Migalhas de IA e Proteção de Dados

PL 2338: lista de 10 breves sugestões para repensarmos

No texto, os autores fazem 10 sugestões para o aprimoramento do PL 2338/23 que pretende regular a IA no país.

20/10/2023

O Projeto de Lei 2338 de 2023, apresentado pelo Senador Rodrigo Pacheco como resultado dos trabalhos realizados pela Comissão de Juristas designada, possibilitou a consolidação da discussão sobre a possibilidade ou não regulamentação da inteligência artificial (IA) no Brasil. A justificação do mesmo documento aponta todo o seu relevante histórico e as personalidades que se dedicaram à nova proposta. Assim, o objetivo desta lista é realizar uma pequena contribuição por meio da indicação de 10 pontos do texto que podem ser revisitados antes do avanço da matéria. 

Preliminarmente, em razão da necessária transparência e apesar da relevância do assunto inteligência artificial, é preciso afirmar, conforme já exposto em outras ocasiões, que entendemos que o assunto regulamentação da IA ainda precisa de ser amadurecido e refletido por todos os envolvidos: cidadãos, empresas e Estado principalmente. A aparente urgência do tema não pode ser confundida com a sua importância tendo em vista o seu impacto em diversas áreas da sociedade. Se analisarmos os trabalhos já realizados e as questões ainda não respondidas em outros espaços como a União Europeia, veremos que o assunto ainda está longe de pacificação. Nessa linha, alguns dos apontamentos que serão descritos a seguir demonstram que essa leve “pressa” nos faz deixar passar alguns importantes detalhes. Em suma, o Direito deve regulamentar o consenso com base no bom senso. 

Nesse sentido, vejamos as 10 breves sugestões que elencamos com o propósito de contribuir para o aperfeiçoamento dessa proposta conforme convite à sociedade pelo mesmo Senador no final da sua justificação. Observamos, desde já, que, na maior parte, as recomendações objetivam simplificar o texto sem comprometer o seu foco principal. 

Em primeiro lugar, temos o parágrafo único do artigo 37, que indica a necessidade de publicação das “metodologias” referidas no caput do mesmo dispositivo. No caso, entendemos que não é possível identificar quais são ou seriam as “metodologias”, tendo em vista que o comando somente prevê a definição de regulamento com indicação dos respectivos “procedimentos de apuração e critérios para aplicação de sanções”. 

Dessa forma, entendemos que o comando contido no parágrafo único do artigo 37 é desnecessário, porque já é abarcado de maneira ampla no caput. No entanto, caso o relator prefira mantê-lo, poderia, pelo menos, substituir a expressão “as metodologias” por “o regulamento”, sendo que o ideal seria já definir o rito para evitar a insegurança jurídica. 

Em segundo lugar, no inciso I do parágrafo 2º do artigo 9º, temos o uso da expressão “dados inadequados ou abusivos”. Consideramos que os dados apenas retratam o mundo, por exemplo, número correspondente à quantidade de pessoas em uma cidade ou a lista de endereços postais de empregados de uma empresa, logo, o dado não pode ser “abusivo”, mas sim a sua interpretação e o seu uso, especialmente se a finalidade for distorcer o objetivo do legislador. 

Com isso, sugerimos que seja substituída a expressão “inadequados ou abusivos” apenas por “inadequados”, para indicar, por exemplo, a possibilidade de seleção incorreta dos dados utilizados pela inteligência artificial. 

Em terceiro lugar, temos o uso da expressão “contestabilidade” no inciso VIII do artigo 3º, para indicar um suposto princípio jurídico que deveria ser observado desde o desenvolvimento até a implementação e o uso de sistemas de IA. No entanto, salvo melhor juízo, trata-se de expressão não usual e redundante dentro do contexto do mesmo inciso, que já indica “devido processo legal” e “contraditório”. 

Ademais, observa-se que, em, pelo menos, outras 5 ocasiões é utilizada a expressão “direito de contestar”, sendo que, idealmente, entendemos que o melhor seria simplesmente “direito de recorrer”, por exemplo, da decisão automatizada baseada em IA que afetou um direito do cidadão, pois a decisão já foi publicada. 

Em quarto lugar, é preciso atentar para o conceito de “autoridade competente” delineado no texto do projeto de lei, que seria “órgão ou entidade da Administração Pública Federal”. Assim, a proposta ambiciona conferir caráter nacional, isto é, será aplicado para todos os entes da federação. Se o texto for mantido como está disposto, possivelmente feriria a autonomia federativa de Estados e Municípios. 

Com o objetivo de garantir sem qualquer dúvida ou risco a autonomia federativa, a nossa alternativa é a manutenção de uma entidade com autonomia em relação ao Poder Executivo Federal para evitar quaisquer riscos de ingerência pela União nos Estados e Municípios principalmente. 

