An Overview of the EU AI Act

O mais recente marco legislativo da União Europeia - a Lei de Inteligência Artificial - deve ser a estrutura legal mais abrangente dedicada à Inteligência Artificial até o momento. Em 8 de dezembro de 2023, um acordo provisório sobre a Lei de IA da UE foi alcançado pelos legisladores europeus. De acordo com o cronograma esperado, a Lei de IA entrará em vigor em 2026.

A Lei de IA está sendo comparada ao Regulamento Geral de Proteção de Dados (GDPR), dado o impacto generalizado do GDPR na influência de leis regionais de privacidade de dados além da União Europeia. A Lei de IA representa um passo significativo na governança e regulamentação de tecnologias de IA dentro da UE e estabelece um precedente com implicações globais.

Qual é a Definição de Sistemas de IA?

Para estabelecer uma definição uniforme que pudesse ser aplicada a futuros sistemas de IA e evitar interpretações errôneas, o parlamento da UE adotou a definição de sistema de IA da OCDE:

Um sistema de IA é um sistema baseado em máquina que [...] infere a partir da entrada que recebe como gerar saídas como previsões, conteúdo, recomendações ou decisões que podem afetar ambientes físicos ou virtuais.

Qual é o Escopo da Lei de IA da UE?

A Lei de IA é extraterritorial e aplicável a entidades que criam, manipulam ou implantam sistemas de IA relevantes, independentemente de sua localização. Isso significa que empresas e indivíduos devem aderir à Lei desde que esses sistemas sejam usados ou tenham impacto dentro da União Europeia. Por exemplo, uma empresa sediada nos EUA que implementa um sistema de IA utilizando dados de treinamento de cidadãos europeus como entrada é obrigada a aderir à Lei de IA.

É importante observar que a Lei exclui certos sistemas de IA de seu escopo, especificamente:

• Sistemas que são usados exclusivamente para fins militares ou de defesa
• Sistemas dedicados exclusivamente a atividades de pesquisa e inovação
• Sistemas operados por indivíduos por motivos pessoais e não profissionais

O objetivo principal do Parlamento Europeu ao introduzir a Lei de IA é garantir que os sistemas de IA que tenham um impacto direto dentro da UE sejam seguros, transparentes, rastreáveis, não discriminatórios e ambientalmente sustentáveis. Além disso, há uma ênfase rigorosa na supervisão humana desses sistemas para mitigar o risco de efeitos adversos e prevenir resultados prejudiciais.

Como o Risco de IA é Categorizado?

Para começar, a Lei de IA da UE é uma estrutura legal baseada em risco, uma vez que existem diferentes regras para diferentes níveis de risco. Esses riscos são categorizados de acordo com o nível de ameaça que representam para a sociedade: inaceitável, alto risco e risco limitado.

Sistemas de IA de Risco Inaceitável

Os sistemas de IA rotulados como de risco inaceitável são absolutamente proibidos. Estes incluem:

• Pontuação Social: categorização de indivíduos com base em seu comportamento, origem socioeconômica ou características pessoais.
• Uso de Identificação Biométrica: incluindo reconhecimento facial, impressões digitais e outras biometrias para diferentes finalidades. Há exceções para processar crimes graves, mas apenas com autorização judicial prévia.
• Manipulação através do Comportamento Cognitivo: cenários como brinquedos ativados por voz que podem induzir ações de risco em crianças ou atingir grupos vulneráveis.

Sistemas de IA de Alto Risco

A União Europeia identifica ainda os sistemas de IA como de alto risco devido ao seu potencial impacto na segurança ou nos direitos fundamentais. Eles se enquadram em duas categorias principais: sistemas de IA usados em produtos regulamentados pela UE, como equipamentos de aviação, carros, brinquedos e dispositivos médicos, e aqueles implantados em oito áreas específicas que incluem aplicação da lei, infraestrutura crítica e gestão de migração, asilo e controle de fronteiras.

É importante observar que os sistemas de IA de alto risco devem passar por uma avaliação minuciosa antes de serem introduzidos no mercado. Além disso, seu desempenho e conformidade com os padrões devem ser continuamente monitorados ao longo de seu ciclo de vida, garantindo que permaneçam seguros e alinhados com os direitos fundamentais.

