Inteligência Artificial – Regulamento(s) e Plano coordenado da União Europeia

Legislação

A Comissão Europeia, conforme se previa e noticiava neste blog, anunciou ontem um novo pacote legislativo que contém uma Proposta de Regulamento relativo à Inteligência Artificial (IA), com o primeiro quadro jurídico sobre a matéria. A União Europeia (UE) optou, como vem sendo regra, pelo regulamento em vez da diretiva.

O referido pacote inclui também um Regulamento sobre máquinas, revendo a Diretiva existente sobre a matéria, de 2006[1], bem como um Plano coordenado entre os Estados-membros relativo à IA, que tem em vista a liderança global pela União Europeia no que diz respeito à inteligência artificial confiável.

Todo este esforço visa tornar a Europa apta para a era digital, reforçando a confiança de todos, de modo a que tanto empresas, como consumidores, habitem e desenvolvam em segurança transações comerciais online, desenvolvendo o mercado único europeu num espaço diferente, paralelo, que tem vindo a ganhar terreno ao comércio tradicional. Desde há vários anos que a União Europeia tem consciência de que a Economia Digital é um dos campos em que poderá ter um crescimento significativo, já que as suas possibilidades de competir globalmente nos setores clássicos da agricultura, da indústria e, até, dos serviços se vão apresentando limitadas.

Observando-se o esforço e resultados, numa perspetiva global do mundo, dir-se-ia, no mínimo, que não vai adiantada.

Margrethe Vestager, vice-presidente executiva para uma Europa adequada para a era digital, afirmou que “On Artificial Intelligence, trust is a must, not a nice to have.”, manifestando a vontade da União Europeia de, com estas regras, conseguir estabelecer novos padrões globais para uma inteligência artificial confiável, salvaguardando-se a segurança e os direitos fundamentais dos cidadãos, enquanto se garante uma UE competitiva.  

As novas regras, que constando de Regulamento, serão aplicadas diretamente da mesma forma, em todos os Estados-Membros, assentam numa abordagem baseada no risco. Os sistemas de IA de risco inaceitável são banidos. Estes são os que representam uma clara ameaça à segurança, à subsistência e aos direitos das pessoas, nomeadamente sistemas de AI que manipulem o comportamento, ou que permitam que os governos atribuam “pontuações sociais” às pessoas (tendo aqui provavelmente em vista a recusa de realidades como o denominado Crédito Social chinês, apresentado neste blog aqui).

Os sistemas de IA identificados como de alto risco são sujeitos a obrigações estritas antes de serem colocados no mercado e incluem tecnologia de IA usada, por exemplo, em infraestruturas críticas ou produtos que podem colocar em risco a vida e a saúde das pessoas (Ex.: transportes, cirurgias assistidas por robôs) e em decisões que podem determinar a sua vida (Ex.: pontuação em exames, seleção de candidaturas a emprego ou crédito, administração da justiça).

Nestes casos, quando se estiver perante sistemas de IA de alto risco devem ser implementadas fortes medidas com vista à avaliação adequada do risco e à sua mitigação como, por exemplo, a verificação da qualidade dos dados usados e a possibilidade de se perceber como se chegou aos resultados apresentados (a denominado descodificação das black boxes da IA), segurança, prestação de informação e supervisão humana.

É especialmente determinado que todos os sistemas remotos de identificação biométrica são considerados de alto risco e sujeitos a requisitos especialmente rigorosos.

Sendo qualificado como “limitado” o risco dos sistemas de IA, haverá obrigações específicas de transparência. Por exemplo, ao usar chatbots, os usuários devem estar cientes de que estão a interagir com uma máquina para que possam tomar uma decisão informada sobre se pretendem continuar ou não com a interação.

Se o risco for qualificado como “mínimo”, o que acontecerá com a maior parte dos sistemas de IA, o regulamento não intervém, já que será mínimo ou nenhum o risco para os direitos e segurança dos cidadãos.

Em termos de governação, a Comissão propõe que as autoridades nacionais competentes de fiscalização do mercado supervisionem as novas regras, sendo criado um Comité Europeu de Inteligência Artificial para facilitar a sua implementação, bem como para impulsionar o desenvolvimento de normas para IA e de códigos de conduta voluntários.

Estas medidas são o culminar de um caminho, resumidamente apresentado aqui e aqui

As intenções são boas, dir-se-iam até ótimas.

Desde já, levantam-se-nos três questões. Primeira, quanto mais tempo vai passar até que existam as regras propriamente ditas, isto é, até à finalização do processo legislativo e à entrada em vigor dos diplomas que vierem a ser aprovados? Depois disso, quanto tempo vai demorar a construção da estrutura burocrática que, inevitavelmente, tudo na UE pressupõe? Por fim e mais importante, como correrá a operacionalização das regras, a começar pela qualificação, na prática, do risco de um determinado sistema de IA? Esse é o pressuposto da determinação do modo como vai ser tratado e de como, concretamente, vai existir e funcionar.


[1] Diretiva 2006/42/CE do Parlamento Europeu e do Conselho, de 17 de Maio de 2006, relativa às máquinas.

