MONOLITH LAW OFFICE+81-3-6262-3248Dias da semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Regulamento da UE sobre IA e as medidas necessárias para as empresas japonesas

IT

Regulamento da UE sobre IA e as medidas necessárias para as empresas japonesas

A 12 de julho de 2024, foi promulgada na UE a “Lei de Regulação da IA (EU AI Act)”, entrando em vigor a 1 de agosto do mesmo ano.
Esta lei regula a utilização e fornecimento de sistemas de IA dentro da UE e, a partir de 2025, exigirá determinadas medidas por parte das empresas japonesas.

Especificamente, tal como os operadores de sites de comércio eletrónico no Japão precisam cumprir com o “Regulamento Geral sobre a Proteção de Dados (GDPR)” da UE, as empresas japonesas que oferecem produtos ou serviços relacionados com IA para clientes dentro da UE também poderão estar sujeitas à aplicação da Lei de Regulação da IA da UE.

Aqui, explicaremos as respostas regulatórias exigidas aos negócios relevantes com a implementação desta lei, incluindo a classificação de riscos dos sistemas de IA e a avaliação de conformidade.

Premissa: A Diferença entre “Regulamentos” e “Diretivas” na UE

Antes de explicarmos a própria Lei de Regulação da IA, é necessário entender, como premissa, a diferença entre “regulamentos” e “diretivas” no direito da UE.

Primeiramente, os “regulamentos” são atos legislativos que se aplicam diretamente aos Estados-membros, empresas, entre outros, dentro da UE. Isso significa que eles têm prioridade sobre as leis nacionais dos Estados-membros e são aplicados de forma uniforme em toda a UE. Portanto, quando um regulamento entra em vigor, o mesmo conteúdo regulatório é aplicado em todos os Estados-membros.

Por outro lado, as “diretivas” são atos legislativos que visam coordenar e unificar o conteúdo regulatório entre os Estados-membros da UE. No entanto, as diretivas não se aplicam diretamente aos Estados-membros; cada país deve transpor o conteúdo estabelecido pela diretiva para a sua legislação nacional. Normalmente, os Estados-membros devem criar ou alterar suas leis nacionais dentro de três anos após a publicação da diretiva no Jornal Oficial da UE.

Uma característica das “diretivas” é que, durante a transposição para a legislação nacional, é concedida uma certa margem de manobra aos Estados-membros, o que pode resultar em diferenças no conteúdo das leis de cada país. Ou seja, as leis baseadas em “diretivas” não são completamente uniformizadas dentro da UE, e é necessário estar ciente de que podem surgir algumas variações entre os países.

Com esta distinção em mente, a Lei de Regulação da IA é estabelecida como um “regulamento”. Isso significa que a Lei de Regulação da IA se aplica diretamente aos operadores de negócios localizados dentro da UE.

Artigo relacionado: Essencial para empresas que se expandem para a Europa: Explicação dos pontos-chave do direito e do sistema jurídico da UE[ja]

Lei de Regulação da IA e a sua Aplicação Extraterritorial

O que é a Aplicação Extraterritorial?

A “aplicação extraterritorial” refere-se à aplicação de uma lei promulgada por um país a atos realizados fora do território onde a soberania desse país se exerce. A aplicação extraterritorial é reconhecida devido à globalização da economia e à internacionalização das atividades empresariais, com o objetivo de garantir que as atividades económicas mundiais sejam conduzidas de forma justa e adequada.

Um exemplo que se tornou um marco para o amplo reconhecimento deste conceito é o GDPR (Regulamento Geral sobre a Proteção de Dados da UE). No GDPR, mesmo as empresas que não têm uma base na UE podem estar sujeitas à sua aplicação (aplicação extraterritorial) se cumprirem os seguintes requisitos:

  • Fornecer serviços ou produtos a indivíduos dentro da UE
  • Processar informações pessoais com o objetivo de monitorizar o comportamento de indivíduos dentro da UE

Por exemplo, uma empresa fora da UE que envia funcionários em viagem de negócios para a UE e processa informações pessoais relacionadas durante esse período foi explicitamente excluída da aplicação no guia de 2020, mas foi um caso inicialmente debatido sob a aplicação extraterritorial.

