No último dia 6 de dezembro, a Comissão de Juristas do Senado Federal, da qual tive a honra de fazer parte como membro, entregou ao Presidente da Casa, senador Rodrigo Pacheco, o anteprojeto do texto para regular a Inteligência Artificial no Brasil. Sob presidência do Ministro do STJ Ricardo Villas Bôas Cueva e relatoria da Professora Laura Schertel Mendes, o texto é fruto do intenso trabalho da Comissão ao longo dos últimos meses, contando com ampla participação de diversos setores da academia, mercado e sociedade civil por meio de audiências públicas e seminário internacional. O presente artigo não se revela, sob nenhuma circunstância, em manifestação de caráter institucional, nem pretende fazer uma defesa do texto apresentado. Seu único objetivo é fornecer alguns subsídios para o debate que continua agora que o anteprojeto foi entregue ao Senado Federal.

O texto, como dispõe seu artigo 1º, "estabelece normas gerais de caráter nacional para o desenvolvimento, implementação e uso responsável de sistemas de inteligência artificial (IA) no Brasil, com o objetivo de proteger os direitos fundamentais e garantir a implementação de sistemas seguros e confiáveis, em benefício da pessoa humana, do regime democrático e do desenvolvimento científico e tecnológico." Tem-se, assim, como grandes pilares a centralidade da pessoa humana e a preocupação com a concretização de direitos, ao mesmo tempo em que se busca estabelecer diretrizes mínimas para a governança em relação à utilização desta tecnologia que se espraia pelos mais diversos meios da vida social.

Ao longo da atuação da Comissão, um dos pontos mais discutidos foi, sem dúvidas, o da Responsabilidade Civil. A importância deste assunto se deve, sobretudo, ao fato de que o Projeto de Lei 21/2020, aprovado pela Câmara dos Deputados, previa a adoção preferencial do regime de responsabilidade de natureza subjetiva, o que atraiu forte onda de críticas por parte da doutrina especializada, tendo sido esta discordância uma das razões preponderantes para a própria instalação da Comissão de Juristas.

Especialistas ouvidos nas audiências públicas, como Anderson Schreiber, Caitlin Mulholland, Gisela Sampaio e Nelson Rosenvald, apontavam para os perigos de uma regulamentação descuidada do tema, sob pena de se acabar gerando verdadeira fratura no sistema de Responsabilidade Civil brasileiro. Ao mesmo tempo, representantes de inúmeros setores, especialmente daqueles ligados à indústria e ao mercado, se manifestaram na defesa da regulamentação da matéria, a fim de favorecer a segurança jurídica e permitir a criação de um ecossistema de governança mais adequado. Diante de opiniões tão radicalmente contrárias, a opção escolhida pela Comissão parece tender ao equilíbrio.

Com nítida inspiração nas recentes propostas de regulamentação do tema pela União Europeia, especialmente na Resolução de 20 de outubro de 2020 do Parlamento Europeu, o anteprojeto busca regular o tema a partir dos riscos gerados pelos diversos sistemas de Inteligência Artificial, evitando o perigo - e a tentação - de conferir resposta única para um problema multifacetado. Se muitos são os sistemas de IA e os riscos a eles associados, muitos devem ser os regimes de Responsabilidade Civil. Da mesma forma, para além deste aspecto objetivo, o anteprojeto faz um recorte subjetivo, diferenciando as soluções de acordo com os sujeitos envolvidos na causação do dano. Atenta-se, assim, para os critérios da tipologia, autonomia, riscos e sujeitos da IA, como já tivéramos a oportunidade de identificar como tendência mundial para o tema ainda no ano de 2019.¹

O recorte feito pela Comissão se estrutura, então, em dois aspectos centrais: sujeitos e tipos de IA, a depender do tipo de risco envolvido. Em relação aos sujeitos, o regime de responsabilidade proposto só seria aplicável aos chamados "agentes de IA" (art. 4º, inciso IV), que são, respectivamente, o "fornecedor de sistema de IA" (art. 4º, inciso II) e o "operador de sistema de IA" (art. 4º, inciso III).

No entanto, antes de analisar as figuras, necessário dar um passo atrás para compreender o que são sistemas de IA. Na definição do inciso I do art. 4º, sistema de inteligência artificial (IA) é todo "sistema computacional, com graus diferentes de autonomia, desenhado para inferir como atingir um dado conjunto de objetivos, utilizando abordagens baseadas em aprendizagem de máquina e/ou lógica e representação do conhecimento, por meio de dados de entrada provenientes de máquinas ou humanos, com o objetivo de produzir previsões, recomendações ou decisões, que possam influenciar o ambiente virtual ou real." O conceito - em atenção a críticas feitas por especialistas ao longo das audiências públicas - não se restringe às técnicas de aprendizado de máquina (machine learning), projetando-se, também, para outras técnicas de IA.

