Introdução
Nesta blogpost, vamos explorar o regime de responsabilidade por danos causados por sistemas de Inteligência Artificial (“IA”) na União Europeia (“UE”), especialmente no que diz respeito à responsabilidade por produtos defeituosos, no contexto da proposta relativa à Diretiva sobre Responsabilidade por Produtos Defeituosos (“Proposta”). O nosso objetivo será explicar as principais matérias reguladas pela Proposta, dando-lhes um pano de fundo e proporcionando uma compreensão clara de como esta proposta altera o regime atual, especialmente quando se trata de regular a responsabilidade por sistema de IA num cenário Business to Consumer.
Enquadramento geral da responsabilidade civil por danos de sistemas de IA
Antes de entrar nesse regime, importa analisar a regulação europeia em termos de IA. Este panorama é marcado por vários atos legislativos, quer já estejam em vigor, quer estejam a passar pelo respetivo processo legislativo. Assim, para compreender o quadro de responsabilidade por danos da UE, é importante contextualizá-lo num escopo mais vasto de Regulamentos e Diretivas.
Regime europeu aplicável à IA
Na UE, os sistemas de IA estão a ser objeto de regulação em duas frentes: regimes gerais e regras específicas de IA.
Começando pelo quadro jurídico geral, têm-se travado importantes debates sobre a sobreposição (e potencial ineficácia) de certos Regulamentos e Diretivas quando aplicados à IA. Os mais referidos são os seguintes:
Proteção de Dados: A IA depende fortemente de dados, especialmente de dados pessoais. A conformidade com os princípios de proteção de dados, incluindo a minimização, a limitação da finalidade, a exatidão e a responsabilidade, é uma obrigação, embora nem sempre seja fácil de alcançar na prática;
Propriedade intelectual: Para além dos dados pessoais, a legislação da UE rege outros aspetos relacionados com a IA, através de regimes como os direitos de autor, as patentes e os segredos comerciais, bem como a proteção das bases de dados. Através destes regimes, os dados (não pessoais) de treino, os inputs, os outputs e até o próprio modelo poderão ter de cumprir determinados critérios para serem abrangidos pelo escopo destes direitos. Neste sentido, dois dos temas mais atuais são a questão de saber se os sistemas de IA podem ser autores (por exemplo, para efeitos de direitos de autor), bem como a potencial violação dos direitos de autor concedida aos autores de obras que são utilizadas para treinar sistemas de IA;
Direito do Consumo: As Diretivas existentes em matéria de Direito do Consumo têm vindo a adaptar-se para englobar a IA de uma forma mais direta. Dois exemplos claros são a Diretiva relativa aos conteúdos digitais e a Diretiva relativa a certos aspetos dos contratos de compra e venda de bens;
Responsabilidade Civil: Tal como acontece com o Direito do Consumo, o legislador da UE está a agir no sentido de atualizar os atuais regimes de responsabilidade para incluir sistemas tecnologicamente mais avançados, como a IA. Assim, para além da Diretiva Conteúdos Digitais e da Diretiva relativa a certos aspetos dos contratos de compra e venda de bens que preveem opções para os consumidores em caso de não conformidade, o legislador europeu está atualmente a preparar a Proposta, que será analisada mais aprofundadamente adiante.
Na regulação específica da IA, a UE adota uma abordagem dupla:
Conformidade e regulamentação: O Ato da IA (AI Act) impõe obrigações principalmente aos utilizadores e criadores de sistemas de IA com base numa abordagem baseada no risco. Consoante os riscos potenciais que apresentam, os sistemas podem variar entre uma regulamentação mínima e uma proibição estrita. Os sistemas de alto risco e as partes da cadeia de abastecimento enfrentam obrigações pormenorizadas;
Responsabilidade Civil: A UE abordará a questão da responsabilidade por danos relacionados com a IA através da Diretiva sobre Responsabilidade por IA (AI Liability Directive ou “AILD”), atualmente em discussão pelo legislador da UE. No entanto, esta Diretiva centrar-se-á apenas na responsabilidade extracontratual baseada na culpa.
Responsabilidade civil por danos causados por sistemas de IA
Se nos debruçarmos especificamente sobre os quadros de responsabilidade civil, verificamos que o legislador da UE pretende abordar a responsabilidade por danos causados por sistemas de IA de duas formas:
Responsabilidade contratual: Para as relações entre consumidores e profissionais, a Diretiva Conteúdos Digitais e a Diretiva relativa a certos aspetos dos contratos de compra e venda de bens preveem um regime de responsabilidade a que os consumidores podem recorrer em caso de não conformidade;
Responsabilidade extracontratual: A AILD e a Proposta da nova Diretiva regerão a responsabilidade extracontratual baseada na culpa dos sistemas de IA[1].
