Padrões de IA na UE: Equilibrando Inovação e Regulação

Quais são as principais características do panorama da normalização da IA?

O panorama europeu da normalização da IA está atualmente a ser moldado por vários fatores-chave. As normas harmonizadas ao abrigo da Lei da IA da UE são concebidas para proporcionar uma via clara para a marcação CE e facilitar o acesso ao mercado da UE para os sistemas de IA. No entanto, o processo de normalização envolve dinâmicas complexas entre as partes interessadas, obstáculos à implementação técnica e custos potencialmente significativos, especialmente para as startups e PME. As normas técnicas estão a remodelar a concorrência global da IA e a atuar como barreiras à entrada no mercado, particularmente para as startups e PME devido a limitações de recursos e à participação desigual nos processos de definição de normas.

Principais Partes Interessadas e Comités

O panorama é povoado por múltiplas partes interessadas, incluindo organismos de normalização, operadores do setor, grupos da sociedade civil e organizações científicas. Os principais comités de normalização incluem:

• ISO/IEC JTC 1/SC 42 (IA): Um comité internacional com numerosas normas publicadas e em desenvolvimento.
• Comité de Normas de IA do IEEE: Outro interveniente importante com normas existentes e futuras.
• CEN-CENELEC JTC 21 (IA): Um comité europeu conjunto que trabalha no desenvolvimento de normas em conformidade com a Lei da IA da UE.

Além disso, os organismos nacionais de normalização, como o DIN na Alemanha, colaboram com organismos internacionais para equilibrar os esforços nacionais e internacionais.

Normas Horizontais vs. Verticais

Os principais desafios da normalização dependem do tipo de norma em consideração:

• Normas Horizontais: As normas independentes do setor, descritas na Lei da IA, aplicam-se geralmente. No entanto, a ambiguidade e a complexidade surgem no cumprimento devido a diferentes interpretações entre os setores e os Estados-Membros.
• Normas Verticais: Podem ser necessárias normas específicas do setor em complemento às normas horizontais, dependendo da legislação existente. Isto é particularmente relevante para máquinas, dispositivos médicos e outros setores com regulamentos setoriais estabelecidos.

A interação entre as normas horizontais e verticais apresenta desafios significativos de conformidade, especialmente no que diz respeito à transparência, interoperabilidade e diferentes requisitos de sigilo entre os Estados-Membros da UE.

Desafios e Preocupações Relativos ao Processo de Normalização da Lei da IA

Vários desafios impedem o processo de normalização, incluindo:

• Prazos Críticos: Os prazos apertados definidos pela Comissão Europeia podem ser difíceis de cumprir, dada a complexidade da construção de consensos e a necessidade de alinhar com as necessidades de normalização globais e setoriais.
• Dinâmicas Complexas entre as Partes Interessadas: As grandes empresas, particularmente as gigantes tecnológicas e de consultoria dos EUA, dominam frequentemente os comités de normalização, levando à sub-representação das PME, das startups e das organizações da sociedade civil.
• Custos Injustificáveis: O custo de acesso às normas levanta preocupações, especialmente à luz do caso Malamud, que explora se as normas harmonizadas devem ser livremente acessíveis como parte do direito da UE.
• Obstáculos à Operacionalização: Transformar as normas em passos acionáveis é difícil. Isto pode ser resolvido através de Normas Inteligentes legíveis por máquina para automatizar as capacidades de teste.

Os curtos prazos de implementação entre as publicações finais das normas e a aplicação da Lei da IA constituem uma preocupação significativa.

Qual é o estado atual do processo de normalização europeu de IA?

