Supervisão e Aplicação
A Lei da IA da UE estabelece um sistema de supervisão e aplicação em várias camadas, envolvendo tanto os Estados-Membros quanto órgãos a nível da UE. Ao nível do Estado-Membro, cada país deve designar pelo menos uma “autoridade notificadora” responsável pela avaliação e notificação de organismos de avaliação da conformidade e pelo menos uma Autoridade de Fiscalização do Mercado (AFM) para supervisionar a conformidade geral. Estas autoridades nacionais competentes devem ser equipadas com recursos adequados para cumprir as suas tarefas, que incluem fornecer orientação, conduzir investigações e aplicar as disposições da Lei da IA. As AFM, em particular, detêm um poder significativo ao abrigo do Regulamento de Fiscalização do Mercado, incluindo a autoridade para exigir informações, conduzir inspeções, emitir ordens corretivas e, em última análise, impor penalidades por violações.
Ao nível da UE, o Gabinete de IA serve como um órgão central para desenvolver conhecimentos especializados, coordenar a implementação e supervisionar modelos de IA de uso geral. O Gabinete de IA desempenha um papel fundamental no fornecimento de orientação e apoio e atua como uma autoridade supervisora para modelos de IA de uso geral e seus fornecedores. Está a trabalhar para incentivar a conformidade com a Lei da IA, elaborando diretrizes e oferecendo às empresas uma forma de entender melhor as suas obrigações. Um novo Conselho de IA, composto por representantes de cada Estado-Membro, aconselha e assiste a Comissão Europeia e os Estados-Membros para garantir uma aplicação consistente e eficaz da Lei da IA em toda a União. A própria Comissão Europeia retém responsabilidades como a preparação de documentação, a adoção de atos delegados e a manutenção da base de dados de sistemas de IA de alto risco.
Poderes de Aplicação e Penalidades
A estrutura de penalidades delineada na Lei da IA inclui multas substanciais, dependendo da gravidade e do tipo de infração. O não cumprimento das regras relativas a práticas de IA proibidas pode resultar em multas de até 35 milhões de euros ou 7% do volume de negócios anual total mundial. Outras violações podem acarretar penalidades de até 15 milhões de euros ou 3% do volume de negócios, enquanto o fornecimento de informações incorretas ou enganosas pode levar a multas de 7,5 milhões de euros ou 1% do volume de negócios. Estas penalidades podem ser aplicadas em casos específicos, para que permaneçam consistentes. É importante notar que estas multas são cumulativas com quaisquer outras penalidades ou sanções prescritas pelas leis dos Estados-Membros. A abordagem de dupla camada às penalidades pode aumentar a pressão para ter sucesso, e as empresas precisam de estar conscientes não só da regulamentação geral da UE, mas também das potenciais penalidades adicionadas às penalidades dos Estados-Membros individuais.
O uso do Guia da Lei de IA da UE pode auxiliar profissionais jurídicos.
Este guia foi elaborado como um recurso prático para profissionais jurídicos internos que navegam pelas complexidades da Lei de IA da UE. Ele se concentra em fornecer informações e estratégias prontamente aplicáveis para ajudar as empresas a entender e cumprir as novas regulamentações. O guia descreve as principais áreas da Lei de IA que têm maior probabilidade de afetar as empresas, prestando muita atenção às distintas obrigações impostas aos fornecedores e implementadores de IA. Ao estruturar seu conteúdo em torno das etapas práticas de conformidade que as empresas devem considerar, ele permite que os profissionais jurídicos traduzam com eficiência os requisitos da Lei de IA em políticas e procedimentos internos acionáveis.
Dentro de cada seção, o guia não apenas explica os requisitos legais impostos pela Lei de IA, mas também explora as implicações práticas para as empresas. Uma característica central do guia é sua atenção aos detalhes ao descrever as medidas de conformidade que as empresas podem considerar tomar, preenchendo assim a lacuna entre a compreensão legal e a implementação prática. Além disso, reconhecendo a intrincada relação entre a Lei de IA e o RGPD, o guia incorpora uma discussão específica sobre sua interação, permitindo que os profissionais jurídicos aproveitem os programas de conformidade existentes e, potencialmente, simplifiquem o processo de conformidade.
