Tivemos a oportunidade de acompanhar, em três ocasiões, o andamento do projeto de lei do Senado para a inteligência artificial. No início de julho, quando a CTIA - Comissão Temporária de IA ensaiou a aprovação do relatório, novamente na segunda quinzena de agosto e por fim, no mês de dezembro quando o PL foi aprovado na Comissão e no plenário do Senado. 

A trajetória da regulação da IA, porém, não começou no Senado. Em 2020, o PL 21 foi apresentado na Câmara dos Deputados, por iniciativa do deputado Eduardo Bismarck. Outros 9 projetos tratavam sobre o tema Senado, quando então uma CJSUBIA - Comissão de Juristas foi formada e um primeiro texto foi criado. Logo após, o então presidente do Senado, o senador Rodrigo Pacheco apresentou o projeto 2.338/23 e criou a CTIA - Comissão Temporária Interna sobre Inteligência Artificial no Brasil, que durou 16 meses, realizou 24 audiências e apreciou 244 emendas ao projeto. O texto final foi aprovado na manhã do dia 5 de dezembro. Por requisição da oposição, o projeto somente foi votado no plenário no dia 10 de dezembro, quando houve a aprovação no plenário do Senado.

Ambas as votações, na CTIA e no plenário, foram simbólicas, o que não significa consenso sobre o texto final, mas apenas um acordo para progressão do projeto para a Câmara. Por ser simbólica, não foram apresentadas modificações que seriam votadas individualmente, os chamados destaques. Isso concluiu a fase de tramitação no Senado. Na Câmara quatro comissões foram indicadas para tratar do tema. Conforme o regimento interno da Câmara, neste caso, cabe a criação de uma Comissão Especial, que já possui nomes indicados e será formalmente instalada em 20 de maio.

Cabem aqui duas observações, já que este projeto fugiu ao trâmite normal. Em primeiro lugar, consta no relatório final da Comissão, que os projetos que tramitarem apensados ao PL 2.338/23, quais sejam de lei 5.051 e 5.691, de 2019; 21, de 2020; 872, de 2021; 3.592, de 2023; 210 e 266, de 2024 foram entendidos como prejudicados e encaminhados ao arquivo. Isso significa que não foram votados e que seus textos ficaram intocados, porque o PL 2.338/23 tratava dos mesmos temas. Como não foram votados, estes PLs foram arquivados pelo Senado, e podem ser analisados no futuro. Isso é relevante, pois ao seguir para a Câmara, o PL 2.338 torna-se o principal PL sobre o tema. Os PLs 145 e 146, de 2024, ambos do Senado e conexos ao tema, seguem tramitando.

Segundo ponto, o caminho usual de um projeto segue 3 passos principais: i) criação na Câmara (Casa baixa), ii) envio para o Senado (Casa Alta) e, havendo alterações por parte do Senado, iii) o texto retorna para a Câmara, para sua aprovação final. Entretanto, uma vez que o projeto n. 2338 foi criado no Senado, as posições se invertem, o que dará ao Senado o poder de atuar como Casa revisora do texto. Deste modo, a ordem de análise do texto ficou Senado (ato de criação), Câmara e, na revisão final, o Senado novamente. Por isso, ainda faltam duas revisões para o PL 2.338.

Atritos dentro do PL

Dois temas foram mais espinhosos para a tramitação. O primeiro foi de direitos autorais, que contou com a presença da indústria fonográfica e de artistas, que expuseram os receios de que conteúdos de mídia fossem reprocessados por IAs generativas de texto, imagem e áudio sem a devida autorização e sem a devida remuneração para os criadores. 

O segundo ponto foi o debate sobre a incidência da lei sobre plataformas digitais. As redes sociais foram retiradas do rol de alto risco e o art. 77 foi incluído na última versão do texto, de modo a afastar qualquer pretensão de regular ambientes que lidem com liberdade de expressão, conforme letra do artigo. Todavia, ainda consta, em três artigos, o princípio da integridade da informação, tema defendido que foi objeto da Recomendação sobre Integridade da Informação a pedido do Comitê de Governança Pública da OCDE, e de análise do secretário geral de ONU, o que resultou na publicação dos Princípios Globais das Nações Unidas para a Integridade da Informação.