A Lei de IA da UE depende fortemente de normas técnicas para operacionalizar os seus requisitos de alto risco, mas o processo de normalização enfrenta alguns obstáculos. A Comissão Europeia emitiu um pedido de normalização ao CEN e CENELEC em maio de 2023, com o objetivo de definir requisitos acionáveis para sistemas de IA. No entanto, o prazo original foi inicialmente definido para abril de 2025; agora foi prorrogado para agosto de 2025. Mesmo com esta extensão, a entrega atempada é incerta. Após a finalização das normas, estas terão de passar por outra revisão e poderão ser publicadas no JOUE, o que está atualmente previsto para o início de 2026. Os fornecedores de IA terão então apenas aproximadamente 6–8 meses para as implementar até agosto de 2026.

Atualmente, mais de 300 especialistas de mais de 20 Estados-Membros da UE estão a trabalhar para especificar os requisitos de alto risco da Lei de IA e, atualmente, o CEN-CENELEC JTC 21 está a trabalhar em cerca de 35 atividades de normalização para dar cumprimento ao pedido. A maioria dos elementos de trabalho baseia-se ou é co-desenvolvida com normas ISO/IEC, mas muitos aspetos da Lei de IA exigem novas normas europeias para alinhamento com os valores da UE e a proteção dos direitos fundamentais.

O pedido de normalização da Comissão Europeia delineou dez elementos entregáveis essenciais que abordam os principais requisitos regulamentares – desde a gestão de riscos à avaliação da conformidade. Os elementos entregáveis incluem:

• Gestão de Riscos para Sistemas de IA
• Governança e Qualidade de Dados de Conjuntos de Dados
• Registo Através de Capacidades de Registo Incorporadas
• Transparência e Informação aos Utilizadores
• Supervisão Humana dos Sistemas de IA
• Especificações de Precisão para Sistemas de IA
• Especificações de Robustez para Sistemas de IA
• Especificações de Cibersegurança para Sistemas de IA
• Gestão da Qualidade para Fornecedores de Sistemas de IA, Incluindo o Processo de Monitorização Pós-Comercialização
• Avaliação da Conformidade para Sistemas de IA

O trabalho está em curso, mas as datas de votação previstas para boa parte dos elementos de trabalho são esperadas para meados de 2026, excedendo o prazo do pedido de normalização em mais de um ano. Embora tenham sido feitos alguns progressos no sentido da definição de normas de IA, os atrasos podem afetar a capacidade dos fornecedores de IA para implementarem sistemas seguros e conformes.

Que conclusões podem ser tiradas das implicações intersetoriais e específicas da indústria dos padrões de IA?

Com base em entrevistas com organizações da UE que desenvolvem e implementam sistemas de IA, várias implicâncias intersetoriais e específicas da indústria dos padrões de IA emergem, decorrentes principalmente dos próximos regulamentos do AI Act da UE.

Descobertas Intersetoriais

Vários desafios e oportunidades abrangentes atravessam diferentes indústrias:

• Ambiguidade e Complexidade na Conformidade: Definir fronteiras de conformidade é difícil, especialmente quando os sistemas integram múltiplos componentes ou modelos de terceiros. Requisitos de sigilo divergentes entre os estados membros da UE exacerbam essas questões, criando conflitos operacionais. A ambiguidade da classificação (e.g., sistemas que evoluem do suporte ao design para o controle operacional) também é uma preocupação crítica. Mesmo organizações familiarizadas com as estruturas regulatórias existentes lutam para alinhar os requisitos do AI Act.
• Demandas de Recursos: O AI Act exige recursos significativos. Os provedores de IA preveem custos anuais de conformidade de cerca de €100.000 para pessoal e 10-20% do tempo da gestão. Os custos de certificação podem exceder €200.000 em setores como tecnologia médica e tecnologia jurídica. Esses custos sobrecarregam as startups que procuram voluntariamente a certificação para minimizar a incerteza regulatória.
• Impacto na Reputação do Mercado: Empresas estabelecidas na área da saúde e tecnologia jurídica veem a regulamentação como potencialmente benéfica para a confiança do mercado, outras temem barreiras de inovação baseadas na padronização. As PMEs temem que os requisitos de conformidade afetem desproporcionalmente sua capacidade de escalar, potencialmente fazendo com que percam terreno para jurisdições com menores encargos regulatórios.
• Participação Assimétrica na Definição de Padrões: A participação limitada na padronização entre as PMEs e as startups significa que as empresas menores podem estar em desvantagem. Os esforços de padronização dentro dos comitês JTC 21 são frequentemente dominados por grandes corporações.
• Jurisdições Fragmentadas: Discrepâncias entre as estruturas regulatórias atrasam a entrada no mercado da UE, tornando outros mercados (e.g., os EUA) mais atraentes. Interpretações variáveis entre os estados membros da UE criam desafios de implementação. As empresas expressam preocupação com atrasos e inconsistências nos processos de certificação com base em experiências passadas.
• Prazos Curtos de Implementação: As empresas veem o prazo de agosto de 2026 como impraticável e estimam precisar de 12 meses por padrão. Os prazos podem desviar significativamente os recursos das atividades de desenvolvimento.

