A inteligência artificial já tem regras na Europa. Farão todas sentido?

Desde que foi anunciado, muito se tem dito e escrito sobre o “AI Act” da União Europeia. O que é, afinal? Mais um exemplo da excessiva regulação do Velho Continente? Uma medida de proteção para utilizadores à semelhança do RGPD? Um documento redigido por burocratas que pouco conhecimento têm sobre o funcionamento de empresas ou organizações que trabalham com inteligência artificial?

Nos últimos cinco anos, esta nova framework esteve a ser desenvolvida por uma equipa liderada pelo italiano Gabriele Mazzini, que na semana passada foi um dos keynote speakers do Data Makers Fest, conferência tecnológica organizada no Porto e focada (como o nome indica) em dados e na sua utilização. Num evento marcado por apresentações de algoritmos, de KPIs e de melhores práticas para recolha e análise de dados, Mazzini foi o outlier, fazendo uma introdução ao “AI Act” e explicando a uma sala repleta de engenheiros, data analysts e developers, como é que a legislação poderia impactar o seu dia-a-dia.

A seguir à sua sessão, estive à conversa com Gabriele Mazzini com o objetivo de ficar a conhecer melhor não só o documento oficial e os bastidores do seu desenvolvimento, mas também o homem que liderou todo o processo. Nota importante: Mazzini já não está na Comissão Europeia e tem por isso agora mais liberdade para falar de alguns destes temas.

Quem é Gabriele Mazzini?

Sempre que alguém é escolhido para um cargo de alta responsabilidade, é natural olharmos para o seu percurso para percebermos se tem as competências necessárias para o desempenhar da melhor forma. Mazzini tem um background académico e profissional na área do Direito com forte ligação ao setor tecnológico:

• Pode praticar advocacia tanto em Itália como nos EUA; passou vários anos a trabalhar em startups; desempenhou alguns cargos na Comissão Europeia e é Fellow no MIT, tendo escrito um paper sobre como é que a inteligência artificial poderia impactar a lei europeia, antes de se juntar à taskforce do “AI Act”.

• “Em 2019, quando escrevi o paper, o meu foco principal era em quem pagava a conta se algo corresse mal. Se um drone atingisse alguém ou se um carro autónomo causasse um acidente. Tinha muito a ver com a componente da ética e olhar para as legislações de proteção do consumidor, de privacidade, de produtos e perceber se elas eram suficientes para a emergência da IA”, explica.

Nos bastidores do AI Act

O “AI Act” foi uma das iniciativas-chave de Ursula Von der Leyen assim que passou a liderar a Comissão Europeia a partir de 2019. Num dos seus primeiros discursos, prometeu ter no final dos primeiros 100 dias da sua governação uma primeira proposta para regular a inteligência artificial. Quem é que iria desenvolver essa proposta? O grupo liderado por Mazzini, precisamente. Apesar de já haver um grupo de trabalho de 50 pessoas que tinha feito bastante investigação sobre o tema, o investigador considera que o tempo dado não só foi curto, como a própria elaboração do documento não era o primeiro passo natural.

“No meu paper, eu introduzo a ideia de criar um sistema, não necessariamente uma nova legislação. A Comissão precisava de um sistema interno para pôr as peças a funcionar e colocar as pessoas a colaborar com as diferentes legislações existentes porque a IA acaba por ser transversal. Só assim seria possível encontrar falhas, e depois sim, perceber então que tipo de legislação seria necessária. A decisão de Von der Leyen foi diferente e começámos logo a trabalhar numa nova legislação”, conta Mazzini.

No contexto europeu, há três passos principais para uma nova lei ser aprovada. Primeiro, a Comissão desenha uma proposta e tem várias reuniões internas até concordar com uma primeira versão da mesma. Depois, o documento é apresentado ao Parlamento Europeu e ao Conselho Europeu que terão equipas a dar as suas notas e alternativas. Esta etapa é especialmente demorada, não só porque no Parlamento terá de haver um acordo entre diferentes áreas políticas e países, mas também porque a Presidência do Conselho Europeu muda de seis em seis meses, o que faz com que as prioridades mudem consoante a liderança de um novo Estado-Membro. Finalizadas as negociações, a lei é publicada com uma cronologia de implementação comum para todos os países.

