top of page

Governança de IA

Nesta página:

  • Marco regulatório para a IA

  • Autoregulação da IA pelas big techs em modelos de fronteira 

  • Framework para classificação de sistemas de IA

  • Framework regulatório proposto pela Comissão Européia

  • Padrões do IEEE para o design ético de aplicações de IA

  • Grupo de Pesquisa sobre IA Ética e Responsável

Regulamentação para a IA

Em vários países do mundo estão sendo discutidos marcos regulatórios para o uso da inteligência artificial.  Nesta seção são compartilhadas algumas referências. Antes disso, porém, há três pontos para reflexão:

  • Não será fácil legislar sobre a IA (embora a maioria dos legisladores ainda não saiba disso, pois ainda não entenderam o problema).

  • Não será bom legislar em excesso sobre a IA. 

  • Confiar apenas na auto-regulação pelas empresas que produzem sistemas de IA não parece uma boa ideia, de modo que algum nível de regulamentação externa pelos governos ou organismos internacionais será necessária.

1. A REGULAMENTAÇÃO PODE SER DIFÍCIL

Por enquanto, ainda estamos em busca da construção dos marcos regulatórios, mas uma vez que estes estejam disponíveis, outros desafios vão permanecer. É preciso levar em conta que algumas Big Techs atualmente têm imenso poder econômico e tecnológico.

 

Regulamentar as grandes empresas que oferecem serviços de IA e mídias sociais pode ser bastante difícil dependendo de onde elas são baseadas e de sua disposição em cooperar, como ficou demonstrado pela dificuldade que as autoridades da Alemanha tiveram durante a crise da Covid-19 em obter colaboração do Telegram (na época sediado em Dubai) para remoção de desinformação sobre a doença, além de discursos de ódio. O Telegram simplesmente ignorou as solicitações das autoridades alemãs por várias semanas. Em março de 2023, aqui no Brasil, o Telegram demonstrou novamente sua má vontade em cooperar com a justiça, e foi alvo de decisão do STF emitida pelo Ministro Alexandre de Moraes, após enviar propositalmente mensagem de desinformação para usuários brasileiros relacionada a Projeto de Lei (PL) 2630/2020 ("Fake News"), que trata da regulação dos provedores de redes sociais e de serviços de mensageria privada. 

Mais recentemente, o bilionário Elon Musk (dono da rede social X, o antigo Twitter) criou uma polêmica com o Ministro Alexandre de Moraes, em reação à determinações judiciais envolvendo perfis de extremistas brasileiros de direita na plataforma X. Para Musk (e para os extremistas) tais ações seriam "censura". A liberdade de expressão é garantida no Brasil - mas deve haver responsabilização sobre o exercício deste direito, tanto na Internet quanto fora dela. Você pode dizer o que quiser - mas deve responder pelo que diz. O fato é as plataformas de redes sociais precisam de regulamentação, pois estão sendo sistematicamente utilizadas em diversos países para ações criminosas, deste destruir reputações de adversários políticos até interferir em eleições. O uso de redes sociais como forma de manipulação social inclui "teorias da conspiração" ridículas, como "o ex Presidente Obama faz parte de um culto satânico" - Fake News impusionada a partir de uma fotografia manipulada, mas muita gente acredita nestas tolices. Da mesma forma, a propagação proposital de desinformação e os discursos de ódio são táticas já conhecidas da extrema direita em todo o mundo, bem como o ataque à pessoas e instituições. Este lamentável componente ideológico que varia desde "a Terra é plana" até "Obama é um satanista" obviamente não contribui em nada para ajudar na regulamentação da inteligência artificial, dado que a IA é usada por certos grupos para impulsionar estas mentiras.