Em relação aos agentes, tem-se que o fornecedor de sistema de IA é toda "pessoa natural ou jurídica, de natureza pública ou privada, que desenvolva um sistema de IA, diretamente ou por encomenda, com vistas à sua colocação no mercado ou sua aplicação em serviço por ela fornecido, sob seu próprio nome ou marca, a título oneroso ou gratuito" (art. 4º, inciso II). Já o operador de sistema de IA é toda "pessoa natural ou jurídica, de natureza pública ou privada, que empregue ou utilize, em seu nome ou benefício, sistema de IA, salvo se o sistema de IA for utilizado no âmbito de uma atividade pessoal de caráter não profissional." No fundo, a figura dos fornecedores se confunde, em grande medida, com a dos desenvolvedores de tecnologias, seja para colocação no mercado, seja para utilização própria, ainda que a título gratuito. Por outro lado, os operadores são aqueles sujeitos que utilizem a tecnologia, desde que não o façam para fins de atividade pessoal de caráter não profissional.

Além disso, em seu artigo 29 - e na mesma direção do artigo 45 da LGPD -, o anteprojeto excluiu da incidência do regime criado pela lei as hipóteses de responsabilização civil decorrentes de danos causados por sistemas de IA no âmbito das relações de consumo, as quais "permanecem sujeitas às regras previstas no Código de Defesa do Consumidor, sem prejuízo da aplicação das demais normas desta Lei."

Como se pode perceber, o anteprojeto optou por uma regulação com âmbito de incidência mais restrito, eis que ficaram de fora, por exemplo, os usuários de IA de caráter não profissional, o Estado - cujo regime de responsabilidade tem sede constitucional -, bem como os fornecedores previstos pelo CDC, ainda que profissionais liberais. Exemplificativamente, o regime previsto no anteprojeto não é aplicável (i) ao proprietário de carro autônomo ou de robô doméstico que cause acidente em atividade não profissional; (ii) ao Estado quando utilize IA e venha a causar danos; (iii) ao hospital que realize cirurgia robótica com IA e cause dano estético ao paciente; e, enfim, (iv) ao médico, quando profissional liberal, que cause dano ao paciente após se valer de alguma ferramenta de IA. Tais situações continuarão sendo regidas pela legislação pertinente, cabendo à doutrina e à jurisprudência a definição dos regimes de responsabilidade aplicáveis a cada hipótese.

Por outro lado, o regramento proposto seria aplicável aos contextos de relações interempresariais, quando, por exemplo, uma empresa desenvolva um software de IA para outra e tal software venha a causar algum tipo de dano. Observe-se, contudo, que será preciso, ainda, verificar, no caso concreto, se existe ou não vulnerabilidade apta a atrair a aplicação da legislação consumerista. Há, contudo, situações que estão numa zona cinzenta. Veja-se, nessa direção, o caso do condomínio que utilize sistema de IA e cause dano a condômino. Por certo, não se trataria, em princípio, de relação de consumo, mas ainda haveria dúvidas em relação ao elemento "atividade pessoal de caráter não profissional" para se determinar se o condomínio se enquadraria como operador ou não.

Em relação ao recorte objetivo, isto é, os tipos de IA, o artigo 27 diferencia em seus parágrafos 1º e 2º o regime aplicável a depender se o sistema de IA é de alto risco e risco excessivo ou não. Como regra geral, o caput dispõe que: "o fornecedor ou operador de sistema de IA que cause dano patrimonial, moral, individual ou coletivo é obrigado a repará-lo integralmente, independentemente do grau de autonomia do sistema." A reparação integral evidenciada no dispositivo também consta do rol de princípios do anteprojeto, que em seu art. 3º, inciso X, elenca "prestação de contas, responsabilização e reparação integral de danos." Outrossim, a fim de se evitar a irresponsabilização em casos de delegação ou supervisão, o caput traz o aposto explicativo de que os agentes serão responsáveis não importando qual seja o grau de autonomia do sistema de IA.

Conforme o parágrafo 1º, "[q]uando se tratar de sistema de IA de alto risco ou de risco excessivo, o fornecedor ou operador respondem objetivamente pelos danos causados, na medida da participação de cada um no dano." E, de acordo com o parágrafo 2º, "[q]uando se tratar de IA que não seja de alto risco, a culpa do agente causador do dano será presumida, aplicando-se a inversão do ônus da prova em favor da vítima." Ou seja: para IAs de alto risco ou risco excessivo, a responsabilidade será objetiva e, em atenção ao nexo de causalidade, dependerá da participação de cada um na causação do evento lesivo, não havendo que se falar em solidariedade. Já em relação aos demais tipos de IA, o regime será de natureza subjetiva, com presunção de culpa e inversão do ônus da prova em favor da vítima.

