Em resumo : O AI Act, regulamentação europeia sobre inteligência artificial (IA), está em vigor desde fevereiro de 2024, apesar da oposição de algumas empresas. Ele impõe obrigações sobre modelos de IA de uso geral, incluindo documentação técnica exaustiva, uma política sobre respeito aos direitos autorais e um resumo dos dados de treinamento. Empresas não conformes arriscam multas que podem chegar a 15 milhões de euros ou 3% de seu faturamento mundial.
Índice
As primeiras disposições do AI Act, que entrou em vigor em agosto de 2024, referentes aos sistemas de IA de risco inaceitável começaram a ser aplicadas em fevereiro passado. Apesar do moratório "Stop the Clock" solicitado por cerca de cinquenta empresas da EU AI Champions Initiative sobre a continuação da implementação do regulamento, as obrigações relativas aos modelos de IA de uso geral (GPAI) estão efetivas desde o último sábado.
A UE foi pioneira no estabelecimento de um quadro regulatório visando regular a IA de acordo com seu potencial de causar danos. O objetivo do AI Act ou RIA é garantir que os sistemas e modelos de IA comercializados dentro da UE sejam utilizados de maneira ética, segura e no respeito aos direitos fundamentais da UE.
As diretrizes publicadas pela Comissão Europeia em 18 de julho passado esclarecem a aplicação do campo de aplicação do regulamento para os modelos GPAI. Qualquer modelo de IA exibindo uma capacidade de cálculo superior a 10²³ FLOPs (ou seja, o volume de operações em ponto flutuante mobilizadas durante o treinamento), concebido sem finalidade específica (previsões meteorológicas, jogos...) mas que pode ser reutilizado em uma ampla variedade de contextos, será presumido como pertencente a esta categoria.
As obrigações cobrem todo o ciclo de vida dos modelos, do pré-treinamento à disponibilização, passando pelas atualizações e modificações após a colocação no mercado. Seus fornecedores deverão fornecer:
- uma documentação técnica exaustiva, destinada aos fornecedores a jusante integrando o modelo em seu sistema de IA e, se solicitado, ao Escritório Europeu de IA (AI Office) ou às autoridades nacionais competentes. ;
- um resumo dos dados de treinamento, de acordo com o modelo padronizado que o AI Office fornecerá ;
- implementar uma política sobre o respeito aos direitos autorais, alinhada com o direito europeu.
O princípio fundamental do regulamento permanece inalterado : quanto maior o risco, mais exigências são fortes. Essas obrigações são reforçadas para os GPAI considerados de risco sistêmico, modelos que excedem o limiar de 10²⁵ FLOPs acumulados. Estes deverão ser objeto de procedimentos de gestão de riscos reforçados, especialmente em matéria de cibersegurança, relato de incidentes graves, ou ainda testes contínuos. Uma carga regulatória considerada dificilmente sustentável...
Este limiar, no entanto, não é rígido: uma reavaliação dos riscos reais pode ser solicitada pelos prestadores.
Fornecedores, modificações e status open source
Toda empresa que coloca um modelo no mercado europeu é considerada como fornecedor, independentemente do local de desenvolvimento inicial. No entanto, um ator a jusante que efetuou uma modificação do modelo utilizando mais de um terço de sua potência de cálculo inicial, também é considerado como fornecedor e está sujeito às obrigações.
Os modelos publicados sob licença livre e aberta beneficiam de um regime de isenção parcial. Desde que cumpram certos critérios (ausência de monetização ou coleta de dados pessoais), esses modelos não estão sujeitos às obrigações de documentação aos fornecedores a jusante ou às autoridades. No entanto, assim que ultrapassam o limiar de risco sistêmico, nenhuma isenção se aplica.
Código de boas práticas
Apesar de entrarem em vigor em 2 de agosto passado, essas regras só se aplicarão em agosto de 2026 para novos modelos, e em agosto de 2027 para modelos existentes. Essa progressividade, pilotada pelo Escritório de IA, visa deixar às empresas tempo para se adaptarem.
Para ajudar os fornecedores a se conformarem, a Comissão publicou, alguns dias antes de suas diretrizes, um código de boas práticas. Aqueles que optarem por aderir a ele beneficiarão de uma redução de sua carga administrativa e de uma segurança jurídica acrescida em relação aos que comprovarem sua conformidade por outros meios. Google, OpenAI, Mistral, Microsoft já o fizeram enquanto Meta recusou, alegando zonas de incertezas jurídicas e uma extensão injustificada do quadro regulatório.
As multas previstas para não cumprimento dessas obrigações poderão atingir 15 milhões de euros ou 3% do faturamento mundial das empresas. Cada um dos Estados membros da UE deve notificar à Comissão as autoridades de supervisão que controlarão as empresas. Se nenhuma foi até agora designada pela França, a Cnil deverá desempenhar um papel central, instâncias setoriais como a Arcom ou a Anssi também são consideradas.