2. O EXCESSO DE REGULAMENTAÇÃO É RUIM

Na busca por marcos regulatórios para a IA, é preciso encontrar um delicado balanço entre o que é necessário requerer das organizações que desenvolvem tais sistemas para proteger direitos da sociedade (como a não-discriminação e a transparência) e reduzir riscos, sem por outro lado incorrer em excessos normativos que possam atrapalhar a inovação e reduzir o incentivo para o desenvolvimento de soluções por parte das empresas. Outro problema é a harmonização das diferentes legislações que venham a ser adotadas para a IA em todo o mundo. Muitas empresas competem globalmente ofertando seus serviços pela Internet, e a falta de equilíbrio no rigor regulatório (requisitos, restrições, sanções etc.) entre legislações locais (de cada país) para a IA poderá causar sérias desvantagens competitivas para algumas organizações. Por isso, é desejável buscar "estar alinhado com os grandes blocos". Por exemplo, o que for proposto para a União Européia como marco regulatório para a IA provavelmente poderá servir de base (com as devidas adaptações) para a criação de marcos regulatórios nacionais, como ocorreu no bem sucedido exemplo da utilização da GDPR como uma referência para a LGPD no Brasil e em vários outros casos.

Não há um resposta única, ou correta, sobre "qual é o nível ideal de regulamentação para a IA". No estágio atual, o que se pode fazer é ampliar o debate, dando voz para as diversas partes interessadas, incluindo obviamente as organizações que produzem soluções de IA e a sociedade civil, além da academia, especialistas, juristas, legisladores e outros. Utilizar avaliações de riscos para a aplicabilidade dos requisitos legais é uma boa abordagem, e também parece benéfico adotar a "melhoria progressiva" em vez de tentar abarcar todos os complexos contextos de uso ético da IA de uma só vez, em uma primeira versão da legislação, seja ela qual for. Há muito ainda por se pesquisar e muitos problemas ainda não adequadamente compreendidos, e legislar neste contexto é um risco em si mesmo, independentemente da necessidade e da boa intenção dos envolvidos.

3. A AUTO-REGULAÇÃO É NECESSÁRIA, MAS NÃO SUFICIENTE

Além do Poder Público, a pressão da sociedade (ativismo digital) e a cobrança de investidores mais alinhados com valores éticos, sociais e ambientais podem incentivar uma postura mais colaborativa, pois não é possível depender apenas da boa vontade das empresas em praticar a auto-regulamentação, apesar da profusão de "princípios para uma IA ética e responsável" já propostos pela Microsoft, Google, IBM e outras.

 

Alguns filósofos eticistas como Thomas Ferretti defendem que "depois que existir um marco regulatório adequado, as corporações devem respeitar a lei, mas enquanto esta legislação não existe ajudar o governo na sua construção  deve ser uma prioridade ética para os fornecedores de soluções de IA", sendo ainda mais importante do que a auto-regulação, que também é bem-vinda.

Há também discussões sobre a pertinência de se criar uma agência regulatória específica para a Governança da IA, nos moldes da FDA (U.S. Food and Drug Administration) nos Estados Unidos. 

Mais sobre a auto-regulação na seção seguinte.

Autoregulação 

2024-05-21_164319.png

ENQUANTO AINDA NÃO EXISTEM marcos regulatórios (em nível global) para melhor controle e regulamentação externa do desenvolvimento, comercialização e uso de sistemas de Inteligência Artificial, alguns dos big players (grandes corporações) que produzem modelos e aplicações de IA formam associações com propostas para autoregulação, juntando (pelo menos no discurso) esforços de forma colaborativa para a geração de sistema de IA mais seguros. Não é o lobo tomando conta das galinhas - são lobos concorrentes tomando conta deles próprios.

 

Imaginando que sejam sinceros (e não apenas discursos de marketing), estes esforços de autoregulação são mais direcionados para os chamados "modelos de fronteira" (frontier models), aqueles modelos de alta capacidade (como as aplicações de IA Generativa) que podem representar riscos graves para a segurança públicaDe fato, estes sistemas mais avançados possuem riscos mais difíceis de prever (e controlar) que os sistemas de IA "tradicionais", dado que neles podem surgir funcionalidades perigosas de forma inesperada (que não haviam previstas anteriormente). Além disso é difícil impedir que estes modelos  poderosos sejam utilizados de má fé com intenções prejudiciais, bem como é difícil controlar a proliferação no uso destes modelos uma vez que são divulgados. 