Com este roteiro em mente, o resto deste blogpost centrar-se-á na Proposta da nova Diretiva, abordando os seus principais elementos, como o seu âmbito material e pessoal, bem como os requisitos para desencadear a responsabilidade dos operadores económicos.
Escopo da Proposta
Ao analisar a proposta de Diretiva e o seu impacto nos sistemas de IA, é importante compará-la com as regras da atual Diretiva. Esta comparação revela duas primeiras melhorias fundamentais, relacionadas, por um lado, com o seu âmbito material e, por outro, com o seu âmbito pessoal.
Escopo material e definições
A Proposta da Diretiva representa um desenvolvimento substancial da Diretiva em vigor, ao atualizar as suas definições com conceitos tecnologicamente mais avançados, onde se incluem sistemas de IA. Para o efeito, o âmbito das regras de responsabilidade decorrente dos produtos é alargado através das seguintes definições:
Alargamento da definição de “produto”: A definição abrange agora os ficheiros de fabrico digitais e o software;
Introdução da definição de ‘componente’: Esta adição abrange qualquer elemento tangível ou intangível, ou qualquer serviço conexo que é incorporado num produto ou interligado com o mesmo pelo fabricante desse produto ou sob o controlo do fabricante;
Definição de “serviço conexo”: Um serviço conexo é definido como um serviço digital que, quando ligado a um produto, é essencial para o funcionamento normal do produto.
Estas definições atualizam o regime de responsabilidade decorrente de produtos defeituosos, garantindo que os produtos que incorporam elementos e serviços digitais estejam sujeitos a estas regras de responsabilidade. Este aspeto é especialmente relevante no contexto atual, em que serviços são frequentemente integrados nos produtos, como acontece com os assistentes virtuais como a Alexa e a Siri, em que a atual Diretiva dá respostas pouco claras.
Escopo pessoal e operadores económicos
Por outro lado, a Proposta também alarga as entidades que podem ser responsabilizadas por danos, introduzindo uma mudança significativa de “produtores” para “operadores económicos”. Este novo conceito alarga o âmbito de aplicação para incluir várias partes na cadeia de abastecimento, tais como o fabricante do produto, os fabricantes de componentes, os prestadores de serviços conexos, os representantes autorizados, os importadores, etc.
Embora estas novas entidades estejam abrangidas pelo âmbito de aplicação da Proposta da Diretiva, tal não significa que todas partilhem regimes de responsabilidade idênticos. Por exemplo, os importadores, os representantes autorizados e os prestadores de serviços de execução têm responsabilidade subsidiária, tornando-se responsáveis se o fabricante estiver situado fora da UE (artigo 7.º, n.º 2). Se nem o fabricante nem o importador puderem ser identificados, os distribuidores podem ser responsabilizados.
Crucialmente, é importante notar que a Proposta de Diretiva alarga a responsabilidade às entidades que prestam serviços conexos. Esta alteração constitui uma mudança conceitual, uma vez que a Diretiva se aplica tradicionalmente a produtos e não a serviços. No entanto, a inclusão é lógica, uma vez que os produtos contêm cada vez mais componentes digitais essenciais para o seu funcionamento. No contexto da “Internet of Things”, uma distinção estrita entre produtos e serviços não pode pôr em causa a responsabilidade por produtos defeituosos.
O que isto significa, em termos práticos, é que se uma empresa desenvolve um sistema de IA, que é integrado no software de um produto criado por outra, ambas as entidades podem ser responsabilizadas por defeitos do produto final. Se a parte lesada receber uma indemnização do fabricante do produto final, essa entidade pode eventualmente ter direito a uma compensação do fabricante do componente com base na legislação nacional aplicável.
Regime de responsabilidade civil ao abrigo da Proposta
Vamos agora explorar os fatores críticos que ativam a responsabilidade ao abrigo da Proposta. São eles a existência de dano e o caráter defeituoso do produto.
Relativamente ao primeiro, foram incluídas duas alterações fundamentais na Proposta:
Supressão do limiar mínimo de 500 €: A Proposta elimina o limiar de 500 € previsto na atual Diretiva, alargando assim o âmbito da responsabilidade;
Inclusão da perda ou corrupção de dados: A perda ou corrupção de dados, não utilizados exclusivamente para fins profissionais, passa a ser considerada um dano pelo qual os operadores económicos podem ser responsabilizados. No entanto, a responsabilidade continua limitada, excluindo os danos económicos. Esta limitação afeta cenários de IA como os seguros, a pontuação de crédito e situações laborais, em que os danos económicos são mais comuns.