Aplicação Extraterritorial da Lei de Regulação da IA da UE

Na Lei de Regulação da IA da UE, a aplicação extraterritorial também é reconhecida para empresas localizadas fora da UE. Os seguintes operadores e atividades estão sujeitos a ela:

  • Fornecedores (Providers): aqueles que desenvolvem sistemas de IA ou modelos GPAI, que fazem com que sejam desenvolvidos e introduzidos no mercado, ou que iniciam a operação de sistemas de IA sob o seu próprio nome ou marca
  • Utilizadores (Users): aqueles que usam sistemas de IA sob sua própria autoridade (excluindo-se os casos de uso pessoal e não profissional)
  • Importadores (Importers): importadores localizados ou estabelecidos na UE que introduzem no mercado da UE sistemas de IA com o nome ou marca de pessoas naturais ou jurídicas estabelecidas fora da UE
  • Distribuidores (Distributers): pessoas naturais ou jurídicas que pertencem à cadeia de fornecimento e que disponibilizam sistemas de IA no mercado interno da UE, que não sejam fornecedores ou importadores

Assim, mesmo as empresas localizadas fora da UE estão sujeitas à aplicação direta da Lei de Regulação da IA da UE quando fornecem, operam, importam ou usam sistemas de IA ou modelos GPAI dentro da UE.

Características da Lei de Regulação da IA da UE: Abordagem Baseada em Risco

Características da Lei de Regulação da IA da UE: Abordagem Baseada em Risco

O que é a Abordagem Baseada em Risco

Uma das principais características da Lei de Regulação de IA da UE é a “regulação de acordo com o conteúdo e o grau de risco” (abordagem baseada em risco).

A “abordagem baseada em risco” refere-se ao método de ajustar a intensidade da regulação com base no conteúdo e no grau do risco. Esta abordagem determina a severidade da regulação aplicada a um sistema de IA de acordo com a gravidade dos riscos que o sistema pode gerar.

Especificamente, sistemas de IA com riscos mais elevados estão sujeitos a regulações mais rigorosas, enquanto sistemas com riscos mais baixos são regulados de forma mais flexível. Isso permite evitar regulações excessivas em sistemas de baixo risco e, por outro lado, assegurar uma supervisão e gestão adequadas para sistemas de alto risco.

Sistemas de IA com Riscos Inaceitáveis sob a Lei Japonesa

Primeiramente, os sistemas de IA considerados como tendo riscos inaceitáveis são vistos como uma ameaça às pessoas e são proibidos em princípio.

Por exemplo, sistemas de IA que manipulam a cognição ou o comportamento de grupos vulneráveis específicos, como brinquedos ativados por voz que encorajam comportamentos perigosos em crianças, estão incluídos nesta categoria. Também são proibidos sistemas de pontuação social que classificam as pessoas com base em comportamentos, status socioeconômico ou características pessoais. Além disso, sistemas de “autenticação biométrica em tempo real e à distância”, que utilizam tecnologias como reconhecimento facial para identificar indivíduos remotamente comparando dados biométricos humanos com uma base de dados de referência, são também proibidos em princípio.

No entanto, existem exceções que permitem a utilização destes sistemas em determinadas circunstâncias. Especificamente, os sistemas de autenticação biométrica em tempo real e à distância só podem ser utilizados em casos de incidentes graves e limitados. Por outro lado, os sistemas de autenticação biométrica à distância pós-evento só são permitidos com a aprovação de um tribunal e com o objetivo de processar crimes graves.

Adicionalmente, entre as exceções que permitem a implementação destes sistemas, incluem-se situações como a busca por crianças desaparecidas ou potenciais vítimas de crimes, a prevenção de ameaças concretas e iminentes à segurança da vida ou integridade física das pessoas ou ataques terroristas, e a detecção e localização de autores ou suspeitos de crimes graves. Estas exceções estão sujeitas a restrições rigorosas, incluindo a necessidade de autorização prévia do tribunal, exigindo uma operação cuidadosa do uso de sistemas de IA.

Sistemas de IA de Alto Risco

Os sistemas de IA classificados como de alto risco são aqueles que podem ter um impacto negativo na segurança ou nos direitos humanos fundamentais. Estes sistemas são permitidos desde que cumpram com os requisitos e obrigações (avaliação de conformidade).

Os sistemas de IA de alto risco dividem-se em duas categorias principais. A primeira inclui sistemas de IA utilizados em produtos que estão sujeitos à legislação de segurança de produtos da UE, como brinquedos, aviação, automóveis, dispositivos médicos e elevadores. A segunda categoria abrange sistemas de IA que devem ser registados na base de dados da UE e que se enquadram em áreas específicas. Estas áreas incluem a gestão e operação de infraestruturas críticas, educação e formação profissional, emprego e gestão de trabalhadores, acesso a serviços públicos essenciais e benefícios, aplicação da lei, imigração e asilo, gestão de fronteiras e apoio à interpretação e aplicação da lei.

Os sistemas de IA de alto risco requerem avaliação antes de serem colocados no mercado e ao longo do seu ciclo de vida. Além disso, é concedido o direito de apresentar queixas sobre sistemas de IA às autoridades nacionais designadas.