Uma referência importante neste contexto é o Frontier Model Forum que inclui Amazon, Google, Microsoft, Meta, OpenAI e Anthropic - todos pesos pesados na pesquisa e desenvolvimento de modelos de IA.

Seguem algumas referências sobre a questão da autoregulação na IA.

Podemos confiar na autoregulação da IA pelas próprias Big Techs?

Apesar da profusão de "princípios para uma IA ética e responsável" já propostos pela Microsoft, Google, IBM e outras, alguns filósofos eticistas como Thomas Ferretti não é uma boa ideia depender apenas da boa vontade das grandes empresas de tecnologias que desenvolvem sistemas de IA em seguir seus próprios Princípios e praticar a auto-regulamentação,  Muitas grandes empresas de tecnologia estão afastando seus filósofos eticistas e outros profissionais dedicados ao uso ético e responsável da Inteligência Artificial. 

Regulamentação da IA no Brasil

brazil.png

PL 2338/2023

O projeto de Lei PL 2338/2023 de iniciativa do Senador Senador Rodrigo Pacheco (PSD/MG) dispõe sobre o uso da IA no Brasil. O projeto incorpora elementos de outros projetos em tramitação (ver abaixo) que visam a regulamentação da IA ainda em tramitação, além de sugestões encaminhadas por uma comissão de juristas, que analisou ao longo de 2022 outras propostas relacionadas ao tema e também a legislação já existente em outros países. 

Relator atual: Senador Eduardo Gomes
Último local: 26/06/2024 - Comissão Temporária Interna sobre Inteligência Artificial no Brasil
Último estado: 04/09/2024 - MATÉRIA COM A RELATORIA

Veja a análise (Nota Técnica) da ANPD sobre o projeto PL 2338.

Matérias relacionadas

Regulamentação da IA na Europa - O Ato da IA

O Ato da IA (Artificial Intelligence Act - IA Act)  ou "REGULAMENTO (UE) 2024/1689 DO PARLAMENTO EUROPEU E DO CONSELHO" estabelece um arcabouço jurídico para o desenvolvimento, fornecimento e uso de produtos e serviços de inteligência artificial na UE. A legislação visa um conjunto de objetivos específicos:

 

  • Garantir que os sistemas de IA utilizados na UE sejam seguros e compatíveis com a legislação existente da UE;

  • Garantir a segurança jurídica para facilitar o investimento e a inovação em IA;

  • Melhorar a governança e a aplicação eficaz da legislação da UE sobre direitos humanos fundamentais e requisitos de segurança aplicáveis aos sistemas de IA; e

  • Facilitar o desenvolvimento de um mercado único para aplicações de IA legais, seguras e confiáveis.

A prioridade do Parlamento é garantir que os sistemas de IA utilizados na UE sejam seguros, transparentes, rastreáveis, não discriminatórios e ecologicamente corretos. Os sistemas de IA devem ser supervisionados por pessoas para prevenir resultados prejudiciais.

ato da ia 1.png

O Ato da IA se preocupa em proteger os direitos fundamentais dos cidadãos da UE, a democracia, o estado de direito e a sustentabilidade ambiental, regulamentando os sistemas de IA de alto risco, banindo o uso daqueles de risco inaceitável e ao mesmo tempo estimulando o investimento e a inovação para posicionar a Europa como líder neste campo. A IA deve ser uma tecnologia centrada no ser humano e com o objetivo último de aumentar o bem-estar humano. 

Os legisladores e especialistas que discutiram a proposta tiveram cuidado na harmonização jurídica do Ato da IA com outras leis já em vigor em diferentes países da Europa, evitando contradições ou conflitos. Por exemplo, o Ato da IA deve ser compatível e complementar à GDPR, bem como as leis de proteção de menores e outras normativas. 

 

Com relação ao escopo, o IA Act alcança (Artigo 2˚, [5]) os provedores que colocam sistemas de IA em serviço na União Europeia (EU) ou os colocam no mercado da UE (não é relevante se esses provedores estão baseados na UE ou em um país terceiro), e também os usuários de sistemas de IA na UE.

