Uma visão geral da Lei de IA da UE

Dec 19, 2023
Share

O mais recente marco legislativo da União Europeia - o Lei da Inteligência Artificial - prevê-se que seja o quadro legal mais abrangente dedicado à Inteligência Artificial até à data. Em 8 de dezembro de 2023, os legisladores europeus chegaram a um acordo provisório sobre a Lei da IA ​​da UE. De acordo com o cronograma previsto, a Lei da IA ​​entrará em vigor em 2026.

A Lei de Inteligência Artificial está sendo comparada ao Regulamento Geral de Proteção de Dados (RGPD), dado o amplo impacto do RGPD na influência das leis regionais de privacidade de dados além da União Europeia. A Lei de Inteligência Artificial representa um passo significativo na governança e regulamentação das tecnologias de IA na UE e estabelece um precedente com implicações globais.

Qual é a definição de sistemas de IA?

Para estabelecer uma definição uniforme que pudesse ser aplicada a futuros sistemas de IA e evitar interpretações errôneas, o Parlamento Europeu adotou a definição da OCDE. Definição de um sistema de IA:

"Um sistema de IA é um sistema baseado em máquina que [...] infere, a partir da entrada que recebe, como gerar saídas como previsões, conteúdo, recomendações ou decisões que podem afetar ambientes físicos ou virtuais."

Qual é o âmbito de aplicação da Lei da UE sobre IA?

A Lei de Inteligência Artificial (AI Act) tem abrangência extraterritorial e se aplica a entidades que criam, manipulam ou implementam sistemas de IA relevantes, independentemente de sua localização. Isso significa que empresas e indivíduos devem cumprir a lei enquanto esses sistemas forem usados ​​ou tiverem impacto na União Europeia. Por exemplo, uma empresa sediada nos EUA que implementa um sistema de IA utilizando dados de treinamento de cidadãos europeus como entrada é obrigada a cumprir a Lei de Inteligência Artificial.

É importante notar que a Lei exclui certos sistemas de IA do seu âmbito de aplicação, especificamente:

  • Sistemas utilizados exclusivamente para fins militares ou de defesa.
  • Sistemas dedicados exclusivamente a atividades de pesquisa e inovação
  • Sistemas operados por indivíduos para fins pessoais e não profissionais.

O principal objetivo do Parlamento Europeu ao introduzir a Lei de IA é garantir que os sistemas de IA que têm um impacto direto na UE sejam seguros, transparentes, rastreáveis, não discriminatórios e ambientalmente responsáveis. Além disso, há uma forte ênfase na supervisão humana desses sistemas para mitigar o risco de efeitos adversos e prevenir resultados prejudiciais.

Como o risco da IA ​​é categorizado?

Para começar, a Lei da UE sobre IA é um quadro jurídico baseado no risco, uma vez que existem regras diferentes para diferentes níveis de risco. Esses riscos são categorizados de acordo com o nível de ameaça que representam para a sociedade: inaceitável, de alto risco e de risco limitado.

Sistemas de IA de risco inaceitável

Os sistemas de IA classificados como de risco inaceitável são absolutamente proibidos. Isso inclui:

  • Pontuação social: categorização de indivíduos com base em seu comportamento, origem socioeconômica ou características pessoais.
  • Utilização da identificação biométrica: incluindo reconhecimento facial, impressões digitais e outras biometrias para diferentes fins. Existem exceções para o processamento de crimes graves, mas apenas com autorização judicial prévia.
  • Manipulação por meio do comportamento cognitivo: cenários como brinquedos ativados por voz que podem induzir ações de risco em crianças ou visar grupos vulneráveis.

Sistemas de IA de Alto Risco

A União Europeia classifica ainda os sistemas de IA como de alto risco devido ao seu potencial impacto na segurança ou nos direitos fundamentais. Estes dividem-se em duas categorias principais: sistemas de IA utilizados em produtos regulamentados pela UE, como equipamentos de aviação, automóveis, brinquedos e dispositivos médicos, e aqueles implementados em oito áreas específicas, que incluem a aplicação da lei, infraestruturas críticas e a gestão da migração, do asilo e do controlo de fronteiras.

É importante ressaltar que os sistemas de IA de alto risco devem passar por uma avaliação minuciosa antes de serem introduzidos no mercado. Além disso, seu desempenho e conformidade com os padrões devem ser monitorados continuamente ao longo de todo o seu ciclo de vida, garantindo que permaneçam seguros e alinhados aos direitos fundamentais.

