Resumo da PL 2.338/23, que dispõe sobre o uso da inteligência artificial no Brasil

O projeto apresentado pelo Senador Rodrigo Pacheco visa regulamentar a inteligência artificial (IA) no Brasil. Ele reconhece a importância da IA no cenário econômico e social, aborda a proteção de direitos individuais, promove a inovação tecnológica e equilibra a regulamentação da IA. O projeto estabelece direitos para pessoas afetadas pela IA, governança transparente e medidas contra vieses. Também trata da responsabilidade civil, considerando o grau de risco do sistema. Inclui proteção contra discriminação e grupos vulneráveis, uma autoridade de fiscalização e sanções administrativas. Além disso, aborda direitos autorais e propriedade intelectual relacionados ao uso de dados para IA.

====

Artigo 1º Esta Lei estabelece normas gerais de caráter nacional para o desenvolvimento, implementação e uso responsável de sistemas de inteligência artificial (IA) no Brasil, com o objetivo de proteger os direitos fundamentais e garantir a implementação de sistemas seguros e confiáveis, em benefício da pessoa humana, do regime democrático e do desenvolvimento científico e tecnológico.

====

Resumo da PL 2.338/23

O Artigo 2º estabelece os fundamentos para o uso de inteligência artificial no Brasil, incluindo o respeito aos direitos humanos, desenvolvimento sustentável, igualdade, privacidade e inovação.

O Artigo 3º define princípios a serem seguidos na implementação da inteligência artificial, como inclusão, não discriminação, transparência e prestação de contas.

O artigo 4º desta Lei define termos-chave para a regulamentação de sistemas de inteligência artificial no Brasil, incluindo: Sistema de inteligência artificial: Sistema computacional que usa aprendizado de máquina e lógica para produzir previsões, recomendações ou decisões com base em dados de entrada de máquinas ou humanos; Operador de sistema de inteligência artificial: Pessoa ou entidade que utiliza sistemas de IA, exceto para uso pessoal não profissional; Agentes de inteligência artificial: Inclui fornecedores e operadores de sistemas de IA; Autoridade competente.

O Artigo 5º estabelece os direitos das pessoas afetadas por sistemas de inteligência artificial, incluindo o direito à informação prévia, explicação das decisões, contestação de decisões, participação humana, não discriminação, correção de vieses discriminatórios e privacidade. Os agentes de IA devem fornecer informações claras sobre como exercer esses direitos.

O Artigo 6º estabelece que os direitos e interesses previstos nesta Lei podem ser defendidos perante órgãos administrativos e em tribunal, tanto individualmente quanto de forma coletiva, de acordo com a legislação aplicável, especialmente em relação aos direitos relacionados à informação e compreensão das decisões tomadas por sistemas de inteligência artificial.

O Artigo 7º estabelece que as pessoas afetadas por sistemas de inteligência artificial têm o direito de receber informações claras antes de usar o sistema. Isso inclui informações sobre o caráter automatizado do sistema, sua descrição geral, identificação dos operadores do sistema, o papel dos sistemas e dos humanos envolvidos, categorias de dados pessoais usados, medidas de segurança e outras informações definidas em regulamento.

O Artigo 8º estabelece que a pessoa afetada por um sistema de inteligência artificial pode solicitar uma explicação sobre uma decisão, previsão ou recomendação específica. As informações devem ser fornecidas gratuitamente em linguagem compreensível dentro de 15 dias, com uma prorrogação possível por igual período, dependendo da complexidade do caso.

O Artigo 9º garante à pessoa afetada por um sistema de inteligência artificial o direito de contestar e solicitar a revisão de decisões, recomendações ou previsões que tenham efeitos legais significativos ou impactem seus interesses de forma significativa. Isso inclui o direito de corrigir dados incompletos, imprecisos ou desatualizados usados pelos sistemas de IA e o direito de solicitar a anonimização, bloqueio ou eliminação de dados em conformidade com a legislação de proteção de dados.

