Obrigações do Ato de IA da UE: Treinamento Obrigatório e Práticas Proibidas
A partir de 2 de fevereiro de 2025, os provedores e implantadores de sistemas de IA precisarão garantir a alfabetização em IA entre suas equipes, além de eliminar práticas proibidas de IA.
O Ato de IA da UE entrou em vigor em 1º de agosto de 2024, e as primeiras obrigações sob o Ato se tornarão aplicáveis em 2 de fevereiro de 2025. Provedores e implantadores de sistemas de IA devem assegurar que seus funcionários e contratados que utilizam IA tenham um nível adequado de alfabetização em IA, por exemplo, implementando treinamentos. Certas práticas de IA também serão proibidas a partir dessa data, devendo ser evitadas ou removidas do mercado da UE.
Alfabetização em IA
Quais são as obrigações de treinamento em IA que minha empresa deve cumprir?
O artigo 4 do Ato de IA impõe um requisito de alto nível para a alfabetização em IA: “Os provedores e implantadores de sistemas de IA devem adotar medidas para garantir, na melhor extensão possível, um nível suficiente de alfabetização em IA de seus funcionários e outras pessoas que lidam com a operação e uso de sistemas de IA em seu nome, levando em consideração seu conhecimento técnico, experiência, educação e treinamento, além do contexto em que os sistemas de IA serão utilizados.”
As empresas, portanto, têm flexibilidade significativa na elaboração do conteúdo e formato de seu treinamento em IA para seus funcionários, a fim de atender a essa obrigação até 2 de fevereiro. Embora contrabalançar alegações de não conformidade seja desafiador se as empresas não implementarem nenhuma forma de treinamento ou recursos de aprendizagem em IA, defender-se contra reguladores ou reclamantes civis que argumentem que o treinamento em IA fornecido foi inadequado será muito mais fácil. Um treinamento básico é certamente melhor do que não fazer nada nesse contexto.
Quais são as consequências da não conformidade com as obrigações de alfabetização em IA?
Não haverá multas diretas ou outras sanções aplicáveis pela violação dos requisitos de alfabetização em IA sob o artigo 4 do Ato de IA. A partir de 2 de agosto de 2026 (quando as disposições sobre sanções do Ato de IA se tornarem aplicáveis), provedores e implantadores de sistemas de IA poderão enfrentar responsabilidade civil, por exemplo, se o uso de sistemas de IA por funcionários que não foram adequadamente treinados causar danos a consumidores, parceiros comerciais ou terceiros. Além disso, os reguladores provavelmente criticarão a não conformidade óbvia com os requisitos de alfabetização em IA em quaisquer investigações futuras.
O que as empresas podem fazer agora?
Um primeiro passo útil é analisar quais treinamentos ou outros recursos para alcançar a alfabetização em IA a empresa forneceu a sua força de trabalho no passado — e documentar essas medidas para evidenciar conformidade e se defender contra futuras investigações de reguladores ou reclamações de terceiros.
Se uma análise não for viável ou indicar lacunas no treinamento em IA, as empresas podem optar por implementar rapidamente medidas de alfabetização em IA para fechar as lacunas existentes de forma eficiente e eficaz antes de 2 de fevereiro de 2025.
Falhar em garantir conformidade com as obrigações de alfabetização em IA antes de 2 de fevereiro traz riscos particulares em todas as jurisdições dos Estados-Membros da UE onde os regimes de responsabilidade de diretores ou gerentes se aplicam.
Soluções Práticas para Mitigar Riscos
- Avaliar necessidades de treinamento em IA: Avaliar programas de treinamento atuais para identificar lacunas em alfabetização em IA.
- Documentar medidas existentes: Manter registros de todas as iniciativas de treinamento para demonstrar conformidade.
- Escolher uma abordagem em camadas: Nem todas as áreas de negócios ou funcionários precisarão ter o mesmo grau de alfabetização em IA. Oferecer um treinamento básico geral a todos os funcionários e implementar treinamentos mais sofisticados ou específicos para funções conforme necessário, de forma faseada.
