petipas.pt

Regulação da IA: Novas regras tentam acompanhar o rápido avanço da tecnologia.

Mulher vestida formalmente a ler documento sentada numa esplanada com portátil aberto e telemóvel na mesa.

As caras na sala de reuniões ficam tingidas de azul - não por luz néon, mas pelo brilho dos portáteis.

No ecrã, passa uma demonstração ao vivo de IA generativa que resume textos legais em segundos. Um deputado inclina-se para a frente e franze a testa; percebe-se-lhe no olhar uma mistura de fascínio e inquietação. Um lobista martela mensagens no telemóvel, enquanto uma activista de privacidade fotografa cada diapositivo. Quase todos têm a mesma intuição: o que for decidido ali vai moldar o quotidiano dentro de poucos anos, com um impacto comparável ao que o smartphone teve.

Lá fora, à porta do edifício, esperam fundadores com apresentações em PowerPoint. Cá dentro, limam-se regulamentos que quase ninguém fora desta bolha lerá até ao fim. E, no entanto, é precisamente daí que depende quão livres serão as nossas ferramentas - e quão descansados vamos dormir.

A pergunta verdadeira paira sem ser dita: a regulação consegue, sequer, acompanhar o ritmo?

O AI Act da UE e a corrida entre código e parágrafos

Quem conversa hoje com juristas, programadores e decisores políticos percebe rapidamente o padrão: todos estão a correr, mas ninguém consegue apontar com nitidez onde fica a meta. Os modelos de IA crescem, aceleram e surpreendem a um ritmo mensal; já os processos legislativos estendem-se por anos. Este desfasamento temporal abre uma fenda em quase todas as discussões - do comité em Bruxelas à cozinha do café num start-up.

É neste contexto que o AI Act da UE se tornou o ponto de referência. Politicamente aprovado em março de 2024, é visto como a primeira grande tentativa global de classificar a IA por níveis de risco - de “mínimo” a “inaceitável”. Um chatbot que trata de reservas de hotel não cai na mesma categoria de um sistema que filtra candidaturas a emprego ou avalia a solvabilidade de um cliente.

Um funcionário em Bruxelas contou recentemente o caso de um fundador que teve de reconstruir o modelo duas vezes para “descer” de uma categoria de risco mais elevada. Para uns, isto é protecção de direitos fundamentais; para outros, é “Tetris regulatório”. O elemento realmente novo é este: pela primeira vez, não são apenas empresas tecnológicas a decidir o que é “aceitável”; entra em cena um processo público - com notas de rodapé, excepções e sanções.

Se gosta de números: a Comissão Europeia antecipa que vários milhares de sistemas venham a ser enquadrados como “alto risco”. E por trás de cada número existe um produto, uma equipa, um investidor - e um amontoado de questões jurídicas.

A lógica do regime é deliberadamente pragmática: a ambição não é fiscalizar cada linha de código, mas sim avaliar consequências. O que põe em causa saúde, democracia e direitos fundamentais? E o que é, na prática, mais próximo de uma brincadeira? Em vez de proibições indiscriminadas, o AI Act aposta numa abordagem por degraus: aqui, obrigações de transparência; ali, documentação rigorosa; e, no limite, proibição total - por exemplo, para IA usada em avaliação social de cidadãos (social scoring).

Estamos habituados a este tipo de raciocínio em medicamentos, produtos financeiros ou automóveis. A diferença é que a IA não “fica na estrada”: aparece ao mesmo tempo na escola, no hospital, no Instagram e nas Finanças. A sensação é a de tentar arrumar nevoeiro em gavetas.

Medos reais, riscos reais - e o receio de a Europa ficar para trás

De um lado, cresce o alarme com deepfakes, desinformação automatizada e discriminações silenciosas escondidas em algoritmos. Do outro, instala-se a ansiedade de que regras demasiado pesadas façam a Europa perder terreno num sector onde a escala e a velocidade contam.

Por isso, a regulação da IA parece, por vezes, um exercício de pilotar um jacto com o manual de instruções de uma bicicleta: não é que o manual esteja “errado”, é que o objecto mudou demasiado depressa.

E há um detalhe desconfortável: quase ninguém lê, por iniciativa própria, 200 páginas de regulamento antes de experimentar uma ferramenta nova. Logo, se as regras quiserem funcionar, têm de ser desenhadas para que o seu “espírito” chegue ao dia-a-dia - a professores, criadores de conteúdo, pequenas agências e equipas que só querem entregar trabalho.

