O PL 2.338/2023 está mais rigoroso do que o AI Act
A frase do título deste artigo resume as contribuições que apresentei na audiência pública de ontem (04.09.2024) da Comissão Temporária de Inteligência Artificial do Senado Federal, promovida pelo Senador Astronauta Marcos Pontes, da qual participei como especialista convidado.
Embora eu reconheça o árduo trabalho que senadores e colegas da comissão de juristas fizeram e continuam fazendo para que tenhamos um marco legal de IA bastante abrangente e detalhado no Brasil, cada vez que me debruço sobre o texto do Projeto de Lei 2.338/2023 do Senado vejo que sua redação ainda carece de melhorias significativas para que as disposições sejam factíveis e efetivamente amigáveis à inovação.
Inclusive, em vários trechos, parece que foram importadas apenas as regras e obrigações do AI Act da União Europeia – uma das legislações mais rigorosas que temos sobre IA no mundo – enquanto as exceções acabaram sendo deixadas de lado.
Para ajudar colegas e seguidores a acompanharem pontos do PL 2.338/2023 que, a meu ver, ainda precisam ser melhorados, separei abaixo críticas e sugestões que apresentei na audiência de ontem no Senado Federal.
Vale ressaltar que minhas considerações sobre o PL não se limitam aos pontos abaixo trazidos. No entanto, em respeito aos minutos que são concedidos aos expositores nas audiências públicas, separei 4 pontos que entendo cruciais para o atual momento dos debates.
1. DIREITOS AUTORAIS
O que queremos enquanto sociedade?
Sistemas mais ou menos seguros?
Bem ou mal treinados?
Sistemas que alucinam ou que não alucinam?
Respostas a essas perguntas passam pela ampla possibilidade de treinamento de IA a partir de diversidade relevante de dados disponíveis.
Quando falamos de treinamento de IA, não estamos falando apenas sobre lucro. Estamos falando sobre a importância de termos, enquanto sociedade, sistemas mais seguros, íntegros e confiáveis, o que deveria ser prioridade para uma legislação sobre o tema.
Portanto, defendo que tenhamos uma redação legal que melhor equilibre direitos autorais e a necessidade de treinamento de IA. Nesse sentido, uma alternativa seria ter um texto legal que possibilitasse o uso de obras legalmente disponíveis, ao menos quanto à análise computacional de tais obras, respeitadas condições que também preservaram direitos dos titulares.
2. EXTENSÃO DA APLICAÇÃO DA LEI
O PL 2.338/2023 prevê, a meu ver equivocadamente, a aplicação da integralidade da lei às etapas de testagem ocorridas previamente à colocação do sistema no mercado.
Isso abre margem para um problemático cenário em que empresas seriam punidas por alegadas violações à legislação de IA mesmo na fase em que erros e falhas precisam aparecer. Nem no AI Act é assim (vide artigo 2º, 9, do AI Act).
Quanto a isso, entendo que a legislação brasileira deveria encorajar – e não punir – erros e falhas que são diagnosticados previamente à colocação do sistema em mercado.
Por fim, ainda falando em exceções, lá no AI Act há também exceção de aplicação da lei a sistemas distribuídos sob licenças de código-aberto, que é outra flexibilização importante para o fomento à inovação que não aparece no atual texto do PL 2.338/2023.
3. “EXPLICABILIDADE”
Explicabilidade em IA não é algo criado pelo PL 2.338/2023. No entanto, trata-se de conceito aberto, amplo, carente de alto grau de subjetividade em sua interpretação e que, embora não definido, aparece 3x na atual redação do projeto de lei em referência.
Aliás, a proposta legislativa traz requisitos de transparência somados a uma suposta obrigação de explicabilidade, indicando que explicabilidade é algo mais do que o dever de transparência já especificado no texto do projeto.
O ponto aqui é que a humanidade está caminhando para desenvolver sistemas de IA cada vez mais complexos e, consequentemente, menos “explicáveis”. Inclusive, o que mais escuto de times de tecnologia é: se eu soubesse explicar, eu mesmo faria o código, em vez de utilizar uma IA.
Portanto, para que o dever de explicabilidade não seja um freio injustificado à evolução tecnológica, parece fazer sentido que o projeto de lei foque em requisitos de transparência que sejam objetivos e claros, pautados na divulgação de informações disponíveis aos atores de IA (sempre respeitados segredos de negócio). Com isso, evitaremos conceitos abstratos que podem levar a obrigações impossíveis de serem cumpridas.
4. AVALIAÇÕES
A atual redação do PL 2.338/2023 prevê, basicamente, 2 tipos de avaliações: (i) avaliação preliminar, que atinge todo e qualquer sistema de IA, e (ii) avaliação de impacto algorítmico.
Em relação às avaliações preliminares, a margem de liberdade dos atores de IA para sua condução é bastante pequena. Estamos falando de uma análise mandatória, formal, registrada, documentada e que deve ser armazenada por 5 anos, tanto por desenvolvedores de IA como pelos aplicadores (organizações que adotam IA).
O problema é que, num piscar de olhos, tudo vai ter ou ser IA. De tão pulverizada e banalizada enquanto tecnologia, a IA vai, praticamente, virar sinônimo de software.
Nesse sentido, não parece razoável exigir que todas as organizações realizem análise formal e documental antes de adotarem softwares, ainda mais tendo que armazenar tais análises por 5 anos.
O custo de compliance disso chega a ser inestimável, sendo essa mais uma obrigação não prevista de forma expressa no AI Act. Aliás, é esse tipo de obrigação que atrai o argumento de que o PL 2.338 traz um nível excessivo de imposição burocrática, sendo entrave à inovação.
Sobre isso, alguém poderia dizer que seria impossível avaliar o risco de um sistema sem que existissem essas avaliações prévias formais e mandatórias, mas não é bem assim. Basta lembrar que a Lei Geral de Proteção de Dados (LGPD) também traz obrigações aplicáveis somente a tratamentos de dados de alto risco, mas nem por isso seu legislador impôs obrigação no sentido de se exigir que cada atividade de tratamento contasse com uma avaliação prévia, formal e documentada, a ser armazenada por 5 anos.
No caso da legislação de IA que se desenha, o desafio de se identificar sistemas de alto risco é ainda menor, já que tal condição acabará sendo especificada pela própria legislação e/ou por regulamentação complementar.
Além disso, quanto à avaliação de impacto algorítmico, me parece um contrassenso que a lei preveja obrigação geral de publicação de suas conclusões. Se bem feita, uma avaliação de impacto vai evidenciar riscos a serem mitigados, sendo que sua exposição pública, como regra geral, não me parece a melhor estratégia regulatória.
Nesse ponto, para além de questões relativas ao segredo comercial/industrial, devemos considerar a concreta possibilidade de que as conclusões das avaliações de impacto sejam utilizadas por agentes maliciosos para explorar fragilidades e vulnerabilidades de sistemas de IA, em prejuízo das próprias pessoas afetadas.
Portanto, me parece bastante claro que, nesse caso, o bônus de eventual publicidade de conclusões de avaliação de impacto não supera o ônus.
Esses foram os pontos que explorei durante minha exposição ontem no Senado. Se chegou até aqui, recomendo fortemente que assista ao conteúdo completo da audiência, que também contou com a participação de Courtney Lang (ITI-EUA), Ronaldo Lemos (ITS-Rio), Matthew Reisman (CIPL-EUA) e Christina Aire (CNI).