 

Escopo excluído - O regulamento exclui explicitamente do seu escopo:

  • Sistemas de IA utilizados fora do domínio de aplicação do direito da UE.

  • Sistemas de IA desenvolvidos ou usados exclusivamente para fins militares, defesa ou segurança nacional;

  • Autoridades públicas de um país terceiro e organizações internacionais que utilizam IA no âmbito de acordos internacionais para aplicação da lei e cooperação judicial.

  • Sistemas de IA colocados em serviço exclusivamente para fins de investigação e desenvolvimento científicos.

  • Atividades de investigação, testagem ou desenvolvimento de sistemas de IA antes de serem colocados no mercado (porém, a testagem em condições reais não é abrangida por essa exclusão).

  • Uso do sistema de IA no âmbito de atividades puramente pessoais, de caráter não profissional.

  • Sistemas de IA lançados com licenças gratuitas e de código aberto, a menos que sejam classificados como de risco elevado ou seja uma aplicação proibida (artigo 5) ou que deva anteder a requisitos transparência (artigo 50).

O Ato da IA entrou em vigor em 1º de agosto de 2024, vinte dias após sua publicação no Jornal Oficial da União Europeia. O Ato será totalmente aplicável 24 meses após a entrada em vigor (agosto de 2026), mas algumas partes serão aplicáveis antes, e os sistemas de alto risco terão um pouco mais de tempo para entrar em conformidade.

 

A Figura extraída desta fonte mostra a abordagem de riscos adotada no Ato da IA. São previstos quatro níveis de risco para classificar os sistemas de IA (Inaceitável, Alto, Limitado e Mínimo). Observar que há critérios (Anexo III, AI Act) na regulamentação que determinam a prori se um Sistema de IA é “Inaceitável” ou de “Risco Elevado”, antes mesmo que seja feita uma avaliação de seus riscos pelo fornecedor. Na medida em que o risco aumenta, regras mais rígidas são aplicáveis.

RISCOS ATO IA.png

Sistemas de IA com Risco Inaceitável 

Sistemas de IA com risco inaceitável são considerados uma ameaça para pessoas e são proibidos na UE. Estes sistemas estão definidos no Artigo 5˚, Práticas de IA proibidas, e incluem por exemplo:

  • Sistemas capazes de fazer manipulação cognitiva ou comportamental de pessoas ou grupos vulneráveis específicos, por exemplo, brinquedos ativados por voz que possam encorajar comportamentos perigosos em ceianças.

  • Sistemas de IA que explorem vulnerabilidades de pessoas específicas ou grupos, devidas à sua idade, incapacidade ou situação socioeconómica específica, visando distorcer seu comportamento de modo que possa causar danos.

  • Sistemas de IA que façam classificação social (social scoring) de pessoas com base em seu comportamento, status socioeconômico ou características pessoais, de modo que tal clasificação conduza a tratamento prejudicial ou desfavorável de certas pessoas ou grupos de pessoas.

  • Sistemas de IA que façam perfis de risco para infração penal, ou a avaliação de riscos de pessoas a fim de prever o risco de uma pessoa cometer uma infração penal com base exclusivamente na definição de perfis pessoais ou na avaliação dos traços de personalidade de uma pessoa. Por exemplo, sistemas de IA para suporte de policiamento preditivo quando baseado apenas no perfil de uma pessoa em função de suas características. 

  • Sistemas de IA que criam ou expandam bases de dados de reconhecimento facial através da recolha aleatória de imagens faciais a partir da Internet ou de imagens de televisão em circuito fechado (CCTV).

  • Sistemas de IA capazes de reconhecer emoções no ambiente de trabalho e em instituições de ensino, exceto por razões médicas ou de segurança. 

  • Sistemas de IA que façam categorização biométrica que classifiquem individualmente as pessoas com base nos seus dados biométricos para deduzir ou inferir a sua raça, opiniões políticas, filiação sindical, convicções religiosas ou filosóficas, vida sexual ou orientação sexual (observar que há casos legais que suportam o uso de biometria).

