Entendendo o Novo Marco Regulatório da IA
Aprovado pelo Senado Federal em dezembro de 2024, o Projeto de Lei 2338/2023 regulamenta de forma abrangente a inteligência artificial (IA) no Brasil. Seu texto segue para análise na Câmara dos Deputados em 2025. Muitos analistas esperam que a tramitação do PL nesta casa legislativa seja concluída até o fim do primeiro semestre. Esta também foi a previsão dada pelo escritório jurídico Opice Blum durante a última reunião da Comissão de Assuntos Jurídicos e Legislativos da ABBC, em 31 de janeiro de 2025. Camila de Araújo Guimarães, gestora da Opice Blum em Privacidade e Proteção de Dados e Inteligência Artificial, detalhou aos associados a estrutura deste que já é chamado de marco regulatório da IA, seu escopo de aplicação, seus principais agentes, as responsabilidades envolvidas, vigências, penalizações, assim como trouxe importantes impactos da lei para as instituições financeiras.
Camila começou explicando que o Marco Legal da IA é bastante robusto, com 80 artigos, sendo mais abrangente que o regulamento europeu em alguns aspectos, que inspirou o PL 2338. Sua discussão no Congresso Nacional começou em 2020. Começou sendo debatido entre juristas e ganhou com o tempo um corpo de análise multidisciplinar, incorporando cientistas e outros especialistas. Ao longo de sua análise, o projeto recebeu mais de 240 emendas dos parlamentares até chegar à sua versão atual, com 80 artigos divididos em 12 capítulos.
Camila, gestora de LGPD e IA da Opice Blum, mostra o histórico do marco legal da IA no Brasil e debate o PL 2338/23 com os associados da Comissão de Assuntos Jurídicos e Legislativos da ABBC
Histórico, objetivos e conceitos definidos pelo projeto de lei
Segundo a especialista do Opice Blum, o principal objetivo do marco é regular os sistemas de inteligência artificial, gerando debates sobre sua aplicação prática, especialmente no setor financeiro. Os bancos, por exemplo, utilizam modelos preditivos há muito tempo, o que levanta questões sobre o que será incluído no escopo dessa legislação.
A denominação para sistemas de IA ficou definida como aqueles baseados em máquinas, que possuem graus diferentes de autonomia a partir de um conjunto de dados e que inferem resultados, previsões ou conteúdo. Essa definição ampla abrange praticamente tudo sob a perspectiva de automatização, decisões automatizadas e modelos clássicos de IA. O PL também introduz termos como sistemas de IA de propósito geral e IA generativa.
Camila destacou que a legislação exclui do seu escopo sistemas utilizados para finalidades particulares, não econômicas, defesa nacional, armazenamento e transporte de dados, atividades de investigação, pesquisa, testagem e desenvolvimento de sistemas, e aplicações de modelo antes de serem colocados em circulação no mercado ou em serviço. No entanto, modelos de IA testados em condições reais com dados pessoais reais estariam sujeitos à regulamentação.
A representante do Opice Blum, Camila de Araújo Guimarães, explica os agentes de IA previsto no projeto de lei aprovado pelo Senado
Agentes da IA, segundo o marco regulatório brasileiro
Outro ponto relevante abordado foi a definição dos agentes de IA e suas responsabilidades de governança. Primeiramente, os chamados pela lei de “Desenvolvedores” seriam as pessoas naturais ou jurídicas, que desenvolvem ou pagam por desenvolvimento de sistemas de IA; já os “Aplicadores” seriam os que utilizam esses sistemas em seu nome ou benefício. Camila também mencionou distribuidores de sistemas de IA destacando a importância das responsabilidades que esses agentes atraem.
Quem regula, fiscaliza e orienta?
Além disso, Camila abordou um cenário novo em relação a quem vai regular, fiscalizar e orientar sobre o marco legal da IA. Modificações relevantes ao longo da discussão do PL 2338 determinaram que as autoridades setoriais ocupassem um espaço preponderante, com o Banco Central assumindo a responsabilidade de trazer regras específicas para o setor financeiro, ao invés da Autoridade Nacional de Proteção de Dados (ANPD).
Uma novidade é a criação do Conselho Permanente de Cooperação Regulatória de IA (CRIA), que trará diretrizes e será um fórum de colaboração permanente entre as autoridades setoriais, harmonizando experiências e avanços. Também foi criado o Comitê de Especialistas e Cientistas de IA (CECIA), composto por profissionais multidisciplinares, como cientistas de dados e estatísticos, para auxiliar na governança eficiente.
Por fim, foi instituído o Sistema Nacional de Regulação e Governança de IA (CIA), um ecossistema regulatório composto pela ANPD, CRIA e CECIA. Esse sistema valorizará a questão sancionatória e normativa das autoridades setoriais e harmonizará a colaboração entre esses órgãos, trazendo uma perspectiva de regulamentação baseada em risco.