O tema da integridade da informação ganha mais tônus em razão de episódios recentes de notícias falsas que ganharam amplitude inesperada, tais como o compartilhamento de informações falsas para o mercado financeiro brasileiro, em que declarações atribuídas ao presidente do Banco Central, Gabriel Galipolo, causaram a subida do dólar para 6,30 (18/12). Outro caso foi o compartilhamento de vídeos após o atentado de Magdeburg, na Alemanha (20/12), no qual vídeos da tomada de Damasco (03/12) foram reinterpretados como supostos vídeos de comemoração pelo atentado terrorista. 

A pauta ainda dialoga, de forma equidistante, com outros 3 movimentos institucionais: i) o julgamento dos Temas de repercussão geral 987 e 533, além da ADPF 403 e da  ADIn 5527 pelo STF, que podem revisar as regras de responsabilização de redes sociais fixadas pelo Marco Civil da Internet; ii) com uma atuação mais incisiva da ANPD - Autoridade Nacional de Proteção de Dados sobre temas como o uso de IA por redes sociais para análise dos dados dos usuários (processo 00261.004529/2024-36, contra o Instagram) e a tomada de subsídios sobre direitos do titular na revisão de decisões automatizadas (processo 00261.002668/2024-04); e iii) a fixação, ainda em 2024, das resoluções do TSE sobre conteúdos sintéticos gerados por IA (resolução 23.732/24). Estes fatos demonstram a existência de preocupações institucionais sobre o tema.

Pontos de atenção

Para além dos temas mais acalorados, há outros pontos de atenção que são de curto médio e longo prazo. No curto prazo, pensando na janela de 6 meses, os itens relacionados aos riscos necessitam de uma reavaliação. Primeiramente, o texto pode passar por uma harmonização dos termos ligados aos riscos. Constam ao menos 26 terminologias que podem ser objeto de harmonização para que seja evitada uma profusão de doutrinas que busquem manobrar os riscos e reduzi-los de forma inadequada. Exemplo de correlações são os termos. 

1. Gravidade dos riscos e alto potencial danoso de ordem material ou moral, em que é possível interpretar que o potencial danoso aumenta a gravidade do risco, todavia, não fica claro se a existência de alto potencial danoso bastaria à classificação do modelo como de alto risco.
2. Riscos não mitigáveis e impactos irreversíveis, ambos se referem a situações em que os danos não podem ser reduzidos sendo que tanto risco quanto impacto podem ser prováveis, já concretizados ou perenes, já que não podem ser desfeitos ou diminuídos.
3. Riscos não mitigáveis e risco relevante, neste caso riscos relevantes podem ser usados como categoria ampla, na qual riscos não mitigáveis entram como subcategoria.

Por sua vez, os riscos sistêmicos, ainda que citados, têm uma definição geral "Art. 4º, XXX - risco sistêmico: potenciais efeitos adversos negativos decorrentes de um sistema de IA de propósito geral e generativa com impacto significativo sobre direitos fundamentais individuais e sociais." que pode ser objeto de melhoria levando em conta aspectos como: 

1. O nível de granularidade em atividades do cotidiano. Se uma recomendação financeira, em teoria individual, atingiria múltiplos usuários, promovendo alterações artificiais no mercado.
2. Se uma falha pontual pode ser cascateada. Como a incorporação de uma atualização inadequada, sugerida por um único veículo de uma frota veicular que leve a um desvio desnecessário de rotas.
3. Se um risco inicialmente considerado excepcional passa a ocorrer com frequência em um grupo real semelhante ao grupo de teste, sua probabilidade de ocorrência aumenta. Evitar as subnotificações do risco é importante para suprimir o viés na amostragem do teste e depende do acompanhamento contínuo do ambiente real. 
4. Se os riscos entendidos como baixos podem ser exacerbados por fatores ambientais antecipáveis, como seria o uso de aplicações com impactos emocionais sobre usuários que fazem uso de medicações controladas. Esse cenário de exacerbação poderia majorar o risco da aplicação e, em contrapartida, levar à proibição de uso por determinadas pessoas ou à criação de mitigadores, como alertas para os usuários (como já ocorre no caso de luzes piscantes em conteúdos visuais, com o objetivo de proteger pessoas que vivem com epilepsia). 

Outro item que deve ser objeto de análise mais detalhada, é o art. 14, parágrafo único, do PL 2.338 que fixa que o uso intermediário de sistemas de IA afastaria a aplicação do rol de alto de risco. Isso possibilita um cenário indesejado, por exemplo, se, por um lado, o inciso III, do próprio art. 14 indica que a hipótese de recrutamento e seleção é de alto risco, bastaria utilizá-la apenas como agregadora de currículos, ou como pontuadora de currículos a serem avaliados por um humano para afastar a incidência do artigo. 