Regulamento Europeu relativo à Inteligência Artificial – divulgação antecipada (leaked draft)

Nossa Pesquisa

A Comissão Europeia vai anunciar brevemente, provavelmente durante a próxima semana, a Proposta de Regulamento relativo à Inteligência Artificial que tem estado a preparar. A propósito da divulgação antecipada pelo Politico de um draft daquela Proposta, acessível aqui, já se encontram notícias muito concretas sobre o assunto.

Na senda da adoção de Regulamentos que vem caraterizando a União Europeia, principalmente no que à denominada Economia Digital diz respeito, já analisada neste blog, mais uma vez o instrumento preferido pela União é aquele que, com maior rapidez e a possível eficácia, faz chegar regras semelhantes a todos os Estados-Membros.

Este diploma vem coroar um esforço, que vai longo e intenso, no sentido de a UE procurar dominar esta força, aparentemente descontrolada, que se tem vindo a revelar ser o alastramento da utilização de inteligência artificial na análise de volumes astronomicamente crescentes de big data, que todos nós produzimos, com entusiasmo ou enfado, quando vamos usando e abusando de dispositivos eletrónicos, principalmente de smartphones e que se junta aos dados produzidos por todas as outras fontes, em permanência, de que se destacam a denominada Internet das Coisas, a omnipresente vigilância através de câmaras espalhadas em espaços públicos e privados e o GPS que nos mantém um pequeno boneco desarticulado nos mapas virtuais.

Esse esforço tem sido reportado e analisado neste blog, principalmente aqui e aqui, em relação à Estratégia para a inteligência Artificial (Artificial Intelligence – AI), aos trabalhos do Grupo de Peritos especificamente criado neste âmbito (AI HLEG), à criação da European AI Alliance (EAIA), do Livro Branco sobre a inteligência artificial e do Relatório sobre as implicações em matéria de segurança e de responsabilidade decorrentes da inteligência artificial, da Internet das Coisas e da robótica, bem como ao nascimento do ALLAI, tudo com vista à criação e operacionalização de uma AI confiável.

Passo de gigante será o Regulamento que enquadra juridicamente o tema e que estará a chegar.

De acordo com o draft divulgado, o diploma vai ter 92 considerandos, 69 artigos e 8 anexos.

A estrutura apresentada é a seguinte: Título I de “General Provisions”, Titulo II relativo a “Prohibited Artificial Intelligence Practices”, Título III que regula os “High-Risk AI Systems”, (para os quais estabelece requisitos e obrigações específicas, os “Notified Bodies” e os “Conformity Assessment, Standards, Certificates, Registration”), Título IV relativo à “Transparency Obligations for Certain Other AI Systems”, Título V estabelecendo as “Obligations For The Use Of Remote Biometric Identification Systems”, Título VI as “Measures In Support Of Innovation”, o Título VII a “Governance” (criando o artigo 47.º um “European Artificial Intelligence Board”), o Titulo VIII a “Eu Database For High-Risk Ai Systems”, Título IX a “Post-Market Monitoring, Information Sharing, Market Surveillance”, Título X os já habituais Códigos de Conduta, Título XI “Confidentiality And Penalties”, criando as também já habituais sanções astronómicas, Título XII os “Delegated Acts & Comitology” (maravilhoso termo que talvez se possa traduzir pelo correspondente nacional não menos delicioso “Comitologia”, que mostra muito daquilo em que se tornou a UE), fechando com o Título XIII de “Final Provisions”.

Deixamos o resumo e acesso ao draft leaked, para abrir o apetite e ficaremos atentos à divulgação oficial do texto final que se espera para muito breve, altura em que haverá oportunidade de se verificar se o draft divulgado antecipadamente corresponde à versão que virá a ser oficialmente anunciada. Tarefa comparativa completamente talhada para uma AI.

Reconhecimento facial a quanto obrigas

Legislação

O Despacho n.º 2705/2021, de 11 de março do Gabinete Nacional de Segurança (GNS) vem tratar da “Identificação de pessoas físicas através de procedimentos de identificação à distância com recurso a sistemas biométricos automáticos de reconhecimento facial.”, assunto que é apresentado no “Sumário:”, sem bold, em tamanho de letra pequeno e com ponto final e, imediatamente a seguir, como título, em letra de tamanho grande, a bold e sem ponto final, o que, além de aparentar gaguez, indica que é coisa para continuar com algum desenvolvimento.

O que vem a seguir não desilude. Inicia com os enquadramentos, obrigatórios para evitar que o incauto cidadão seja levado a crer que se Despacha sem os devidos fundamentos programáticos, legais e, também, de Regulamento comunitário. Nestes termos se expõem: “O Programa do XXII Governo Constitucional identifica como um dos desafios estratégicos a promoção de incentivos da sociedade digital, da criatividade e da inovação, privilegiando a simplificação administrativa, o reforço e a melhoria dos serviços prestados digitalmente pelo Estado, o seu acesso e usabilidade, a par da desmaterialização de mais procedimentos administrativos.” e “O Regulamento (UE) N.º 910/2014 do Parlamento Europeu e do Conselho, de 23 de julho de 2014, relativo à identificação eletrónica e aos serviços de confiança para as transações eletrónicas no mercado interno, veio considerar que: Criar confiança no ambiente em linha é fundamental para o desenvolvimento económico e social.”. É, ainda, indicado que a execução na ordem jurídica interna foi assegurada pelo Decreto–Lei n.º 12/2021, de 9 de fevereiro.