Descobertas Específicas da Indústria

Certas setores enfrentam desafios específicos e obtêm benefícios específicos:

• Saúde e MedTech: Esses setores estão alavancando a experiência existente de conformidade com o MDR. Há valor no potencial da padronização para melhorar a interoperabilidade.
• Fabricação: A padronização antecipa um alinhamento estreito entre as normas técnicas, ISO 9001, ISO 31000 e Protocolos da Indústria 4.0. Documentação abrangente é necessária para decisões baseadas em IA.
• Tecnologia Jurídica: Manter trilhas de auditoria detalhadas para saídas de IA é intensivo em recursos, especialmente ao lidar com dados confidenciais do cliente. Eles preveem que o cumprimento de padrões de alto risco pode estabelecê-los como líderes em IA ética e melhorar a confiança do cliente.
• FinTech: Existem preocupações sobre requisitos excessivamente prescritivos que podem favorecer as instituições estabelecidas, e estão especificamente preocupadas em serem semelhantes às experiências com a implementação do PSD2. A padronização é vista como criadora de confiança, mas as empresas menores se preocupam com a possibilidade de requisitos de conformidade complexos sobrecarregá-las.

Além disso, as normas técnicas afetarão os setores de mobilidade/automotivo e de defesa, mesmo que partes desses setores fiquem fora do escopo direto do AI Act. Os fornecedores de IA em mobilidade veem os padrões como uma faca de dois gumes.

O setor de defesa, excluído por motivos de segurança nacional, enfrenta pressão indireta por meio de impactos no ecossistema. Embora não estejam diretamente regulamentadas, as empresas de defesa monitoram de perto os impactos dos padrões na disponibilidade de modelos de IA de código aberto e nos padrões gerais de IA.

Em conclusão, embora os padrões de IA ofereçam oportunidades para melhor transparência, segurança e interoperabilidade, sua implementação eficaz requer uma consideração cuidadosa dos desafios enfrentados por organizações menores, a necessidade de orientações mais claras e o potencial de fragmentação regulatória para dificultar a inovação no ecossistema de IA da UE.

Que recomendações de política são apresentadas para enfrentar os desafios colocados pela Lei Europeia de IA?

A Lei Europeia de IA, inovadora como é, apresenta obstáculos significativos para os desenvolvedores de IA, particularmente startups e PMEs. Uma das principais conclusões de análises recentes é a necessidade de políticas práticas e acionáveis para suavizar o caminho para a conformidade. Aqui está uma análise das recomendações:

Ajustes no Cronograma: Mais Tempo para Respirar

Os prazos atuais são irrealistas. A lacuna entre a publicação esperada das normas harmonizadas (início de 2026) e o prazo de conformidade (agosto de 2026) deixa apenas 6 a 8 meses para a implementação. Muitas empresas estimam que precisam de pelo menos 12 meses por norma. A recomendação é clara: o legislador da UE deve adiar os prazos de implementação para fornecer prazos mais realistas. Isso é crucial para permitir que as empresas escolham sua abordagem de conformidade ideal, seja confiando em normas harmonizadas, especificações comuns ou opiniões de especialistas. Reduzir a complexidade e o número de normas técnicas referenciadas também é recomendado.

