No final do ano passado, a Comissão de Juristas indicada pelo Senado Federal concluiu o relatório final do substitutivo ao Projeto de Lei nº 21/2020, representando mais um passo do Brasil na corrida pela regulação da inteligência artificial. De pronto e pelas razões postas no relatório, percebe-se a adoção da famigerada abordagem baseada em riscos, cumulada com uma modelagem regulatória fundada em direitos. Essa última, inclusive, novidade considerável se compararmos com o movimento regulatório que também avança na União Europeia.
Ainda, oportuno destacar que, ao determinar de maneira objetiva e clara a coletânea de direitos aos impactados por sistemas de inteligência artificial, o substitutivo também aponta para direção distinta daquela proposta pelo projeto de lei aprovado na Câmara, cuja abordagem era absolutamente principiológica, com ares de soft law.
Nada obstante os benefícios intrínsecos da precaução e o necessário zelo aos direitos das pessoas potencialmente impactadas por sistemas de inteligência artificial, inevitável asseverar que as obrigações impostas aos ainda residem em zona cinzenta, seja pelo provável custo regulatório à inovação, seja pela própria dificuldade operacional em dar cabo aos mandamentos.
Nesse cenário, convém recordar o natural efeito extraterritorial da futura legislação, acarretando aos agentes de sistemas de inteligência artificial obrigações robustas para atuação em solo nacional. Assim, eventual descompasso entre o peso da regulação no Brasil em comparação a outras regiões do planeta pode impactar o interesse econômico e a própria viabilidade de implementação em solo nacional. Como primeira consequência, deletéria, podemos indicar a fuga de empresas do setor. Não à toa, existe defesa em direção a uma regulamentação geral e com efeitos em escala global, notadamente pautada em princípios.
Efeito semelhante podemos observar em legislações de proteção de dados contemporâneas, que de forma direta ou indireta, na grande maioria das vezes, convergem para o mesmo núcleo de princípios fundamentais, dos quais decorrem também direitos aos titulares de dados, quase sempre representados pela tradicional sigla ARCO (acesso, retificação, cancelamento e oposição).
Continuando o paralelo, leis como a LGPD também se sustentam na abordagem baseada em riscos, contudo, trazem consigo uma percepção contextual fundamental ao tema da governança e distribuição proporcional de responsabilidades dos atores de um ecossistema de dados, isto é, controlador e operador.
Essa mesma proporcionalidade, ao menos em primeira vista, não se enxerga no substitutivo, que prima por uma visão míope, pautado nos riscos identificados pelos fornecedores de sistema de inteligência artificial, sem adentrar nas especificidades da finalidade ou potenciais casos de uso, considerando os diferentes atores do seu ciclo de vida.
O § 1º do art. 19 do substitutivo indica que as medidas de governança são aplicáveis ao longo de todo o ciclo de vida da aplicação, o que, por consequência, abarcaria todos os agentes envolvidos no ecossistema, fato nem sempre transparente ou simples de se identificar, como aparentemente sugere o substitutivo.
A inteligência artificial não pode ser vista como um produto ou serviço único, mas sim como um sistema entregue de forma dinâmica por diferentes atores. Ademais, a depender do contexto, o comportamento de um sistema se modificará com novos dados, novos usos e novas integrações, o que, por sua vez, pode alterar seus perfis de risco e requer avaliação contínua. O próprio "produto final" de um sistema de inteligência artificial, com frequência, não tem origem em uma única empresa ou agente, mas o envolvimento de múltiplos atores dentro do seu ciclo de vida (aquisição, terceirização, reutilização de dados de várias fontes etc).
O estudo publicado pelo Ada Lovelace Institute traz um interessante exemplo que ilustra a problemática: um desenvolvedor de um sistema de reconhecimento facial poderia vender seu produto para autenticar a entrada em prisões ou para vigiar clientes para publicidade direcionada. Avaliar holisticamente o risco de um sistema abstrato, portanto, é impossível.
