Inteligência Artificial: Regras para uma Utilização de Confiança

AI ACT – Regulamento Europeu da Inteligência Artificial

A Comissão Europeia destaca, numa comunicação recente de 8 de outubro, o AI ACT, o Regulamento Europeu da Inteligência Artificial (IA), aprovado em 2024, e que foi o primeiro quadro jurídico horizontal para o desenvolvimento, colocação no mercado e utilização de sistemas de IA (ver caixa) na União Europeia. Este documento (2024/1689), que vai entrar em vigor a partir de agosto de 2026, vem criar regras harmonizadas em matéria de IA e visa incentivar o desenvolvimento e a adoção de sistemas de IA seguros e fiáveis em todo o mercado da União Europeia (UE), tanto no setor privado como no setor público. O Regulamento estabelece regras baseadas no risco relativas a aspetos como:

• A colocação no mercado e em serviço e a utilização de determinados sistemas de IA;
• A proibição de determinadas práticas de IA;
• Requisitos e obrigações relativos a sistemas de IA de risco elevado;
• Transparência para determinados sistemas de IA;
• Transparência e gestão de riscos para modelos de IA de finalidade geral (modelos de IA potentes que estão na base de sistemas capazes de executar uma vasta gama de tarefas);
• Acompanhamento e fiscalização do mercado, governação e aplicação da lei;
• Apoio à inovação, com especial ênfase nas pequenas e médias empresas (PME) e nas empresas em fase de arranque.

Há algumas isenções previstas como as aplicáveis a sistemas utilizados exclusivamente para fins militares e de defesa ou para fins de investigação.

Pontos- chave do Regulamento

Esta legislação segue uma abordagem baseada no risco, o que significa que quanto maior for o risco de causar danos à sociedade, mais rigorosas serão as regras. O Regulamento define quais os domínios sobre os quais considera que a utilização da IA sofre de risco elevado, atendendo ao seu potencial impacto nos direitos fundamentais, na segurança e no bem-estar:

• Componentes de segurança de produtos abrangidos pela legislação de harmonização da UE que têm de ser sujeitos a uma avaliação da conformidade por terceiros ao abrigo da mesma legislação de harmonização da UE;
• Dados biométricos, quando utilizados para identificação à distância, categorização de indivíduos de acordo com atributos sensíveis (como a raça ou a religião) ou reconhecimento de emoções. Fica de fora a utilização para simples verificação da identidade;
• Infraestruturas críticas, quando a IA é utilizada como componente de segurança em domínios como as infraestruturas digitais, o tráfego, a água, o gás, o aquecimento e a eletricidade;
• Educação e formação profissional, incluindo aspetos relacionados com o acesso à educação, a avaliação dos resultados da aprendizagem, a avaliação dos níveis de educação ou o controlo de comportamentos durante os testes;
• Emprego, incluindo o recrutamento, a seleção de candidatos, a tomada de decisões sobre as condições de emprego, a atribuição de tarefas ou o acompanhamento do desempenho;
• Serviços essenciais — sistemas de IA utilizados pelas autoridades públicas para avaliar a elegibilidade para acesso a serviços de assistência pública (cuidados de saúde, prestações sociais), classificação de créditos, avaliação de riscos de seguros e definição de prioridades para respostas de emergência;
• Aplicação da lei — sistemas de IA utilizados para avaliar os riscos de infrações penais, polígrafos, avaliar a fiabilidade dos elementos de prova, prever reincidências ou traçar perfis de indivíduos para efeitos de investigação criminal;
• Migração e controlo das fronteiras — sistemas de IA utilizados para avaliar os riscos relacionados com migração, asilo e pedidos de visto, ou para detetar e identificar pessoas em contextos de migração;
• Administração da Justiça e processos democráticos — sistemas de IA utilizados pelas autoridades judiciais para efeitos de investigação e interpretação jurídica ou sistemas suscetíveis de influenciar os resultados eleitorais.

Algumas práticas, consideradas de “risco inaceitável” são mesmo proibidas pelo Regulamento:

• Técnicas subliminares ou enganosas para manipular o comportamento de uma pessoa ou de um grupo de pessoas, prejudicando a sua capacidade de tomar decisões informadas e sendo suscetíveis de causar danos;
• Exploração de vulnerabilidades com base na idade, deficiência ou situações socioeconómicas para manipular uma pessoa ou um grupo de pessoas, levando a potenciais danos;
• Classificação social, avaliação ou classificação de pessoas com base em comportamentos ou características, resultando no tratamento injusto não relacionado com o contexto em que os dados foram recolhidos ou no tratamento prejudicial desproporcionado para a gravidade do comportamento;
• Avaliação do risco criminal, prever a probabilidade da prática de um crime apenas com base na definição de perfis ou em traços de personalidade, exceto em investigações criminais objetivas e baseadas em factos;
• Bases de dados de reconhecimento facial através da recolha aleatória de imagens faciais a partir da Internet ou de imagens de câmaras de segurança;
• Inferência de emoções em áreas sensíveis, como locais de trabalho ou instituições de ensino, exceto se utilizada para fins médicos ou de segurança;
• Categorização biométrica baseada em dados para inferir atributos sensíveis como a raça, a religião ou as opiniões políticas, exceto para utilização legal no âmbito da aplicação da lei;
• Identificação biométrica em tempo real em espaços acessíveis ao público pelas autoridades policiais, exceto se estritamente necessária para situações específicas (p.ex., busca por pessoas desaparecidas, prevenção de ameaças iminentes ou identificação de suspeitos de crimes graves). Tal deve obedecer a procedimentos legais rigorosos, incluindo autorização prévia, um âmbito de aplicação limitado e salvaguardas para a proteção dos direitos e liberdades.