O segundo elemento, e provavelmente o elemento central que desencadeia a responsabilidade, é o caráter defeituoso do produto.
Em termos gerais, a nova disposição sobre o carácter defeituoso assemelha-se muito ao artigo 6.º da atual Diretiva, que considera as expectativas do consumidor.
No âmbito deste quadro, são feitas duas principais melhorias:
Aprendizagem após a colocação no mercado: A Proposta alarga a responsabilidade aos defeitos que surgem depois de o produto ser colocado no mercado, ao considerar a potencial aprendizagem do sistema após o seu lançamento;
Controlo após o lançamento: Outra consideração crítica é o nível de controlo mantido pelos fabricantes ou programadores depois de o produto ser introduzido no mercado ou colocado em serviço. Assim, a Proposta prevê que a responsabilidade pelos defeitos continue até que o controlo seja abandonado. Este requisito garante que as empresas permanecem proativas na abordagem e retificação dos defeitos.
É de notar que a Proposta de Diretiva prevê situações de responsabilidade por defeitos posteriores, nomeadamente no artigo 10.º. Aqui, os operadores económicos podem não ser responsabilizados por danos causados por um produto defeituoso se demonstrarem que é provável que o defeito que causou o dano não existia quando o produto foi colocado no mercado ou em serviço. Contudo, o n.º 2 do artigo 10.º prevê exceções a esta regra. Os operadores económicos serão responsabilizados se o defeito resultar de um serviço conexo, de software (incluindo atualizações e upgrades) e da sua ausência quando necessário para a manutenção da segurança. É importante notar que estas exceções só se aplicam quando os operadores económicos mantêm o controlo sobre o produto após a sua colocação no mercado. Assim, existe um paralelo entre o n.º 1, alínea c), do artigo 6.º e o artigo 10.º, que alarga a responsabilidade aos casos de defeitos posteriores quando o operador económico mantém um grau de controlo sobre o produto.
Acesso a informação e ónus da prova
Para além das regras gerais em matéria de responsabilidade civil, a Proposta inclui disposições relativas ao acesso à informação e ao ónus da prova.
O artigo 8.º pode ser invocado para aceder a informações relativas a sistemas de IA, quer estes sejam de alto risco ou não. Trata-se de uma distinção importante em relação à AILD, que se centra principalmente nos sistemas de alto risco. Outro aspeto significativo deste artigo é a utilização do termo “demandado”, indicando que o direito de acesso à informação diz respeito principalmente a processos judiciais em curso.
No que toca ao ónus da prova, a Proposta visa aliviar o ónus da parte lesada na prova de certos elementos necessários a uma ação de indemnização.
Resumidamente, o artigo 9.º estabelece que cabe normalmente ao demandante ou à parte lesada o ónus de provar o carácter defeituoso, o dano e o nexo de causalidade entre eles. Contudo, a Proposta estabelece condições específicas que desencadeiam a presunção de defeito, de nexo de causalidade entre o defeito e o dano ou de ambos. Estas condições são as seguintes:
Condições suficientes para a presunção de defeito: (i) Incumprimento pelo requerido de uma obrigação de divulgação nos termos do artigo 8.º, n.º 1; (ii) Violação de requisitos de segurança obrigatórios; (iii) Danos causados por um mau funcionamento óbvio do produto;
Condições suficientes para a presunção de nexo de causalidade: presume-se o nexo de causalidade se for comprovado o caráter defeituoso do produto e se o dano for compatível com o mesmo. No entanto, a proposta não especifica os tipos de danos tipicamente considerados coerentes com o defeito, introduzindo potencialmente incerteza jurídica e encargos adicionais para os consumidores;
Condições adicionais de suficiência para ambas as presunções (n.º 4 do artigo 9.º): (i) O tribunal deve considerar excessivamente difícil para o requerente provar o respetivo objeto da presunção (defeito, causalidade ou ambos); (ii) O requerente deve estabelecer que o produto contribuiu para o dano, (iii) O objeto factual da presunção deve ser provável, baixando o limiar de prova do padrão normal para a mera probabilidade.
Os demandados têm a possibilidade de ilidir qualquer uma destas presunções (n.º 5 do artigo 9.º). Isto significa que podem apresentar provas ou argumentos para contestar as presunções de defeito ou de nexo de causalidade.
[1] É importante mencionar que a Proposta e em geral o regime de responsabilidade por produtos defeituosos pode também ser aplicado a relações contratuais, não estando, contudo, dependente da sua existência.