O artigo 28 destaca, na sequência, que os agentes de IA não serão responsabilizados quando "I - comprovarem que não colocaram em circulação, empregaram ou tiraram proveito do sistema de IA;" e "II - comprovarem que o dano é decorrente de fato exclusivo da vítima ou de terceiro, assim como de caso fortuito externo." Destaca-se que as excludentes se aplicam para todos os tipos de sistemas de IA, independentemente do risco.

Resta, por derradeiro, explicar, resumidamente, as classificações de IA em risco excessivo e alto risco. Em linhas gerais, as IAs de risco excessivo são aquelas proibidas pela lei. No fundo, risco excessivo é o risco inaceitável (utilizando-se a terminologia europeia) e sua disciplina se concentra nos artigos 14 a 16. O artigo 14 traz em seu caput que "[s]ão vedadas a implementação e uso de sistemas de IA: I - que empreguem técnicas subliminares que tenham por objetivo ou por efeito induzir a pessoa natural a se comportar de forma prejudicial ou perigosa à sua saúde ou segurança ou contra os fundamentos deste lei; II - que explorem quaisquer vulnerabilidades de um grupo específico de pessoas naturais, tais como associadas à sua idade ou deficiência física ou mental, de modo a induzi-las a se comportar de forma prejudicial à sua saúde ou segurança ou contra os fundamentos desta lei; III - pelo poder público para avaliar, classificar ou ranquear as pessoas naturais, com base no seu comportamento social ou em atributos da sua personalidade, por meio de pontuação universal para o acesso a bens e serviços e políticas públicas, de forma ilegítima ou desproporcional." De nítida inspiração na proposta do AI Act europeu, ficaram de fora, de forma explícita, a proibição a armas letais autônomas e as restrições às deepfakes.

No artigo 15, buscou-se disciplinar a vigilância de massa, isto é, o chamado mass surveillance: "Art. 15. No âmbito de atividades de segurança pública, somente é permitido o uso de sistemas de identificação biométrica à distância de forma contínua em espaços acessíveis ao público, quando houver previsão em lei federal específica e autorização judicial em conexão com a atividade de persecução penal individualizada, nos seguintes casos: I -para persecução de crimes passíveis de pena máxima de reclusão superior a dois anos; II - busca de vítimas de crimes ou pessoas desaparecidas; III - crime em flagrante. Parágrafo único. A lei a que se refere o caput deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal e o controle judicial, bem como os princípios e direitos previstos nesta Lei, especialmente a garantia contra a discriminação e a necessidade de revisão da inferência algorítmica pelo agente público responsável antes da tomada de qualquer ação em face da pessoa identificada." Por fim, dispôs o artigo 16 que "[c]aberá à Autoridade Competente regulamentar os sistemas de IA de risco excessivo."

Em relação ao alto risco, a disciplina se resume aos artigos 17 e 18. O primeiro traz um rol taxativo: "Art. 17.  São considerados sistemas de IA de alto risco aqueles utilizados para as seguintes finalidades: I - aplicação como dispositivos de segurança na gestão e funcionamento de infraestruturas críticas, tais como controle de trânsito e redes de abastecimento de água e eletricidade; II - de educação e formação profissional, incluindo sistemas de determinação de acesso a instituições de ensino e formação profissional ou para avaliação e monitoramento de estudantes; III - de recrutamento, triagem, filtragem, avaliação de candidatos, tomada de decisões sobre promoções ou cessações de relações contratuais de trabalho, repartição de tarefas e controle e avaliação do desempenho e do comportamento das pessoas afetadas por tais aplicações de IA nas áreas de emprego, gestão de trabalhadores e acesso ao emprego por conta própria; IV - avaliação de critérios de acesso, elegibilidade, concessão, revisão, redução ou revogação de serviços privados e públicos que sejam considerados essenciais, incluindo sistemas utilizados para avaliar a elegibilidade de pessoas naturais quanto a prestações e serviços públicos de assistência e seguridade; V - avaliação da capacidade de endividamento das pessoas naturais ou estabelecer sua classificação de crédito; VI - envio ou estabelecimento de prioridades para serviços de resposta a emergências, incluindo bombeiros e assistência médica; VII - administração da justiça, incluindo sistemas que auxiliem autoridades judiciárias na investigação dos fatos e na aplicação da lei; VIII - veículos autônomos quando seu uso puder gerar riscos à integridade física de pessoas; IX - aplicações na área da saúde, inclusive as destinadas a auxiliar diagnósticos e procedimentos médicos; X - sistemas biométricos de identificação; XI - investigação criminal e segurança pública, em especial, para avaliações individuais de riscos pelas autoridades competentes, a fim de determinar o risco de uma pessoa cometer infrações ou de reincidir, ou o risco para potenciais vítimas de infrações penais ou para avaliar os traços de personalidade e as características ou o comportamento criminal passado de pessoas singulares ou grupos; XII - estudo analítico de crimes relativos a pessoas naturais, permitindo às autoridades policiais pesquisar grandes conjuntos de dados complexos, relacionados ou não relacionados, disponíveis em diferentes fontes de dados ou em diferentes formatos de dados, no intuito de identificar padrões desconhecidos ou descobrir relações escondidas nos dados; XIII - investigação por autoridades administrativas para avaliar a credibilidade dos elementos de prova no decurso da investigação ou repressão de infrações, para prever a ocorrência ou a recorrência de uma infração real ou potencial com base na definição de perfis de pessoas singulares; XIV - gestão da migração e controle de fronteiras."