• No caso do AI Act, a primeira proposta oficial foi apresentada pela Comissão Europeia em abril de 2021. A versão final acordada entre Comissão, Parlamento e conselho ficou fechada em dezembro de 2023.

• Porquê 2 anos e meio? Em dezembro de 2022, o lançamento de um tal de ChatGPT e o subsequente aparecimento de uma série de tecnologias de IA generativa levou a que vários stakeholders exigissem a integração de medidas que lhes dessem algum enquadramento legal.

“Desde 2018-2019, que já havia um conhecimento de Modelos de Processamento de Linguagem Natural no Conselho Europeu durante as Presidências Eslovena, Francesa e Checa. A tensão [sobre a IA generativa] era que o Conselho não queria regular a tecnologia por si só, até porque acaba por ser a componente de um produto, mas sim regular as situações de risco em que estes sistemas podiam ser utilizados”, partilha Gabriele Mazzini.

A estrutura final do AI Act

Na sua essência, a legislação é composta por duas partes: uma onde são identificados os diferentes cenários de risco em que a IA pode ser utilizada e os requisitos legais para organizações que operem nesses contextos; outra, focada em “General Purpose AI Systems”, com condições particulares para tecnologias de IA generativa.

Quais são os cenários de risco:

• Sistemas de IA proibidos, todos aqueles que tenham na base a exploração de vulnerabilidades ligadas a idade, género, raça; categorização através de sistemas biométricos; criação de indicadores de “social scoring”, entre outros.

• Sistemas de IA de alto risco, são os mais abordados na legislação e com mais exigência de “compliance” por parte de organizações na recolha, análise e utilização de dados em infraestruturas essenciais da sociedade como a Defesa, a Saúde, Educação, Emprego, entre outras.

• Sistema de IA de risco limitado, que incluem os chatbots e deepfakes, por exemplo, e obrigações de informações aos utilizadores finais de que estão a interagir com esse tipo de tecnologias.

• Sistemas de IA de risco mínimo, que, por exemplo, incluíam até 2021, as aplicações de videojogos que utilizavam IA no desenvolvimento e gameplay. Tem novas nuances com o capítulo dedicado à “IA generativa”.

Quais são os desafios no futuro?

Segundo Gabriel Mazzini, embora se tente criar leis abrangentes para várias indústrias, riscos e avanços tecnológicos futuros, é inevitável que surjam novos desafios durante a implementação destas leis. Eis alguns exemplos

• Falta expertise para aplicar a lei. “A maior parte dos Estados vão ter algumas dificuldades porque, no final do dia, é uma questão de competências que são raras haver nas administrações públicas em dados e machine learning. Os salários não são comparáveis e poderá haver no início alguma sub-implementação, e não será possível fazer tração de todas as situações. Teremos de esperar que a maior parte das empresas seja cooperativa mesmo sabendo que o risco de serem apanhadas não é muito alto.”

• Quem decide o quê. “Os diferentes cenários de risco são regulados por cada Estado-Membro, e os sistemas General Purpose AI regulados pela Comissão. Cada Estado-Membro terá liberdade para atribuir poderes a uma ou mais autoridades para implementar a lei. Dependendo da forma como isto é feito, poderão haver tensões internas em algumas decisões”.

• Europa vs o resto. “A ideia não é colocar as nossas empresas em desvantagem, porque as regras são iguais para todas as empresas que decidam operar no mercado europeu. Na prática, se és uma empresa europeia, o teu primeiro mercado, as primeiras relações que vais estabelecer são na Europa, e os teus sistemas IA terão de respeitar o ‘AI Act’. Uma empresa semelhante na China ou nos EUA não terá de cumprir essas regras, cresce no seu mercado doméstico, desenvolve produto, ganha escala e quando vem para Europa pode decidir ajustar-se numa fase de crescimento diferente”.

• Atualidade da lei, quando começar a ser aplicada em 2026. “É difícil dizer. Espero que esteja, o maior desafio será mesmo o capítulo sobre os modelos de General Purpose AI. Queremos que, independentemente da tecnologia de IA que seja utilizada, da sua arquitetura e das funções que desempenhe, haja um sistema de governança para a mesma. Por isso, a haver ajustes terá de ser nos requisitos exigidos para uma nova utilização que surja nos próximos dois anos”.