Esta fragmentação do fluxo do tratamento da informação tornaria possível, inclusive, a descaracterização do art. 20 da LGPD - Lei Geral de Proteção de Dados, que autoriza a revisão de fluxo de tratamento de dados pessoais que contemple decisão "exclusivamente automatizada". A estratégia imediata dos agentes de IA, seria desenhar uma macroatividades, como recrutamento e seleção, em seguida fracioná-la e incluir a aplicação da IA em apenas alguns momentos intermediários do fluxo, para caracterizar o "uso intermediário" da IA. Esta fuga da legislação foi observada pela ANPD - Autoridade Nacional de Proteção de Dados no guia Sandbox Regulatório de 2023.

A disposição do art 14, parágrafo único, num quadro mais amplo, diminuiu a efetividade social da lei (BARROSO, 2019), tanto na dimensão cogente quanto na principiológica. Importante frisar que essa revisão dos critérios de incidência do rol de alto risco definirá também a eficácia da lei (BARROSO, 2019). Criar hipóteses de exceção que diminuam o rol de aplicações consideradas de risco, independentemente do nível de risco, compõem um claro fator de desestímulo para o setor privado e para Administração Pública.

Governança descentralizada

Noutra ponta, o projeto de lei acerta ao fixar um modelo de regulação descentralizada, por alguns motivos principais.

1. Tempo até que a competência seja delegada. A expectativa de indicação de uma autoridade competente para tratar dos temas de IA, a qual teria força regulatória e sancionatória, depende da vigência de uma lei de IA. Considerando que o primeiro projeto de IA foi apresentado em 2020 e que já se passaram 4 anos, além de uma revolução de IA generativa, qual seria a expectativa de delegação destes poderes para a Autoridade Nacional de Proteção de Dados, somada ainda ao prazo de vacatio da norma? O art. 80 fixa o prazo de 730 de vacatio para a lei, sendo que parte do projeto entraria em vigor em 180 dias, conforme o § 1º, também do art. 80. Considerando ao menos um ano de debates da Câmara, já contaríamos 3 anos de espera por uma legislação. 
2. Autoridades setoriais podem ser mais ágeis, ao menos no curto prazo. No nível Federal, o país conta com 11 agências reguladoras setoriais, dentre as quais a Anvisa - Agência Nacional de Vigilância Sanitária que em conjunto com o Ministério da Saúde fixou a RDC - Resolução da Diretoria Colegiada - 657, de 24/3/22, que trata da regularização de software como dispositivo médico (SaMD - Software as a Medical Device), incluindo os usos de algoritmos computacionais aplicados ao atendimento médico. Outros reguladores criaram cartilhas ou optaram por criar estruturas de testagem própria. Em janeiro de 2025, a Agência Nacional de Telecomunicações anunciou o lançamento de Sandbox regulatório, para aperfeiçoamento das regras que venha a estabelecer para o mercado, publicou sua Política de Governança de Inteligência Artificial e estabeleceu o Laboratório de IA para pesquisas e avaliação do Plano de Governança. Isso exemplifica como os reguladores se dispuseram a abordar as aplicações de IA. Todavia, este movimento ainda depende de uma sensibilização por parte das agências, que ainda é incipiente na maior parte delas.  Ainda assim pode persistir um risco de desregulação por inação das autoridades, derivada de uma dificuldade de promover a cultura de regulação e prevenção.
3. Ainda consta em diversos arts. 16, § 4º; Art 19, §2º; Art 34, §§ 1º, 3º e 7º) do projeto de lei 2338, a possibilidade de as autoridades utilizarem standards internacionais como critério para autorizar o uso de sistemas de IA no Brasil. Isso pode facilitar a entrada de sistemas estrangeiros, diminuir o tempo de lançamento de projetos no país, além de uniformizar globalmente os métodos de avaliação e a fixação de indicadores. Poderá haver vantagens competitivas para produtos brasileiros, mas é importante abordar os sistemas como ferramentas com alto poder de impacto social contextual, o que exige a ampliação das avaliações para temas e campos que sejam específicos da perspectiva do Brasil, quando tecnologias estrangeiras já certificadas no exterior vierem para o país. Apoiado pela descentralização, mas se tratando de um fenômeno que existiria de forma autônoma, seria a criação de centros ou hubs de pesquisa especializados por setores econômicos, especialmente os hubs dentro das Universidades. Projetos específicos promovidos na USP são exemplos do êxito dessa abordagem, como o projeto de línguas indígenas, promovido no C4AI - Center for Artificial Intelligence em parceria com o FAPESP - Fundo de Amparo à Pesquisa do Estado de São Paulo e a IBM; ou o projeto de levantamento jurimétrico realizado [...]; e a pesquisa de previsões nos portos de Santos, em São Paulo e de Paranaguá, no Paraná. Um ambiente de acreditação de centros de pesquisas em universidade poderia atender ao art. 49, IX e § 1º do PL.