  • Sistemas de IA que façam reconhecimento facial em massa, ou istemas de identificação biométrica à distância em «tempo real» em espaços públicos, a menos e na medida em que essa utilização seja estritamente necessária para finalidades específicas previstas em lei.


Sistemas de IA com Risco Elevado

Enquanto os sistemas de IA de Risco Inaceitável são simplesmente banidos da UE, os sistemas de Risco Elevado são permitidos, mas devem estar em conformidade com uma série de requisitos. A primeira questão que se coloca é de como classificar um Sistema de IA como sendo de Risco Elevado. Observar que esta classificação deve ser feita pelos próprios fornecedores de sistemas de IA. Basicamente, um Sistema de IA deve ser considerado de Risco Elevado se afetar negativamente a saúde, segurança ou direitos humanos fundamentais, o que inclui vários sistemas que se enquadram nas leis já existentes de segurança de produtos na União Europeia, e também uma variedade de sistemas que se enquadram em domínios específicos (descritos no Anexo III do Ato da IA).

 

Os domínios ou categorias que podem conter sistemas de IA de Risco Elevado - que devem obrigatoriamente ter sua conformidade com o Ato da IA e outras leis aplicáveis - são:

  • DOMÍNIO 1 – Dados Biométricos (quando permitidos, isto é, excluindo sistemas de Risco Inaceitável)

  • DOMÍNIO 2 – Infraestruturas críticas

  • DOMÍNIO 3 – Educação e formação profissional

  • DOMÍNIO 4 – Emprego, gestão de trabalhadores e acesso ao emprego por conta própria

  • DOMÍNIO 5 – Acesso a serviços públicos ou privados essenciais

  • DOMÍNIO 6 – Aplicação da lei

  • DOMÍNIO 7 – Gestão da migração, do asilo e do controle das fronteiras

  • DOMÍNIO 8 – Administração da justiça e processos democráticos
     

​Observar que o fato de um sistema de IA se enquadrar nestes domínios ou categorias não significa que deve ser necessariamente considerado de Risco Elevado – a avaliação do contexto em cada caso é importante. Por exemplo, sistemas de avaliação de crédito (Domínio 5) podem ou não ser classificados de Risco Elevado. Da mesma forma, um sistema de IA que tenha por finalidade apenas prestar apoio puramente administrativo e auxiliar no âmbito da justiça (Domínio 8), como por exemplo, um sistema para anonimização de decisões judiciais, não deve ser considerado de Risco Elevado. 

Registro em Banco de Dados

Os sistemas de IA classificados como de Risco Elevado pelos critérios do Ato da IA da União Europeia devem ser registrados em um banco de dados específico antes de entrarem em operação. Este banco de dados será gerido pela Comissão Europeia e servirá como um repositório centralizado para garantir que tais sistemas sejam monitorados e regulamentados de maneira adequada. A responsabilidade de registrar os sistemas de IA de Risco Elevado recai sobre os provedores desses sistemas, que devem garantir que as informações necessárias estejam disponíveis e atualizadas nesse banco de dados. 

Gestão de Riscos de sistemas de IA com Risco Elevado

Um ponto importante é que a classificação de sistemas de IA como sendo de Risco Elevado deve ser feita antes que estes entrem no mercado. Uma vez classificado como sendo de Risco Elevado o sistema de IA deverá atender diversos requisitos obrigatórios durante todo o seu ciclo de vida.

 

Deve haver um processo contínuo de avaliação dos sistemas de Risco Elevado, através de um processo estruturado de Gestão de Riscos que permita a identificação, avaliação e atenuação dos riscos que possam afetar a saúde, a segurança e/ou direitos fundamentais das pessoas.  E não é qualquer sistema de gestão - diz o Ato da IA que "O sistema de gestão de riscos deverá adotar as medidas de gestão dos riscos mais adequadas à luz do estado da arte no domínio da IA. Ao identificar as medidas de gestão dos riscos mais adequadas, o prestador deverá documentar e explicar as escolhas feitas e, se for caso disso, envolver peritos e partes interessadas externas". 

