Quatro Maneiras de Iniciar a Conformidade com a Lei de IA da UE
A Lei de Inteligência Artificial (IA) da União Europeia representa a primeira regulamentação abrangente de IA do mundo e está prestes a impactar empresas muito além das fronteiras da Europa. Esta legislação complexa regula o desenvolvimento, a implementação e o uso de sistemas de IA e modelos de IA de uso geral dentro da UE. Além disso, possui um escopo extraterritorial e imporá obrigações a muitas organizações baseadas nos EUA que desenvolvem, vendem ou usam tecnologias de IA.
Como se Preparar para a Conformidade nos EUA
A Lei de IA adota uma abordagem escalonada para sua aplicação. O primeiro conjunto de obrigações, sobre práticas de IA proibidas e alfabetização em IA, entrou em vigor em fevereiro de 2025. Os requisitos para provedores de modelos de IA de uso geral (GPAI) entrarão em vigor em 2 de agosto de 2025, e muitas das regras restantes estão programadas para entrar em vigor em 2 de agosto de 2026. Agora é a hora de as empresas dos EUA iniciarem suas jornadas de conformidade. A seguir, estão quatro passos essenciais para se preparar para esta nova legislação.
1. Determinar se sua organização está dentro do escopo
O primeiro passo é determinar se sua organização se enquadra no escopo da Lei de IA da UE. A Lei de IA se aplica amplamente a provedores, implantadores, importadores e distribuidores de sistemas de IA que operam na UE. Ela também possui um alcance extraterritorial, estendendo-se a organizações fora da UE que (1) colocam sistemas de IA no mercado da UE ou os colocam em serviço dentro da UE, ou (2) permitem que saídas de IA sejam usadas por indivíduos localizados na UE (sujeito a certas exceções). Dado este escopo expansivo, as obrigações de conformidade podem se aplicar a uma ampla gama de entidades baseadas nos EUA em diversas indústrias, incluindo provedores de serviços em nuvem, fornecedores de segurança e empresas que oferecem serviços como verificação de identidade, ferramentas de RH, chatbots de atendimento ao cliente, detecção de ameaças e sistemas de tomada de decisão baseados em IA.
2. Identificar onde seus sistemas de IA se situam no espectro de risco e se são GPAI
Se sua organização estiver coberta, o próximo passo é entender como seu produto se encaixa no espectro de risco da Lei de IA, que classifica os sistemas de IA com base em se eles representam risco inaceitável, alto risco, risco limitado ou risco mínimo. Esta classificação é essencial, pois cada nível tem obrigações distintas. As organizações devem inventariar os sistemas de IA atualmente em uso ou em desenvolvimento e avaliar quais sistemas se enquadram em qual nível para identificar os requisitos aplicáveis. As organizações devem ter especial cuidado em sinalizar produtos que possam ser considerados de alto risco ou potencialmente proibidos pela Lei.
Uma breve descrição dos níveis e suas respectivas obrigações segue:
- A Lei proíbe o uso de sistemas de IA em conexão com práticas específicas que envolvem risco inaceitável, como pontuação social por governos ou vigilância biométrica em tempo real.
- Sistemas de alto risco, como aqueles usados em infraestrutura crítica, recrutamento, educação, seguros de vida, aplicação da lei ou verificação de identidade, estão sujeitos a requisitos regulatórios rigorosos sob a Lei de IA. As obrigações para provedores desses sistemas incluem avaliações de risco obrigatórias, documentação técnica detalhada, mecanismos de supervisão humana e controles de cibersegurança e governança de dados.
- Certain limited-risk AI systems need to comply with minimal transparency and/or marking requirements. These obligations primarily fall on AI systems designed to interact directly with natural persons.
- Sistemas de IA de risco mínimo podem ser cobertos por futuros códigos de conduta voluntários a serem estabelecidos.
A Lei também possui regras específicas para GPAI, que entrarão em vigor em 2 de agosto de 2025, e se aplicam mesmo àqueles modelos colocados no mercado ou colocados em serviço antes dessa data. Esses modelos são treinados com uma grande quantidade de dados usando auto-supervisão em grande escala, que demonstram uma generalidade significativa e são capazes de realizar de maneira competente uma ampla gama de tarefas distintas. A Lei de IA impõe regras mais rigorosas (por exemplo, avaliações de modelo, planos de mitigação de risco, relatórios de incidentes e medidas de cibersegurança aprimoradas) para modelos que representam “riscos sistêmicos.”
3. Projetar um programa de governança e tomar medidas em direção à conformidade
Com a análise de aplicabilidade e o inventário de sistemas de IA concluídos, sua organização deve realizar uma avaliação de lacunas em relação às suas medidas de conformidade existentes. A partir daí, você pode identificar os passos que ainda precisam ser tomados. Criar playbooks interfuncionais para classificação, transparência e supervisão trará benefícios à medida que a Lei entre em vigor e a fiscalização comece. Exemplos das etapas que as organizações devem seguir para a prontidão de conformidade incluem:
- Governança Interna: Estabelecer comitês internos de governança de IA para rastrear casos de uso, atualizar registros de risco e envolver equipes de legal, conformidade e segurança.
- Documentação de Risco e Controles Técnicos: Manter documentação detalhada para sistemas de IA, especialmente aqueles categorizados como de alto risco. Implementar controles técnicos e realizar avaliações de risco regulares de acordo com os requisitos da Lei de IA.
- Mecanismos de Supervisão Humana: Garantir que pessoal qualificado possa entender, monitorar e, quando necessário, substituir processos de decisão automatizados para cumprir os requisitos de supervisão humana da Lei de IA.
- Supervisão de Terceiros e Alfabetização em IA: Envolver fornecedores, parceiros e contratados para confirmar que mantêm níveis apropriados de governança e alfabetização em IA, especialmente onde suas ferramentas ou serviços estão dentro do escopo da Lei de IA ou estão integrados em seus próprios sistemas de IA ou GPAI.
- Programas de Treinamento e Conscientização: Implementar um programa de treinamento em IA em toda a organização, com módulos aprimorados direcionados a funcionários diretamente envolvidos no desenvolvimento, implementação ou supervisão de IA.
- Prontidão Cibernética: Embora a Lei não especifique medidas específicas de proteção de dados, esse exercício oferece uma boa oportunidade para revisar e atualizar as práticas de dados e cibersegurança da sua organização. As organizações podem ter obrigações existentes em relação aos princípios de proteção de dados da UE, como minimização de dados, limitação de propósito e fontes de dados legais, especialmente ao lidar com dados de residentes da UE. Adicionar IA à mistura de produtos e serviços pode aumentar a complexidade, pois medidas de segurança adicionais podem ser necessárias para prevenir ataques adversariais, manipulação de modelos e acesso não autorizado, particularmente para sistemas de alto risco.
4. Fique de olho nos EUA (e em outras jurisdições)
Os EUA ainda não têm uma regulamentação nacional de IA análoga à Lei de IA; no entanto, isso não significa que as empresas possam ignorar os desenvolvimentos internos. Embora tanto a administração Biden quanto a administração Trump tenham emitido ordens executivas sobre IA, a formulação de políticas federais ainda está em estágios iniciais. Mas há muita atividade no nível estadual. Um robusto programa de conformidade deve acompanhar as novas leis federais e estaduais emergentes e considerar como elas interagem com a Lei de IA.
Um exemplo notável de uma lei estadual dos EUA é a Lei de Inteligência Artificial do Colorado, aprovada em 2024 e programada para entrar em vigor em 2026. Assim como a Lei de IA, ela utiliza uma abordagem baseada em risco e impõe obrigações a desenvolvedores e implantadores de sistemas de IA de alto risco. Mas também há diferenças-chave em relação à Lei de IA, como a lei do Colorado sendo mais limitada em escopo e definindo alto risco de forma mais geral, em vez de codificar usos específicos como alto risco.
As organizações também devem ficar atentas a outros mercados, pois outras jurisdições podem seguir o exemplo da UE na regulamentação da IA.
Conclusão
A preparação deve começar agora, pois a data efetiva de 2 de agosto de 2025 está se aproximando rapidamente. Essas etapas ajudarão os profissionais internos a operacionalizar esses requisitos legais e garantir a conformidade, mesmo em meio a um cenário legal em rápida mudança.