Há, também, um conjunto de obrigações de divulgação introduzidas pelo Regulamento, sempre que possa existir um risco decorrente da falta de transparência na utilização da IA:

• A IA concebida para se fazer passar por humanos (por exemplo, um robô de conversação) tem de informar o humano com quem está a interagir;
• O resultado da IA generativa tem de ser marcado como IA gerada de uma forma legível por máquina;
• Em certos casos, os resultados da IA generativa têm de ser rotulados de forma visível, nomeadamente as falsificações profundas e os textos destinados a informar o público sobre questões de interesse público.

Todos os outros sistemas de IA são considerados como apresentando um risco limitado, pelo que o Regulamento não introduz quaisquer outras regras.

Em termos de regras de utilização fiável de grandes modelos de IA, o regulamento destaca que os modelos de IA de finalidade geral são modelos de IA treinados com grandes quantidades de dados e que podem, por isso, executar uma vasta gama de tarefas, sendo considerados componentes de sistemas de IA.

Neste âmbito, o Regulamento introduz obrigações de transparência para os prestadores desses modelos de IA de finalidade geral, nomeadamente a documentação técnica, a prestação de informações aos criadores de sistemas de IA a jusante e a divulgação dos dados utilizados para o treino do modelo. Mas também sublinha que os modelos de IA de finalidade geral mais potentes podem apresentar riscos sistémicos: se um modelo atingir um determinado limiar de capacidade, o prestador desse modelo deve cumprir obrigações adicionais em matéria de gestão dos riscos e de cibersegurança.

Já no que toca à governação, o Regulamento cria vários órgãos de governação, operacionais a partir de 2 de agosto de 2025, tais como:

• Autoridades nacionais competentes para supervisionar e fazer cumprir as regras aplicáveis aos sistemas de IA;
• Um Serviço para a IA no âmbito da Comissão Europeia, que coordenará a aplicação coerente das regras comuns em toda a UE e atuará como regulador dos modelos de IA de finalidade geral.

Os Estados-Membros da UE e o Serviço para a IA cooperarão estreitamente num Comité para a IA, composto por representantes dos Estados-Membros, a fim de assegurar a aplicação coerente e eficaz do Regulamento. O Regulamento cria, ainda, dois órgãos consultivos para o Serviço para a IA e o Comité para a IA, a saber, (i) um painel científico de peritos independentes para prestar aconselhamento científico e (ii) um fórum consultivo para as partes interessadas, que disponibilizará conhecimentos técnicos especializados ao Comité para a IA e à Comissão.

Já no que toca a sanções, o Regulamento fixa o montante das coimas aplicáveis às infrações em percentagem do volume de negócios anual da empresa infratora ou num montante pré-determinado, consoante o que for mais elevado. As pequenas e médias empresas e as empresas em fase de arranque estão sujeitas a coimas administrativas proporcionais.

Em termos de transparência e proteção dos direitos fundamentais, o desenvolvimento e a utilização de sistemas de IA de risco elevado estão sujeitos a uma maior transparência:

• Antes de um sistema de IA de risco elevado ser implantado por entidades que prestam serviços públicos, deve ser realizada uma avaliação do seu impacto nos direitos fundamentais;
• Os sistemas de IA de risco elevado e as entidades que os utilizam devem estar registados numa base de dados da UE.

No que respeita à Inovação, o Regulamento prevê um quadro jurídico favorável e tem como objetivo promover a aprendizagem regulamentar baseada em dados concretos. Prevê ambientes de testagem da regulamentação da IA, permitindo um ambiente controlado no qual os sistemas inovadores de IA podem ser desenvolvidos, testados e validados, nomeadamente em condições reais. O Regulamento também permite a testagem em condições reais de sistemas de IA de risco elevado em determinadas condições.

Em termos de avaliação e revisão, a Comissão vai avaliar anualmente a necessidade de alterar a lista de utilizações de risco elevado da IA e a lista de práticas proibidas. Até 2 de agosto de 2028 e, posteriormente, de quatro em quatro anos, a Comissão avaliará e apresentará um relatório contendo aspetos como (i) aditamento ou alargamento da lista de categorias de risco elevado, (ii) alterações da lista de sistemas de IA que exigem medidas de transparência adicionais e (iii) alterações destinadas a melhorar a supervisão e a governação.

Entrada em vigor: 2026 com exceções

O Regulamento é aplicável a partir de 2 de agosto de 2026 mas estão previstas algumas exceções:

• As proibições, definições e obrigações relativas à literacia em matéria de IA são aplicáveis desde 2 de fevereiro de 2025; e
• Algumas regras entrarão em vigor em 2 de agosto de 2025, incluindo as relativas à estrutura de governação, às sanções e às obrigações dos fornecedores de modelos de IA de finalidade geral.

Contexto e links úteis em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=LEGISSUM%3A4762484&qid=1759998317471 ».