Contornos do debate acerca da competência regulatória da inteligência artificial no Brasil e o protagonismo assumido pela ANPD na regulamentação da matéria

Por João Victor Castellano Rangel

Com o acelerado desenvolvimento digital e tecnológico da humanidade, especificamente no que tange à utilização de inteligência artificial nos diversos setores da sociedade, tem-se observado uma difusão do debate relacionado a necessidade de regulamentação da IA. O movimento é global e, entre os países que avançam nessa discussão, destacam-se a China, Estados Unidos, Canadá, União Europeia e Taiwan.  

Atualmente, está em trâmite no Senado Federal Brasileiro o Projeto de Lei (PL) nº 2338/2023, apresentada pelo Senador Rodrigo Pacheco, fruto da proposta de substitutivo aos Projetos de Leis (PLs) nºs 5.051/2019; 21/2020 e 872/2021, divulgada pela Comissão de Juristas do Senado Federal (CJSUBIA)¹. O texto objetiva estabelecer princípios, regras, diretrizes e fundamentos para regular o desenvolvimento e a aplicação da inteligência artificial no país e um dos destaques da proposta é a previsão de designação, pelo Poder Executivo, de uma “autoridade competente” para implementação e fiscalização da Lei (art. 32 do texto original da proposta²). 

Naturalmente, por não haver no PL qualquer designação específica, essa previsão deu início a um outro debate consistente em: quem deveria assumir a posição de “autoridade competente” responsável pela regulação da IA no Brasil. Enquanto alguns defendem a criação de uma nova autoridade nacional sobre a matéria, outros afirmam que a melhor opção administrativa seria a designação de uma autoridade já existente e estruturada para receber a nova atribuição. 

Nesse contexto, em 06 de julho de 2023, a Autoridade Nacional de Proteção de Dados – ANPD publicou “Análise preliminar do Projeto de Lei nº 2338/2023”, no qual expressa intenção em avocar para si a competência de ser a autoridade-chave na regulação de Inteligência Artificial no Brasil. Para tanto, a ANPD avalia que o PL 2338/2023 tem diversos pontos de convergência com a LGPD.  

As correspondências entre as legislações (LGPD e PL 2338/2023) são destacadas em três pontos principais no documento. São elas: (i) direitos da pessoa afetada por sistema de IA e os direitos dos titulares; (ii) a correlação entre sistemas de IA de alto risco e o tratamento de dados pessoais; e (iii) mecanismos de governança.  

Os exemplos destacados pela Autoridade Nacional, em primeiro lugar, no que tange aos direitos dos titulares e as pessoas afetadas pelo sistema de IA, são: os direitos à informação, à explicação e à contestação e de solicitar revisão. Para a Agência, há inegáveis convergências nos direitos tutelados entre as duas legislações, como é o caso do direito ao acesso previsto na LGPD (art. 9º), quando comparado com o direito da pessoa afetada pela IA de ser assegurada informações claras e adequadas sobre o sistema previamente à contratação. Além disso, no texto a ANPD constata clara correspondência entre o direito da pessoa afetada pela IA de contestação e de solicitar revisão e o disposto no artigo 20 da LGPD, que dispõe sobre o direito do titular de dados na revisão das decisões “automatizadas”. 

Em segundo lugar, com relação ao sistema de IA de alto risco e o tratamento de dados pessoais, a ANPD aponta que a gradação do risco de IA proposta na PL 2338/2023 tem como característica frequente o tratamento de dados pessoais e dados pessoais sensíveis. Por fim, em terceiro lugar, quanto aos mecanismos de governança, o documento destaca as similaridades entre a avaliação de impacto algorítmico (AIA), previsto na PL, e a avaliação de impacto à proteção de dados pessoais (RIPD), previsto na LGPD.  

Sendo assim, por esses e outros pontos, a ANPD conclui que, devido a forte sinergia entre os temas tratados na PL 2338/2023 e a LGPD, ela possui “papel-chave” no âmbito da regulamentação da IA. Além disso, a autarquia defende que a concentração da competência em seu âmbito para regular o tema de IA, evitaria as chances de sobreposição e conflitos regulatórios, o que poderia gerar um ambiente de insegurança jurídica. 