Etapas Práticas de Conformidade e Interação com o RGPD
Cada seção oferece caixas dedicadas de “Etapas Práticas de Conformidade”, fornecendo ações concretas que as empresas podem tomar para cumprir suas obrigações. Além disso, as caixas de “Interação” destacam a relação entre a Lei de IA e o RGPD, oferecendo insights sobre os programas de conformidade com o RGPD existentes que podem ser adaptados para a conformidade com a Lei de IA. Ícones são usados para indicar visualmente o nível de sobreposição, incluindo sobreposição substancial (exigindo esforço adicional mínimo), sobreposição moderada (servindo como ponto de partida) e nenhuma sobreposição (exigindo medidas totalmente novas). Esta abordagem permite que os profissionais jurídicos avaliem com eficiência o impacto da Lei de IA em suas organizações e desenvolvam estratégias de conformidade apropriadas.
A Lei da UE sobre IA propõe mudanças regulatórias significativas para as empresas.
A Lei da UE sobre IA introduz mudanças regulatórias substanciais que afetam as empresas que operam na União Europeia, bem como aquelas que implantam ou fornecem sistemas ou modelos de IA no mercado da UE, independentemente de sua localização física. A Lei impõe obrigações a vários atores no ecossistema de IA, incluindo fornecedores, implantadores, importadores e distribuidores de sistemas de IA. Dependendo do tipo de sistema de IA empregado, a Lei especifica prazos de conformidade que variam de 6 a 36 meses após sua entrada em vigor, exigindo que as equipes jurídicas internas avaliem rapidamente o impacto potencial da Lei e desenvolvam estratégias de implementação eficazes. A falta de abordagem proativa dessas novas obrigações pode deixar as empresas despreparadas, levando potencialmente a restrições de recursos durante a fase de implementação da conformidade.
O impacto nas empresas depende de seu papel como fornecedores ou implantadores de tipos específicos de sistemas de IA e/ou modelos de IA de propósito geral. Certos sistemas de IA são agora considerados proibidos devido aos seus riscos inerentes aos direitos fundamentais. Outros sistemas de IA, como os usados em infraestrutura crítica, emprego ou serviços públicos, são classificados como de alto risco e, portanto, estão sujeitos a requisitos rigorosos detalhados na Lei de IA. Além disso, a Lei inclui regulamentos específicos para modelos de IA de propósito geral, dependendo se eles são considerados como apresentando um risco sistêmico. As empresas devem, portanto, realizar uma análise completa de seus sistemas de IA para determinar se estão sujeitos aos regulamentos. Isso inclui a realização de avaliações de risco apropriadas, a implementação de salvaguardas técnicas, a garantia da supervisão humana e a manutenção de documentação transparente.
Obrigações Práticas para Todas as Empresas
Além dos requisitos específicos do setor e com níveis de risco, a Lei da UE sobre IA exige uma mudança fundamental para todas as empresas, independentemente de seu envolvimento específico com o desenvolvimento ou implantação de IA, estabelecendo obrigações de alfabetização em IA. O artigo 4º estipula que tanto os fornecedores quanto os implantadores de sistemas de IA devem garantir um nível adequado de alfabetização em IA entre o seu pessoal, tendo em conta os seus respectivos papéis e a utilização pretendida dos sistemas de IA. Isso inclui, mas não se limita a, fornecer treinamento e educação contínuos aos membros da equipe. O objetivo é promover uma compreensão das tecnologias de IA, seus riscos potenciais e os requisitos regulatórios impostos pela Lei de IA. Isso garante o desenvolvimento, implantação e uso responsáveis de sistemas de IA, salvaguardando a saúde, a segurança e os direitos fundamentais.
Marcos importantes do cronograma do AI Act são claramente definidos.