 

Além da Gestão de Riscos, há diversos requisitos para os quais os sistemas de IA de Risco Elevdo devem demonstrar conformidade:

  • Gestão de riscos – Deve existir um sistema de Gestão de Riscos para IA capaz de identificar e mitigar continuamente os riscos durante todo o ciclo de vida do sistema de IA. 

  • Governança de Dados: Devem ser implementadas práticas para governança e gestão de qualidade de dados, para assegurar a qualidade, integridade, relevância e representatividade dos dados utilizados nos sistema de IA. 

  • Documentação técnica e manutenção de registros (logs automáticos) para demonstrar conformidade e facilitar auditorias

  • Transparência

  • Supervisão humana

  • Confiabilidade (solidez, exatidão)

  • Cybersegurança

Relatório FRIA

De acordo com o Ato da IA, antes de implantar um sistema de IA de Alto Risco, especialmente no contexto de serviços públicos, as entidades responsáveis devem realizar uma Avaliação de Impacto sobre os Direitos Fundamentais (Fundamental Rights Impact Assessment - FRIA). Esta avaliação abrange a geração de um conjunto de Relatórios para avaliação do impacto potencial do sistema de IA sobre os direitos fundamentais das pessoas, incluindo privacidade, não discriminação, liberdade de expressão e outros. Esses relatórios são cruciais para garantir que a implantação de sistemas de IA de Risco Elevado em serviços públicos não infrinja os direitos fundamentais dos indivíduos e que haja responsabilidade e transparência ao longo de todo o processo.

Sistemas de IA com Risco Limitado

Sistemas de IA de propósito geral, como os assistentes para IA Generativa como o ChatGPT que servem para tarefas genéricas, não serão classificados por padrão como sendo de Risco Elevado, mas podem ser de Risco Elevado, e terão que cumprir vários requisitos relacionados com a Transparência. Por exemplo, para evitar o risco de DeepFakes tais sistemas deverão notificar os usuários de que certos conteúdos (como áudios, imagens e vídeos) foram gerados por IA e ter proteções adequadas para impedir que o sistema gere como saída conteúdos ilegais. Tais sistmas deverão apresentar instruções de uso claras, e os usuários devem ser informados de que estão interagindo com um sistema de IA (um bot, por exemplo).  Além disso, qualquer incidente mais sério com algum destes sistemas deverá ser obrigatoriamente reportado para a Comissão Européia através de canais apropriados, 

Sistemas de IA com Risco Mínimo

Além dos sistemas de IA de Risco Inaceitável (proibidos na UE) e os sistemas classificados como de Risco Elevado, há naturalmente uma enorme quantidade de sistemas de Risco Mínimo, que apresentam um risco muito baixo para a saúde, segurança ou os direitos fundamentais das pessoas. Esses sistemas estariam isentos de regulamentação rigorosa. Seguem alguns exemplos.

  • Filtros de Spam de E-mail: Sistemas que detectam e desviam automaticamente e-mails de spam ou phishing para uma pasta separada, protegendo os usuários de receberem comunicações indesejadas.

  • Assistentes Virtuais Pessoais: Ferramentas como Alexa, Siri, ou Google Assistant, que respondem a comandos de voz para realizar tarefas simples, como configurar alarmes ou tocar música.

  • Sistemas de Recomendação de Conteúdo: Algoritmos usados por plataformas de streaming ou e-commerce para sugerir músicas, filmes, ou produtos com base no histórico de preferências do usuário.

  • Tradução Automática: Ferramentas que utilizam IA para traduzir textos entre diferentes idiomas, como o Google Tradutor, que têm impacto limitado sobre os direitos fundamentais.

  • Processamento de Texto e Verificação Ortográfica: Sistemas de IA que auxiliam na redação de documentos, sugerindo correções gramaticais ou alternativas de palavras.

  • Aplicativos de Previsão Meteorológica: Sistemas que utilizam IA para prever condições climáticas com base em dados históricos e em tempo real, sem impacto direto sobre a segurança ou os direitos das pessoas.