Em quinto lugar, verificamos que o parágrafo único do artigo 5º se refere aos “direitos descritos no caput”, sendo que esses direitos não estão descritos no caput propriamente, mas sim nos incisos do mesmo dispositivo. 

Consequentemente, a melhor redação para o parágrafo único do artigo 5º seria indicar “exercício dos direitos descritos neste artigo” e não “no caput”. 

Em sexto lugar, é importante notar o caput do artigo 9º, que faz referência ao “direito de contestar e de solicitar a revisão de decisões”. Novamente, trata-se de expressão repetitiva e, portanto, desnecessária, porque bastaria dizer, por exemplo, “direito de recorrer”. 

Nesse passo, seria prudente revisar o texto do projeto de lei para buscar possíveis expressões que poderiam ser simplificadas para facilitar a sua leitura e eliminar a remota possibilidade de interpretação equivocada da norma. 

Em sétimo lugar, tendo em vista que o PL 2338 de 2023 busca o âmbito nacional, seria interessante harmonizar os prazos no que se refere, pelo menos, à esfera pública. Enquanto o parágrafo único do artigo 8º do aludido Projeto prevê o prazo de 15 dias (prorrogáveis por mais 15 dias) para o fornecimento das informações descritas no respectivo caput, os parágrafos 1º e 2º do artigo 11 da lei 12.527 de 2011 (Lei de Acesso à Informação - LAI - também com aplicação nacional), prevêem o prazo de até 20 dias (prorrogáveis por mais 10 dias) para que a Administração Pública forneça as informações requeridas. 

Além disso, embora o PL 2338/2023, caso aprovado, possa ser considerado, no que se refere ao prazo mencionado, uma norma especial quando comparado com a LAI, compreendemos que a arquitetura jurídica disponibilizada pela Lei de Acesso à Informação é mais interessante tanto para quem solicita a informação quanto para o órgão público que a provê em razão do seu detalhamento, por exemplo, sobre os destinatários e os procedimentos e, especialmente, pela vedação expressa de “exigências que inviabilizem a solicitação”. 

Por exemplo, enquanto a LAI determina no § 3º do artigo 10º que “são vedadas quaisquer exigências relativas aos motivos determinantes da solicitação de informações de interesse público”, o PL 2338/2023 estabelece que somente o requerente que se qualificar como “pessoa afetada” por sistema de IA poderá solicitar as informações listadas no seu artigo 8º como “dados processados e a sua fonte”. 

No caso, quando o pedido abranger informações públicas (leia-se, referentes ao interesse legítimo da sociedade), acreditamos que o mais adequado seria facilitar o acesso à sociedade e não limitar à pessoa que, aparentemente, precisará comprovar que foi “afetada” por sistema de IA. Assim, embora o seu intuito seja colaborar, na prática, essa qualificação prevista no caput do artigo 8º do PL 2338/2023 destoa do princípio da transparência pública, porque poderá servir como fundamento para impedir possíveis pesquisas cujo foco seja, por exemplo, comparar justamente a “racionalidade e a lógica do sistema” para casos semelhantes. 

Em oitavo lugar, identificamos no parágrafo 2º do artigo 9º o uso das expressões “métodos imprecisos ou estatisticamente não confiáveis”, que são inexatos quanto ao seu significado e, com isso, surgem questionamentos, como, por exemplo, quem é competente para confirmar ou não a confiabilidade do método? A redação que garante a segurança jurídica deve preferir o uso de termos que não gerem dúvidas e, com isso, deleguem a sua solução ao Poder Judiciário em último caso. 

Destarte, caso o legislador entenda que há, realmente, a possibilidade de serem utilizados métodos imprecisos ou estatisticamente não confiáveis, a melhor opção seria inverter o raciocínio aplicado na redação do comando: o legislador deveria especificar quais são os métodos que considera “precisos” ou estatisticamente “confiáveis” a respeito da aplicação da IA. 

Em nono lugar, é preciso atentar para o disposto no §1º do artigo 9º que prevê o “direito de correção de dados incompletos, inexatos ou desatualizados utilizados por sistemas de inteligência artificial”. Considerando que o objetivo do PL 2338/2023 é possuir abrangência nacional tanto sobre a esfera pública quanto privada, esse dispositivo impõe obrigação demasiadamente abrangente e sem parâmetros para os seus destinatários.

 Por exemplo, a partir de quando os dados poderiam ser considerados desatualizados para possibilitar o “direito de correção”? O que seriam dados “inexatos”? Além disso, considerando que os “dados” são registros extraídos diretamente do mundo real ou virtual, e, portanto, íntegros em sua essência, como podemos compreender o que seriam “dados incompletos”? A única hipótese que conseguimos considerar é o “banco de dados” estar incompleto e, por isso, gerar distorções quando enviado para a IA. Neste caso, o melhor seria ajustar a expressão para “bancos de dados incompletos”, retirando, inclusive, os termos “inexatos” e “desatualizados”, salvo se estas duas expressões estiverem previstas nos “termos e condições de uso” da aplicação e acompanhadas dos respectivos parâmetros. 