A jornada do AI Act da UE, desde a proposta até à aplicação, foi marcada por marcos claramente definidos. A consulta pública inicial encerrou a 6 de agosto de 2021, preparando o terreno para a ação legislativa. A Comissão Europeia publicou formalmente a proposta do AI Act a 21 de abril de 2021, estabelecendo o quadro para a regulamentação da IA. O Parlamento Europeu adotou a sua posição de negociação a 14 de junho de 2023, sinalizando as suas prioridades para o Ato. O Conselho adotou a sua posição comum/abordagem geral a 6 de dezembro de 2022, indicando o alinhamento entre os Estados-Membros. Crucialmente, a 9 de dezembro de 2023, o Parlamento Europeu e o Conselho chegaram a um acordo provisório. Estes pontos de referência mostram a natureza colaborativa e iterativa da legislação da UE, garantindo a todas as partes envolvidas uma estratégia estruturada para a governação da IA.
Datas de Implementação e Aplicação
Após alcançar o acordo político, os passos formais para a implementação incluíram o lançamento do Gabinete de IA a 21 de fevereiro de 2024. O Parlamento Europeu deu a sua aprovação final a 13 de março de 2024, seguido da aprovação do Conselho a 24 de maio de 2024. O AI Act foi publicado no Jornal Oficial da UE a 12 de julho de 2024, antes de entrar formalmente em vigor a 1 de agosto de 2024. As diferentes categorias de sistemas de IA têm datas de aplicação faseadas, permitindo que as empresas se ajustem estrategicamente. Os sistemas identificados como proibidos e os programas de literacia em IA entraram em vigor a 2 de fevereiro de 2025. As obrigações do modelo de IA de uso geral entraram em vigor a 2 de agosto de 2025, seguidas pela maioria das obrigações adicionais (incluindo os sistemas de IA de alto risco do Anexo III) dois anos após a entrada em vigor do Ato, a 2 de agosto de 2026. Os sistemas de IA de alto risco colocados no Anexo I entrarão em vigor a 2 de agosto de 2027. Estes prazos oferecem uma estratégia faseada, adaptada para fornecedores e utilizadores, dependendo do tipo de sistema de IA.
Compreender o âmbito da Lei de IA é essencial para as empresas.
O âmbito territorial da Lei de IA estende-se para além das fronteiras físicas da UE, impactando as empresas globalmente. A aplicabilidade territorial é determinada por três critérios principais: a localização da entidade, a colocação no mercado do sistema ou modelo de IA e a utilização geográfica do resultado do sistema de IA. Se uma empresa estiver estabelecida ou localizada na UE e implementar um sistema de IA, a Lei de IA aplica-se. Além disso, a Lei abrange os fornecedores—independentemente da sua localização—que colocam sistemas de IA no mercado da UE ou os colocam em serviço na UE. Isto inclui sistemas de IA utilizados por fabricantes de produtos sob a sua própria marca. Criticamente, a Lei de IA também tem como alvo tanto os fornecedores como os utilizadores cujos resultados dos sistemas de IA são utilizados na UE, independentemente da sua localização de estabelecimento, e protege os indivíduos na UE afetados pela utilização de sistemas de IA. Este amplo âmbito exige que as empresas, independentemente da sua base geográfica, apurem meticulosamente as suas obrigações ao abrigo da Lei de IA para garantir a conformidade, evitar potenciais penalidades e manter a integridade operacional no mercado da UE.
Para além do âmbito territorial, a compreensão do âmbito pessoal e material da Lei de IA é crucial. Os principais alvos da Lei são os fornecedores e os utilizadores de sistemas de IA, cada um com responsabilidades distintas. No entanto, a definição de ‘fornecedor’ pode estender-se a importadores, distribuidores e até fabricantes de produtos sob certas condições. Especificamente, se estas entidades afixarem a sua marca num sistema de IA de alto risco, o modificarem substancialmente ou alterarem o seu propósito original para o classificarem como de alto risco, assumem as obrigações de um fornecedor. No entanto, a Lei estabelece diversas exceções, como para os utilizadores que são pessoas singulares a utilizar sistemas de IA para atividades puramente pessoais e não profissionais, e para os sistemas de IA desenvolvidos exclusivamente para investigação e desenvolvimento científicos. Um âmbito temporal faseado também impacta a compreensão da Lei de IA. As obrigações de conformidade são implementadas gradualmente, variando de seis a trinta e seis meses a partir da entrada em vigor da Lei, dependendo do tipo de sistema de IA. Os sistemas de IA de alto risco já existentes no mercado antes de 2 de agosto de 2026, só estão sujeitos ao âmbito da Lei após alterações significativas de design. Esta complexidade sublinha a necessidade de as empresas avaliarem cuidadosamente os seus papéis e os prazos aplicáveis para um planeamento abrangente da conformidade.
