A Lei de IA da UE: Impactos e Prazos para Empresas

Quando o Ato de IA da UE entra em vigor e o que isso significa para o seu negócio?

O Ato de IA da União Europeia (UE) se tornou uma lei oficial da UE em 1º de agosto de 2024, mas as primeiras medidas relacionadas ao uso proibido de IA e programas de alfabetização em IA para empresas em escopo entram em vigor em 2 de fevereiro de 2025.

Este artigo ajudará a entender se e como o seu negócio está dentro do escopo do Ato de IA. Ao final, você terá uma compreensão de como o Ato de IA é relevante para o seu negócio e o que você precisa fazer quando para estar em conformidade. As penalidades por não conformidade podem ser significativas, com multas máximas de até 7% da receita global anual de uma empresa ou 35 milhões de EUR, o que for maior.

O que é IA?

O Ato de IA adota a abordagem de que inteligência artificial não é uma única entidade, mas muitas coisas. Ele se refere a uma IA como uma “família de tecnologias”.

Precisamos, no entanto, de uma definição do que está sendo regulamentado, que não é a IA em geral, mas “sistemas de IA”. Um sistema de IA é definido como:

um sistema baseado em máquina que é projetado para operar com diferentes níveis de autonomia e que pode apresentar adaptabilidade após a implantação, e que, para objetivos explícitos ou implícitos, infere, a partir da entrada que recebe, como gerar saídas como previsões, conteúdo, recomendações ou decisões que podem influenciar ambientes físicos ou virtuais.

Quais negócios estão dentro do escopo do Ato de IA?

Começamos com quais negócios estão excluídos. Se a sua empresa não fornece nem usa IA de nenhuma forma, você pode ignorar o Ato de IA. No entanto, a certeza de que sua empresa não está fornecendo ou usando IA pode ser complicada, como você pode compreender a partir da seção anterior que define sistemas de IA.

Uma exclusão mais fácil são as pessoas naturais (em contraste com pessoas jurídicas, como empresas) que usam IA em uma capacidade não profissional. Portanto, não é necessário registrar seu assistente OpenAI para escrever cartões de Natal ou um bot de IA que você desenvolveu que o lembra de fazer yoga.

Instituições de pesquisa pura também estão fora do escopo do Ato de IA. A pesquisa e o desenvolvimento de trabalho também estão fora do escopo do Ato de IA. Com algumas ressalvas que mencionaremos abaixo, essa exclusão também se aplica a empresas que desenvolvem IA antes de colocar sua IA no mercado externo ou em serviço interno.

A indústria de defesa foi a última excluída, o que gerou um debate significativo e mudanças do primeiro rascunho para o final.

Essas exclusões exemplificam como o Ato de IA visa seguir uma abordagem de “risco” que permite (e em alguns aspectos incentiva) a inovação enquanto gerencia os riscos quando a IA falha.

Minha empresa está no escopo do Ato de IA. E agora?

O Ato de IA se tornou uma lei oficial em 1º de agosto de 2024, mas suas exigências para empresas e agências governamentais entram em vigor em diferentes lotes, com o próximo lote chegando em 2 de fevereiro de 2025, cobrindo especificamente sistemas de IA proibidos e requisitos amplos de alfabetização em IA.

O requisito de alfabetização em IA abrange um amplo espectro

Ao contrário da maioria do Ato de IA, o requisito de alfabetização em IA se aplica a todas as empresas que fornecem ou implantam IA. É tentador pensar que usar um serviço de IA não torna sua empresa um “implantador” de IA, mas a definição deixa pouco espaço para dúvida de que qualquer uso de IA em uma capacidade profissional torna sua empresa um “implantador”, e, portanto, exige alguma forma de treinamento em alfabetização em IA para os funcionários.

A abordagem baseada em risco do Ato de IA

Para descobrir quais ações seu negócio precisa tomar quando, é útil entender melhor a abordagem “baseada em risco” mencionada acima.

As classificações de risco do Ato de IA se dividem em duas áreas principais, que podemos chamar de “o que” e “como”, onde os riscos “o que” se relacionam à tarefa ou tarefas que o sistema de IA deve realizar, enquanto os riscos “como” enfocam como o sistema de IA interage com seus usuários finais (risco de transparência) ou quão generalizadas são as capacidades da IA (risco sistêmico, IA de propósito geral).

As categorias de risco “o que” do Ato de IA da UE

As categorias de risco “o que” se dividem de acordo com quão ruim seria um sistema de IA que falha para a saúde, segurança ou direitos fundamentais. As categorias são proibidas, de alto risco e de risco mínimo.

Sistemas de IA proibidos são aqueles considerados incompatíveis com a saúde, segurança ou direitos fundamentais dos residentes da UE. Exemplos incluem:

• pontuação social fora do contexto em que os dados foram coletados,
• IA manipulativa, como gerar avaliações falsas,
• IA preditiva para crimes,
• identificação remota de pessoas, exceto em certas situações de aplicação da lei.

Sistemas de IA de alto risco são aqueles cujo uso tem potencial para melhorar a vida dos residentes da UE, mas também apresenta riscos à saúde, segurança ou direitos fundamentais. Exemplos incluem:

• decisões de empréstimos bancários,
• decisões sobre acesso a seguros de saúde ou vida,
• decisões de emprego, como contratações ou promoções,
• uso de IA em segurança de produtos ou infraestrutura.

A categoria final, com base no que o sistema de IA está fazendo, é risco mínimo, o que significa que os potenciais problemas de usar o sistema de IA são suficientemente pequenos que regular esses sistemas sufocaria a inovação sem fornecer proteção adicional suficiente aos residentes da UE.

Exemplos de sistemas de IA de risco mínimo incluem:

• filtros de spam de e-mail,
• detecção de fraudes,
• aplicações de IA estreitas e procedimentais.

As categorias de risco “como” do Ato de IA: transparência e IA de propósito geral

Os riscos “como” se dividem em dois grupos: risco de transparência e risco sistêmico de IA de propósito geral. O risco de transparência é mais fácil de entender. Independentemente do que o sistema de IA está programado para fazer, a interação com os usuários finais pode criar confusão se eles puderem confundir as saídas da IA com as criadas por humanos.

Se o seu sistema de IA de fato possui risco de transparência, então o Ato de IA estabelece medidas que você deve tomar até 2 de agosto de 2026 para garantir a conformidade.

IA de propósito geral pode resolver várias tarefas diferentes, sem necessidade de adaptações específicas para cada tarefa. Essa potência pode apresentar um risco sistêmico, pois falhas em um único modelo podem se propagar para uma ampla variedade de domínios.

O Ato de IA exige que modelos de IA que requerem a capacidade computacional para serem treinados acima de 10^25 operações de ponto flutuante sejam considerados de risco sistêmico.

O que sua empresa precisa fazer quando: um resumo

Agora que você tem uma visão geral das definições e conceitos mais importantes do Ato de IA da UE, vamos resumir o que sua empresa precisa fazer:

• 2 de fevereiro de 2025: Entram em vigor os requisitos de alfabetização em IA e sistemas de IA proibidos.
• 2 de agosto de 2025: Entram em vigor os requisitos para IA de propósito geral.
• 2 de agosto de 2026: Entram em vigor todos os requisitos restantes, incluindo sistemas de IA de alto risco e risco de transparência.
• 2 de fevereiro de 2027: Entram em vigor os requisitos para sistemas de IA de alto risco que estão embutidos em produtos já regulamentados.