A regulamentação da IA nos EUA e no Reino Unido
O que tem passado despercebido nos debates sobre o tema no Brasil
Por André Zanatta Fernandes de Castro, Fernanda Mascarenhas Marques, Bernardo Fernandes Kauffman
Artigo originalmente publicado no site JOTA
Se, por um lado, a IA tem sido o tema dominante nos últimos meses, por outro, as discussões sobre o assunto estão centradas nos desdobramentos da aprovação do AI Act na União Europeia. Entretanto, enquanto as atenções do mundo se voltam para a iniciativa regulatória do bloco econômico, outras abordagens igualmente relevantes têm sido desenvolvidas, como aquelas promovidas pelos Estados Unidos e pelo Reino Unido.
No que tange aos Estados Unidos, em 2022, a Casa Branca divulgou sua Blueprint for an AI Bill of Rights, um white paper, não vinculante, que busca auxiliar a criação de políticas e práticas que promovam direitos civis e valores democráticos no desenvolvimento e governança de sistemas autônomos. Entretanto, foi com a Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence (EO), assinada pelo presidente Biden em outubro de 2023, que o tema ganhou ainda mais tração. No Reino Unido, a abordagem britânica está consubstanciada no policy paper “A pro-innovation approach to AI regulation”, apresentado pela Secretaria de Estado de Ciência, Inovação e Tecnologia (SECIT) em março de 2023.
Apesar das diferenças entre as abordagens estadunidense e britânica, há um objetivo comum de alcançar o protagonismo global e uma percepção similar quanto à potencialidade da IA de gerar benefícios sociais. Essa mentalidade acaba contrastando com o AI Act, que apresenta, de antemão, uma legislação geral, extensa e de maior rigor; notadamente, a listagem de atividades proibidas e um arranjo sancionatório específico em caso de descumprimento de suas disposições.
Assim, enquanto o AI Act impõe aos agentes que desenvolvem e operam sistemas de IA, obrigações que variam conforme o grau de risco, a EO não prevê obrigações, limitações ou responsabilidades para os desenvolvedores de IA, mas atribui deveres às agências e secretarias do governo federal dos EUA relacionados à elaboração de estudos, relatórios, guias e diretrizes sobre IA, para que possam pautar as políticas direcionadas à IA, sobretudo em relação às ameaças à segurança nacional.
Já o policy paper britânico opta por um modelo regulatório eminentemente principiológico, deixando a cargo dos reguladores setoriais a sua aplicação à luz das leis e regulamentos existentes. Ao investir no ecossistema setorial, buscando que os reguladores estejam preparados para enfrentar os desafios e oportunidades que a IA pode trazer, inova ao prever o estabelecimento de uma “Função Central”, inserida na estrutura da SECIT, responsável por monitorar e avaliar riscos transversais e promover a coordenação e clareza na atuação dos reguladores.
Com a devida cautela que se deve ter ao se observar iniciativas de países diferentes, é possível apontar aspectos positivos das abordagens regulatórias ora analisadas, como suas condutas cuidadosas quanto à regulamentação célere, geral, extensiva ou demasiadamente proibitiva, bem como o incentivo ao fortalecimento da capacidade de reguladores existentes incorporarem os desafios e oportunidades da IA. A ação governamental também tem sido direcionada por meio de consultas à sociedade ou por meio de políticas baseadas em estudos e relatórios para entender as consequências e as melhores práticas de desenvolvimento e uso de IA para determinado setor ou atividade.
No policy paper, o governo britânico reconhece que uma apressada regulamentação do tema pode, no futuro, se revelar obsoleta, excessiva e de difícil correção de rota e adaptação. Por essa razão, a abordagem britânica reconheceu que a opção pela aprovação de uma legislação tão detalhada e proibitiva poderia atravancar o processo inovativo nacional, privilegiando uma atuação a partir de princípios aplicáveis transversalmente a variados setores.
O próprio projeto de lei “Artificial Intelligence (Regulation) Bill”, apresentado em novembro de 2023 perante a Câmara dos Lordes, mesmo que contemple uma abordagem distinta da defendida pelo governo do Reino Unido até o momento, propõe a criação de um novo órgão, a “Autoridade de IA”, cujas funções envolvem garantir que os reguladores relevantes levem em consideração a IA, assegurem a harmonização de abordagens entre os reguladores no tema e realizem uma análise de lacunas das responsabilidades regulatórias em relação à IA.