Definição de conceitos cruciais dentro do AI Act é fornecida.
O AI Act depende de um conjunto de conceitos precisamente definidos que determinam seu escopo e aplicação. O termo “sistema de IA” em si é meticulosamente definido como um sistema baseado em máquina projetado para operar com diferentes níveis de autonomia, capaz de se adaptar após a implantação. Este sistema infere de suas entradas como gerar saídas como previsões, conteúdo, recomendações ou decisões que podem influenciar ambientes físicos ou virtuais, explícita ou implicitamente. Esta ampla definição abrange uma vasta gama de tecnologias, necessitando de uma análise cuidadosa para determinar se um sistema específico se enquadra no âmbito da Lei. “Finalidade pretendida” também é crítica; refere-se ao uso para o qual um sistema de IA é projetado pelo fornecedor, incluindo o contexto e as condições específicas de uso, conforme detalhado nas instruções de uso, materiais promocionais e documentação técnica. Esta definição enfatiza o papel do fornecedor na definição do escopo de usos aceitáveis e destaca a importância de uma comunicação clara e precisa com os implantadores. Compreender o “Mau Uso Razoavelmente Previsível” de um sistema de IA, definido como o uso não alinhado com sua finalidade pretendida, mas resultante do comportamento humano antecipado ou interação com outros sistemas, também é um elemento crucial que enquadra as preocupações de Gestão de Riscos e Responsabilidade.
Refinando ainda mais o cenário jurídico estão os conceitos relacionados à disponibilidade no mercado. “Disponibilização no mercado” refere-se ao fornecimento de um sistema de IA para distribuição ou uso dentro da UE, seja mediante pagamento ou gratuitamente, no curso da atividade comercial. “Colocação no mercado” denota a primeira instância de disponibilização de um sistema de IA dentro da UE. “Colocação em serviço” significa o fornecimento de um sistema de IA para seu uso inicial diretamente ao implantador ou para o próprio uso do fornecedor dentro da UE, alinhado com sua finalidade pretendida. Essas definições esclarecem o ponto em que várias obrigações sob o AI Act são acionadas, particularmente para fornecedores e importadores. Finalmente, a Lei define cuidadosamente o que constitui um Incidente Significativo, que está sujeito a obrigações específicas de relatório. Um “incidente grave” inclui eventos como morte, danos graves à saúde, grandes interrupções de infraestrutura, violações de direitos fundamentais ou danos significativos à propriedade ou ao meio ambiente causados por mau funcionamento do sistema de IA. Essas definições estabelecem uma estrutura hierárquica para avaliar o risco e determinar as obrigações regulatórias correspondentes dentro do ecossistema de IA.
Aplicações práticas para empresas estão estabelecidas.
A Lei de IA da UE introduz um novo paradigma para empresas que desenvolvem, implementam ou usam sistemas de IA. Compreender as obrigações decorrentes desta legislação é crucial para o planeamento estratégico e a mitigação de riscos. Ao reconhecer os papéis e responsabilidades específicos atribuídos aos provedores e implementadores de IA, as empresas podem abordar proativamente os requisitos de conformidade e integrá-los nas suas estruturas existentes. Esta seção fornece uma visão geral detalhada das aplicações práticas para empresas e uma análise sistemática das medidas que podem ser tomadas para a conformidade prática.