Mesmo com diversos caminhos possíveis para a regulação, o núcleo duro da arquitetura de governança proposta pelo projeto de lei precisa de uma harmonização, especialmente quando confrontada com o PBIA - Plano Brasileiro de inteligências Artificial.

O projeto 2.338/23 cria instâncias para a regulação da IA, mas a atuação de três entidades merece destaque, as quais são: a autoridade competente que, por ora seria ANPD; o Centro de Transparência e o Observatório de Inteligências Artificial, sendo que estes dois estão listados dentro do PBIA e dialogam com o organograma do MCTI - Ministério da Ciência Tecnologia e Inovação. Conforme art. 49 do projeto de lei 2.338, a autoridade competente terá como função emitir pareceres técnicos complementares (inciso IV) sobre sistemas de IA de alto risco, além de poder realizar ou determinar auditorias de sistemas de IA de alto risco (inciso VII). 

Enquanto o PBIA prevê a criação de um Centro Transparência Algorítmica Nacional para desenvolver pesquisas e estudos sobre riscos, segurança, transparência e confiabilidade da IA buscar a redução dos riscos associados ao uso e desenvolvimento da IA e o Observatório de IA, teria o objetivo desenvolver e consolidar indicadores e bases de dados para o acompanhamento do uso e desenvolvimento da IA no Brasil. Apesar do PBIA não estar sancionado, o Observatório realizou agendas de trabalho. 

O ponto de convergência das competências recairia, num primeiro momento, sobre a força regulatória de cada uma das entidades e num segundo momento sobre o grau de influências de cada uma delas na tomada de decisão pelos reguladores setoriais, incluindo a própria ANPD. 

No cenário atual a ANPD fixaria entendimentos sobre práticas e protocolos de ordem administrativa e técnica considerados como mais adequados, ao mesmo tempo, o Centro de Transparência realizaria estudos de melhores práticas e do estado da arte da pesquisa em IA, que poderiam ser utilizados pela ANPD para a fixação de padrões para o contexto brasileiro. Enquanto isso o Observatório, sujeito ao CGI - Conselho Gestor da Internet e ao MCTI, fixaria indicadores sobre o desenvolvimento da IA. 

Todavia, caso não haja diálogo entre estes núcleos, indicadores poderão ficar desconexos da regulação da ANPD e da linha de ponta do Centro de Transparência, enquanto as recomendações da ANPD poderão se sobrepor aos estudos apresentados pelo Centro de Transparência e prescindir a atividade deste.

Diante desse impasse, é essencial reconhecer que a presença dessas instituições deve compor uma arquitetura que evite sobreposições de competências e conflitos pela obtenção de recursos. A solução, por ora, seria atribuir à autoridade competente, em conjunto com o SAI - Sistema de Inteligência Artificial, a responsabilidade pela interpretação normativa do projeto de lei 2.338. 

Nos casos de elaboração de resoluções, recomenda-se utilizar a estrutura do Centro de Transparência, que oferece suporte por meio de pesquisas de ponta em temas de fronteira e, de modo a recomendar às autoridades setoriais sem que haja presunção de vinculação, como poderia ocorrer no caso de uma resolução emitida pelo SIA. O OBIA, por sua vez, manteria seu foco na análise de indicadores históricos, na avaliação do desempenho de políticas públicas relacionadas à IA e na identificação de tendências observadas em estudos publicados. Assim, a autoridade ficaria responsável pela norma, o Centro de Transparência pelo estudo antecipatório e de ponta da IA e o OBIA pelo ambiente analítico e de subsídios à tomada de decisões baseada em dados.

___________________

1 BARROSO, Luís Roberto. Curso de direito constitucional contemporâneo: os conceitos fundamentais e a construção do novo modelo. 8. ed. São Paulo: Saraiva, 2019