Como a regulação da IA entra no quotidiano (sem pedir licença)

A solução mais prática que se observa, um pouco por todo o mundo, passa por deslocar a responsabilidade. Em vez de carregar o utilizador final com o fardo mais pesado, os Estados tentam colocá-lo nos grandes fornecedores de modelos e plataformas. Quem desenvolve IA de base passa a ter de documentar, testar e avaliar riscos - para que nós não tenhamos de fazer de Sherlock Holmes sempre que uma ferramenta “alucina”.

A isto juntam-se marcadores visíveis: vídeos deepfake, vozes sintéticas e imagens geradas por IA deverão ser assinalados. A UE está a preparar exactamente esse tipo de obrigações de transparência; e, nos EUA, começam a surgir as primeiras regras e compromissos voluntários. A intenção é simples: que consigamos perceber quando estamos perante uma máquina - e não perante o “chefe verdadeiro” a pedir uma “transferência urgente”.

Para as empresas, isto implica uma mudança de mentalidade: integrar IA já não chega - é preciso integrar governance. Matrizes de risco, registos de IA, comités de ética: expressões que, há três anos, muitos start-ups descartariam com um encolher de ombros. Hoje, há investidores a perguntar directamente: “Até que ponto estão conformes com a regulação da IA?”

As histórias mais discretas ilustram a rapidez desta transformação. Uma seguradora de média dimensão na Alemanha suspendeu, na primavera de 2024, um projecto interno de scoring, porque o encarregado de protecção de dados receou que a solução caísse em “alto risco”. Em vez de um lançamento em beta, avançou-se para formações sobre fairness em machine learning. Perde-se velocidade, mas pode evitar-se um escândalo público - ou uma multa pesada.

Em paralelo, nasce um mercado novo: ferramentas de legal tech focadas em compliance de IA, consultorias que produzem “model cards”, auditorias que procuram bias em algoritmos. A regulação não só trava; também cria empregos e produtos que antes não existiam.

Do ponto de vista técnico, os reguladores tentam fixar algumas guardas simples: nada de social scoring encapotado; nada de IA de reconhecimento de emoções na sala de aula; protocolos claros quando sistemas autónomos entram em contextos de saúde. Soa sensato - até se perceber o tamanho das zonas cinzentas.

Um chatbot que dá conselhos psicológicos já conta como “sistema de saúde”? E como se classifica um modelo que apenas sugere uma decisão de crédito, mas onde o humano “supostamente decide no fim”? É nesses interstícios que a disputa está mais intensa - entre juristas, especialistas em ética e gestores de produto.

No meio, estamos todos nós, que já usamos estas ferramentas no dia-a-dia. E a ansiedade mais silenciosa costuma ser dupla: que as regras sejam tão brandas que não protejam ninguém; ou tão duras que só os gigantes sobrevivam, enquanto projectos pequenos e criativos morrem esmagados por obrigações de documentação.

Um ângulo que se sente em Portugal: CNPD, sector público e compras tecnológicas

Em Portugal, o tema ganha contornos práticos muito depressa quando entra em cena a CNPD (Comissão Nacional de Protecção de Dados) e quando a IA começa a ser adquirida por escolas, hospitais, autarquias e serviços do Estado. Mesmo quando a tecnologia vem “pronta” de grandes fornecedores, a responsabilidade de a usar com critérios - e de justificar escolhas - tende a cair sobre quem a implementa.

Além disso, para muitas PME portuguesas, a questão não é apenas cumprir; é provar que cumprem: ter registos mínimos, clarificar finalidades, mapear dados e definir quem responde internamente quando algo corre mal. Esta disciplina pode parecer burocrática, mas também pode tornar-se uma vantagem competitiva em concursos, parcerias e auditorias.

O que utilizadores e empresas podem fazer já (de forma concreta)

Para empresas que querem usar IA, há um ponto de partida simples e robusto: definir a aplicação, depois avaliar o risco, e só então escolher a tecnologia. Não é “precisamos de IA generativa, vamos fazer qualquer coisa com texto”. É antes: “queremos automatizar atendimento ao cliente - que danos podem acontecer no pior cenário?”

Em muitas organizações, resulta um plano pragmático em três passos:

  1. Escrever uma política de IA clara e em linguagem do dia-a-dia (não em juridiquês).
  2. Nomear um pequeno grupo - pequeno, mas com autoridade real - para rever projectos mais sensíveis.
  3. Criar um “cartão de identificação” para cada aplicação: que dados usa, para que fins, e quais são os limites.