As empresas devem começar por realizar uma auditoria abrangente de IA para identificar todos os sistemas de IA em uso e classificá-los com base no seu nível de risco. Isso envolve identificar se o sistema de IA é proibido, de alto risco ou sujeito a requisitos simples de transparência. Em seguida, os sistemas de IA devem ser classificados ainda mais com base em se a empresa se qualifica como provedor de IA ou implementador de IA, de acordo com a estrutura de risco. Compreender a interação entre as responsabilidades do provedor e do implementador é essencial, pois as organizações podem assumir ambos os papéis. Esta classificação cuidadosa delineará as obrigações precisas e informará as estratégias específicas necessárias para o seu contexto único.
Obrigações do Provedor
Os provedores de sistemas de IA de alto risco devem adotar uma abordagem proativa e holística. Devem estabelecer um sistema abrangente de gestão de riscos para identificar e mitigar riscos razoavelmente previsíveis ao longo do ciclo de vida da IA, incluindo a gestão da qualidade dos dados, documentação técnica, manutenção de registos e ações corretivas. Devem também garantir a transparência para os implementadores e definir medidas de supervisão humana. Para fornecedores de sistemas, o acompanhamento pós-mercado e a gestão de incidentes tornam-se essenciais. Os requisitos de transparência estendem-se a informar os indivíduos sobre a interação com um sistema de IA e a marcar o conteúdo gerado por IA em conformidade. Para fornecedores de IA de modelos de IA de propósito geral, esta política deve estar em conformidade com os requisitos estritos da lei de direitos de autor da UE. Cumprir as normas harmonizadas ajuda a demonstrar a conformidade com os requisitos da Lei de IA.
Obrigações do Implementador
Os implementadores devem garantir o alinhamento com as instruções de uso do provedor e atribuir supervisão humana competente. Se um implementador tiver controlo sobre os dados de entrada, deve garantir que os dados são apropriados. Devem monitorizar os sistemas de IA e reportar incidentes de forma adequada. Ao implementar sistemas de IA no local de trabalho, a transparência com os funcionários é obrigatória. Além disso, os requisitos de transparência estendem-se a informar os indivíduos sobre a interação com um sistema de IA e a informá-los se este vier a ajudar na tomada de decisões que envolvam o referido indivíduo. Em alguns casos, os implementadores devem realizar avaliações de impacto sobre os direitos fundamentais ou, de outra forma, tornar claras as políticas de IA relacionadas com o processamento de dados.
Diretrizes práticas oferecidas para todas as empresas cumprirem a lei.
A Lei de IA da UE exige várias etapas práticas para todas as empresas, independentemente de seu papel específico como fornecedores ou utilizadores de sistemas de IA. Um requisito fundamental é alcançar um nível suficiente de alfabetização em IA entre a equipe e o pessoal relevante. Isso exige medidas para garantir que os indivíduos envolvidos na operação e uso de sistemas de IA possuam o conhecimento técnico, experiência, educação e treinamento necessários. O nível apropriado de alfabetização dependerá do contexto em que os sistemas de IA são usados e do impacto potencial sobre indivíduos ou grupos. Portanto, as empresas devem investir ativamente em programas de alfabetização em IA adaptados a diferentes funções e responsabilidades dentro da organização, promovendo uma compreensão dos benefícios potenciais e dos riscos inerentes associados às tecnologias de IA.
As empresas devem avaliar quais sistemas de IA estão fornecendo ou utilizando e garantir que sua equipe esteja adequadamente preparada para trabalhar com esses sistemas. Um programa robusto de treinamento em IA, que seja mantido atualizado, será essencial para cumprir esta disposição. Os programas de educação e treinamento do RGPD podem ser aproveitados, mas provavelmente exigirão atualizações ou novos processos (alguns técnicos) para garantir a conformidade com os critérios específicos de qualidade de dados da Lei de IA para dados de treinamento, validação e teste em conexão com o desenvolvimento de sistemas de IA. As empresas podem ser capazes de aproveitar certos esforços de responsabilização do RGPD no processo de preparação da documentação técnica, como para a descrição das medidas de segurança cibernética aplicáveis. Os requisitos de registo sobrepõem-se parcialmente aos requisitos de segurança de dados e às melhores práticas ao abrigo do RGPD, mas são mais específicos e exigem implementação técnica. Espera-se que as organizações desenvolvam e implementem capacidades técnicas e processos específicos para cumprir este requisito. Os fornecedores também serão obrigados a considerar o período de retenção dos registos nos seus cronogramas de retenção de proteção de dados.