Esse ponto parece primordial para a construção de uma cadeia de papéis e responsabilidades efetivas e aderentes à realidade da finalidade do uso inteligência artificial. Em outras palavras, parece equivocada a decisão por um padrão de governança (com suas responsabilidades decorrentes) idêntico para todos os agentes envolvidos com a tecnologia, tendo em vista que a atuação e liberdade de escolha desses atores será naturalmente distinta ao longo do ciclo de vida do sistema.
Não parece correta a ideia de avaliação de riscos no "vácuo", sobretudo ao considerarmos que o contexto de uso de um sistema de inteligência artificial pode deflagrar situação completamente divergente daquela pensada quando de seu desenvolvimento, desencadeando nova identificação de riscos com gradação própria e, portanto, obrigações de governança potencialmente distintas.
A referida reflexão é oportuna na medida em que a maior parte dos incisos do art. 19 do substitutivo, indicam por uma transparência e gestão de dados que perpassa pelo já exaustivamente citado complexo ciclo de vida de uma inteligência artificial, que por costume, terá cadeia de atores distintos. Em resumo, para boa parte das aplicações de sistemas, será o contexto e a finalidade de uso que ditarão o nível de risco atrelado, reforçando-se a máxima de "múltiplos atores, múltiplos usos e múltiplos riscos".
O presente raciocínio nos direciona para dúvida acerca da aplicabilidade das obrigações de prestação de contas presentes nos art. 20, 21 e 22, com relação aos operadores de sistemas de inteligência artificial. Em leitura sistemática do substitutivo (art. 13 c/c 20), apenas nas hipóteses de classificação do sistema de inteligência artificial em nível alto, cuja responsabilidade de aferição recai apenas ao fornecedor[1], é que as obrigações de governança seriam aplicáveis também aos operadores (que optassem por implementar aquele sistema em suas operações).
O art. 13, §1º, do substitutivo esclarece que "os fornecedores de sistemas de inteligência artificial de propósito geral incluirão em sua avaliação preliminar as finalidades ou aplicações indicadas". Essas listas, então, devem ser interpretadas como rol taxativo de finalidades apropriadas? Caso o operador opte por utilizar a IA para objetivo não descrito anteriormente, seria o caso de classificá-lo enquanto "fornecedor" e, ato contínuo, obrigá-lo a elaboração de nova "avaliação preliminar do risco"?
Sem falar nos deveres -- nem sempre tangíveis -- de transparências e explicabilidade, ainda em etapa de debates propedêuticos no mundo e tão pouco compreendidos em termos técnicos e práticos -- mas isso é um tema para outro artigo.
Esses são exemplos de dúvidas que interferem frontalmente na responsabilidade e alcance das medidas de governança propostas pelo substitutivo, de modo que a abertura para interpretações induz a falta de segurança jurídica e prejudica tanto o desenvolvimento seguro da inteligência artificial, quanto os indivíduos impactados por ela. Tendo em vista a fase crítica e derradeira da iniciativa legislativa, o momento é oportuno para se avaliar a cautela necessária na definição de obrigações quando o assunto é inteligência artificial, sob pena de ineficácia e descrédito da regulamentação.
[1] Ante a avaliação preliminar de riscos, conforme art. 13 do substitutivo.
*Christian Kratochwil é Certified Information Privacy Manager (CIPM), Certified Information Privacy Professional/Europe pela International Association of Privacy Professionals (IAPP) e encarregado pelo tratamento de dados pessoais da Oi S/A
*Daniel Becker é sócio do BBL Advogados, diretor de novas tecnologias no Centro Brasileiro de Mediação e Arbitragem (CBMA), membro das Comissões de Assuntos Legislativos e 5G da OAB-RJ, advogado de resolução de disputas com foco em litígios contratuais oriundos de setores regulados, professor convidado de diversas instituições, palestrante frequente e autor de diversos artigos publicados em livros e revistas nacionais e internacionais sobre os temas de arbitragem, processo civil, regulação e tecnologia, organizador dos livros O Advogado do Amanhã: Estudos em Homenagem ao professor Richard Susskind, O fim dos advogados? Estudos em Homenagem ao professor Richard Susskind, vol. II, Regulação 4.0, vol. I e II, Litigation 4.0 e Comentários à Lei Geral de Proteção de Dados, todos publicados pela Revista dos Tribunais