Apesar de taxativo, o rol poderá ser atualizado pela Autoridade Competente, figura esta criada pelo anteprojeto e que deverá ser escolhida em momento posterior. Segundo o artigo 18: "[c]aberá à autoridade competente atualizar a lista dos sistemas de IA de risco excessivo ou de alto risco, identificando novas hipóteses, com base em pelo menos um dos seguintes critérios: a)  a implementação ser em larga escala, levando-se em consideração o número de pessoas afetadas e a extensão geográfica, bem como a sua duração e frequência; b) o sistema puder impactar negativamente o exercício de direitos e liberdades ou a utilização de um serviço; c) o sistema tiver alto potencial danoso de ordem material e moral, bem como discriminatório; d) o sistema afetar pessoas de um grupo específico vulnerável. e)  serem os possíveis resultados prejudiciais do sistema de IA irreversíveis ou de difícil reversão; f) um sistema de IA similar já ter causado danos materiais ou morais; ou g) baixo grau de transparência, explicabilidade e auditabilidade do sistema de IA, que dificulte o seu controle ou supervisão; h) alto nível de identificabilidade dos titulares dos dados, incluindo o tratamento de dados genéticos e biométricos para efeitos de identificação única de uma pessoa singular, especialmente quando o tratamento inclui combinação, correspondência ou comparação de dados de várias fontes; i) quando existirem expectativas razoáveis do afetado quanto ao uso de seus dados pessoais no sistema de IA, em especial a expectativa de confidencialidade, como no tratamento de dados sigilosos ou sensíveis. Parágrafo único. A atualização da lista pela autoridade competente deve ser precedida de consulta ao órgão regulador setorial competente, se houver, assim como de consulta e audiência públicas e de análise de impacto regulatório."

Outra norma de grande relevância está contida no artigo 41 do anteprojeto, que se insere na disciplina do ambiente regulatório experimental para inovação (sandbox regulatório) em IA. Segundo o dispositivo: "Os participantes no ambiente de testagem da regulamentação da IA continuam a ser responsáveis, nos termos da legislação aplicável em matéria de responsabilidade, por quaisquer danos infligidos a terceiros em resultado da experimentação que ocorre no ambiente de testagem." A regra, de inspiração imediata em disposição semelhante na Proposta do AI Act europeu tem por finalidade evitar a irresponsabilização por danos no âmbito das sandboxes. Dito diversamente: o fato de haver eventuais atenuações no rigor de normas regulatórias não implicaria a ausência de responsabilidade por danos eventualmente causados.

Em linhas finais, cumpre pontuar que o regime de Responsabilidade Civil proposto pelo anteprojeto tem âmbito de aplicação bastante limitado e manifesta clara tendência pela objetivação da responsabilidade, considerados os inegáveis riscos de danos causados pelos sistemas de Inteligência Artificial. Caberá ao Congresso Nacional, em aprofundamento dos trabalhos da Comissão, refletir de modo mais detido em relação a temas como securitização obrigatória e fundos compensatórios, que têm se revelado como tendência global na matéria. E, à doutrina, caberá aprofundar as discussões em relação à gestão de riscos - incluindo precaução e prevenção -, governança, boas práticas e medidas de accountability, à luz dos diversos dispositivos sugeridos pelo anteprojeto.

O texto traz, inequivocamente, importantes avanços não apenas em matéria de Responsabilidade Civil, como em outros temas centrais para o desenvolvimento da IA, com a inclusão da pessoa humana em seu epicentro. No entanto, não se trata de um trabalho pronto e acabado, mas de um pontapé inicial para o jogo que recomeça agora no campo do Congresso. E, aproveitando o clima de Copa e a inspiração "galvanesca": segue o jogo, amigo!

__________