Código de Prática para Modelos de IA: Novas Diretrizes de Conformidade

Código de Prática para Modelos de IA de Uso Geral Publicado: Conformidade Fica Mais Clara (Participação Ainda Opcional)

Em 11 de julho de 2025, a Comissão Europeia publicou a versão final do seu Código de Prática para Inteligência Artificial (IA) de Uso Geral (GPAI). Este Código serve como uma ferramenta para provedores de modelos GPAI, ajudando-os a cumprir as disposições de transparência, direitos autorais e segurança estabelecidas no Ato de IA (art. 53 e 55), que se tornará aplicável em 2 de agosto de 2025. A adesão ao Código é voluntária.

Desenvolvido por especialistas independentes através de um processo de múltiplas partes interessadas, o Código de Prática é estruturado em torno de três capítulos: (i) Transparência, (ii) Direitos Autorais, e (iii) Segurança e Proteção. Este último capítulo é dirigido aos provedores de modelos GPAI que apresentam risco sistêmico e não será discutido neste alerta.

Capítulo 1: Transparência

Os provedores de modelos GPAI estão sujeitos às obrigações de transparência estabelecidas no artigo 53(1)(a) e (b) do Ato de IA. Assim, eles são obrigados a elaborar e atualizar a documentação sobre o funcionamento de seus modelos GPAI e fornecer tais informações ao Escritório de IA, autoridades nacionais e provedores subsequentes de sistemas de IA que utilizam seus modelos GPAI. Além das especificações nos Anexos XI e XII do Ato de IA, os provedores agora podem se comprometer com o capítulo de Transparência do Código de Prática. Três medidas são delineadas no Código de Prática:

Medida 1.1 – Elaboração e manutenção da documentação atual do modelo

Por força do Ato de IA, os provedores de modelos GPAI devem elaborar e atualizar a documentação cobrindo, entre outros, as tarefas que o modelo GPAI pode realizar, o tipo e a natureza dos sistemas de IA nos quais pode ser integrado, políticas de uso aceitável, informações técnicas (arquitetura, parâmetros, modalidades, formatos de entrada e saída), informações sobre a distribuição e a licença. As obrigações variam ligeiramente dependendo se a documentação é destinada ao Escritório de IA e às autoridades nacionais (Anexo XI), ou aos provedores subsequentes (Anexo XII).

O resultado mais concreto do Código de Prática é o Modelo de Documentação. Este formulário contém as informações mínimas que os provedores de modelos GPAI se comprometem a fornecer e podem escolher completar o Modelo de Documentação para cumprir esse compromisso. As informações que devem ser disponibilizadas (mediante solicitação) ao Escritório de IA, autoridades competentes nacionais e/ou provedores subsequentes são reunidas em um único formulário, com uma indicação de para qual destinatário cada item de informação é destinado.

Medida 1.2 – Fornecimento de informações relevantes

Os provedores de modelos GPAI devem divulgar publicamente informações de contato por meio de seu site ou através de “outros meios apropriados”, para que o escritório de IA e os provedores subsequentes possam solicitar acesso a informações relevantes, especialmente as contidas no Modelo de Documentação.

O próprio Modelo de Documentação lembra ao provedor que as informações aos provedores subsequentes devem ser fornecidas proativamente, enquanto as informações destinadas ao Escritório de IA devem estar disponíveis mediante solicitação do Escritório de IA. Ele também resume o que deve ser mencionado na solicitação e faz algumas observações relacionadas às informações a serem divulgadas e às obrigações de confidencialidade às quais o Escritório de IA (e as autoridades competentes nacionais) estão sujeitos.

Medida 2.3 – Garantindo qualidade, integridade e segurança das informações

Os provedores de modelos GPAI signatários permanecem responsáveis pela qualidade e integridade das informações documentadas, que servem como evidência de conformidade com o Ato de IA. Eles são “incentivados” a garantir a qualidade e a segurança das informações e registros, seguindo “protocolos e padrões técnicos estabelecidos”.

Capítulo 2: Direitos Autorais

O Ato de IA contém referências explícitas à “lei da União sobre direitos autorais e direitos relacionados”. A interação entre as obrigações regulatórias no Ato de IA e a lei de direitos autorais (harmonizada a nível da UE, mas essencialmente ainda governada pela lei nacional) é complexa, não menos devido ao efeito extraterritorial do Ato de IA.

O capítulo de Direitos Autorais do Código de Prática fornece orientações sobre a aplicação adequada da obrigação dos provedores de modelos GPAI de implementar uma “política para cumprir a lei da União sobre direitos autorais e direitos relacionados”, em particular, no que diz respeito à exceção para mineração de texto e dados e ao “opt-out” no artigo 4(3) da Diretiva 2019/790 (art. 53(1)(c) do Ato de IA). A obrigação de divulgar informações sobre o conteúdo utilizado para treinar os modelos GPAI não é coberta no Código de Prática.

