A histórica lei de inteligência artificial da União Europeia entra oficialmente em vigor na quinta-feira — e significa mudanças difíceis para os gigantes da tecnologia norte-americanos.
A Lei de IA, uma regra histórica que visa governar a maneira como as empresas desenvolvem, usam e aplicam IA, recebeu aprovação final dos estados-membros da UE, legisladores e da Comissão Europeia — o órgão executivo da UE — em maio.
A CNBC analisou tudo o que você precisa saber sobre o AI Act — e como ele afetará as maiores empresas globais de tecnologia.
O que é a Lei de IA?
O AI Act é uma parte da legislação da UE que rege a inteligência artificial. Proposta pela primeira vez pela Comissão Europeia em 2020, a lei visa abordar os impactos negativos da IA.
O alvo principal serão as grandes empresas de tecnologia dos EUA, que atualmente são as principais construtoras e desenvolvedoras dos sistemas de IA mais avançados.
No entanto, muitas outras empresas estarão sob o escopo das regras — até mesmo empresas não tecnológicas.
O regulamento estabelece uma estrutura regulatória abrangente e harmonizada para IA em toda a UE, aplicando uma abordagem baseada em risco para regular a tecnologia.
Tanguy Van Overstraeten, chefe da área de tecnologia, mídia e tecnologia do escritório de advocacia Linklaters em Bruxelas, disse que a Lei de IA da UE é “a primeira do gênero no mundo”.
“É provável que isso tenha impacto em muitas empresas, especialmente aquelas que desenvolvem sistemas de IA, mas também aquelas que os implantam ou simplesmente os utilizam em determinadas circunstâncias.”
A legislação aplica uma abordagem baseada em risco para regular a IA, o que significa que diferentes aplicações da tecnologia são regulamentadas de forma diferente, dependendo do nível de risco que representam para a sociedade.
Para aplicações de IA consideradas de “alto risco”, por exemplo, obrigações rigorosas serão introduzidas sob o AI Act. Tais obrigações incluem sistemas adequados de avaliação e mitigação de risco, conjuntos de dados de treinamento de alta qualidade para minimizar o risco de viés, registro de rotina de atividade e compartilhamento obrigatório de documentação detalhada sobre modelos com autoridades para avaliar a conformidade.
Exemplos de sistemas de IA de alto risco incluem veículos autônomos, dispositivos médicos, sistemas de tomada de decisão de empréstimos, pontuação educacional e sistemas de identificação biométrica remota.
A lei também impõe uma proibição geral a quaisquer aplicações de IA consideradas “inaceitáveis” em termos de nível de risco.
Aplicações de IA de risco inaceitável incluem sistemas de “pontuação social” que classificam cidadãos com base na agregação e análise de seus dados, policiamento preditivo e o uso de tecnologia de reconhecimento emocional no local de trabalho ou nas escolas.
O que isso significa para as empresas de tecnologia dos EUA?
Gigantes dos EUA como Microsoft, Google, Amazonas, Maçãe Meta têm feito parcerias agressivas e investido bilhões de dólares em empresas que acreditam poder liderar em inteligência artificial em meio a um frenesi global em torno da tecnologia.
Plataformas de nuvem como Microsoft Azure, Amazon Web Services e Google Cloud também são essenciais para dar suporte ao desenvolvimento de IA, dada a enorme infraestrutura de computação necessária para treinar e executar modelos de IA.
Nesse sentido, as grandes empresas de tecnologia estarão, sem dúvida, entre os nomes mais visados pelas novas regras.
“O AI Act tem implicações que vão muito além da UE. Ele se aplica a qualquer organização com qualquer operação ou impacto na UE, o que significa que o AI Act provavelmente se aplicará a você, não importa onde você esteja”, disse Charlie Thompson, vice-presidente sênior da EMEA e LATAM da empresa de software empresarial Appian, à CNBC por e-mail.
“Isso trará muito mais escrutínio sobre os gigantes da tecnologia quando se trata de suas operações no mercado da UE e seu uso de dados de cidadãos da UE”, acrescentou Thompson.