Redução das Barreiras à Participação: Um Lugar à Mesa para Todos

O envolvimento das partes interessadas, especialmente de PMEs e startups, é vital. No entanto, o processo de normalização tende a ser dominado por empresas maiores. Aqui está o que precisa acontecer: Subsídios para organizações menores participarem de comitês são essenciais. É necessário aumentar a transparência e a acessibilidade para os programas de subsídio existentes. Esforços colaborativos de normalização entre grandes e pequenos participantes, promovidos por meio de grupos de trabalho inclusivos, podem ajudar a criar um processo mais equilibrado e representativo. Além disso, os órgãos de normalização devem ser reestruturados para serem mais transparentes e fáceis de usar, simplificando os processos de entrada para os recém-chegados.

Auxílio Prático à Implementação: Uma Mão Amiga para Navegar na Complexidade

O Gabinete de IA da UE e as autoridades de supervisão nacionais devem fornecer ferramentas de orientação pragmáticas para a conformidade com a Lei de IA, visando especificamente as PMEs. As recomendações incluem: Emitir kits de ferramentas de implementação e estruturas de avaliação claras e específicas para cada setor. Construir redes de especialistas baseadas em canais de comunicação bidirecional com indústrias de IA de alto risco. Oferecer apoio em ambientes institucionalizados, como sandboxes regulatórios. O objetivo é tornar o processo de conformidade mais gerenciável e compreensível, especialmente para aqueles com recursos limitados.

Apoio Financeiro: Financiando o Futuro da Conformidade com a IA

O apoio financeiro direto é fundamental para as startups em fase de pré-receita que buscam a conformidade com a Lei de IA. Os programas propostos devem fornecer financiamento para cobrir os custos de conformidade antes que as empresas comecem a gerar receita. Esse apoio pode ser facilitado por meio da participação em sandboxes regulatórios, permitindo que startups e reguladores aprendam com experiências práticas.

Diretrizes Técnicas de Implementação: Clareza Onde é Necessário

Orientação de implementação rápida, prática e específica do setor é essencial, especialmente para pequenas startups com dificuldades em determinar se se enquadram nas categorias de IA de alto risco da Lei de IA. As ações recomendadas incluem: Desenvolvimento de documentos de orientação detalhados e específicos para cada setor, com exemplos concretos e cenários do mundo real. Os órgãos de normalização também devem procurar criar normas que não exijam operacionalização adicional, concentrando-se em requisitos baseados em limiares e acesso digital mais fácil.

Integração Estruturada de PMEs: Canais de Consulta Direta

Estabelecer fóruns consultivos e painéis científicos, conforme descrito no Art. 67 da Lei de IA, garantindo que esses órgãos incluam representação de startups, PMEs e especialistas da indústria setorial. Desenvolver canais de consulta direta entre startups/PMEs de IA e órgãos reguladores, apoiados por pontos de contato claros ao nível da UE. Estas medidas destinam-se a garantir que as perspectivas e os desafios dos pequenos intervenientes sejam tidos em conta na orientação da implementação e nas discussões em curso. Os organismos da UE devem contactar mais ativamente as startups/PMEs.

Alinhamento de Normas: Consistência é Fundamental

Finalmente, recomenda-se que os órgãos de normalização alinhem as normas verticais específicas do setor com o Art. 40 da Lei de IA para sistemas de IA de alto risco. As normas europeias e internacionais de IA devem estar alinhadas o mais estreitamente possível para agilizar os esforços de conformidade das empresas. Os organismos de normalização internacionais, europeus e nacionais devem cooperar mais estreitamente. Além disso, devem ser evitadas presunções negativas de conformidade, permitindo desvios necessários dos catálogos de normas, garantindo ao mesmo tempo a segurança do produto. Aproveitar as normas existentes para facilitar a entrada em mercados internacionais, mantendo a consistência e a interoperabilidade.