Como é a classificação de riscos?
O PL 2338 divide os sistemas de IA em três blocos: sistemas de alto risco, proibidos por representarem risco excessivo; sistemas de IA de alto risco, que exigem medidas de governança robustas; e outros sistemas de IA com risco muito baixo, que ainda estarão sujeitos ao marco regulatório, mas com regras específicas.
Camila destacou a importância de dar transparência às interações com chatbots, por exemplo, informando aos usuários que estão interagindo com um sistema de IA. Além disso, foi feita uma comparação entre as práticas proibidas no regulamento europeu e no PL 2338, com destaque para a vedação de sistemas que induzam comportamentos prejudiciais, exploração de vulnerabilidade, sistemas de pontuação social pelo poder público, avaliação criminal e identificação biométrica em tempo real.
O PL 2338 também aborda a proibição de sistemas que explorem crianças ou adolescentes, desenvolvimento de armas autônomas, reconhecimento de emoção, infraestrutura crítica, decisões educacionais, gestão de relações de trabalho, elegibilidade de serviços essenciais, gerenciamento de emergências, análises criminais e controle de migração. Foram incluídos veículos autônomos e sistemas de IA para assistência médica, regulamentados pela Anvisa.
A advogada ressaltou que, se a empresa for desenvolvedora de sistemas internos de modelos preditivos, deverá observar princípios de segurança e atendimento de pessoas ou grupos afetados. A legislação brasileira inova ao trazer um rol de direitos das pessoas afetadas, semelhante à LGPD, incluindo a responsabilidade por danos, comunicação de incidentes de segurança graves e remuneração relativa a direitos autorais.
Camila destacou a pressão dos setores audiovisual e literário para garantir transparência sobre os conteúdos utilizados no treinamento de modelos de IA generativa. Empresas devem publicar quais conteúdos foram utilizados, e autores têm o direito de reclamar indenização. Para sistemas de IA de alto risco, há exigências de governança robustas, documentação das etapas do ciclo de vida, avaliações de segurança, prevenção de viés discriminatório e explicabilidade dos resultados. A supervisão humana é necessária em todas as decisões relevantes.
Além disso, Camila explicou a definição de incidente de segurança, com comunicação obrigatória às autoridades setoriais e adoção de medidas. A autoridade setorial avaliará a gravidade dos incidentes e determinará as providências.
A legislação brasileira inova ao incluir direitos dos indivíduos, como explicação sobre decisões automatizadas, contestação e solicitação de revisão humana. Esses direitos se aplicam a todos os sistemas de IA, com reforço para sistemas de alto risco, garantindo transparência e conformidade com o regulamento.
Camila explicou que, diferentemente da LGPD, o PL indica expressamente que a revisão da decisão automatizada deverá ser feita por um humano. Em relação aos direitos autorais, as empresas deverão informar sobre os conteúdos protegidos utilizados e remunerar os titulares desses direitos, respeitando direitos de personalidade, incluindo imagem, áudio, voz ou vídeo.
O PL também aborda o fomento à inovação, destacando a carga de obrigações e os custos para as empresas. Para evitar barreiras à inovação, especialmente para microempresas e startups, há relaxamentos de obrigações específicas para essas empresas.
Penalizações previstas
Quanto à responsabilização, as multas e penalidades são semelhantes às da LGPD, com limites de 50 milhões de reais ou 2% do faturamento bruto do grupo. As penalidades incluem advertências, publicização, proibição de uso em sandbox regulatório, suspensão definitiva de sistemas de IA, e proibição de tratamento de determinadas bases de dados. A responsabilidade civil é mencionada, mas segue a regulamentação do Código Civil e do CDC, com possível alteração futura.
Vigência
Após a aprovação do PL, a entrada em vigor será gradativa, semelhante ao regulamento europeu. Imediatamente com a publicação, entrarão em vigor as regras relativas às medidas de incentivo e sustentabilidade e de incentivo a microempresas, empresas de pequeno porte e startups, além da obrigação de informação sobre conteúdos protegidos por direitos do autor e conexos.
Já em 180 dias após a publicação entrará em vigor a vedação dos sistemas de risco excessivo; as medidas de governança dos sistemas de propósito geral e IA generativa e as previsões relativas aos direitos do autor e conexos. E, por fim, a entrada dos demais dispositivos, exceto aqueles citados de vigência imediata e após 180 dias.
Apesar do prazo aparentemente grande, diversas manifestações indicam que ele pode ser insuficiente devido à complexidade das medidas necessárias. Antecipar as adequações é recomendado para evitar uma corrida contra o tempo.
ABBC - Associação Brasileira de Bancos
Av. Paulista, 1842 - 15º andar
CEP: 01311-100 São Paulo - SP
ABBC ® Todos os direitos reservados.