De forma geral, pode-se dizer que os sistemas de IA de alto risco são aqueles que envolvem máquinas e veículos cuja premissa é a segurança da vida e do corpo humano. Por exemplo, a IA para condução autónoma pode ser considerada de alto risco, portanto, quando as empresas japonesas desenvolvem IA para condução autónoma e planeiam a sua expansão internacional, devem avaliar cuidadosamente se cumprem os requisitos de um sistema de IA de alto risco e responder adequadamente.

Sistemas de IA com Riscos Limitados

Quanto aos sistemas de IA com riscos limitados, antecipam-se riscos de transparência, assim como de usurpação de identidade, manipulação e fraude. Especificamente, chatbots, deepfakes e IA generativa enquadram-se nesta categoria, e segundo a perspetiva do Parlamento Europeu, a maioria dos sistemas de IA atualmente em uso pertence a esta categoria. Por exemplo, sistemas de tradução automática, consolas de jogos, robôs que executam processos de fabrico repetitivos e até sistemas de IA como a “Máquina de Eureka” estão incluídos aqui.

Em relação à IA generativa, embora não seja classificada como de alto risco, exige-se o cumprimento dos requisitos de transparência e conformidade com a legislação de direitos de autor da UE. Especificamente, são necessárias as seguintes medidas:

  • Divulgar claramente que o conteúdo foi gerado por IA;
  • Desenhar modelos que não gerem conteúdo ilegal;
  • Publicar um resumo dos dados protegidos por direitos de autor utilizados no treino da IA;

Além disso, modelos de IA de uso geral avançados e influentes, como o “GPT-4”, que podem trazer riscos sistêmicos, necessitam de uma avaliação rigorosa. Em caso de incidentes graves, existe também a obrigação de reportar à Comissão Europeia. Adicionalmente, conteúdos gerados ou modificados por IA (imagens, áudio, vídeos, deepfakes, etc.) devem exibir claramente que foram criados por IA, permitindo que os utilizadores reconheçam facilmente o conteúdo.

Sistemas de IA com Risco Mínimo sob a Legislação Japonesa

Por fim, no que diz respeito a sistemas de IA com risco mínimo, não são impostas regulações específicas no Japão. Exemplos concretos incluem filtros de spam e sistemas de recomendação. Nesta categoria, em vez de regulação, incentiva-se a criação e o cumprimento de códigos de conduta.

Requisitos e Obrigações para Sistemas de IA de Alto Risco sob a Lei Japonesa

Requisitos e Obrigações para Sistemas de IA de Alto Risco sob a Lei Japonesa

Obrigações dos Fornecedores, Utilizadores, Importadores e Distribuidores

Com base nas distinções acima mencionadas, os sistemas de IA de alto risco, devido à gravidade dos seus riscos, estão sujeitos a regulamentações particularmente rigorosas, e obrigações específicas são impostas aos fornecedores e utilizadores.

Primeiramente, fornecedores, utilizadores, importadores e distribuidores devem estabelecer um sistema de gestão de riscos (Artigo 9). Isto implica a identificação e gestão adequada dos riscos inerentes aos sistemas de IA de alto risco, a implementação e manutenção de um sistema documentado para tal fim. No que diz respeito à governança de dados (Artigo 10), é exigido o uso de conjuntos de dados de treino, validação e teste que cumpram padrões de qualidade. Isto é necessário porque a qualidade e a fiabilidade dos dados devem ser rigorosamente geridas mesmo durante a fase de desenvolvimento do sistema de IA.

Além disso, a criação de documentação técnica é obrigatória (Artigo 11). Esta documentação técnica deve conter informações necessárias para demonstrar que o sistema de IA de alto risco cumpre os requisitos regulamentares e deve estar preparada para ser fornecida às autoridades competentes dos Estados-membros ou a organismos de certificação terceiros. Também é necessário projetar e desenvolver uma função de log que registre automaticamente eventos enquanto o sistema de IA está operacional (Artigo 12). Os sistemas de IA de alto risco devem ser registrados em uma base de dados sob a administração da UE antes de serem introduzidos no mercado, e os fornecedores são responsáveis por estabelecer e manter um sistema de gestão de qualidade documentado.

Obrigações dos Fornecedores

Os fornecedores têm a obrigação de manter a documentação técnica, os documentos relacionados ao sistema de gestão de qualidade, as aprovações ou decisões de organismos de certificação terceiros e outros documentos relevantes por um período de 10 anos após a introdução no mercado ou o início da operação, e de os apresentar a pedido das autoridades nacionais competentes. Assim, os fornecedores têm a responsabilidade de manter a qualidade e a segurança do sistema de IA a longo prazo e de garantir a transparência.

Obrigações dos Utilizadores

Por outro lado, os utilizadores também têm obrigações específicas associadas ao uso de sistemas de IA de alto risco. Os utilizadores devem manter os logs gerados automaticamente pelo sistema de IA de alto risco por um período apropriado, de acordo com o propósito pretendido do sistema de IA, a menos que haja disposições especiais na lei da UE ou na lei dos Estados-membros. Especificamente, é obrigatória a manutenção por pelo menos seis meses.