São apresentadas as obrigações práticas para as empresas relacionadas aos fornecedores do AI Act.
O AI Act da UE impõe obrigações práticas significativas às empresas que são consideradas “fornecedores” de sistemas de IA. Essas obrigações variam com base no nível de risco do sistema de IA, com os requisitos mais rigorosos aplicados aos sistemas de IA de alto risco. Os fornecedores são responsáveis por garantir que seus sistemas de IA cumpram os requisitos do AI Act antes de colocá-los no mercado ou colocá-los em serviço. As obrigações abrangem um amplo espectro, incluindo gerenciamento de riscos, governança de dados, documentação técnica, transparência, supervisão humana e segurança cibernética. Um tema central é a implementação de sistemas robustos de gerenciamento de qualidade (SGQ) para garantir a conformidade contínua durante todo o ciclo de vida do sistema de IA. O não cumprimento dessas obrigações pode resultar em multas substanciais e danos à reputação, enfatizando a necessidade de uma abordagem proativa e abrangente à governança da IA.
Para sistemas de IA de alto risco, os fornecedores devem estabelecer um sistema de gerenciamento de riscos para identificar, analisar e mitigar riscos potenciais à saúde, segurança e direitos fundamentais. Isso envolve controles de qualidade de dados, testes rigorosos e medidas de segurança cibernética. O AI Act exige a criação de documentação técnica detalhando o design, a funcionalidade e o desempenho do sistema. A documentação deve ser abrangente e continuamente atualizada para refletir quaisquer alterações ou modificações no sistema de IA. Os fornecedores também devem garantir transparência adequada, fornecendo instruções claras e acessíveis para os usuários, detalhando as características, limitações e riscos potenciais do sistema de IA. Para aumentar ainda mais a confiança e a confiabilidade do usuário, o fornecedor deve garantir níveis adequados de supervisão humana ao sistema, permitindo que os operadores substituam quando necessário.
Modelos de IA de Propósito Geral
Para Modelos de IA de propósito geral, os provedores devem respeitar o conjunto de condições-chave no Artigo 53. Primeiro, aqueles que desenvolvem os modelos devem manter completa e atualizada a documentação do sistema, incluindo treinamento, avaliação e testes relevantes. A documentação e os detalhes precisam ser repassados a outros sistemas de IA que pretendem integrar o modelo de IA de propósito geral. As empresas que criam IA devem implementar políticas para cumprir os direitos autorais, bem como resumos do conteúdo usado para treinar o modelo de IA. Modelos de IA de propósito geral que também apresentam risco sistêmico estão sujeitos a obrigações mais rigorosas, incluindo avaliações de potenciais riscos sistêmicos no nível da UE, manutenção da segurança cibernética relacionada ao modelo e um relatório sem demora de informações relevantes sobre incidentes graves e potenciais medidas corretivas.
Obrigações práticas para empresas relativas aos utilizadores da Lei da IA são descritas.
A Lei da IA impõe várias obrigações práticas aos utilizadores de sistemas de IA, particularmente aqueles classificados como de alto risco. Um dos principais requisitos é a adesão às instruções de utilização do fornecedor. Os utilizadores devem implementar medidas técnicas e organizacionais adequadas para garantir que os sistemas de IA de alto risco sejam operados de acordo com as instruções fornecidas pelo fornecedor do sistema. Isso implica uma compreensão completa das capacidades, limitações e finalidade pretendida do sistema, bem como a implementação de controlos para evitar o uso indevido ou o desvio dos parâmetros operacionais prescritos. Para facilitar a conformidade, os utilizadores devem manter um registo dos sistemas de alto risco em uso, juntamente com as instruções correspondentes. Atribuir responsabilidade pelo monitoramento da conformidade dentro da organização também pode reforçar significativamente a responsabilização. Além disso, é crucial que os utilizadores se mantenham informados sobre quaisquer atualizações ou alterações nas instruções através de canais de comunicação estabelecidos com os fornecedores de sistemas de IA.