Mais recentemente, no dia 03 de outubro de 2023, a ANPD publicou a abertura da consulta à sociedade sobre Sandbox regulatório de inteligência artificial e proteção de dados no Brasil. Nesse programa, a Autarquia propõe a aceitação de contribuições tanto do setor público quanto do setor privado, de brasileiros e de estrangeiros. E os interessados poderão participar por meio da Plataforma Participa + Brasil, até o dia 1º de novembro de 2023.  

O Sandbox regulatório instituído pela ANPD se trata de um ambiente controlado para testar tecnologias de inteligência artificial (IA) desenvolvidas pelos participantes do programa. A finalidade principal é justamente criar um cenário de teste para inovações tecnológicas, e verificar como elas se comportam em conformidade com as boas-práticas e com as normas de proteção de dados. Definitivamente, a prática determina um importante passo para o fomento à inovação responsável da Inteligência Artificial no país. 

O programa possui, ademais, a finalidade de fornecer elementos concretos para subsidiar o cumprimento da agenda regulatória da ANPD para o biênio 2023-2024, cujo item 19 aborda do tema da inteligência artificial, contendo a seguinte descrição: 

“Para além da determinação legal de regulamentar o disposto na LGPD, em especial o disposto no art. 20 da Lei, que trata do direito do titular de solicitar revisão de decisões automatizadas, a ANPD pode endereçar melhor o tema por meio de documentos orientativos, como guias e estudos técnicos, uma vez que o assunto está sendo bastante utilizado pelos agentes de tratamento, frente à vulnerabilidade do titular que não possui conhecimento avançado sobre o tema. Torna-se fundamental que a ANPD estude e acompanhe o tema sob a perspectiva da proteção de dados pessoais e, em particular, da aplicação da LGPD. Tais diretrizes servirão de base para o desenvolvimento de outras regras que venham a ser necessárias para a disciplina de sistema de IA.”³ 

Observa-se que, pelas iniciativas adotadas, a ANPD vai cravando uma posição de protagonismo no que se refere à competência para regular a inteligência artificial. Entretanto, ainda existem dúvidas em relação à escolha da referida autarquia como autoridade reguladora do setor.  

Os argumentos contrários são fundados, principalmente, nas limitações atuais da ANPD, especialmente em termos de recursos humanos e financeiros atualmente disponíveis ao ente. Nesse ponto, defende-se que o órgão de proteção de dados, inicialmente instituído com 36 cargos ao todo, e posteriormente ampliado para 53 cargos, por ocasião do Decreto nº 10.975/2022, não teria plena capacidade de desempenhar atividades necessárias à implementação da legislação de IA. 

Além das críticas sob o ponto de vista estrutural, a capacidade de a ANPD promover a necessária atuação multissetorial e interdisciplinar é também questionada. Isso porque, assim como acontece com o tratamento de dados pessoais, o desenvolvimento da IA tem ocorrido de forma cada vez mais transversal e pulverizada nas diversas áreas da sociedade – segurança, telecomunicações, saúde, entre outros –. Desse modo, em contraposição à centralização da competência regulatória do tema da IA pela ANPD, alguns especialistas ainda defendem que o ideal seria a criação de uma autoridade formada por diversos órgão e entes públicos, incluindo a ANPD, para o pleno alcance dos desafios postos à regulação da IA. 

Diante desse quadro, percebe-se que a discussão é embrionária – existem argumentos coerentes de ambos os lados – o que atrai a necessidade de um maior aprofundamento no debate.  

Feita a ressalva, e no atual contexto regulatório do Brasil, a escolha da ANPD como sendo a autoridade competente para implementação do Marco legal da IA, ao que tudo indica, seria pertinente. Sobretudo pela posição de protagonismo que essa Autarquia vem preenchendo no avanço das discussões acerca do tema, bem como pela inegável convergência e compatibilidade dos dispositivos propostos pela PL 2338/2023 com as disposições já instituídas na LGPD.  

Por outro lado, não se ignora a necessidade de maior fortalecimento e investimento na estrutura da ANPD, por parte do Governo Federal, para que essa Autarquia possa desempenhar a função de forma satisfatória aos desafios esperados na regulação da proteção de dados, em primeiro lugar, e eventualmente da IA, quando oportuno.