Além disso, quando um sistema de IA de alto risco é iniciado ou utilizado no local de trabalho, o empregador, que é o utilizador, tem a obrigação de notificar previamente os representantes dos trabalhadores e os trabalhadores afetados de que o sistema será utilizado. Isto é estabelecido do ponto de vista da proteção dos direitos dos trabalhadores e da garantia de transparência.

Assim, sistemas de IA de alto risco impõem requisitos e obrigações rigorosas tanto para fornecedores quanto para utilizadores. Especialmente no caso de tecnologias de IA avançadas, como dispositivos médicos ou sistemas de condução autônoma, pode ser necessário realizar avaliações de conformidade e passar por auditorias de organismos de certificação terceiros, considerando a conformidade com os quadros regulatórios existentes, o que exige que as empresas respondam de forma cuidadosa e planejada.

Cronograma de Implementação Gradual da Lei de Regulação da IA no Japão

Cronograma de Implementação Gradual da Lei de Regulação da IA no Japão

A Lei de Regulação da IA da União Europeia é implementada de forma gradual, desde a sua promulgação até a sua aplicação, seguindo um cronograma estabelecido. Isso exige que as empresas se preparem e respondam de acordo com cada fase.

No dia 12 de julho de 2024 (2024), a Lei de Regulação da IA foi publicada no Diário Oficial e entrou em vigor no dia 1 de agosto do mesmo ano. Nesta fase, as empresas são apenas obrigadas a verificar e considerar o conteúdo da regulamentação.

Em 2 de fevereiro de 2025 (2025), as disposições relativas aos “Princípios Gerais” e aos “Sistemas de IA com Riscos Inaceitáveis” serão aplicadas. Se uma empresa estiver lidando com um sistema de IA que apresente riscos inaceitáveis, ela deverá interromper imediatamente o seu manuseio.

Posteriormente, em 2 de maio de 2025 (2025), os Códigos de Prática para fornecedores de modelos de IA de uso geral (GPAI) serão publicados. As empresas terão que agir de acordo com estes códigos de prática.

Depois, em 2 de agosto de 2025 (2025), as disposições relativas aos “Modelos GPAI” e “Sanções” serão aplicadas, e as autoridades competentes serão nomeadas em cada país membro. Nesta fase, os fornecedores de modelos GPAI terão que cumprir as regulamentações relacionadas.

Em 2 de fevereiro de 2026 (2026), as diretrizes sobre métodos de implementação de sistemas de IA baseados na Lei de Regulação da IA serão publicadas. Ao mesmo tempo, o monitoramento pós-mercado de sistemas de IA de alto risco será obrigatório, e será necessário estabelecer um sistema para lidar com isso.

Além disso, em 2 de agosto de 2026 (2026), as disposições relativas aos “Sistemas de IA de Alto Risco” listados no Anexo III serão aplicadas. Neste ponto, os países membros deverão estabelecer sandboxes regulatórios de IA e a conformidade com as regulamentações dos sistemas de IA de alto risco se tornará obrigatória.

Finalmente, em 2 de agosto de 2027 (2027), as disposições relativas aos “Sistemas de IA de Alto Risco” listados no Anexo I serão aplicadas. Isso tornará obrigatório o cumprimento das regulamentações para os sistemas de IA especificados no Anexo I.

Assim, a Lei de Regulação da IA será implementada gradualmente ao longo de vários anos, com regulamentações aplicadas sequencialmente de acordo com a gravidade dos riscos. As empresas precisarão entender precisamente cada período de aplicação e avançar com as medidas apropriadas para os sistemas de IA relevantes.

Artigo relacionado: Qual é o estado atual e as perspectivas da Lei de Regulação da IA na UE? Explicamos também o impacto nas empresas japonesas[ja]

Apresentação das Medidas da Nossa Firma

A Monolith Law Office é uma firma de advocacia com vasta experiência em TI, especialmente na interseção entre a Internet e o direito.

Os negócios de IA envolvem muitos riscos legais, e o apoio de advogados especializados em questões legais relacionadas com a IA é essencial. A nossa firma oferece suporte jurídico avançado em negócios de IA, incluindo a criação de ChatGPT, através de uma equipa de advogados e engenheiros especializados em IA. Prestamos serviços como a elaboração de contratos, análise da legalidade de modelos de negócios, proteção de direitos de propriedade intelectual e questões de privacidade. Encontrará mais detalhes no artigo abaixo.

Áreas de atuação da Monolith Law Office: Assuntos Legais de IA (incluindo ChatGPT)[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Retornar ao topo