A Meta já restringiu a disponibilidade de seu modelo de IA na Europa devido a preocupações regulatórias — embora essa medida não tenha sido necessariamente devido à Lei de IA da UE.
No início deste mês, a proprietária do Facebook disse que não disponibilizaria seus modelos LLaMa na UE, citando incertezas sobre sua conformidade com o Regulamento Geral de Proteção de Dados da UE, ou GDPR.
A empresa já havia recebido ordens para interromper o treinamento de seus modelos em postagens do Facebook e Instagram na UE devido a preocupações de que isso pudesse violar o GDPR.
Como a IA generativa é tratada?
A IA generativa é rotulada na Lei de IA da UE como um exemplo de inteligência artificial de “uso geral”.
Este rótulo se refere a ferramentas que são projetadas para realizar uma ampla gama de tarefas em um nível semelhante — se não melhor — que um humano.
Os modelos de IA de uso geral incluem, mas não estão limitados a, GPT da OpenAI, Gemini do Google e Claude da Anthropic.
Para esses sistemas, a Lei de IA impõe requisitos rigorosos, como respeitar a lei de direitos autorais da UE, emitir divulgações de transparência sobre como os modelos são treinados e realizar testes de rotina e proteções adequadas de segurança cibernética.
Nem todos os modelos de IA são tratados igualmente, no entanto. Os desenvolvedores de IA disseram que a UE precisa garantir que os modelos de código aberto — que são gratuitos para o público e podem ser usados para construir aplicativos de IA personalizados — não sejam regulamentados de forma muito rigorosa.
Exemplos de modelos de código aberto incluem LLaMa da Meta, Stable Diffusion da Stability AI e 7B da Mistral.
A UE estabelece algumas exceções para modelos de IA generativa de código aberto.
Mas para se qualificar para isenção das regras, os provedores de código aberto devem tornar seus parâmetros, incluindo pesos, arquitetura do modelo e uso do modelo, disponíveis publicamente, e permitir “acesso, uso, modificação e distribuição do modelo”.
Modelos de código aberto que representam riscos “sistêmicos” não contarão para isenção, de acordo com a Lei de IA.
É “necessário avaliar cuidadosamente quando as regras são acionadas e o papel das partes interessadas envolvidas”, disse Van Overstraeten.
O que acontece se uma empresa violar as regras?
Empresas que violam a Lei da UE sobre IA poderia ser multado entre 35 milhões de euros (US$ 41 milhões) ou 7% de suas receitas anuais globais — o que for maior — a 7,5 milhões ou 1,5% das receitas anuais globais.
O tamanho das penalidades dependerá da infração e do tamanho da empresa multada.
Isso é mais alto do que as multas possíveis sob o GDPR, a rigorosa lei de privacidade digital da Europa. As empresas enfrentam multas de até 20 milhões de euros ou 4% do faturamento global anual por violações do GDPR.
A supervisão de todos os modelos de IA abrangidos pelo escopo da Lei — incluindo sistemas de IA de uso geral — ficará a cargo do Gabinete Europeu de IA, um órgão regulador criado pela Comissão em fevereiro de 2024.
Jamil Jiva, chefe global de gestão de ativos da empresa de tecnologia financeira Linedata, disse à CNBC que a UE “entende que precisa aplicar multas significativas às empresas infratoras se quiser que as regulamentações tenham impacto”.
Semelhante à forma como o GDPR demonstrou a maneira como a UE poderia “flexibilizar sua influência regulatória para impor as melhores práticas de privacidade de dados” em nível global, com a Lei de IA, o bloco está novamente tentando replicar isso, mas para IA, acrescentou Jiva.
Ainda assim, vale a pena notar que, embora a Lei de IA tenha finalmente entrado em vigor, a maioria das disposições da lei não entrarão em vigor antes de 2026.
As restrições aos sistemas de uso geral não começarão até 12 meses após a entrada em vigor da Lei de IA.
Os sistemas de IA generativa atualmente disponíveis comercialmente — como o ChatGPT da OpenAI e o Gemini do Google — também recebem um “período de transição” de 36 meses para colocar seus sistemas em conformidade.