As 12 obrigações dos prestadores e dos responsáveis por IA de risco elevado previstas no AI Act

Resumo

• As obrigações dos prestadores e dos responsáveis por IA de risco elevado abrangem 12 deveres previstos no AI Act para garantir segurança, transparência e respeito aos direitos fundamentais.
• O regulamento adota abordagem baseada no risco, impondo regras mais rigorosas para sistemas que afetam áreas sensíveis da sociedade.
• Os deveres incluem gestão de riscos, governança de dados, documentação técnica, supervisão humana e monitoramento contínuo.
• Há exigências formais de conformidade, como avaliação prévia, declaração UE, marcação CE e registro em base oficial.
• O modelo europeu tende a influenciar a regulação da inteligência artificial em outras jurisdições, inclusive no Brasil.

Introdução

As obrigações dos prestadores e dos responsáveis por IA de risco elevado tornaram-se um dos pontos centrais da nova regulação europeia sobre inteligência artificial. 

O Regulamento (UE) 2024/1689, conhecido como AI Act, estabelece um conjunto detalhado de 12 deveres jurídicos destinados a garantir que sistemas de inteligência artificial sejam desenvolvidos e utilizados de forma segura, transparente e compatível com os direitos fundamentais.

Como já vimos anteriormente, a União Europeia adotou uma abordagem baseada no risco. 

Nesse modelo, os sistemas de inteligência artificial são classificados conforme o nível de risco que podem representar para a sociedade. 

Entre essas categorias, os sistemas de IA de risco elevado recebem atenção especial do legislador. 

Eles estão sujeitos a um regime jurídico mais rigoroso, justamente porque podem afetar áreas sensíveis da vida social, como trabalho, crédito, segurança pública, infraestrutura crítica e administração da justiça.

Nesse contexto, o AI Act dedica uma parte importante do seu texto à definição de deveres específicos para os diferentes atores envolvidos no ciclo de vida da inteligência artificial. 

A Seção 3 do regulamento, especialmente nos artigos 16 a 27, estabelece um conjunto de obrigações destinadas tanto aos prestadores que desenvolvem e colocam sistemas de IA no mercado quanto aos responsáveis pela sua utilização.

Essas regras abrangem aspectos como gestão de riscos, qualidade dos dados utilizados para treinar os sistemas, documentação técnica, transparência, supervisão humana, monitoramento contínuo e comunicação de incidentes. 

O objetivo é criar um modelo de governança capaz de reduzir danos potenciais e aumentar a confiança na utilização da inteligência artificial.

Compreender essas obrigações é essencial para entender como a regulação da inteligência artificial está sendo construída no plano internacional. Também permite identificar tendências que podem influenciar o desenvolvimento do Direito Digital em outras jurisdições.

Vamos analisar em detalhes neste texto as 12 obrigações dos prestadores e dos responsáveis por IA de risco elevado, quais sejam:

Vamos começar pelo cumprimento de requisitos.

1. Assegurar que os seus sistemas de IA de risco elevado cumpram os requisitos estabelecidos na Seção 2

A primeira obrigação diz respeito ao tema tratado no assunto anterior, sobre inteligência artificial de risco elevado.

Em resumo, os requisitos que descrevemos no texto foram:

• Sistema de gestão de riscos
• Governança de dados
• Documentação técnica
• Manutenção de registros
• Transparência e prestação de informações
• Supervisão humana
• Exatidão, solidez e cibersegurança

Os sete pontos estão detalhados no artigo anterior, ao qual remetemos o leitor.

2. Indicar os contatos

A segunda das obrigações dos prestadores e dos responsáveis por IA de risco elevado é simplesmente indicar no sistema ou, se tal não for possível, na embalagem ou na documentação que o acompanha, conforme o caso, os dados de contato do responsável, ou mais especificamente:

• o seu nome
• o nome comercial registrado ou a marca registrada
• o endereço no qual podem ser contactados

O objetivo da obrigação é permitir que os usuários tenham ao menos alguma forma de encontrar os responsáveis, seja para obter suporte ou até para acioná-los judicialmente, caso seja necessário.

3. Dispor de um sistema de gestão da qualidade

Os responsáveis por sistemas de IA de risco elevado precisam dispor de um sistema de gestão da qualidade que assegure a conformidade com o AI Act.

