O Parlamento Europeu aprovou a primeira Lei de Inteligência Artificial (AIA) do mundo, uma estrutura abrangente para combater o risco representado pela inteligência artificial (IA). Após dois anos e meio de debates e negociações políticas, essa decisão tornou a Europa o padrão global para a regulamentação da IA. Então, o que isso significa para nós e para a comunidade de IA em geral em 2024?
O que significa a Lei de IA da UE?
A UE reconheceu a necessidade fundamental de garantir o desenvolvimento seguro e protegido de sistemas de IA. A Lei da UE sobre IA foi introduzida para mitigar danos em áreas onde a utilização da IA representa riscos significativos para direitos fundamentais, como assistência médica, educação, serviços públicose vigilância de fronteira. Esta Lei estabelece regulamentos para modelos de IA de uso geral (GPAI) enfatizando transparência, rastreabilidade, não discriminação e respeito ao meio ambiente.
Além disso, a legislação exige que as empresas de tecnologia que desenvolvem tecnologias de IA produzam um resumo dos dados usados para modelos de treinamento, fornecer relatórios sobre os dados que estão sendo treinados e implementar avaliações de risco regulares para mitigar riscos e cumprir com os requisitos da Lei de IA da UE. Essas camadas adicionais garantem supervisão humana em vez de processos automatizados para evitar preconceitos, criação de perfis ou resultados perigosos e prejudiciais.
Além disso, o Parlamento Europeu propôs uma definição tecnologicamente neutra para IA a ser aplicada a futuros sistemas de IA.
Por que a Lei de IA da União Europeia (UE) é importante
Como esta é a primeira potência global a aprovar uma legislação de IA, podemos ver o que eventualmente se tornará padrões regulatórios mundiais. Além disso, isso pode ter um efeito bola de neve, com organizações específicas começando a introduzir regulamentações específicas do setor nos próximos anos. Curiosamente, o projeto de lei foi apresentado antes mesmo ChatGPT's introdução em novembro de 2022 e a explosão de ferramentas de IA generativas em 2023.
A Lei da IA da UE não entrará em vigor antes de 2025, permitindo que as empresas se ajustem e se preparem. Antes disso, as empresas serão incentivadas a seguir as regras em 2024 voluntariamente, mas não haverá penalidades caso não o façam. No entanto, quando a lei for finalmente implementada, as empresas que violarem as regras da Lei de IA poderão enfrentar multas de até 35 milhões de euros ou entre 1,5% a 7% de suas vendas globais no ano fiscal anterior (veja abaixo para mais detalhes).
O que a Lei de IA da UE restringe?
A lei de inteligência artificial do Conselho da União Europeia impõe proibições e restrições a diversos usos da IA. Aqui estão algumas práticas que são proibidas pela nova legislação:
- Remoção indiscriminada e não direcionada de grandes quantidades de dados biométricos É proibido o uso de imagens faciais de redes sociais ou vídeos para criar ou expandir bancos de dados de reconhecimento facial. Isso também inclui sistemas de reconhecimento facial e de emoções em locais públicos, como locais de trabalho, patrulha de fronteira, aplicação da lei e ambientes educacionais. No entanto, existem certas exceções de segurança, como o uso de IA para detectar quando um motorista está adormecendo. A tecnologia de reconhecimento facial por parte das autoridades policiais é restrita a usos como identificação de vítimas de terrorismo, sequestro e tráfico de pessoas.
- Também é proibido o uso de sistemas de pontuação social por autoridades públicas para avaliar a conformidade dos cidadãos. Isso ocorre porque pode levar a resultados discriminatórios, injustiça e exclusão de grupos específicos. Sistemas de IA que manipulam o comportamento das pessoas para influenciar ou orientar suas decisões são proibidos. Por exemplo, a manipulação direcionada de conteúdo em mídias sociais e outras plataformas para fins políticos ou comerciais é proibida. Qualquer operador de sistemas que crie mídia manipulada deve divulgar isso aos usuários.