Quanto à construção de sandboxes regulatórios, a proposta legislativa estabelece que a Autoridade deve colaborar com os reguladores relevantes, sendo certo que a presença de um ou mais reguladores se faz necessária para que o sandbox possa ocorrer. A Autoridade exerceria ainda um papel consultivo junto à Secretaria de Estado, tanto em relação à regulamentação da atividade do encarregado de IA – que seria o responsável, dentro de uma organização que desenvolve, distribui ou utiliza IA, por assegurar seu uso seguro, ético, não enviesado e não discriminatório – quanto no estabelecimento de obrigações para os indivíduos e organizações envolvidos na cadeia produtiva de IA.
Em contrapartida, destaca-se que o policy paper do governo britânico surtiu efeitos sobre os órgãos reguladores. Em recente publicação, a SECIT informou que a Autoridade de Concorrência e Mercado (CMA) conduziu revisão sobre modelos fundacionais, enquanto a Autoridade de Proteção de Dados (ICO) atualizou suas orientações sobre proteção de dados e IA. Ao mesmo tempo, 10 milhões de libras esterlinas serão destinadas à capacitação dos reguladores, para que desenvolvam pesquisas de ponta e ferramentas práticas que lhes permitam construir sua expertise em IA e capacidade de endereçar riscos dentro de seus campos de atuação.
Já em relação aos frutos do cumprimento dos comandos da EO, o Departamento de Tesouro dos EUA divulgou, em março de 2024, seu relatório sobre “Gerenciamento de riscos de inteligência artificial específicos de cibersegurança no setor de serviços financeiros”. O relatório foi elaborado após cuidadosas entrevistas conduzidas junto a dezenas de empresas dos setores de serviços financeiros e de tecnologia, bem como de agências reguladoras, oportunidade na qual agentes econômicos de diferentes portes apresentaram as formas como vêm utilizando a IA em suas organizações. Por meio do relatório, o Departamento de Tesouro apresentou um amplo panorama sobre como a IA tem sido atualmente utilizada para fins de cibersegurança e prevenção à fraude, além das melhores práticas e recomendações relacionadas à adoção e uso de IA.
Por fim, em relação à abordagem legislativa estadunidense, com relação aos projetos de lei ainda em tramitação, tanto a IAPP quanto a Husch Blackwell têm compilado os principais andamentos sobre o tema. Acerca das leis já aprovadas, tem-se: Illinois AI Video Interview Act (aplicável aos empregadores que utilizam IA para analisar entrevistas de emprego gravadas em vídeo), New York Local Law 144 (que versa sobre ferramentas automatizadas de tomada de decisão para avaliar candidatos ou empregados para vagas de emprego ou promoção) e Maryland HB1202 (relacionada a regras para o uso de reconhecimento facial em entrevistas de emprego).
Todo esse panorama deixa ao Brasil uma mensagem: há alternativas ao regime do AI Act que podem funcionar melhor para a realidade brasileira. Os países estão em corrida para ver quem irá liderar o mercado de IA e governos estão se estruturando de modo a alavancar suas economias a partir de um desenvolvimento pró inovação, confiável e responsável.
Dentre as abordagens, destacamos justamente aquelas que buscam aproveitar – de modo coordenado e cooperativo – a estrutura institucional e regulatória vigente e capacitar reguladores para lidar com as dificuldades e oportunidades que surgem do desenvolvimento e implementação da IA em seus respectivos setores. De forma cautelosa, é possível adotar uma abordagem também principiológica para que, no futuro, possa haver legislação que surja das evidências e riscos especificamente identificados e não sanados pelo ordenamento jurídico vigente.
ANDRÉ ZANATTA FERNANDES DE CASTRO – Sócio e responsável pelas áreas de Privacidade, Proteção de Dados e Inteligência Artificial do escritório Barroso Fontelles, Barcellos, Mendonça – BFBM Advogados. Trabalhou no departamento jurídico do Google, em São Paulo e em Londres, no escritório TozziniFreire Advogados em São Paulo e no escritório White & Case LLP em Nova York. Mestre em Direito (LLM.) pela Universidade de Chicago e bacharel em Direito pela PUC-SP. Professor no Insper
FERNANDA MASCARENHAS MARQUES – Coordenadora da área de Privacidade, Proteção de Dados e Inteligência Artificial do escritório Barroso Fontelles, Barcellos, Mendonça – BFBM Advogados. Formada pela PUC-SP com intercâmbio para a Universidade de Coimbra, mestre pela FGV São Paulo, pós-graduada em Processo Civil pelo Instituto de Direito Público
BERNARDO FERNANDES KAUFFMAN – Advogado associado das áreas de Privacidade, Proteção de Dados e Inteligência Artificial do escritório Barroso Fontelles, Barcellos, Mendonça – BFBM Advogados. Formado pela FGV Direito Rio, possui LLM. em Direito, Inovação e Tecnologia pela FGV Direito Rio. Certificado em Privacidade e Proteção de Dados pelo Data Privacy Brasil