Sistemas de IA de Risco Limitado

Sistemas classificados como de risco limitado, como IA generativa (por exemplo, ChatGPT) e deepfakes, devem atender a padrões básicos de transparência. Eles precisam alertar os usuários de que estão interagindo com um sistema de IA, permitindo que decidam se desejam continuar usando esses aplicativos após uma interação inicial. Isso se aplica especialmente a casos em que a IA é usada para gerar ou manipular conteúdo de imagem, áudio ou vídeo, como deepfakes.

Quais são as penalidades e os requisitos de conformidade?

Como mencionado anteriormente, sistemas de IA de alto risco e com risco inaceitável estarão sujeitos a requisitos rigorosos. Qualquer inteligência artificial que apresente um nível de risco inaceitável é absolutamente proibida e sujeita a severas penalidades financeiras. Além disso, sistemas de alto risco incluem requisitos rigorosos. requisitos de conformidade como avaliações obrigatórias de impacto sobre os direitos fundamentais, registo em bases de dados públicas da UE e obrigações de fornecer explicações sobre decisões baseadas em IA que afetam os direitos dos cidadãos, entre outras.

Por outro lado, os sistemas de IA com obrigações de risco limitadas são relativamente leves, focando-se principalmente na transparência, como a rotulagem adequada do conteúdo, a informação aos utilizadores quando estes interagem com a IA e a transparência através de resumos de dados de treino e documentação técnica.

As multas por violação da Lei são calculadas com base em uma porcentagem do faturamento anual global da parte infratora no exercício financeiro anterior ou em um valor fixo, o que for maior:

  • €35 milhões, ou 7%, pelo uso de aplicativos de IA proibidos.
  • € 15 milhões ou 3% por violar as obrigações da Lei.
  • 7,5 milhões de euros ou 1,5% por fornecer informações incorretas.

Vale ressaltar que existem limites proporcionais para as multas administrativas aplicadas a pequenas e médias empresas (PMEs) e startups.

Como a Cyera pode ajudar você a se preparar para a Lei de IA da UE?

A plataforma de Segurança de Dados da Cyera permite descobrir, classificar e avaliar os riscos dos dados de treinamento usados ​​por sistemas de IA. Por meio da avaliação contínua dos dados de treinamento, a Cyera ajuda as organizações a entender e proteger melhor seus sistemas de IA, preparando-as para a Lei de IA da UE.

Visibilidade Holística

A Cyera identifica e analisa a localização, a classificação, a sensibilidade e os riscos associados aos dados de treinamento. A plataforma localiza onde os dados de treinamento estão armazenados em diferentes silos organizacionais, ajudando você a estabelecer uma visão unificada dos dados usados ​​pelos sistemas de IA.

Avaliação de risco

A Cyera avalia os riscos com base no conteúdo e no ambiente dos dados. Por exemplo, a Cyera informa se os dados de treinamento contêm informações de identificação pessoal (PII), se são amplamente acessíveis e se os dados são reais e expostos em texto não criptografado, aumentando o risco associado a esses dados.

Além disso, a Cyera calcula o risco dos dados de treinamento avaliando o ambiente em que os dados estão armazenados. Por exemplo, os riscos associados a esses dados podem ser maiores se os dados forem armazenados incorretamente em ambientes inseguros ou se o registro de logs estiver desativado.

Governança

O Cyera permite auditar as configurações de armazenamento de dados que contêm informações de treinamento, além de ativar políticas e disparar alertas quando atividades suspeitas forem detectadas. Por exemplo, se alguém mover os dados para um ambiente não autorizado, um alerta será acionado para os analistas de segurança responsáveis ​​para revisão e intervenção. O Cyera também fornece uma auditoria completa de quem tem acesso aos dados de treinamento, detalhando as permissões de cada usuário e a finalidade do acesso aos dados.

Conclusão

Embora os desdobramentos em torno da Lei de IA da UE continuem, a lei, uma vez formalmente promulgada, sem dúvida estabelecerá um padrão global para a regulamentação da IA. Ela equilibra a necessidade de inovação com o imperativo de segurança, privacidade e considerações éticas. As severas penalidades impostas por esta lei obrigam os operadores de sistemas de IA a cumprirem suas disposições.

A Cyera capacita as equipes de segurança a saberem onde seus dados estão, o que os expõe a riscos e a tomarem medidas imediatas para remediar as vulnerabilidades e garantir a conformidade sem interromper os negócios. A Cyera oferece uma solução moderna para um problema moderno: ajudar as organizações a entender e proteger os dados utilizados e gerados por sistemas de IA.

Para saber mais sobre como a Cyera pode ajudar você a gerenciar os dados associados aos seus sistemas de IA, agendar Uma demonstração hoje.

Share