- Além disso, qualquer sistema de IA que avalie pessoas físicas ou grupos em busca de risco e definição de perfis para delinquência é proibido. Isso proíbe ferramentas que preveem a ocorrência ou recorrência de uma contravenção ou crime com base na criação de perfil de uma pessoa usando características e dados como localização ou comportamento criminoso passado.
- Os provedores de modelos de base também devem enviar resumos detalhados dos dados de treinamento para a construção de seus modelos de IA.
Essas proibições e muitas outras são categorizadas em diferentes níveis de risco na Lei de IA da UE, que dependem da gravidade. Vejamos esses níveis de risco:
Regras para diferentes níveis de risco na Lei de IA
A Lei de IA da UE segue uma abordagem regulatória baseada em risco, categorizando as aplicações de IA em quatro níveis. Isso significa que quanto maior o risco, mais rigorosa a governança.
- Risco inaceitável: Um sistema de IA categorizado como um "risco inaceitável" representa uma ameaça para nós, humanos. A manipulação cognitiva do comportamento das pessoas, a pontuação social e alguns usos de sistemas biométricos se enquadram nessa classe. A única exceção aqui é para a aplicação da lei, mas mesmo isso é limitado para usos específicos.
- Alto risco: Sistemas de IA que afetam a segurança humana e nossos direitos fundamentais serão considerados de alto risco. Isso inclui sistemas de pontuação de crédito e solicitações automatizadas de seguro. Todos os sistemas de alto risco, como o modelo avançado GPT-4, serão rigorosamente verificados por meio de avaliações de conformidade antes de serem lançados no mercado e serão monitorados continuamente ao longo de seu ciclo de vida. As empresas também devem registrar o produto em um banco de dados da UE.
- Risco limitado: Ferramentas de IA como chatbots, deepfakes e recursos como personalização são considerados de "risco limitado". As empresas que fornecem esses serviços devem garantir que sejam transparentes com seus clientes sobre a finalidade de uso de seus modelos de IA e o tipo de dados envolvidos.
- Risco mínimo: Para ferramentas e processos que se enquadram no "risco mínimo", o projeto de Lei de IA da UE incentiva as empresas a terem um código de conduta garantindo que a IA esteja sendo usada de forma ética.
Proteções de modelos de IA de uso geral
Após longa deliberação sobre a regulamentação de "modelos fundamentais" na Lei de IA da UE, chegou-se a um acordo na forma de uma abordagem em camadas. O acordo concentra-se na terminologia em torno de modelos/sistemas de IA de uso geral ("GPAI") e define as obrigações em dois níveis:
- Nível 1: várias obrigações uniformes para todos os modelos GPAI.
- Nível 2: um conjunto adicional de obrigações para modelos GPAI com riscos sistêmicos.
Obrigações de Nível 1: Como parte do Nível 1, todos os provedores de modelos GPAI devem cumprir os requisitos de transparência, que exigem o desenvolvimento de documentação técnica com resumos detalhados sobre o conteúdo utilizado no treinamento. Além disso, essas organizações devem cumprir a lei de direitos autorais da UE para garantir o uso ético do conteúdo.
Obrigações de Nível 2: Os modelos GPAI que abrangem risco sistêmico serão considerados de segunda linha. Os modelos GPA de segunda linha estarão sujeitos a obrigações mais rigorosas, incluindo a avaliação de modelos de IA, a avaliação e mitigação de riscos, o uso de medidas de segurança adequadas, a notificação de incidentes graves, a garantia de medidas de segurança adequadas e a emissão de relatórios sobre eficiência energética. Para que os modelos GPAI com alto nível de risco cumpram a Lei de IA da UE em seu estado atual, recomenda-se que sigam os códigos de prática até que as normas da UE sejam formalizadas e publicadas.
Estrutura para Execução e Penalidades
De acordo com o Conselho Europeu, a Lei de IA da UE será aplicada pelas autoridades nacionais de fiscalização de mercado competentes de cada Estado-Membro. Além disso, um Gabinete de IA da UE, que será um novo órgão regulador dentro da Comissão Europeia, definirá as normas e os mecanismos de execução para as novas regras sobre os modelos GPAI.