O Artigo 10 estabelece que quando as decisões, previsões ou recomendações de sistemas de inteligência artificial tiverem efeitos legais significativos ou impactarem significativamente os interesses de uma pessoa, essa pessoa tem o direito de solicitar a intervenção ou revisão humana.Parte superior do formulário

O Artigo 11 estabelece que em situações em que as decisões, previsões ou recomendações de sistemas de inteligência artificial tenham consequências irreversíveis, difícil reversão ou envolvam riscos à vida ou à integridade física de pessoas, o processo de tomada de decisão deve envolver significativamente o elemento humano e a decisão final deve ser tomada por uma pessoa. Isso visa garantir uma maior segurança e responsabilidade em situações críticas.

O Artigo 12 assegura que as pessoas afetadas por decisões de sistemas de inteligência artificial têm o direito a um tratamento justo e igualitário. É proibido o uso de sistemas de inteligência artificial que possam causar discriminação direta ou indireta com base em características pessoais como raça, gênero, orientação sexual, entre outras.

O Artigo 13 estabelece que os fornecedores de sistemas de inteligência artificial devem realizar uma avaliação preliminar para classificar o grau de risco do sistema antes de colocá-lo no mercado. Isso inclui considerar as finalidades ou aplicações específicas do sistema. Se um sistema for classificado como de alto risco, a avaliação de impacto algorítmico e outras medidas de governança se tornam obrigatórias, e penalidades podem ser aplicadas se a avaliação preliminar for fraudulenta ou incompleta.

O Artigo 14 proíbe o uso de sistemas de inteligência artificial que tenham como objetivo ou efeito induzir comportamentos prejudiciais à saúde ou segurança das pessoas, explorar vulnerabilidades específicas de grupos, ou classificar e pontuar pessoas de forma ilegítima ou desproporcional pelo poder público.

O Artigo 15 estabelece que o uso de sistemas de identificação biométrica à distância em espaços públicos para segurança pública só é permitido com autorização por lei federal específica, autorização judicial em casos individuais, e deve respeitar princípios como o devido processo legal, controle judicial, garantia contra discriminação e revisão das decisões algorítmicas antes de qualquer ação ser tomada.

O Artigo 16 atribui à autoridade competente a regulamentação dos sistemas de inteligência artificial de alto risco.

O Artigo 17 define os sistemas de inteligência artificial de alto risco como aqueles utilizados em várias áreas, incluindo segurança de infraestruturas críticas, educação, recrutamento, avaliação de candidatos, serviços públicos essenciais, avaliação de crédito, resposta a emergências, administração da justiça, veículos autônomos, saúde, sistemas biométricos, investigação criminal, estudos analíticos de crimes e gestão de migração e controle de fronteiras.  

O Artigo 18 estabelece que a autoridade competente deve atualizar a lista de sistemas de inteligência artificial de alto risco ou de risco excessivo com base em critérios como a escala de implementação, o potencial de impacto negativo nos direitos e liberdades, o dano potencial, a vulnerabilidade de grupos específicos, irreversibilidade de resultados prejudiciais, histórico de danos anteriores, falta de transparência e identificabilidade dos titulares de dados, expectativas razoáveis dos afetados quanto ao uso de seus dados pessoais e outros fatores.  

O Artigo 19 estabelece que os agentes de inteligência artificial devem criar estruturas internas de governança para garantir a segurança dos sistemas e o cumprimento dos direitos das pessoas afetadas. Isso inclui medidas de transparência na interação com pessoas, divulgação de informações sobre as medidas de governança adotadas, gestão adequada de dados para prevenir discriminação, tratamento legítimo de dados pessoais, organização adequada dos dados para treinamento e testes, e medidas de segurança da informação ao longo do ciclo de vida do sistema. Essas medidas se aplicam desde a concepção do sistema até o seu encerramento.

O Artigo 20 estabelece que os agentes de inteligência artificial que fornecem ou operam sistemas de alto risco devem adotar medidas de governança adicionais. Isso inclui a documentação do funcionamento do sistema ao longo de seu ciclo de vida, o uso de ferramentas de registro automático para avaliar a acurácia e a mitigação de riscos, a realização de testes para avaliar a confiabilidade, a gestão de dados para prevenir vieses discriminatórios, a busca por diversidade na equipe de desenvolvimento, a garantia da explicabilidade dos resultados e a supervisão humana para prevenir riscos aos direitos das pessoas.