Por fim, também no que se refere ao mesmo §1º do artigo 9º, é preciso atentar para eventual conflito com as normas pertinentes ao habeas data, especialmente o disposto nas alíneas “a” e “b” do inciso LXXII da Constituição Federal e Lei 9.507 de 1997. Nesse sentido, é importante recordar uma passagem das razões do veto relacionado aos artigos 1º, 3º e 5º desta Lei sobre Habeas Data: 

“Os preceitos desbordam sensivelmente a configuração constitucional do habeas data, impondo obrigações aos entes governamentais ou de caráter público sem qualquer respaldo na Carta Constitucional. A definição do habeas data é precisa, não permitindo a conformação pretendida nestes dispositivos.

Não é estabelecida, ademais, qualquer sorte de ressalva às hipóteses em que o sigilo afigura-se imprescindível à segurança do Estado e da sociedade, conforme determina a própria Constituição (art. 5º, XXXIII).” (grifo nosso). 

Nesse sentido, poder-se-ia considerar a hipótese em que o PL 2338/2023 seria um meio para evitar a legislação concernente ao habeas data quando a solicitação de informação, atualização ou correção envolver dados pessoais utilizados pelo Poder Público em sistemas de IA. No entanto, tendo em vista o status constitucional da matéria, seria prudente que o Projeto de Lei fosse revisitado integralmente sob esta perspectiva. 

Em décimo lugar, é importante atentar para as obrigações criadas para os Municípios conforme o artigo 21 do Projeto de Lei, pois, o mero ato de “utilizar sistemas de inteligência artificial considerados de alto risco” implicará na necessidade de adoção de medidas que podem fugir à capacidade de implementação pelos mesmos, por exemplo, recursos humanos treinados em IA. 

Como exemplos, pensemos em escolas municipais para crianças que utilizem sistemas de IA para treinar seus alunos e professores ou em unidades básicas de saúde cujos sistemas de IA permitam a melhor distribuição de remédios e otimização dos atendimentos. Caso se trate de pequenos entes que tenham, provavelmente, recebido gratuitamente esses acessos aos sistemas (ou cópias dele) do respectivo Estado ou da União para serem implementados, haverá grande dificuldade de responder os questionamentos pertinentes tendo em vista a complexidade da sua operacionalização. 

Como exemplo, temos a nossa experiência prática na Controladoria Geral do Governo do Estado de São Paulo durante a implementação da Lei de Acesso à Informação entre os anos 2011 e 2014, sendo que muitos Municípios não tinham (e, provavelmente, não têm até hoje) como desenvolver os próprios portais de transparência e, por isso, dependeram da disponibilização pelo Poder Executivo Estadual do respectivo código-fonte. Na própria LAI temos o reflexo disso no seu parágrafo 4º do artigo 8º, que, com exceção dos assuntos pertinentes à Lei de Responsabilidade Fiscal, dispensa os Municípios com população de até 10.000 habitantes da publicação obrigatória na Internet “de informações de interesse coletivo ou geral por eles produzidas ou custodiadas” (caput do artigo 8º da LAI). Assim, se, desde o ano de 2011, permanece essa dispensa geral da prestação de informações, como demandar que os mesmos entes (mais de 2.000 Municípios conforme imagem abaixo) tenham que prestar informações sobre IA aplicada em diferentes áreas?

Figura 1: Imagem extraída do Censo 2022 do IBGE, que indica que a quase metade dos municípios brasileiros possuem 10 mil habitantes ou menos.(Imagem: Reprodução/IBGE)

Registre-se que as situações aqui descritas não podem servir como desculpa isoladamente para não discutirmos a regulação da IA, mas sim como pretexto para identificarmos outros meios para resolver esse impasse e ponderarmos se, de fato, estamos preparados para disciplinar este assunto. Devemos aproveitar as oportunidades sem nos perdemos nas dificuldades inerentes à tecnologia. 

Em suma, a breve lista com 10 pontos é exemplificativa. É preciso amadurecer a discussão a respeito  da necessidade  da regulação da IA. Quem serão os seus beneficiários? O que é melhor: possibilitar que cada setor busque a sua regulamentação específica ou forçar todos a se adaptar às novas regras independentemente das suas particularidades? São perguntas difíceis e estamos apenas no começo. Vamos dialogar mais sobre IA.

Veja mais no portal
cadastre-se, comente, saiba mais

Coordenação

Cintia Rosa Pereira de Lima, professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira, professora doutora da Faculdade de Direito de Ribeirão Preto – Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP – CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Evandro Eduardo Seron Ruiz, professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca, professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.