  • Videogames: Jogos de computador com IA que não ofereçam riscos aos direitos fundamentais e segurança.

  • Esses exemplos mostram aplicações de IA que apresentam um risco muito baixo e, portanto, estariam isentas de regulamentação sob o IA Act. Porém, devem estar em conformidade com outras leis em vigor (por exemplo, a GDPR). 
     

Princípios para uma IA Ética e Responsável

O Ato da IA recomenda que embora não sejam requisitos legais, os 7 princípios para uma IA ética e responsável listados nas Diretrizes de Ética de 2019 para IA Confiável (2019 Ethics Guidelines for Trustworthy AI) devem ser observados.
 

Os sete princípios incluem:

  1. Agência e supervisão humana;

  2. Robustez técnica e segurança;

  3. Privacidade e governança de dados;

  4. Transparência;

  5. Diversidade, não discriminação e equidade;

  6. Bem-estar social e ambiental;

  7. Prestação de contas.

 

Sem prejuízo dos requisitos legalmente vinculativos pelo Ato da IA e de qualquer outra legislação aplicável, essas Diretrizes contribuem para o design de uma Inteligência Artificial coerente, confiável e centrada no ser humano, em linha com os valores sobre os quais a União Europeia foi fundada. 

Penalidades

As penalidades por descumprimento de requisitos do Ato da IA (definidas nos Artigo 71 e 72a) são pesadas, e em casos mais graves (por exemplo, colocar em produção sistemas de IA de Risco Inaceitável, proibidos na União Europeia) podem alcançar milhões de Euros. Além do impacto financeiro e do dano à reputação, poderá haver impactos importantes nos negócios da organização em caso de não conformidade.

European Commission AI Act

Regulatory framework proposal on artificial intelligence - The AI Act is the first-ever legal framework on AI, which addresses the risks of AI and positions Europe to play a leading role globally.

Normas ISO para gestão de riscos da IA

As normas ISO/IEC 23894 (governança e gestão de riscos de IA) e ISO/IEC DIS 38507 (implicações de governança) podem ajudar na gestão de riscos da inteligência artificial, tanto por quem desenvolve quanto por quem usa tais sistemas.

Seguem algumas referências.

Norma ISO/IEC DIS 23894

ISO/IEC DIS 23894 - Information technology — Artificial intelligence — Guidance on risk management. 

Extensão para a norma ISO 31000:2018 (Risk Management - Guidelines), trazendo requisitos específicos para o gerenciamento de riscos de sistemas de AI.

Norma ISO/IEC DIS 38507

ISO/IEC 38507 - Governança de TI — Implicações de Governança do Uso de Inteligência Artificial pelas organizações

Diretrizes para membros de órgãos diretivos, gerentes executivos, especialistas técnicos, legisladores, autoridades públicas e outras partes interessadas no que concerne à governança do uso da IA nas organizações.

Framework do NIST para gestão de riscos da IA

NIST AI-600 1 (NIST Trustworthy and Responsible AI)

O framework NIST AI-600 1 (NIST Trustworthy and Responsible AI) pode ser útil para gerenciar riscos de IA generativa, incluindo a conformidade com regulamentações como o Ato da IA da União Europeia comentado na seção anterior. O NIST (National Institute of Standards and Technology) dos EUA desenvolveu esse framework para fornecer orientações sobre como criar, gerenciar e implementar sistemas de IA de maneira ética e responsável, alinhado a princípios como explicabilidade, segurança e imparcialidade.

Seguem alguns pontos importantes sobre como o NIST AI-600 1 pode ser usado no contexto de IA Generativa:

1. Identificação e Mitigação de Riscos
O framework se concentra na identificação de riscos associados ao uso de IA, fornecendo métodos para avaliar riscos de impacto social, de segurança e privacidade, e possíveis consequências adversas. Isso é essencial para IA generativa, que pode criar conteúdo em larga escala e ser usada para desinformação ou outras práticas indesejadas.