Sistemas de IA de Risco Limitado

Sistemas classificados como de risco limitado, como IA generativa como o ChatGPT e deepfakes, são obrigados a atender padrões básicos de transparência. Eles devem alertar os usuários de que estão interagindo com um sistema de IA, permitindo que decidam se desejam continuar usando essas aplicações após uma interação inicial. Isso é especialmente aplicável em casos onde a IA é usada para gerar ou manipular conteúdo de imagem, áudio ou vídeo como deepfakes.

Quais são as Penalidades e Requisitos de Conformidade?

Como mencionado anteriormente, sistemas de IA de risco inaceitável e de alto risco enfrentarão requisitos rigorosos. Qualquer inteligência artificial que represente um nível inaceitável de risco é absolutamente proibida e sujeita a severas penalidades financeiras. Além disso, sistemas de alto risco incluem requisitos de conformidade rigorosos, como avaliações obrigatórias de impacto sobre direitos fundamentais, registro em bancos de dados públicos da UE e obrigações de fornecer explicações sobre decisões orientadas por IA que afetem os direitos dos cidadãos, entre outros.

Por outro lado, os sistemas de IA com obrigações de risco limitado são relativamente leves, concentrando-se principalmente na transparência, como rotulagem adequada de conteúdo, informar os usuários quando interagem com IA e transparência por meio de resumos de dados de treinamento e documentação técnica.

As multas por violação da Lei são calculadas com base em uma porcentagem do faturamento anual global da parte infratora no exercício financeiro anterior ou em uma quantia fixa, o que for maior:

• €35 milhões ou 7% por usar aplicações de IA proibidas
• €15 milhões ou 3% por violar as obrigações da Lei
• €7,5 milhões ou 1,5% por fornecer informações incorretas

Como observação, existem limites proporcionais para multas administrativas aplicadas a pequenas e médias empresas (PMEs) e startups.

Como a Cyera Pode Ajudá-lo a se Preparar para a Lei de IA da UE?

A plataforma de Segurança de Dados da Cyera permite que você descubra, classifique e avalie os riscos dos dados de treinamento usados por sistemas de IA. Por meio da avaliação contínua dos dados de treinamento, a Cyera ajuda as organizações a entender melhor e proteger seus sistemas de IA em preparação para a Lei de IA da UE.

Visibilidade Holística

A Cyera identifica e analisa a localização, classificação, sensibilidade e riscos associados aos dados de treinamento. A plataforma localiza onde os dados de treinamento são armazenados em silos organizacionais, ajudando você a estabelecer uma visão unificada dos dados usados por sistemas de IA.

Avaliação de Risco

A Cyera avalia os riscos com base no conteúdo e no ambiente dos dados. Por exemplo, a Cyera informa se os dados de treinamento contêm informações de identificação pessoal (PII), se são amplamente acessíveis e se os dados são reais e expostos em texto simples, aumentando o risco desses dados.

Além disso, a Cyera calcula o risco dos dados de treinamento avaliando o ambiente que armazena os dados. Por exemplo, os riscos associados a esses dados podem ser elevados se os dados estiverem armazenados inadequadamente em ambientes inseguros ou se o registro de logs estiver desativado.

Governança

A Cyera permite que você audite as configurações de datastores que armazenam dados de treinamento, além de ativar políticas e acionar alertas quando atividades suspeitas são detectadas. Por exemplo, se alguém mover os dados para um ambiente não autorizado, um alerta será acionado para os analistas de segurança apropriados para revisão e intervenção. A Cyera também fornece uma auditoria abrangente de quem tem acesso aos dados de treinamento, detalhando as permissões que cada usuário possui e sua finalidade para acessar os dados.

Conclusão

Enquanto os desenvolvimentos em torno da Lei de IA da UE continuam a se desenrolar, a Lei, uma vez formalmente promulgada, sem dúvida estabelecerá um padrão global para a regulamentação de IA. Ela equilibra a necessidade de inovação com o imperativo de segurança, privacidade e considerações éticas. As penalidades severas impostas sob esta lei obrigam os operadores de sistemas de IA a aderir às disposições da Lei.

A Cyera capacita equipes de segurança a saber onde seus dados estão, o que os expõe a riscos e a tomar ações imediatas para remediar exposições e garantir conformidade sem interromper os negócios. A Cyera oferece uma solução moderna para um problema moderno: ajudar organizações a entender e proteger dados utilizados e gerados por sistemas de IA.

Para saber mais sobre como a Cyera pode ajudá-lo a gerenciar os dados associados aos seus sistemas de IA, agende uma demonstração hoje.