Curiosamente, os considerandos do capítulo de direitos autorais exigem que os signatários “reconheçam” que a lei de direitos autorais da União é fornecida em diretivas e identifica as Diretivas 2001/29 e 2019/790 como particularmente relevantes em relação ao Ato de IA (rec. (c)(i)). No entanto, o provedor de modelo GPAI signatário permanece responsável por verificar se sua política de direitos autorais também cumpre a implementação nacional da lei da União (ponto 2 do compromisso 1 – política de direitos autorais).

Medida 1.1 Elaborar, manter atualizado e implementar uma política de direitos autorais

De acordo com o Código de Prática, os provedores de modelos GPAI devem “elaborar, manter atualizado e implementar” uma política de direitos autorais, que devem descrever em um único documento. Sugere-se (mas não é obrigatório) que um resumo da política seja disponibilizado publicamente.

Medida 1.2 Reproduzir e extrair apenas conteúdo protegido por direitos autorais acessível legalmente ao coletar dados na Web

Os provedores de modelos GPAI que usam rastreadores da Web para coletar dados de treinamento são obrigados a se comprometer a não contornar “medidas de proteção tecnológica efetivas” (como previsto no art. 6(3) da Diretiva 2001/29) e a excluir sites que são conhecidos por infringir direitos autorais “de forma persistente e repetida” em larga escala comercial (como reconhecido por tribunais ou autoridades públicas na UE ou no EEE).

Medida 1.3 Identificar e cumprir reservas de direitos ao coletar dados na Web

Rastreadores da Web utilizados (direta ou indiretamente) pelos provedores de modelos GPAI devem observar a reserva de direitos legíveis por máquina sob o artigo 4(3) da Diretiva 2019/790. O Código de Prática agora menciona explicitamente o Protocolo de Exclusão de Robôs (robots.txt) como um protocolo a ser seguido. Outros “protocolos legíveis por máquina apropriados” para expressar reservas de direitos podem surgir, e os signatários do Código se comprometem a identificar e cumprir quaisquer protocolos que sejam adotados por organizações de padronização internacionais ou europeias ou que sejam “state of the art”. Enfatiza-se a importância de discussões voluntárias e de boa-fé sobre o desenvolvimento de padrões técnicos viáveis.

Um compromisso notável é solicitado àqueles provedores de modelos GPAI que também fornecem motores de busca na Web: esses provedores devem observar os opt-outs expressos, por exemplo, nos arquivos robots.txt, mas devem garantir que isso não leve a “efeitos adversos” na apresentação desse conteúdo nos resultados de busca do motor de busca. A ideia é limitar o risco de “retaliação” por optar por não ser rastreado por bots de IA.

Medida 1.4 Mitigar o risco de saídas que infrinjam direitos autorais

Os provedores de modelos GPAI são obrigados a adotar “salvaguardas técnicas apropriadas e proporcionais” para prevenir saídas infratoras e proibir o uso infrator de direitos autorais pelos usuários em sua “política de uso aceitável”. Este compromisso destaca uma tensão interessante entre o Ato de IA, que parece satisfeito com o melhor esforço do provedor para prevenir a infração de direitos autorais, e muitas leis nacionais de direitos autorais, que adotam uma abordagem de responsabilidade estrita em relação à infração de direitos autorais.

Medida 1.5 Designar um ponto de contato e permitir o registro de reclamações

Finalmente, os signatários se comprometem a designar um ponto de contato para comunicação eletrônica com titulares de direitos afetados e a implementar um mecanismo para lidar com reclamações sobre não conformidade com os compromissos no capítulo de direitos autorais do Código de Prática.

Conclusão

Com este Código de Prática, a Comissão está incentivando os provedores de modelos GPAI a cumprir o Ato de IA de uma maneira prática, mas sem remover as incertezas jurídicas quanto à interpretação do Ato de IA. O Código de Prática especifica corretamente que, em última análise, apenas a interpretação do Tribunal de Justiça da União Europeia é vinculativa.

Embora o Modelo de Documentação seja potencialmente uma ferramenta prática útil, questões complexas sobre a interação entre o Ato de IA e a lei de direitos autorais da UE e nacional, algumas das quais foram destacadas acima, estão em necessidade ainda mais urgente de resposta.

Dado que a adesão ao Código de Prática é voluntária e as vantagens de se comprometer com ele não são garantidas, resta saber se ele terá um impacto significativo no funcionamento do mercado interno, na adoção de IA centrada no ser humano e confiável e no alto nível de proteção da saúde, segurança e direitos fundamentais consagrados na Carta da UE.