O Artigo 21 estabelece medidas adicionais para órgãos e entidades do poder público que contratam, desenvolvem ou utilizam sistemas de inteligência artificial considerados de alto risco. Essas medidas incluem a realização de consulta e audiência públicas prévias, a definição de protocolos de acesso e utilização, a utilização de dados confiáveis e testados contra vieses discriminatórios, a garantia de direito à explicação e revisão humanas das decisões do sistema, a disponibilização de interfaces de programação para interoperabilidade e a publicização das avaliações preliminares dos sistemas de inteligência artificial desenvolvidos, implementados ou utilizados pelo poder público. Se não for possível eliminar ou mitigar os riscos identificados na avaliação de impacto algorítmico, a utilização do sistema será descontinuada.

O Artigo 22 estabelece que a avaliação de impacto algorítmico de sistemas de inteligência artificial é obrigatória para sistemas considerados de alto risco pela avaliação preliminar, e a autoridade competente deve ser notificada sobre o sistema de alto risco por meio do compartilhamento das avaliações preliminar e de impacto algorítmico.

O Artigo 23 determina que a avaliação de impacto algorítmico deve ser realizada por profissionais com conhecimentos técnicos, científicos e jurídicos adequados e com independência funcional. A regulamentação pode estabelecer casos em que a avaliação deve ser conduzida por profissionais externos ao fornecedor.

O Artigo 24 descreve as etapas da metodologia da avaliação de impacto, incluindo preparação, cognição do risco, mitigação dos riscos encontrados e monitoramento. A avaliação deve considerar riscos conhecidos e previsíveis, benefícios, probabilidade de consequências adversas, gravidade das consequências, lógica de funcionamento do sistema, resultados de testes e avaliações, treinamento, medidas de mitigação e transparência ao público. Os agentes de inteligência artificial devem comunicar imediatamente às autoridades e às pessoas afetadas sobre riscos inesperados após a introdução do sistema no mercado ou serviço.

O Artigo 25 estabelece que a avaliação de impacto algorítmico é um processo contínuo e iterativo que deve ser realizado ao longo de todo o ciclo de vida dos sistemas de inteligência artificial de alto risco, com atualizações periódicas. A autoridade competente regulamentará a periodicidade de atualização, e a atualização contará com a participação pública.

O Artigo 26 determina que as conclusões da avaliação de impacto serão públicas, preservando segredos industriais e comerciais. As informações incluídas nas conclusões devem descrever a finalidade do sistema, medidas de mitigação de riscos e a participação de diferentes segmentos afetados, se houver.

O Artigo 27 estabelece que os fornecedores ou operadores de sistemas de inteligência artificial que causem danos patrimoniais, morais, individuais ou coletivos devem repará-los integralmente. Em sistemas de alto risco, a responsabilidade é objetiva, e em outros casos, a culpa do agente causador do dano é presumida, aplicando-se a inversão do ônus da prova em favor da vítima.

O Artigo 28 especifica as situações em que os agentes de inteligência artificial não serão responsabilizados, incluindo quando não colocaram o sistema em circulação, ou quando o dano resulta de fato exclusivo da vítima, de terceiro ou de caso fortuito externo.

O Artigo 29 estabelece que as hipóteses de responsabilização civil por danos causados por sistemas de inteligência artificial nas relações de consumo continuam sujeitas às regras do Código de Defesa do Consumidor, além das normas desta Lei.

O Artigo 30 permite que os agentes de inteligência artificial criem códigos de boas práticas e governança para regulamentar o funcionamento dos sistemas. Eles também podem implementar programas de governança que se adaptem às operações e demonstrem compromisso com normas éticas e de segurança. A adesão voluntária a esses códigos pode indicar boa-fé e influenciar sanções administrativas. A autoridade competente pode aprovar, divulgar e atualizar esses códigos.

O Artigo 31 obriga os agentes de inteligência artificial a relatar à autoridade competente incidentes graves de segurança, incluindo aqueles que ameaçam vidas, interrompem operações críticas, causam danos significativos ou violam direitos fundamentais. A autoridade avaliará a gravidade e pode exigir medidas corretivas.

