A Aplicação da Lei de IA da UE em Sistemas de IA Legados

O Ato de IA da UE se Aplica a Sistemas de IA “Antigos”?

O que acontece com os sistemas de IA que foram construídos e implantados antes da entrada em vigor do Ato? As novas regras se aplicam retroativamente?

A resposta curta: Geralmente não, mas com exceções importantes e obrigações de transição.

O Princípio da Não-Retroatividade

O Ato de IA não é retroativo. Isso significa que:

• Sistemas de IA colocados no mercado ou colocados em serviço antes de 2 de agosto de 2025 estão em grande parte isentos das novas obrigações do Ato.
• No entanto, essa isenção não se aplica a certas práticas de IA proibidas sob o Artigo 5 do Ato.

Principais Práticas Proibidas que Afetam Todos os Sistemas de IA

Independente de quando o sistema de IA foi implantado, as seguintes utilizações são proibidas e devem ser eliminadas:

• Classificação social por governos
• Identificação biométrica em tempo real em espaços públicos (com exceções limitadas)
• Manipulação exploratória de grupos vulneráveis
• IA de padrão obscuro projetada para distorcer materialmente o comportamento do usuário

Qualquer IA legado que se enquadre nessas categorias deve ser imediatamente remediada ou descontinuada.

Datas de Transição Importantes e Gatilhos de Conformidade

Quando os Sistemas de IA Legado Têm que Estar em Conformidade?

1. Modificação Substancial

Se um sistema de IA colocado no mercado antes de 2 de agosto de 2025 for substancialmente modificado após 2 de agosto de 2026, ele é tratado como um novo sistema e deve estar totalmente em conformidade com o Ato de IA.

A modificação substancial refere-se a mudanças significativas no design, funcionalidade ou propósito pretendido.

2. Regras Especiais para Modelos de IA de Uso Geral (GPAI)

Para modelos de fundação como GPT, LLaMA e sistemas similares:

• Modelos já no mercado antes de 2 de agosto de 2025 devem cumprir certas obrigações de transparência, gestão de riscos e direitos autorais a partir de 2 de agosto de 2027.
• Esse período de transição permite auditoria, atualizações de políticas e implementação de salvaguardas contra riscos sistêmicos.

3. Sistemas de IA de Alto Risco no Setor Público

As autoridades públicas que utilizam sistemas de IA de alto risco implantados antes de 2 de agosto de 2025 têm até 2 de agosto de 2030 para garantir total conformidade.

O Ato de IA reconhece a complexidade e os ciclos orçamentários das administrações públicas. Fornecedores e implementadores nesse espaço devem retrofit, substituir ou descomissionar IA mais antigas para atender aos requisitos até esse prazo.

4. Consideração Especial: Sistemas de Informação Europeus em Grande Escala

Sistemas de IA legado usados em infraestruturas públicas críticas da UE (sob o Anexo X, por exemplo, Sistema de Informação de Schengen, Eurodac):

• Isentos apenas temporariamente se implantados antes de 2 de agosto de 2027.
• Qualquer modificação substancial aciona a conformidade imediatamente.
• Novas implantações após essa data devem cumprir totalmente desde o início.

Resumo: Aplicabilidade do Ato de IA a Sistemas de IA Legado

Integrando IA Legado ao Quadro de Gestão de Riscos

Realizar Avaliações de Impacto sobre Direitos Fundamentais (FRIA) e Avaliações de Impacto sobre Proteção de Dados (DPIA)

Mesmo que a IA legado esteja isenta, a realização dessas avaliações ajuda a identificar riscos e alinhar-se com as obrigações do GDPR e direitos fundamentais.

• O Ato de IA (Artigo 27) exige uma FRIA para certos sistemas de IA de alto risco.
• O GDPR (Artigo 35) requer uma DPIA se o processamento for suscetível de resultar em alto risco para direitos e liberdades.

Registrando Sistemas de IA de Alto Risco

As autoridades públicas e os órgãos da UE devem registrar sistemas de IA de alto risco, incluindo sistemas legado, no banco de dados da UE antes da implantação ou uso. O registro inclui a provisão de informações de contato, detalhes do sistema e resumos das avaliações de impacto.

Alinhar-se com Padrões e Estruturas de Governança

Seguir padrões emergentes como o ISO/IEC 42001 Sistema de Gestão de IA (AIMS) e os próximos padrões harmonizados sob o Ato de IA. O ISO/IEC DIS 42005 (Avaliação de Impacto da IA — em desenvolvimento) está promovendo uma gestão de riscos holística e baseada em direitos.

Incorporar a conformidade da IA em sistemas existentes de governança, risco e conformidade (GRC).

Conclusão

Embora o Ato de IA isente em geral sistemas legado da maioria das novas obrigações, a não conformidade, especialmente relacionada a práticas proibidas ou IA de alto risco, pode resultar em multas substanciais sob o Artigo 99. Essas penalidades podem atingir até €35 milhões ou 7% do faturamento global anual.

Importante ressaltar que o Ato de IA não visa obstruir o progresso tecnológico. Em vez disso, reflete o compromisso da UE em equilibrar inovação e proteção de direitos fundamentais e infraestrutura crítica.

A governança eficaz da IA começa com a preparação proativa. As organizações devem primeiro identificar seus sistemas de IA mais opacos ou de alto impacto, onde riscos e incertezas convergem, e priorizar esses. A partir daí, construir uma abordagem estruturada e baseada em riscos para a gestão de IA se torna não apenas uma necessidade regulatória, mas uma vantagem estratégica.