- Consultar seus assessores legais: Eles podem ajudar a implementar workshops de alfabetização em IA ou cursos online adaptados às necessidades de suas diversas equipes.
Práticas Proibidas de IA
Quais práticas de IA o Ato de IA proíbe?
O artigo 5 do Ato de IA lista várias práticas e casos de uso de IA proibidos. Essas práticas proibidas são descritas em termos relativamente gerais, o que deixa espaço para interpretação e requer uma análise nuanceada para determinar sua aplicação na prática. As práticas proibidas incluem:
- Sistemas de IA manipulativos: Sistemas de IA que utilizam técnicas subliminares além da consciência da pessoa para alterar significativamente o comportamento, potencialmente causando danos físicos ou psicológicos. As empresas devem evitar implantar IA que manipule o comportamento dos consumidores de maneiras prejudiciais.
- Sistemas de IA exploratórios: Sistemas de IA que exploram vulnerabilidades de grupos específicos, como crianças ou indivíduos com deficiência, para alterar significativamente o comportamento de maneira prejudicial. Isso inclui práticas de marketing que tiram proveito dessas vulnerabilidades.
- Análise de emoções no local de trabalho: Sistemas de IA que realizam análise de emoções ou categorização biométrica de funcionários no local de trabalho, o que pode levar a violações de privacidade e práticas discriminatórias. As empresas devem evitar usar IA para monitorar ou avaliar estados emocionais de funcionários.
- Classificação social para fins comerciais injustos: Sistemas de IA utilizados para classificação social que avaliam ou classificam indivíduos com base em seu comportamento social ou características pessoais, levando a um tratamento desfavorável ou injustificado.
Quais são as consequências da não conformidade com as proibições do artigo 5 do Ato de IA?
O artigo 99 do Ato de IA prevê sanções severas para a prática de atividades de IA proibidas, incluindo multas de até o maior valor entre €35 milhões ou 7% do faturamento global do ano anterior por violação. Como mencionado anteriormente, o regime de sanções sob o Ato de IA se aplicará a partir de 2 de agosto de 2026. Em geral, a legislação da UE não prevê multas retroativas. No entanto, a prática de atividades de IA proibidas em violação ao artigo 5 a partir de 2 de fevereiro de 2025 (quando o artigo 5 se torna aplicável) pode levar à responsabilidade civil, administrativa ou penal sob outras leis da UE ou dos Estados-Membros da UE, como responsabilidade por produtos ou direito civil geral. As autoridades de proteção de dados da UE podem argumentar que o processamento de dados pessoais no curso de práticas de IA proibidas pode constituir uma violação sancionável das regras do GDPR.
O que as empresas podem fazer agora?
As empresas podem acessar várias maneiras práticas de mitigar os riscos de se envolver em práticas de IA proibidas pelo artigo 5 do Ato de IA. Embora o curso usual dos negócios apresente baixo risco para muitas empresas, problemas potenciais são mais suscetíveis de surgir devido à descrição ambígua dessas atividades proibidas no Ato de IA. Por exemplo, a definição de inferência emocional impulsionada por IA no local de trabalho ou técnicas manipulativas em processos de negócios é altamente ambígua na prática.
Assim, no processo de alcançar estruturas robustas de conformidade de acordo com o Ato de IA, as empresas devem identificar, avaliar e documentar os sistemas de IA que utilizam em seus processos de negócios. Em particular, devem analisar sistemas que podem potencialmente se enquadrar nas categorias de práticas de IA proibidas. Se o escopo do artigo 5 parecer pouco claro em relação a uma prática de IA específica, as empresas devem documentar sua justificativa para determinar que o uso relevante de IA não se enquadra na proibição.
Soluções Práticas para Mitigar Riscos
- Identificar e avaliar sistemas de IA: Revisar sistemas de IA para garantir que eles não se enquadrem em categorias proibidas.
- Documentar esforços de conformidade: Documentar a justificativa de por que certos usos de IA não violam as proibições do artigo 5.
- Outros objetivos possíveis: Analisar sistemas de IA para atividades de alto risco potenciais e garantir que as obrigações de transparência sejam atendidas.
