AI Act — uma nova realidade regulatória
A União Europeia foi a primeira no mundo a criar uma regulamentação abrangente sobre inteligência artificial. O Regulamento AI Act (Regulation (EU) 2024/1689) entrou em vigor em 1 de agosto de 2024 e é aplicado em fases: as primeiras obrigações aplicam-se desde 2 de fevereiro de 2025, a parte principal desde 2 de agosto de 2026, a aplicação completa desde 2 de agosto de 2027. Todas as empresas que implementam sistemas de IA na atividade operacional na UE devem familiarizar-se com ele.
O AI Act não proíbe a inteligência artificial — regula-a com base numa abordagem baseada no risco. Quanto maior o risco, mais rigorosos os requisitos. A maioria das aplicações empresariais de IA enquadra-se nas categorias de risco baixo ou limitado, o que significa obrigações relativamente leves. Mas existem áreas onde os requisitos são muito rigorosos.
Calendário de entrada em vigor (Art. 113)
- 1 de agosto de 2024 — entrada em vigor do regulamento
- 2 de fevereiro de 2025 — aplicam-se as proibições de práticas perigosas (Capítulo II, Art. 5) e a obrigação de literacia em IA (Art. 4)
- 2 de agosto de 2025 — obrigações para fornecedores de modelos general-purpose AI (Capítulo V) e disposições sobre autoridades de supervisão e sanções
- 2 de agosto de 2026 — aplicam-se as obrigações para sistemas de alto risco (Capítulo III), transparência dos chatbots e deepfakes (Art. 50), sandboxes regulatórios
- 2 de agosto de 2027 — aplicação completa, incluindo obrigações para sistemas de alto risco integrados em produtos sujeitos aos regulamentos de harmonização da UE já existentes (Anexo I)
Classificação de risco dos sistemas de IA
O AI Act divide os sistemas de IA em quatro categorias de risco:
- Risco inaceitável (proibido, Art. 5) — sistemas que manipulam o comportamento humano abaixo do limiar da consciência, social scoring pelas autoridades, vigilância biométrica em tempo real (com exceções), reconhecimento de emoções no local de trabalho e educação, perfilagem criminal preditiva. Estes sistemas estão proibidos.
- Alto risco (Capítulo III, Art. 6-27) — IA utilizada em recrutamento, crédito, cuidados de saúde, educação, administração da justiça, infraestruturas críticas. Os requisitos mais rigorosos: documentação, testes, transparência, supervisão humana, registo na base de dados da UE.
- Risco limitado (Art. 50) — chatbots, deepfakes, sistemas de geração de conteúdo. Obrigação de transparência: o utilizador deve saber que está a falar com IA, e o conteúdo gerado por IA deve ser marcado de forma legível por máquina.
- Risco mínimo — a maioria das aplicações de IA nos negócios: filtros de spam, recomendações de produtos, automatização de processos internos. Obrigações mínimas ou nenhumas.
Quem é fornecedor e quem é utilizador do sistema de IA?
O AI Act distingue dois papéis-chave. Fornecedor (provider) é uma entidade que cria e coloca no mercado um sistema de IA. Deployer é uma entidade que utiliza um sistema de IA na atividade económica. As obrigações são diferentes para cada papel — os fornecedores têm requisitos mais rigorosos em termos de documentação técnica e certificação.
Uma empresa que compra uma solução de IA pronta a um fornecedor e a utiliza nos seus próprios processos é deployer. Uma empresa que adapta ou fine-tune um modelo para as suas próprias aplicações pode tornar-se fornecedor com todas as consequências daí decorrentes.
Obrigações dos deployers de sistemas de alto risco (Art. 26)
Se a sua empresa utiliza um sistema de IA de alto risco (p. ex., sistema de scoring no processo de crédito, ferramenta de preseleção de CV, sistema de apoio ao diagnóstico médico), deve:
- Garantir supervisão humana sobre as decisões do sistema de IA
- Manter logs operacionais durante um mínimo de 6 meses
- Realizar avaliação de impacto nos direitos fundamentais (FRIA, Art. 27)
- Informar os colaboradores sobre os sistemas de IA que lhes dizem respeito
- Reportar incidentes graves e falhas à autoridade de supervisão competente
Sandboxes regulatórios (Art. 57-63)
O AI Act prevê sandboxes regulatórios — um mecanismo que permite às empresas testar sistemas de IA inovadores sob supervisão da autoridade de supervisão, num ambiente controlado. Cada Estado-Membro tem a obrigação de lançar pelo menos um sandbox até 2 de agosto de 2026. Para as empresas que desenvolvem soluções de IA em áreas de alto risco, este é um caminho prático para obter feedback dos reguladores antes da certificação completa.
Sanções (Art. 99)
As sanções por violação do AI Act são graduadas consoante o tipo de violação:
- até 35 milhões EUR ou 7% do volume de negócios anual global (o valor mais elevado) pela utilização de práticas proibidas (Art. 5)
- até 15 milhões EUR ou 3% do volume de negócios anual global por violações das restantes obrigações do regulamento
- até 7,5 milhões EUR ou 1% do volume de negócios anual global pelo fornecimento de informações falsas, incompletas ou enganosas às autoridades de supervisão
Para as PME e start-ups aplica-se o menor dos dois valores, para evitar encargos desproporcionados.
Como a ESKOM.AI apoia a conformidade com o AI Act
A ESKOM.AI ajuda as organizações a preparar-se para os requisitos do AI Act. Oferecemos auditoria dos sistemas de IA existentes quanto à classificação de risco, elaboração de documentação técnica, implementação de mecanismos de supervisão humana e logging, bem como formação para as equipas responsáveis pela conformidade. Cada nova implementação de IA da nossa parte é concebida desde o primeiro dia a pensar na conformidade com o AI Act.