JOTA
11/6/2024
No último dia 13 de março, o Parlamento Europeu aprovou definitivamente o texto do Regulamento de Inteligência Artificial da União Europeia, também conhecido como AI Act. Embora não seja a primeira legislação no globo estabelecendo regras sobre desenvolvimento, implementação e uso de sistemas e aplicações baseadas em inteligência artificial, concorrendo com instrumentos normativos já adotados na China, Estados Unidos, Reino Unido e Peru, a entrada em vigor do regulamento europeu de IA tende a pressionar os agentes econômicos e o governo brasileiro na direção de um marco legal definido, estável e previsível.
A discussão do PL 2338/2023, que dispõe sobre o uso da IA no Brasil, é esperada para as próximas semanas no Senado, e ela não deve deixar de considerar os eventuais impactos da legislação europeia também para agentes da indústria de tecnologias no Brasil e a necessária inclusão de um dispositivo expresso sobre o âmbito de aplicação da futura lei brasileira, algo que não existe até o momento, como será discutido a seguir.
Importante observarmos que um dos aspectos centrais do Regulamento Europeu relevantes para empresas atuando como desenvolvedoras, fornecedoras e usuárias de sistemas e aplicações baseadas em IA, diz respeito ao alcance extraterritorial de suas regras. Isso significa que organizações sediadas fora da UE também poderão estar submetidas ao âmbito de aplicação das normas do AI Act.
O artigo 2 do regulamento de IA estende a sua aplicação a organizações sediadas em outros países fora da União Europeia, sempre que (i) essas organizações colocarem produtos de IA no mercado interno ou colocarem esses produtos em serviço e utilização na UE; e (ii) os resultados produzidos por esses produtos de IA sejam utilizados por pessoas na UE, o que também inclui os cidadãos europeus, protegidos em seus direitos fundamentais no domínio intracomunitário.
Ali, a mesma sistemática espelha, em certa medida, a técnica utilizada no Regulamento Geral de Proteção de Dados Pessoais (GDPR) ao pressupor o princípio dos efeitos associados do tratamento de dados pessoais realizados por agentes sediados fora da UE quando em conexão com dados pessoais e comportamentos de titulares de dados na UE.
Por força do artigo 3(2) do GDPR, empresas estabelecidas fora da UE devem observar as mesmas regras quando comercializem bens ou serviços ou quando controlem o comportamento dos cidadãos no interior do espaço intracomunitário.
No caso da IA, empresas brasileiras que conduzem atividades comerciais com países da UE deverão gradualmente se ajustar às práticas e aos padrões em conformidade com o Regulamento de Inteligência Artificial, pois elas também serão alcançadas pelas regras do novo instrumento.
Esse mesmo movimento ocorreu no campo da proteção de dados pessoais, ainda no percurso da antiga Diretiva Europeia de 1995 (substituída pelo GDPR em 2016), quando robustas cláusulas de privacidade e de proteção de dados já eram aplicadas às grandes e médias empresas brasileiras em contratos comerciais internacionais e em submissão de questionários de compliance.
Espera-se que tendência semelhante seja observada com relação à aplicação das regras do regulamento de IA. Engana-se quem acredita que isso não é o estado da arte do tema, o que revela total desconhecimento sobre a complexidade legal das relações comerciais transfronteiriças envolvendo tecnologias, como as indústrias de propriedade intelectual, de telecomunicações e de computação já apresentaram ao longo da história.
Por via reversa, a futura lei brasileira também precisa cobrir essas lacunas, que aparecem nítidas no texto do PL 2338 com base no substitutivo apresentado pela Comissão de Juristas ao Senado Federal em 2022. Do ponto de vista do comércio digital e tecnologias em IA, exercerá o Brasil um papel marginal de adquirente e importador ou terá espaço para suprir mercados terceiros com desenvolvimento de aplicações de IA já responsivos e conforme a legislação europeia e sua própria lei?
Ainda que seja difícil responder de antemão, empresas brasileiras oferecendo e utilizando serviços e soluções baseadas em IA deverão estar sintonizadas com a demonstração de compromisso organizacional ancorado em ética, responsabilidade e transparência em IA e comprovação de conformidade regulatória dentro de seu respectivo setor de indústria.
Ao demostrar melhores padrões de proteção dos direitos de usuários e pessoas afetadas por sistemas de IA, também poderão evidenciar sua capacidade de atração de novos investimentos no segmento de alta tecnologia e oportunidades de parcerias comerciais nos mercados digitais.
Destaca-se ainda que aplicação extraterritorial das normas do regulamento de IA representa um desafio para empresas atuando em diferentes jurisdições, pois elas passarão a estar submetidas às obrigações regulatórias mesmo sem ter presença física na UE ou a intenção imediata de atender ao mercado europeu.
Os critérios do artigo 2 do regulamento europeu revelam complexidades adicionais na conformidade regulatória e na gestão de riscos de sistemas de IA, sobretudo na medida em que empresas terão de ajustar seus produtos e soluções baseadas em IA caso eles sejam direcionados para mercado interno da UE e afetem direitos de cidadãos europeus dentro do espaço intracomunitário.
