandido.

Quem responde pelo quê?

Além da abordagem baseada em riscos, o projeto, acertadamente, define responsabilidades diferentes para os diferentes papéis desempenhados ao longo da cadeia de valor da IA, ao definir os chamados “agentes de inteligência artificial” (art. 4º, VIII), quais sejam, o “desenvolvedor” (art. 4º, V), o “distribuidor” (art. 4º, VI) e o “aplicador” (art. 4, VII).

Os desenvolvedores devem ser entendidos como as pessoas físicas ou jurídicas que criam ou desenvolvem sistemas de IA. Por sua vez, encaixam-se na figura do distribuidor, as pessoas físicas ou jurídicas responsáveis por disponibilizar o sistema para terceiros. Por fim, serão considerados aplicadores as pessoas físicas ou jurídicas que efetivamente utilizam a tecnologia em suas atividades. Ou seja, a maioria das empresas enquadra-se nesta última posição, a de aplicadores.

A proposta estabelece obrigações distintas para cada um desses agentes, em especial no que diz respeito às medidas de governança exigidas com relação aos sistemas classificados como de alto risco (art. 18).

Enquanto o desenvolvedor deve implementar medidas técnicas, realizar testes e fornecer documentação adequada aos demais elos da cadeia de valor da IA, o aplicador deve monitorar a utilização do sistema, registrar resultados e erros relevantes, implementar supervisão humana e adotar medidas para mitigação de riscos. O distribuidor, por sua vez, deve adotar um dever de diligência mínima, implementando uma verificação acerca da conformidade de um sistema antes de sua efetiva disponibilização no mercado.

Essa divisão evidencia que a responsabilidade pela governança da IA não recairá exclusivamente sobre quem desenvolve a tecnologia. Por outro lado, essa abordagem reflete uma preocupação em estabelecer deveres distintos, conforme a atuação de cada agente, o que significa que não existe uma solução de adequação one size fits all. Desse modo, as organizações devem entender em quais papéis se enquadram a fim de determinar as medidas de governança que devem adotar. Portanto, a fim de entender como se adequar, as empresas devem primeiro mapear suas atividades relativas à IA (seja o desenvolvimento, aplicação ou distribuição) e os papéis que desempenham em cada uma.

O desafio de adequação para as organizações

Na prática, o PL exige que empresas adotem uma visão estruturada de governança tecnológica.

A documentação de processos relativos ao ciclo de vida e desenvolvimento de IA mostra-se medida absolutamente indispensável para adequação a este novo modelo regulatório. Entre as demais medidas relevantes destacam-se a implementação de controles internos, a supervisão humana de sistemas de alto risco, a gestão contínua de riscos e a realização de Avaliações de Impacto Algorítmico quando exigidas (arts. 25 a 28).

Também serão muito importantes os mecanismos de monitoramento contínuo, programas de governança, comunicação de incidentes relevantes e adoção de boas práticas de conformidade (arts. 40 a 42), a fim de garantir que novos usos e desenvolvimentos de IA já estejam adequados à lei desde sua concepção.

Nesse contexto, é fundamental que a alta administração patrocine e apoie o processo de adequação, assegurando que novos sistemas, iniciativas e processos envolvendo inteligência artificial sejam devidamente identificados, registrados e classificados. Na ausência dessa supervisão, soluções podem ser adotadas à margem dos mecanismos formais de governança, criando riscos não mapeados e dificultando o controle organizacional — fenômeno amplamente conhecido como shadow IT ou shadow AI. Para enfrentar este desafio, as organizações devem implementar controles robustos e mecanismos eficazes de monitoramento, sem perder de vista a necessidade de preservar níveis de agilidade compatíveis com sua estratégia de negócios e seu apetite de risco. Isso significa que a adequação não será apenas uma questão jurídica, mas um desafio multidisciplinar que envolverá áreas como tecnologia, compliance, proteção de dados, segurança da informação, recursos humanos e gestão corporativa.

Considerações finais

O PL 2.338/2023 sinaliza a consolidação de um modelo regulatório baseado em governança e gestão de riscos. Ainda que o texto possa sofrer alterações durante a tramitação legislativa, já é possível identificar uma tendência clara: empresas que utilizam IA (que, atualmente, são praticamente todas as organizações do Brasil e do mundo) ou que desenvolvem soluções de IA precisarão demonstrar capacidade de monitorar riscos, documentar processos e implementar mecanismos de controle compatíveis com as características das soluções.

Veja como nosso time especializado pode ajudar:

• Mapeamento de processos que envolvam uso, desenvolvimento ou distribuição de IA para identificação e mitigação de riscos jurídicos, de segurança da informação e de natureza organizacional;

• Elaboração e registro de Avaliações de Impacto Algorítmico;

• Criação de normativos internos como políticas e procedimentos operacionais;

• Apoio na criação e gestão de procedimentos, processos, medidas e órgãos de governança relevantes;

• Estruturação de ações e materiais para disseminação de conhecimento, letramento em IA, treinamento e conscientização;

• Revisão de instrumentos contratuais de licenciamento, distribuição e desenvolvimento de ferramentas de IA, bem como demais contratos de serviços e soluções que envolvam este tipo de tecnologia.

Nesse cenário, a experiência em governança, gestão de riscos regulatórios, proteção de dados e conformidade corporativa torna-se um diferencial relevante para auxiliar organizações na construção de estratégias seguras e sustentáveis para o uso da inteligência artificial.

Cristhian Groff

Daniel França da Rocha

IMAGEM: CHIEW / Shutterstock