É, pois, por isso que o GNS, designado pelo acima referido Regulamento, vem “definir requisitos e instruções, relativamente à possibilidade dos prestadores qualificados de serviços de confiança adotarem formas de identificação não presencial, com garantias equivalentes, em termos de confiança, à da presença física”, possibilitando a “identificação por sistemas biométricos automáticos de reconhecimento facial”.

Os requisitos são apertados. A pessoa que está, em tempo real, a efetuar o pedido de reconhecimento tem de começar por mostrar que é titular do documento de identificação após o que, com consistência suficiente para convencer os sistemas de deteção, precisa de mostrar que está viva. Será ainda necessária demonstração de que “o documento de identificação apresentado é autêntico” e aí vai ser determinante conseguir convencer o sistema “de inteligência artificial e de deep learning”, que já se sabe é o mais difícil de iludir e que(m) decide.

Como usual, e já praticamente imprescindível em qualquer diploma que estabeleça normas, são apresentadas definições, neste caso no n.º 1 do Anexo A.

Destacam-se, porque merecem, as seguintes:

– “Sujeito biométrico. É uma pessoa que se submete a um processo de captura biométrica.”

– “Impostor biométrico. É um sujeito biométrico subversivo, que desenvolve ataques biométricos.”.

– “Prova de vida. Representa o estado de “estar vivo”, em tempo real. É evidenciado por características anatómicas, reações involuntárias e voluntárias, funções fisiológicas ou comportamentos.”.

É, ainda, definido “Deep learning (como) um ramo da inteligência artificial (AI), assente em sistemas/redes com capacidade de aprender com os dados, identificar padrões e tomar decisões com o mínimo de intervenção humana.”. Realce-se a ideia de “tomar decisões”, sem ser muito empatada pelo humano.

No n.º 4 do mesmo anexo vem o “Modelo funcional”, informando o Despacho que: “Este capítulo apresenta, sob o ponto de vista funcional, o sistema biométrico automático de reconhecimento facial (sBIO), de modo a poder ser facilmente identificado o âmbito, os componentes e as diversas atividades desenvolvidas por cada um destes componentes/subsistemas.”. Neste ponto não pode deixar de ser sublinhada a expressão “facilmente”, tanto no contexto do próprio parágrafo introdutório em que se insere, como depois da leitura do tal modelo funcional, que se lhe segue.

O n.º 5 apresenta os requisitos gerais estabelecendo que “Para os efeitos previstos neste documento, considera-se que a entidade que se submete ao processo de identificação, é uma pessoa física e passa a ser designada de subscritor, a entidade que verifica a identidade do subscritor, é um prestador qualificado de serviços de confiança, designada de QTSP. Quando (no original “Quanto”) um subscritor, demonstra com sucesso, a existência, posse ou controlo de mais que um mecanismo de autenticação requeridos pelo QTSP para validar a sua identidade, passa a ser designado por titular.”

Acaba, por fim e para nosso alívio, com um Anexo B, relativo à “Certificação dos sistemas biométricos automáticos de reconhecimento facial”.

Assina o Diretor-Geral do GNS, aparecendo após o nome, “CALM”. Não é, como à primeira vista se poderia pensar, um incentivo final a que o sujeito biométrico subscritor que, vivo e de cartão na mão, se sujeita a um QTSP, mantenha a calma durante o processo.

Em face de tal regulamentação parece, pois, que o reconhecimento facial vai ser reconhecido pelo Estado, como modo de identificar cidadãos, cumpridores dos requisitos do Despacho.

Na rua, um jovem aproxima o seu smartphone do rosto para o desbloquear, enquanto o amigo usa a impressão digital para desbloquear o seu. Sendo necessário confirmar os ingredientes da pizza, o primeiro diz ao seu dispositivo móvel “liga ao Manuel” e o aparelho, reconhecendo a voz, faz a ligação. No take-away a que a pandemia obriga, o segundo paga com o cartão que obteve registando-se com um documento de identificação e reconhecimento facial. Pelo caminho testam o desbloqueamento do telemóvel com a íris, funcionalidade que ainda não tinham experimentado e que funciona muito bem, o que os diverte. Sentem-se bastante confiantes, provavelmente demais, no ambiente em linha onde usualmente habitam e onde, com o confinamento, têm quase toda a sua vida.

Não sabem que, desde sexta feira, passaram a ser um sujeito biométrico e que, daqui a algum tempo, aquele que o Estado demorar a implementar o Direito, do Regulamento comunitário ao Despacho, se quiserem um reconhecimento facial a valer, vão ter de apresentar cartão e, em tempo real, fazer prova de que estão vivos a um QTSP.