O sistema de gestão da qualidade deve estar documentado de maneira sistemática e ordenada, sob a forma de políticas, procedimentos e instruções escritos, e incluir, no mínimo, os seguintes aspetos, descritos no artigo 17o:

• Uma estratégia para o cumprimento da regulamentação, incluindo a observância de procedimentos de avaliação da conformidade e de procedimentos de gestão de modificações do sistema de IA de risco elevado;
• Técnicas, procedimentos e ações sistemáticas a utilizar para a conceção, controle da conceção e verificação da conceção do sistema de IA de risco elevado;
• Técnicas, procedimentos e ações sistemáticas a utilizar para o desenvolvimento, controle da qualidade e garantia da qualidade do sistema de IA de risco elevado;
• Procedimentos de exame, teste e validação a realizar antes, durante e após o desenvolvimento do sistema de IA de risco elevado e a frequência com a qual têm de ser realizados;
• Especificações técnicas, incluindo normas, a aplicar e, se as normas harmonizadas em causa não forem aplicadas na íntegra, ou não abrangerem todos os requisitos pertinentes estabelecidos na Seção 2, os meios a usar para assegurar que o sistema de IA de risco elevado cumpra esses requisitos;
• Sistemas e procedimentos de gestão de dados, incluindo aquisição de dados, recolha de dados, análise de dados, rotulagem de dados, armazenamento de dados, filtragem de dados, prospecção de dados, agregação de dados, conservação de dados e qualquer outra operação relativa aos dados que seja realizada antes e para efeitos da colocação no mercado ou colocação em serviço de sistemas de IA de risco elevado;
• O sistema de gestão de riscos a que se refere o artigo 9o;
• O estabelecimento, aplicação e manutenção de um sistema de acompanhamento pós-comercialização, nos termos do artigo 72o;
• Procedimentos de comunicação de um incidente grave em conformidade com o artigo 73o;
• A gestão da comunicação com autoridades nacionais competentes, outras autoridades pertinentes, incluindo as que disponibilizam ou apoiam o acesso a dados, organismos notificados, outros operadores, clientes ou outras partes interessadas;
• Sistemas e procedimentos de manutenção de registros de toda a documentação e informação pertinente;
• Gestão de recursos, incluindo medidas relacionadas com a segurança do aprovisionamento;
• Um regime que defina as responsabilidades do pessoal com funções de gestão e do restante pessoal no atinente a todos os aspectos elencados no AI Act.

4. Conservar a documentação

A quarta das obrigações dos prestadores e dos responsáveis por IA de risco elevado é a conservação da documentação do sistema.

Tal documentação deve ser mantida à disposição das autoridades nacionais competentes, durante os 10 anos subsequentes à data de colocação no mercado ou de colocação em serviço do sistema de IA de risco elevado.

A documentação deve incluir informações técnicas, dados relativos ao sistema de gestão da qualidade, a lista de alterações aprovadas pelos organismos notificados, as decisões e outros documentos emitidos pelos organismos notificados, e a declaração UE de conformidade a que se refere o artigo 47o do AI Act.

Cada Estado-Membro deve determinar as condições em que a documentação permanece à disposição das autoridades nacionais competentes durante o período indicado, nos casos em que um prestador ou o seu mandatário estabelecido no seu território falir ou cessar a sua atividade antes do termo desse período.

5. Manter os registros gerados automaticamente pelos sistemas de IA de risco elevado

Quando isso estiver sob o seu controle, os prestadores e responsáveis por IA de risco elevado devem manter os registros gerados automaticamente pelos sistemas que disponibilizam.

Os registros devem ser conservados por um período adequado à finalidade prevista do sistema de IA de risco elevado, de pelo menos seis meses, salvo disposição em contrário no direito da União ou do direito nacional aplicável, em especial no direito da União em matéria de proteção de dados pessoais.

6. Assegurar que o sistema de IA de risco elevado seja sujeito ao procedimento de avaliação da conformidade 

Antes de colocar o sistema de IA de risco elevado no mercado, o responsável precisa assegurar que o sistema esteja sujeito ao procedimento de avaliação da conformidade previsto no artigo 43o do AI Act.

O artigo 43o dispõe sobre uma série de regras aplicadas aos diferentes tipos de sistemas de IA, variando as exigências de conformidade de acordo com o caso.

7. Elaborar uma declaração UE de conformidade

A sétima das obrigações dos prestadores e dos responsáveis por IA de risco elevado é a elaboração de uma declaração UE de conformidade, de acordo com o disposto no artigo 47o do AI Act.

