Primeiros passos para a conformidade: atendendo às obrigações iniciais sob a Lei de IA da UE
A Lei de Inteligência Artificial (IA) da União Europeia, que entrou em vigor em 1º de agosto de 2024, marca o primeiro quadro regulatório abrangente para a IA no mundo. Embora a maioria das disposições entre em vigor em 2 de agosto de 2026, alguns requisitos-chave, incluindo obrigações de alfabetização em IA, a definição de sistemas de IA e proibições de práticas proibidas, já começaram a valer a partir de 2 de fevereiro de 2025. Esses marcos iniciais sinalizam o início de um novo quadro regulatório para a IA em toda a Europa.
Para ajudar as empresas a navegarem por essas obrigações iniciais de conformidade, a Comissão Europeia lançou dois conjuntos de Diretrizes em fevereiro de 2025, incluindo aquelas que cobrem a definição de sistemas de IA e as práticas de IA proibidas. Embora essas diretrizes não sejam vinculativas, elas auxiliam as empresas a avaliarem como essas regras afetam suas operações de IA e garantem que estejam preparadas para a conformidade.
Este artigo descreve duas áreas críticas que as empresas precisam abordar a curto prazo: (1) a integração da alfabetização em IA como uma exigência operacional de conformidade e (2) a compreensão de como os sistemas de IA são definidos e quais práticas são proibidas sob a Lei.
Alfabetização em IA: um requisito de conformidade fundamental
A Lei de IA da UE exige a alfabetização em IA como um requisito de conformidade fundamental. As organizações que implementam IA devem garantir que seus funcionários, contratados e terceiros relevantes tenham as habilidades e conhecimentos necessários para implantar a IA de forma responsável e gerenciar os riscos associados.
O que a alfabetização em IA significa na prática
A alfabetização em IA não se resume apenas a oferecer programas de treinamento. De acordo com a Lei de IA da UE, é um requisito de conformidade demonstrável que as organizações garantam que todo o pessoal envolvido na implantação e supervisão de sistemas de IA compreenda tanto a tecnologia quanto seus riscos. Essa mudança coloca uma maior responsabilidade nas empresas para se concentrarem em programas educacionais significativos que demonstrem compreensão e aplicação, além de sessões de treinamento pontuais.
Um dos maiores desafios que as empresas enfrentam é a natureza em rápida evolução da tecnologia de IA. Os programas de alfabetização em IA devem ser adaptados para refletir os riscos específicos do setor e atualizados regularmente para acompanhar os desenvolvimentos tecnológicos rápidos. Organizações menores também podem ter dificuldade em alocar recursos para treinamentos abrangentes em IA, enquanto diferentes indústrias exigirão abordagens personalizadas para refletir os riscos específicos do setor.
Integração da governança e expectativas dos reguladores
Em vez de tratar a alfabetização em IA como uma obrigação isolada, as empresas devem integrá-la em suas estruturas existentes de governança e gerenciamento de riscos. Isso não apenas ajudará as organizações a construir uma cultura de uso responsável da IA, mas também aprimorará a supervisão da IA, melhorará a tomada de decisões e fortalecerá a confiança dos stakeholders. Embora a falha em implementar a alfabetização em IA não atraia penalidades diretas, os reguladores podem considerar isso ao determinar multas por violações mais amplas da Lei de IA.
Escopo e práticas de IA proibidas: entendendo os limites
A definição de sistema de IA é um pilar chave da Lei de IA, determinando quais tecnologias se enquadram em seu escopo.
Definindo um sistema de IA sob a Lei de IA: o que as empresas precisam saber
A Lei de IA da UE fornece uma definição baseada no ciclo de vida da IA, abrangendo tanto as fases de desenvolvimento (fase de construção) quanto de implantação (fase de uso). As Diretrizes sobre Sistemas de IA confirmam que, devido à ampla variedade de aplicações de IA, não é possível fornecer uma lista definitiva de sistemas de IA. Em vez disso, a IA é definida por sete elementos-chave:
- Um sistema baseado em máquina
- Projetado para operar com diferentes níveis de autonomia
- Que pode exibir adaptabilidade após a implantação
- Operando para objetivos explícitos ou implícitos
- Inferindo a partir de entradas para gerar saídas
- Produzindo previsões, conteúdos, recomendações ou decisões
- Influenciando ambientes físicos ou virtuais
No entanto, nem todos os sete elementos precisam estar presentes o tempo todo para que um sistema se qualifique como IA sob a Lei. A definição visa refletir a complexidade e diversidade dos sistemas de IA, garantindo ao mesmo tempo alinhamento com os objetivos da Lei de IA.