Além da adesão às instruções do fornecedor, os utilizadores são obrigados a implementar a supervisão humana. Isso envolve a designação de indivíduos com a competência, formação, autoridade e apoio necessários para supervisionar o uso de sistemas de IA de alto risco. Esses indivíduos devem possuir uma compreensão abrangente das capacidades e limitações do sistema, estar vigilantes contra o viés de automatização, interpretar com precisão os resultados do sistema e ter a autoridade para desconsiderar, anular ou reverter a entrada do sistema quando necessário. Além disso, os utilizadores que exercem controlo sobre os dados de entrada para sistemas de IA de alto risco devem garantir que os dados sejam relevantes e suficientemente representativos à luz da finalidade pretendida do sistema. Isso exige um processo de pré-seleção para avaliar a adequação dos dados, incluindo a sua precisão e ausência de viés, para garantir que o sistema opere de forma eficaz e justa. As obrigações contínuas para os utilizadores incluem o monitoramento contínuo dos sistemas de IA e, em alguns casos, a conclusão de avaliações de impacto nos direitos fundamentais.
Requisitos Específicos de Transparência
A Lei também inclui requisitos de transparência para utilizadores que utilizam sistemas como reconhecimento de emoções e categorização biométrica, e aqueles que geram ou manipulam imagens, áudio, vídeo e texto. Requisitos de transparência, como os incluídos no Artigo 50(5) da Lei da IA, criam requisitos adicionais para os utilizadores garantirem que, o mais tardar na primeira interação, o sistema de IA seja implementado de forma transparente.
O quadro para a supervisão e aplicação da Lei da IA está estabelecido.
A supervisão e aplicação da Lei da IA serão geridas tanto a nível dos Estados-Membros como a nível da UE, com funções e responsabilidades distintas atribuídas a várias autoridades. A nível dos Estados-Membros, cada país é obrigado a designar pelo menos uma “autoridade notificadora” responsável por avaliar e monitorizar os organismos de avaliação da conformidade, e pelo menos uma “Autoridade de Vigilância do Mercado” (AVM) para supervisionar o cumprimento por parte dos fornecedores, utilizadores e outras entidades dentro da cadeia de valor da IA. As AVMs recebem amplos poderes de vigilância do mercado, investigação e aplicação da lei, incluindo a capacidade de exigir informações, realizar inspeções no local, emitir ordens de conformidade, tomar medidas corretivas e impor sanções. Os Estados-Membros também são obrigados a estabelecer um único ponto de contacto para a Lei da IA, a fim de facilitar a comunicação e a coordenação. Todas as empresas sujeitas à Lei da IA devem cooperar plenamente com estas autoridades nacionais competentes.
A nível da UE, o Gabinete de IA, estabelecido pela Comissão Europeia, desempenha um papel fundamental no desenvolvimento de conhecimentos especializados, contribuindo para a implementação da legislação da UE sobre IA e supervisionando o cumprimento em relação aos modelos de IA de uso geral. O Conselho de IA, composto por representantes de cada Estado-Membro, aconselha e assiste a Comissão Europeia e os Estados-Membros para garantir a aplicação consistente e eficaz da Lei da IA. A Comissão Europeia também tem várias responsabilidades, como a preparação de documentação, a adoção de atos delegados e a gestão da base de dados para sistemas de IA de alto risco. Os poderes de execução disponíveis para as AVMs incluem multas significativas por incumprimento, estruturadas de acordo com a gravidade da infração, com as sanções mais elevadas aplicáveis a práticas de IA proibidas. Além disso, indivíduos e organizações têm o direito de apresentar queixas à sua AVM nacional se acreditarem que ocorreu uma infração da Lei da IA, promovendo os mecanismos de responsabilização da Lei.