A aplicação extraterritorial das normas do IA Act ainda levanta questões sobre o potencial impacto do Efeito Bruxelas, pois, assim como o Regulamento Geral de Proteção de Dados, outros instrumentos normativos da UE têm histórico de influenciar padrões normativos em diferentes sistemas jurídicos, modificando práticas de governos e indústria.
Ao estabelecer requisitos rigorosos para sistemas de IA de alto risco e um marco definido para proteção de direitos fundamentais dos cidadãos europeus diante de aplicações de tecnologias emergentes, o regulamento passa também a ser recebido como um dos principais modelos normativos e de desenho institucional para governança global em IA. Mais uma vez, engana-se quem defender o contrário como tem sido dito desavisadamente no Brasil em artigos de opinião marcados por total superficialidade.
Dificilmente conglomerados transnacionais de tecnologia e big techs, por exemplo, deixarão de alinhar suas atividades comerciais transfronteiriças sem levar em conta as disposições do AI Act, mesmo porque participaram do processo de discussão e adoção do regulamento na UE. Esses agentes consideram não apenas a relevância ainda presente do mercado europeu como também os custos de complexidade operacional que teriam de incorrer em manter diferentes padrões tecnológicos para IA em diferentes regiões do globo.
E esse sintoma já é sentido ao menos por dois aspectos: grandes empresas baseadas nos Estados Unidos e China (os dois grandes rivais na corrida por IA do ponto de vista geopolítico e macrotecnológico) não podem simplesmente desprezar o acesso a mercados europeus nem muito menos fazer tábula rasa dos mecanismos de aplicação de sanções e multas pela Comissão Europeia e reguladores nacionais.
Hoje o Efeito Bruxelas é muito menos sobre exportar transplantes legais e mais sobre modular as portas e usos de novas aplicações tecnológicas em prol de um sistema normativo ancorado em direitos fundamentais de cidadãos da UE e projetar sua influência política no globo.
No caso brasileiro, a versão atual do texto do PL 2338 não conta com um dispositivo dedicado ao âmbito de aplicação territorial e regras que estendem os efeitos extraterritoriais da lei brasileira a relações jurídicas envolvendo IA e que afetem usuários no Brasil.
Vale lembrar que essa técnica não é novidade, pois nossa Lei Geral de Proteção de Dados (LGPD), em seu artigo 3º, alarga seu âmbito de aplicação para alcançar agentes de tratamento de dados situados fora do Brasil, desde que as atividades de tratamento de dados sejam realizadas em território brasileiro, tenham por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, ou os dados pessoais para tratamento no estrangeiro tenham sido coletados no Brasil.
O art. 11, caput, do Marco Civil da Internet – festejando seus dez anos de existência! –, por sua vez, também assegura a aplicação da lei brasileira para alcançar provedores e serviços de internet, respectivamente sediados ou prestados no estrangeiro, quando estiverem presentes certos elementos de conexão, como ocorrência de atos de coleta, armazenamento, guarda e tratamento de registros de dados pessoais ou de comunicações no território nacional[1].
Por fim, o paralelismo entre o art. 2º do Regulamento Europeu de IA e eventual regra a ser incluída no PL 2338/2024 promove um intercâmbio saudável e desejável de fórmulas normativas do ponto de vista das relações comerciais internacionais envolvendo tecnologias baseadas em IA.
O Regulamento Europeu será aplicável a negócios envolvendo desenvolvimento e uso de aplicações de IA, levando empresas inovadoras e startups brasileiras a adotarem níveis de conformidade indiretos, mediante obrigações em seus contratos comerciais com parceiras europeias, acordos de pesquisa e desenvolvimento, compartilhamento de dados pessoais e não-pessoais e transações transfronteiriças, prevendo eventuais aplicações de tecnologias baseadas em IA.
O Regulamento Europeu de IA, ao entrar em vigor após prazos diferidos a partir de sua publicação no Jornal Oficial da UE, trará repercussões práticas nas negociações de contratos internacionais entre partes brasileiras e europeias, como ocorreu e continua a ocorrer com obrigações relacionadas a práticas anticorrupção, privacidade e proteção de dados e direitos de propriedade intelectual.
Da perspectiva brasileira, será importante que o Congresso Nacional, partindo da apreciação do PL 2338 pelo Senado nas próximas semanas, leve em conta um pedido de consistência e previsibilidade na escolha pela política normativa, para que também atividades negociais envolvendo IA direcionadas ao território brasileiro e pessoas e grupos afetados por sistemas de IA – desde fornecedores e utilizadores sediados no estrangeiro – possam ser aqui devidamente reguladas e escrutinadas. E que a tradição pela técnica normativa presente no Marco Civil da Internet e na LGPD também esteja entre nós consolidada e respeitada.
[1] Art. 11 do Marco Civil: “Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros”.
Autor: Fabrício Bertini Pasquot Polido
Disponível em: Extraterritorialidade do regulamento de IA da UE e as lacunas do PL 2338 – JOTA