2. Transparência e Explicabilidade
Uma das categorias principais do NIST é a transparência. Isso inclui a necessidade de sistemas de IA generativa informarem aos usuários que estão interagindo com uma IA (o que também é exigido no Ato da IA). O NIST fornece algumas diretrizes para garantir que os sistemas sejam explicáveis e compreensíveis para diferentes tipos de usuários,

3. Gestão de Bias e Não-Discriminação
O NIST AI-600 1 também aborda o risco de vieses discriminatórios, que é uma área sensível para IA Generativa, especialmente se os modelos forem treinados com grandes volumes de dados que podem conter vieses históricos ou sociais. O framework orienta sobre como testar e mitigar esses vieses, ajudando os fabricantes a assegurar que os sistemas não reforcem desigualdades, o que também é um requisito para sistemas de IA classificados como de "risco elevado" no Ato da IA.

4. Segurança e Robustez
A confiabilidade e robustez do sistema são outros focos importantes do NIST, bem como a segurança, o que se aplica diretamente a IA Generativa para evitar que o sistema produza saídas indesejadas ou inseguras. A gestão de vulnerabilidades e a segurança contra ataques adversariais estão incluídas, permitindo que os desenvolvedores implementem medidas preventivas.

5. Governança e Responsabilização (Accountability)
O framework do NIST também destaca a importância de uma governança responsável de IA, que inclui práticas de auditoria e accountability (responsabilização), necessárias para se conformar com regulamentações como o Ato da IA. Para IA Generativa, isso significa estabelecer mecanismos que assegurem que os criadores do sistema possam ser responsabilizados pelo uso ou resultados gerados pela IA.

6. Interoperabilidade com Padrões Europeus
Embora o NIST seja um framework americano, muitos de seus princípios são consistentes com as exigências do Ato da IA da União Europeia. Isso significa que as empresas que seguem o NIST podem ter uma base sólida para adaptar seus processos aos requisitos europeus.

Ao seguir o NIST AI-600 1, os desenvolvedores de IA Generativa podem alinhar seus sistemas com boas práticas de gestão de riscos e responsabilidade, que são críticas tanto para o cumprimento das regulamentações da UE quanto para o desenvolvimento de IA confiável em um contexto mais amplo.

NIST AI RISK MANAGEMENT FRAMEWORK 

O NIST (The National Institute of Standards and Technology) está elaborando um framework para apoiar a gestão de riscos de soluções de AI (The NIST Artificial Intelligence Risk Management Framework). A ideia é ajudar em todas as etapas do ciclo de vida dos sistemas de IA, passando pelo design, desenvolvimento, implementação e avaliação de produtos, serviços e sistemas baseados em IA. 

Outros frameworks e ferramentas

Outros frameworks e ferramentas úteis para goverança e gestão de riscos da IA.

Algorithmic Impact Assessment tool

O Governo do Canadá disponibilizou uma metodologia e ferramenta para avaliação do impacto algorítmico de soluções de AI, como parte do processo de avaliação de riscos de tais sistemas.  

Framework da OECD para classificação de sistemas de AI

A OECD compartilhou um framework (OECD Framework for the Classification of AI systems) para ajudar na classificação de sistemas de AI. Tal classificação pode ser útil na avaliação de riscos destes sistemas. 

Padrões do IEEE para o design ético de aplicações de AI

O IEEEE está elaborando diversos padrões e boas práticas para o design ético de aplicações de AI, tais como padrões para transparência de sistemas autônomos (IEEE P7001) e boas práticas para evitar bias em algoritmos (IEEE P7003).

Núcleo de Referência em uso ético e responsável da IA

Núcleo de Referência em Inteligência Artificial Ética do Estado do Rio de Janeiro

O Núcleo de Referência em Inteligência Artificial Ética e Confiável do Estado do Rio de Janeiro é coordenado pela Prof. Dra. Mariza Ferro e pelo Prof. Gilberto Almeida e reúne um grupo multidisciplinar de especialistas de diferentes áreas de conhecimento.

Website (em construção)

Página no LinkedIn

Artigo divulgação LNCC

Vídeo de apresentação.

bottom of page