O Artigo 32 designa uma autoridade competente para implementar e fiscalizar a Lei, com responsabilidades que incluem proteger direitos fundamentais, promover a Estratégia Brasileira de Inteligência Artificial, elaborar estudos e incentivar boas práticas, além de expedir regulamentações. A autoridade também fiscalizará, aplicará sanções e elaborará relatórios anuais sobre suas atividades. A Lei ainda prevê que a autoridade poderá estabelecer condições diferenciadas para micro e pequenas empresas, bem como startups.

O Artigo 33 especifica que a autoridade competente será o órgão central para aplicação da Lei e para estabelecer normas e diretrizes para sua implementação.

O Artigo 34 estabelece que a autoridade competente e os órgãos públicos responsáveis pela regulação de setores específicos devem coordenar suas atividades para garantir o cumprimento da Lei. Eles manterão comunicação constante e poderão cooperar tecnicamente para cumprir suas respectivas funções regulatórias, de fiscalização e de imposição de sanções. Também, em ambientes regulatórios experimentais (sandbox regulatório) relacionados à inteligência artificial, a autoridade competente será informada e poderá se pronunciar sobre o cumprimento da Lei.

O Artigo 35 estipula que os regulamentos e normas elaborados pela autoridade competente devem passar por consulta e audiência públicas, bem como análises de impacto regulatório, quando aplicável, seguindo os procedimentos previstos em legislações pertinentes. Em seguida, o texto aborda as sanções administrativas, que serão detalhadas na próxima seção.

O Artigo 36 estabelece sanções administrativas para agentes de inteligência artificial em caso de infrações à Lei, que incluem advertência, multa, publicização da infração, proibição ou restrição de participação em sandbox regulatório, suspensão do sistema e proibição de tratamento de bases de dados. Essas sanções consideram diversos critérios, como gravidade da infração, boa-fé, vantagem obtida, condição econômica, entre outros. As sanções não substituem sanções civis ou penais e, no caso de sistemas de alto risco, incluem multa e suspensão de atividades para pessoas jurídicas. Além disso, a obrigação de reparar integralmente o dano causado não é excluída.

O Artigo 37 determina que a autoridade competente definirá procedimentos e critérios para aplicar as sanções administrativas desta Lei, por meio de um regulamento próprio, que será submetido a consulta pública. Esse regulamento detalhará as formas e medidas das sanções, com base nos critérios estabelecidos na Lei.

O Artigo 38 permite que a autoridade competente autorize a criação de ambientes regulatórios experimentais (sandbox regulatório) para inovação em inteligência artificial, desde que as entidades cumpram os requisitos estipulados pela Lei e regulamentos.

O Artigo 39 estabelece que as solicitações para participar de sandboxes regulatórios devem incluir projetos que abordem inovação no uso da tecnologia, melhorias em eficiência, segurança, benefícios para a sociedade e consumidores, além de um plano de descontinuidade para garantir a continuidade do projeto após o período de autorização do sandbox regulatório.

O Artigo 40 estabelece que a autoridade competente irá criar regulamentações para os procedimentos de solicitação e autorização de sandboxes regulatórios, com consideração à preservação de direitos fundamentais, direitos dos consumidores e segurança de dados pessoais.

O Artigo 41 afirma que os participantes em testes de inteligência artificial permanecem responsáveis, conforme a legislação de responsabilidade, por quaisquer danos causados a terceiros durante os experimentos.

O Artigo 42 define que a utilização automatizada de obras em sistemas de inteligência artificial, como mineração de dados, não infringe direitos autorais, desde que sejam cumpridas condições específicas, como a não prejudicação injustificada dos interesses econômicos dos titulares das obras.

O Artigo 43 atribui à autoridade competente a responsabilidade de criar e manter uma base de dados pública de inteligência artificial de alto risco, acessível ao público, contendo avaliações de impacto, com respeito a segredos comerciais e industriais.

____________

https://www25.senado.leg.br/web/atividade/materias/-/materia/157233