Essa declaração deve ser legível por máquina, assinada à mão ou eletronicamente, para cada sistema de IA de risco elevado, e mantida à disposição das autoridades nacionais competentes por um período de 10 anos a contar da data de colocação no mercado ou de colocação em serviço do sistema de IA de risco elevado. 

8. Apor a marcação CE

O prestador ou responsável por um sistema de IA de risco elevado também precisa apor uma marcação CE no próprio sistema ou, se isso não for possível, na embalagem ou na documentação que o acompanha.

A marcação CE é um indicador obrigatório de conformidade que atesta que um produto cumpre os requisitos de segurança, saúde e proteção ambiental da União Europeia e do Espaço Económico Europeu. 

A marcação CE deve ser aposta de modo visível, legível e indelével nos sistemas de IA de risco elevado, de acordo com o disposto no artigo 48o do AI Act.

9. Respeitar as obrigações de registro

O prestador ou responsável por um sistema de IA de risco elevado precisa respeitar as obrigações de registro a que se refere o artigo 49º, número 1, do AI Act, que traz deveres diferentes para cada tipo de sistema de IA de risco elevado.

O dispositivo determina que, antes da colocação no mercado ou da colocação em serviço de um sistema de IA de risco elevado enumerado no anexo III, com exceção dos sistemas de IA de risco elevado a que se refere o anexo III, ponto 2, o prestador ou, se for caso disso, o mandatário deve registar-se e registar o seu sistema na base de dados da UE a que se refere o artigo 71o do AI Act.

10. Adotar as medidas corretivas necessárias e prestar as informações solicitadas

Os prestadores de sistemas de IA de risco elevado que considerem ou tenham motivos para crer que um sistema de IA de risco elevado que colocaram no mercado ou colocaram em serviço não está em conformidade com o AI Act devem imediatamente tomar as medidas corretivas necessárias para repor a conformidade do sistema em questão, proceder à sua retirada, desativação ou à recolha do mesmo, conforme o caso.

As obrigações relativas a cada caso encontram-se no artigo 20o do AI Act.

11. Demonstrar a conformidade do sistema de IA de risco elevado quando solicitado pela autoridade nacional competente

Mediante pedido fundamentado de uma autoridade nacional competente, está entre as obrigações dos prestadores e dos responsáveis por IA de risco elevado demonstrar a conformidade do sistema com os requisitos estabelecidos na Seção 2 do AI Act.

Como vimos na primeira das obrigações dos prestadores e dos responsáveis por IA de risco elevado, os requisitos incluem:

• Sistema de gestão de riscos
• Governança de dados
• Documentação técnica
• Manutenção de registros
• Transparência e prestação de informações
• Supervisão humana
• Exatidão, solidez e cibersegurança

12. Assegurar que o sistema de IA de risco elevado cumpra os requisitos de acessibilidade

Acessibilidade diz respeito ao acesso a um sistema por pessoas com deficiência ou mesmo com alguma capacidade reduzida, como alguém que enxerga mal, por exemplo.

A última das obrigações dos prestadores e dos responsáveis por IA de risco elevado determina que esses sistemas devem estar em conformidade com as Diretivas (UE) 2016/2102 e (UE) 2019/882.

Conclusão: as obrigações dos prestadores e dos responsáveis por IA de risco elevado

As obrigações dos prestadores e dos responsáveis por IA de risco elevado demonstram o esforço da União Europeia em estabelecer um modelo robusto de governança da inteligência artificial.

O AI Act impõe deveres que abrangem todo o ciclo de vida dos sistemas, desde o desenvolvimento até a sua utilização, incluindo gestão de riscos, qualidade dos dados, documentação, transparência, supervisão humana e monitoramento contínuo.

Além disso, o regulamento exige medidas formais de conformidade, como avaliação prévia, declaração UE de conformidade, marcação CE e registro em base de dados oficial.

Também prevê mecanismos de controle e responsabilização, como a adoção de medidas corretivas, a comunicação de incidentes e o dever de demonstrar conformidade perante as autoridades.

Por fim, ao incorporar requisitos de acessibilidade, o AI Act reforça a preocupação com a inclusão e a proteção de direitos fundamentais.

Esse conjunto de obrigações tende a influenciar outras jurisdições, tornando-se um importante referencial para o desenvolvimento do Direito Digital e da regulação da inteligência artificial no Brasil e no mundo.

Foto por Tima Miroshnichenko (Pexels)