As organizações devem observar que essa definição não deve ser aplicada mecanicamente. Cada sistema deve ser avaliado individualmente com base em suas características específicas. Embora muitos sistemas de IA atendam à definição estabelecida na Lei de IA, nem todos estarão sujeitos a regulamentação. Em última análise, o Tribunal de Justiça da União Europeia será responsável por interpretações autoritativas da classificação do sistema de IA.
Práticas de IA proibidas: o que está fora dos limites?
O Artigo 5 da Lei de IA delineia práticas de IA que apresentam riscos inaceitáveis aos direitos fundamentais, à segurança pública e aos valores democráticos. Essas proibições serão revisadas anualmente pela Comissão Europeia, permitindo que a lista evolua ao longo dos desenvolvimentos tecnológicos.
Embora algumas proibições visem principalmente governos e autoridades policiais, outras têm implicações diretas para as empresas. Duas das restrições mais significativas que afetam aplicações comerciais de IA são a exploração de vulnerabilidades e a pontuação social.
Exploiting Vulnerabilities (Artigo 5(1)(b))
Sistemas de IA que exploram intencionalmente as vulnerabilidades dos indivíduos com base em idade, deficiência ou status socioeconômico, especialmente de crianças ou indivíduos em risco, resultando em danos significativos, são estritamente proibidos. As Diretrizes sobre Práticas de IA Proibidas definem vulnerabilidades de forma ampla, cobrindo suscetibilidades cognitivas, emocionais e físicas.
Um exemplo chave é os brinquedos com IA projetados para manipular crianças a se envolverem em comportamentos de risco, como passar tempo excessivo online ou tomar decisões inseguras. Outro exemplo inclui mecanismos viciantes impulsionados por IA, como cronogramas de reforço que exploram os loops de dopamina para aumentar o engajamento do usuário.
Social Scoring (Artigo 5(1)(c))
A pontuação social refere-se a sistemas de IA que avaliam ou classificam indivíduos com base em seu comportamento social, características pessoais ou traços inferidos, levando a tratamentos prejudiciais ou desproporcionais.
Essa proibição se aplica em dois casos: (1) quando a pontuação social resulta em consequências negativas em um contexto não relacionado, como usar os hábitos de gastos financeiros de um indivíduo para determinar sua empregabilidade; e (2) quando as consequências da pontuação social são desproporcionais ao comportamento avaliado.
As Diretrizes sobre Práticas de IA Proibidas e a recente jurisprudência, como o caso SCHUFA (C-634/21) e Dun & Bradstreet (C-203/22), ilustram como essas proibições serão aplicadas na prática. A profilação de indivíduos usando sistemas de avaliação impulsionados por IA pode se enquadrar nas práticas de IA proibidas, se todas as condições necessárias forem atendidas. No entanto, enquanto a maioria dos modelos de pontuação e avaliação de IA voltados para negócios provavelmente estará fora do escopo, as organizações devem scrutinizar o uso de dados e os critérios de pontuação para evitar violações não intencionais.
Por exemplo, em Dun & Bradstreet, uma empresa especializada em análise de dados relacionados a negócios, pontuação de crédito e avaliações de risco, é improvável que seja considerada como engajando em pontuação social proibida sob a Lei de IA. Seus modelos avaliam a saúde financeira de empresas e indivíduos para fins comerciais legítimos, em vez de avaliar indivíduos com base em comportamento social ou traços de personalidade. Por outro lado, como destacado nas Diretrizes sobre Práticas de IA Proibidas, uma companhia de seguros que coleta dados de transações bancárias — não relacionados à elegibilidade para seguro de vida — e os usa para ajustar preços de prêmios pode estar engajando em pontuação social proibida. As Diretrizes reconhecem que, embora certas práticas de pontuação sejam proibidas, muitos modelos de avaliação enriquecidos por IA não atendem aos critérios para pontuação social, significando que a maioria das práticas de pontuação orientadas para negócios estará fora do escopo dessa proibição.
Conclusão: preparando-se para a conformidade
As empresas devem avaliar se seus sistemas de IA se enquadram no escopo da Lei de IA, avaliar seus programas de alfabetização em IA e revisar suas ferramentas impulsionadas por IA em busca de riscos potenciais relacionados à exploração de vulnerabilidades ou pontuação social. Dadas as atualizações anuais à lista de práticas proibidas, as empresas também precisarão monitorar de perto os desenvolvimentos regulatórios para manter a conformidade.
Embora a Lei de IA apresente novos desafios regulatórios, também oferece um quadro para a governança responsável da IA. As empresas que adotam uma abordagem proativa à conformidade — integrando a alfabetização em IA em suas estruturas de governança, avaliando riscos de IA e garantindo uma implantação responsável — não apenas mitigarão a exposição legal, mas também alcançarão maturidade na governança de IA, fortalecerão a confiança do consumidor e melhorarão sua posição competitiva em uma economia impulsionada pela IA.