Assim, em vez de um matagal de ferramentas, começa a formar-se um mapa interno.

Para utilizadores individuais, a regulação da IA parece muitas vezes longínqua - como algo que acontece algures em Bruxelas ou em Washington. Mas ela toca em dúvidas muito banais: posso pedir a uma ferramenta de IA que revise um texto se ele contiver informação confidencial? Devo mesmo fornecer dados de saúde a um chatbot?

Muita gente quase se envergonha de admitir que carrega “aceitar” em termos e condições e avisos de privacidade. A verdade é que quase ninguém lê isso todos os dias. Ainda assim, com ferramentas de IA compensa criar um ritual pequeno: procurar rapidamente como o fornecedor trata dados de treino; pensar se aquele conteúdo precisa mesmo de ir para servidores de terceiros. É um gesto mínimo - mas é exactamente o tipo de inteligência do quotidiano em que os reguladores depositam esperança.

Um jurista envolvido na elaboração do AI Act resumiu-me a ideia assim:

“A regra de IA mais inteligente não serve de nada se as pessoas se sentirem impotentes. Regular não é só proibir; é devolver capacidade de agir.”

Disto saem princípios práticos que ajudam a navegar:

  • Identificar quando está a interagir com um sistema de IA e quando está a falar com um humano.
  • Introduzir dados sensíveis apenas em ferramentas às quais confiaria, no mundo real, uma conversa verdadeiramente confidencial.
  • Perante qualquer resposta de IA, perguntar: “a quem beneficiaria se isto estivesse errado?” - e desconfiar quando a consequência potencial é elevada.
  • Se for empresário: garantir pelo menos uma instância humana crítica em cada processo de decisão assistido por IA.
  • Levar a sério queixas sobre outputs de IA, mesmo quando soam tecnicamente exageradas - quase sempre há um desconforto real por trás.

Estas regras “soft” não substituem leis; complementam-nas. E, por vezes, são mais honestas do que muitos considerandos publicados em Diário Oficial.

Porque a regulação da IA também é, no fim, uma disputa de poder

Por trás de cada discussão sobre parágrafos esconde-se uma questão mais funda: quem decide quão “inteligente” a nossa realidade pode ser - e quem recolhe os ganhos? Grandes tecnológicas que treinam modelos com dados que todos nós geramos? Estados que encaram a IA como instrumento geopolítico? Ou uma sociedade civil que se organiza quando percebe que a discriminação já não está apenas em mentalidades, mas também em código?

A regulação da IA não é um apêndice seco de uma estratégia digital. É um instrumento de poder. Quem define cedo regras claras e justas influencia mercados e normas: que automatizações passam a parecer normais e quais são entendidas como ataques à dignidade. É por isso que existe uma corrida regulatória global - da UE aos EUA, passando pela China, que também tem vindo a fixar guardas para modelos de IA generativa.

O cenário mais realista para os próximos anos talvez seja este: as regras vão, muitas vezes, chegar atrasadas. Haverá falhas, zonas cegas, nichos sobre-regulados e áreas cinzentas sub-reguladas. Ainda assim, vale a pena resistir ao hipnotismo da velocidade tecnológica. Falar, partilhar, contestar e trazer valores próprios para o debate impede que um campo tão determinante fique dominado depressa por um pequeno número de actores.

Ponto central Detalhe Valor para o leitor
Regulação baseada no risco O AI Act e leis semelhantes classificam a IA por níveis de risco, em vez de a separar por “tipo de tecnologia”. Ajuda a perceber porque nem toda a IA é tratada com a mesma severidade e onde os seus projectos podem encaixar.
Responsabilidade dos fornecedores As obrigações deslocam-se para quem desenvolve e opera modelos: documentação, testes e transparência. Simplifica a vida dos utilizadores e mostra às empresas onde precisam de construir estruturas de governance.
Regras pragmáticas do quotidiano Rotinas simples: consciência sobre dados, desconfiança quando a consequência é elevada, instâncias de controlo humano. Dá alavancas concretas para lidar com IA com autonomia, em vez de esperar apenas “pela política”.

FAQ:

  • Pergunta 1: O que é o EU AI Act em palavras simples?
  • Pergunta 2: A minha pequena empresa tem mesmo de cumprir as novas regras de regulação da IA?
  • Pergunta 3: Posso introduzir dados confidenciais em ferramentas de IA generativa?
  • Pergunta 4: Como sei se um sistema de IA é de “alto risco”?
  • Pergunta 5: Quem fiscaliza, afinal, se os fornecedores de IA cumprem as regras?

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário