Navegando pelas regulamentações de IA dos EUA: um guia para conformidade regulatória de IA

Introdução: O cenário da conformidade regulatória de IA

Ao contrário da União Europeia, os Estados Unidos ainda não promulgaram uma lei federal abrangente para conformidade regulatória de IA. Isso não significa que a América seja um “Oeste Selvagem” da IA.. Um número crescente de estados dos EUA aprovou leis específicas de IA, enquanto os estatutos existentes, incluindo a Lei FTC, a Lei dos Americanos com Deficiências (ADA) e as leis de proteção ao consumidor, estão sendo cada vez mais aplicados aos sistemas de IA.

Essas estruturas moldam coletivamente a forma como as organizações gerenciam Segurança de dados de IA, evite a discriminação algorítmica e evite práticas comerciais injustas ou enganosas.

Neste blog, exploramos como a colcha de retalhos da regulamentação de IA dos EUA afeta as empresas, como é a conformidade em todos os estados e como as empresas podem alinhar suas estratégias de governança às crescentes expectativas legais.

Entendendo a colcha de retalhos: conformidade regulatória de IA em nível estadual

Do ponto de vista de um formulador de políticas, o maior risco da IA é sua tomada de decisão autônoma. Esses sistemas podem agir de forma independente, muitas vezes de forma opaca e com impactos profundos nos direitos das pessoas.

Para equilibrar risco e inovação, a Lei de IA da UE estabeleceu uma estrutura baseada em riscos. Embora o governo federal dos EUA ainda não tenha seguido o exemplo, as leis estaduais de IA estão liderando o caminho.

Colorado: um modelo para regulamentação abrangente da IA

A Lei Antidiscriminação em IA (CAIA) do Colorado, promulgada em 2024, representa o exemplo mais completo de uma estrutura regulatória de IA nos Estados Unidos.

Principais disposições do CAIA:

• Os sistemas de IA de alto risco são definidos como aqueles capazes de tomar “decisões consequentes” em áreas como emprego, saúde, educação, moradia e finanças.
  
  
• Desenvolvedores e implantadores devem documentar os riscos, alinhar-se a estruturas reconhecidas, como NIST AI RMF ou ISO 42001, e realizar avaliações anuais de impacto da IA.
  
  
• Os direitos dos indivíduos incluem a capacidade de saber quando a IA contribui para uma decisão, corrigir erros e apelar a um revisor humano.
  
  

A abordagem do Colorado pode se tornar um modelo para outros estados, refletindo a crescente expectativa de que os desenvolvedores de IA integrem mecanismos de segurança e responsabilidade de dados de IA no design e na implantação.

Caminhos divergentes: como os estados definem a conformidade com a IA

Além do Colorado, estados como Utah, Texas, Califórnia e Nova York adotaram leis mais restritas que regem a conformidade regulatória de IA em setores específicos.

Utah

Exige que os implantadores informem os usuários durante “interações de alto risco”, especialmente ao coletar dados biométricos, financeiros ou de saúde.

Texas

Proíbe que entidades governamentais e privadas usem a IA para pontuação social ou vigilância biométrica e proíbe sistemas que manipulam ou prejudicam indivíduos.

Esses exemplos destacam uma tendência importante. A transparência e a divulgação estão surgindo como princípios universais de conformidade. Cada vez mais, as organizações precisam divulgar quando os usuários interagem com a IA e garantir que os resultados sejam claramente rotulados como conteúdo gerado pela IA.

Como as leis existentes moldam a conformidade regulatória da IA

Enquanto alguns Leis de conformidade de IA são novas, muitas estruturas legais já restringem as práticas de IA. Tribunais e reguladores estão aplicando leis de proteção ao consumidor, antidiscriminação e privacidade à IA, criando efetivamente um ambiente de conformidade em evolução e em várias camadas.

1. Proteção ao consumidor e segurança de dados de IA

Agências como a FTC e a CFPB estão reprimindo práticas manipulativas ou enganosas de IA, incluindo os chamados “padrões obscuros”. Isso inclui algoritmos de personalização de conteúdo em plataformas de mídia social que direcionam usuários vulneráveis a conteúdos perigosos, bem como aplicativos de finanças pessoais com inteligência artificial que prometem economias ou retornos de investimento, mas resultam em taxas de cheque especial ou outros custos para os usuários finais.

2. Antidiscriminação no emprego

Casos como Mobley x Workday demonstre como as ferramentas de contratação baseadas em IA podem resultar em responsabilidade nos termos da Lei dos Direitos Civis, da ADA e da Lei de Discriminação por Idade no Trabalho. Os tribunais estão sinalizando que os fornecedores de IA podem ser tratados como empregadores e responsabilizados pelo viés algorítmico.

3. Privacidade, proteção de dados e reconhecimento facial

Em ACLU versus Clearview AI, o tribunal decidiu que a coleta de imagens públicas para treinar um modelo de reconhecimento facial violava a Lei de Privacidade de Informações Biométricas (BIPA) de Illinois. Da mesma forma, a Rite Aid enfrentou uma ação judicial da FTC por usar o reconhecimento facial de maneiras que levaram a resultados discriminatórios.

Esses casos reforçam a necessidade de fortes controles de segurança de dados de IA, políticas transparentes de coleta de dados e estruturas éticas de governança de IA.

Propriedade intelectual e uso justo: a próxima fronteira

Os desenvolvedores de IA também estão enfrentando ações judiciais por violação de direitos autorais e uso de dados no treinamento de modelos.

• Thomson Reuters x Ross Intelligence: Copiar notas legais para treinar um produto concorrente não era considerado uso justo.
  
  
• Bartz versus Antrópico: O uso de materiais protegidos por direitos autorais para treinar um LLM foi considerado uso justo, pois os resultados eram transformadores e não reproduções.
  
  

As decisões divididas ilustram um desafio fundamental para AI-SPM (Gerenciamento de segurança e privacidade de IA). Os desenvolvedores devem garantir que as entradas de dados sejam compatíveis, rastreáveis e de origem ética.

O futuro da conformidade regulatória de IA

Uma ação federal pode ocorrer, mas, por enquanto, a conformidade é impulsionada principalmente pelos estados e pelas leis existentes. As organizações devem esperar uma estrutura de governança em várias camadas que combine:

• Transparência: Divulgação clara das práticas de uso e coleta de dados da IA.
  
  
• Explicabilidade: A capacidade de descrever a lógica do modelo e as fontes de dados.
  
  
• Responsabilidade: Estruturas de governança alinhadas com os padrões NIST AI RMF, ISO 42001 ou AI-SPM.
  
  
• Segurança: Implementando princípios de segurança desde o design e privacidade desde o design.
  
  
• Justiça: Evitar desígnios enganosos, preconceitos ou danos às populações vulneráveis.
  
  

Antecipe-se à conformidade com a IA

À medida que a regulamentação da IA evolui, as organizações que adotarem proativamente as estruturas de conformidade regulatória da IA obterão uma vantagem competitiva, minimizando o risco legal e conquistando a confiança do usuário.

A plataforma de segurança de IA da Cyera capacita as empresas a gerenciar a segurança e a conformidade de dados de IA de forma holística, alinhando-se aos padrões globais e protegendo as informações confidenciais contra o uso indevido.

Solicite uma demonstração para ver como a Cyera pode ajudar sua organização a se manter em conformidade e segura na era da IA.