Um glossário de termos usados na Lei de IA é compilado.
A Lei de IA da UE introduz numerosos termos técnicos e jurídicos. Compreender essas definições é crucial para que as empresas cumpram as disposições da Lei. Embora um glossário completo esteja além do escopo desta seção, termos-chave como “sistema de IA”, “modelo de IA de propósito geral”, “finalidade pretendida”, “uso indevido razoavelmente previsível”, “disponibilização no mercado”, “colocação no mercado”, “colocação em serviço” e “incidente grave” são fundamentais para interpretar e aplicar os requisitos da Lei. Essas definições, conforme estabelecidas no Artigo 3 da Lei de IA, delineiam os limites de seu escopo e as obrigações de vários atores. A interpretação consistente desses termos em toda a UE é necessária para a aplicação e execução uniformes da Lei de IA, garantindo um mercado harmonizado para tecnologias de IA.
Distinguir entre atores-chave, como “fornecedores” e “implementadores”, também é essencial, pois cada função acarreta responsabilidades distintas sob a Lei de IA. Um fornecedor é geralmente a entidade que desenvolve ou coloca um sistema de IA no mercado, enquanto um implementador usa o sistema de IA em suas operações. As responsabilidades de cada um, articuladas ao longo da Lei, estão intrinsecamente ligadas. Por exemplo, a comunicação clara da finalidade pretendida de um sistema de IA do fornecedor para o implementador é crucial para que o implementador use o sistema em conformidade com as instruções do fornecedor e com os requisitos mais amplos da Lei. Além disso, o conceito de “finalidade pretendida” é em si um termo definido, enfatizando a importância de interpretar os sistemas de IA e seu uso de acordo com as informações fornecidas pelo fornecedor.
Definições e Conceitos Chave
Para promover a alfabetização em IA e facilitar ainda mais a clareza, a Comissão da UE publicou diretrizes que especificam ainda mais a definição de “sistema de IA” sob a Lei de IA. Além da delimitação precisa fornecida por essas definições, uma compreensão mais ampla dos conceitos subjacentes — como a abordagem baseada em risco, transparência e supervisão humana — é importante. Sem uma compreensão firme dessas definições e conceitos críticos, a conformidade com a Lei de IA permanece um objetivo fugaz. Revisar e entender regularmente as orientações em evolução da Comissão da UE, do Gabinete de IA e do Conselho de IA será fundamental para manter uma interpretação precisa dos termos e definições da Lei.
Secções importantes de contacto estão listadas para diferentes membros da liderança e equipas da UE/Reino Unido.
Este documento culmina com secções de contacto abrangentes designadas tanto para pessoal de liderança como para membros das equipas da UE/Reino Unido. Estas secções servem como recursos essenciais para indivíduos que procuram expertise ou assistência específica relacionada com a conformidade com a Lei da IA. Ao fornecer acesso direto a indivíduos-chave dentro das respetivas equipas, o documento visa facilitar uma comunicação clara e eficiente, permitindo que as partes interessadas naveguem pelas complexidades da regulamentação da IA com maior facilidade. A comunicação adequada é fundamental nesta fase inicial de aplicação regulamentar, à medida que as autoridades e as organizações começam a lidar com as implicações práticas da Lei da IA da UE.
A inclusão de informações de contacto detalhadas para os membros da liderança sublinha a importância da supervisão executiva na conformidade com a Lei da IA. Estes indivíduos muitas vezes possuem a visão estratégica e a autoridade de tomada de decisão necessárias para orientar as organizações através do panorama regulamentar. Enquanto isso, a listagem dos membros da equipa da UE/Reino Unido reconhece as nuances regionais distintas da regulamentação da IA, reconhecendo que as estratégias de conformidade podem precisar de ser adaptadas a jurisdições específicas. Esta dualidade garante que as partes interessadas tenham acesso tanto a orientação estratégica de alto nível como a expertise prática relevante para as suas circunstâncias particulares. Em conjunto, estas secções priorizam informações de alto nível e práticas para orientar os utilizadores com as suas questões legais e de implementação relativas à lei.