Haverá penalidades financeiras por violações da Lei de IA da UE, mas diversos fatores, como o tipo de sistema de IA, o porte da empresa e a extensão da violação, determinarão as multas. As penalidades variam de:
- 7,5 milhões de euros ou 1,5% da receita bruta de uma empresa (o que for maior), se as informações fornecidas estiverem incorretas.
- 15 milhões de euros ou 3% da receita bruta de uma empresa (o que for maior) por violar as obrigações da lei de IA da UE.
- 35 milhões de euros ou 3% da receita bruta de uma empresa (o que for maior) por violações de aplicativos de IA proibidos.
Além disso, com base nas negociações, empresas menores e startups podem ter uma chance, já que a Lei de IA da UE estabelecerá limites para multas para garantir que sejam proporcionais a essas organizações.
Lei de IA da UE: dificultando a inovação ou promovendo a segurança de dados?
Não podemos negar que a Lei de IA da UE é necessária para garantir a segurança dos dados. No entanto, há uma linha tênue entre atingir esse objetivo e dificultar a inovação. O presidente francês, Emmanuel Macron, ecoou esses sentimentos, argumentando que as regras históricas poderiam tornar Empresas tecnológicas europeias ficam atrás dos rivais nos Estados Unidos, Reino Unido e China.
No entanto, de acordo com o projeto de IA da UE, certas salvaguardas integradas são projetadas para proteger e manter os avanços inventivos da IA. A intenção é encontrar um equilíbrio entre a gestão de riscos e, ao mesmo tempo, promover inovações de IA de uso geral.
Nos próximos meses, esperamos que a UE esclareça aspectos legais sobre como os governos podem usar a IA em vigilância biométrica e para a segurança nacional. Os governos nacionais da UE, liderados pela França, já obtiveram certas isenções para alguns usos da IA nas forças armadas ou na defesa.
Como ainda há um bom tempo até a entrada em vigor, ainda podemos ver alguns detalhes sendo ajustados até lá. Portanto, 2024 promete ser um ano de tomada de decisões significativas.
Como o BigID ajuda a proteger o desenvolvimento da IA e a reduzir os riscos da IA
A Lei da IA da UE é um novo quadro jurídico para o desenvolvimento IA em que o público possa confiar. Reflete o compromisso da UE em impulsionar a inovação, garantir o desenvolvimento da IA, a segurança nacional e os direitos fundamentais das pessoas e das empresas.
À medida que essas organizações alavancam IA e Grandes Modelos de Linguagem (LLMs) como ChatGPT (Nível 2), esses modelos dependem fortemente de dados não estruturados para fins de treinamento. BigID fornece uma solução completa para governar e proteger dados durante todo o ciclo de vida do desenvolvimento da IA, com a capacidade de identificar informações pessoais e sensíveis em dados estruturados e não estruturados fontes. Com o BigID, as organizações podem:
- Descubra informações pessoais e confidenciais em conjuntos de treinamento de IA, incluindo segredos e senhas, dados de clientes, dados financeiros, IP, confidenciais e muito mais.
- Compreender as identidades específicas cujos dados estão sendo usados para treinamento de IA.
- Classifique, rotule e marque dados por tipo, regulamentação, sensibilidade e até mesmo finalidade de uso – em dados estruturados, dados não estruturados, no local ou na nuvem.
- Adote a IA com segurança criando políticas para uso de dados em toda a organização.
- Gerenciar, proteger e governar a IA com protocolos robustos de privacidade, conformidade e segurança, permitindo confiança zero e mitigando riscos internos.
- Avalie o risco dos dados e fornecer rapidamente relatórios às autoridades reguladoras da UE.
Agende uma demonstração com nossos especialistas para ver como o BigID pode ajudar sua organização a reduzir riscos e cumprir com os requisitos da Lei de IA da UE.
Autor
