TL;DR: Avaliação de conformidade passo a passo para PME da UE que implementam IA de alto risco abrangida pelo Anexo III. Abrange a distinção entre implementador e fornecedor, a documentação e a supervisão.

A correta avaliação de conformidade com a Regulamento Europeu da Inteligência Artificial depende de uma distinção: é a organização que criou e colocou o sistema de IA no mercado, ou a organização que o utiliza nas suas próprias operações? Por que é que isto é importante: uma empresa checa de tecnologia de RH com 25 pessoas que desenvolve uma ferramenta de triagem de CV e a vende a clientes assume todo o ónus da avaliação. Isso significa documentação técnica, um sistema de gestão da qualidade, uma Declaração de Conformidade e a marcação CE. Uma empresa de logística holandesa com 40 pessoas que licencia essa mesma ferramenta é um implementador com obrigações substancialmente mais leves. Acertar nessa classificação determina se o seu projeto de conformidade demora duas semanas ou seis meses.

Este guia orienta os responsáveis pela conformidade, as equipas técnicas e os líderes de operações em empresas SaaS em crescimento e empresas de software de média dimensão através do procedimento de conformidade de quatro etapas para implementadores, do conjunto completo de documentação exigido aos fornecedores e das distinções específicas que determinam qual o caminho aplicável à sua organização.

Quando é necessária a avaliação de conformidade

A avaliação de conformidade é exigida apenas para sistemas de IA de alto risco do Anexo III. Nem todas as ferramentas de IA utilizadas por uma empresa de serviços profissionais ou por uma empresa de SaaS em crescimento se enquadram nesta categoria. A Regulamento Europeu da Inteligência Artificial define oito categorias de sistemas de alto risco no Anexo III, abrangendo áreas como identificação biométrica, gestão de infraestruturas críticas, educação e formação, decisões de emprego, acesso a serviços essenciais, aplicação da lei, migração e controlo de fronteiras, e administração da justiça.

Se o seu sistema de IA não se enquadra numa dessas categorias, a avaliação da conformidade não é necessária. Pode ainda ter obrigações de transparência ao abrigo do Artigo 50.º e obrigações de governação de dados do RGPD, mas o conjunto completo de requisitos de conformidade do Anexo III não se aplica.

Se o seu sistema se enquadra no Anexo III, a próxima questão é se é um fornecedor ou um implementador. O regulamento trata estas funções de forma diferente.

Fornecedor: uma organização que desenvolve um sistema de IA, ou que o mandou desenvolver, e o coloca no mercado sob o seu próprio nome ou marca. Colocar no mercado significa disponibilizar o sistema a outras partes.

Implementador: uma organização que utiliza um sistema de IA no âmbito das suas atividades profissionais. Os implementadores não colocam o sistema no mercado. Colocam-no em serviço dentro da sua própria organização.

O percurso de conformidade para um fornecedor é significativamente mais exigente do que para um utilizador.

As obrigações do utilizador: o artigo 25.º na prática

A maioria das PME que utilizam ferramentas de IA de terceiros para a seleção de candidatos a recrutamento, avaliação de crédito ou outros casos de utilização do Anexo III são utilizadores. As obrigações previstas no artigo 25.º são proporcionais a essa função.

Como implementador de um sistema de IA de alto risco, a sua equipa de conformidade é responsável por quatro aspetos.

Seguir as instruções de utilização do fornecedor. O fornecedor é obrigado a fornecer documentação técnica e instruções que descrevam a finalidade pretendida, as condições em que o sistema pode ser implementado com segurança e quaisquer requisitos de supervisão humana. A implementação fora da finalidade pretendida transfere a responsabilidade do fornecedor para si.

Implementar a supervisão humana prevista no artigo 14.º. O artigo 14.º exige que os implementadores atribuam a supervisão a pessoas singulares com a competência, formação e autoridade necessárias para compreender os resultados do sistema, identificar anomalias e intervir ou anular decisões quando necessário. A supervisão deve ser estruturalmente possível: o sistema não pode ser concebido de forma a impedir a intervenção humana.

Monitorize alterações substanciais. Se o sistema for atualizado de forma a alterar a sua finalidade prevista ou o seu perfil de risco, poderá ser necessário repetir a avaliação da conformidade. Como implementador, é responsável por sinalizar alterações materiais ao seu fornecedor.

Registe-se na base de dados da UE quando necessário. Os implementadores de determinados sistemas de alto risco, particularmente em contextos de autoridades públicas, devem registar a sua utilização na base de dados pública de IA da UE. Para a maioria das PME do setor privado, esta obrigação aplica-se principalmente aos fornecedores e não aos implementadores.

As obrigações do fornecedor: artigo 17.º e o conjunto completo de requisitos de conformidade

Se a sua organização estiver a desenvolver um sistema de IA que será colocado no mercado, ou se a sua equipa de operações tiver encomendado um sistema personalizado que será comercializado, é considerado um fornecedor e aplicam-se todas as obrigações do Anexo III.

O requisito fundamental é um sistema de gestão da qualidade (SGQ), nos termos do artigo 17.º, que abranja todo o ciclo de vida do sistema de IA. O SGQ deve documentar o seu processo de gestão de riscos, as suas práticas de governação de dados, a sua metodologia de validação e teste, o seu plano de monitorização pós-comercialização e os seus procedimentos para lidar com incidentes e não conformidades.

Para além do SGQ, os fornecedores devem elaborar um conjunto de documentação técnica, realizar uma avaliação da conformidade (a autoavaliação é permitida para a maioria das categorias do Anexo III; é exigida uma avaliação por terceiros, efetuada por um organismo notificado, para a identificação biométrica e um pequeno número de outras categorias), redigir uma Declaração de Conformidade da UE e apor a marcação CE ao sistema antes de o colocar no mercado.

Para uma empresa de software de média dimensão a desenvolver num domínio de IA regulamentado, trata-se de um empreendimento substancial. A avaliação da conformidade, por si só, requer normalmente o contributo de equipas jurídicas, técnicas e de dados, além de uma revisão externa se o seu alvo forem setores regulamentados, como os serviços financeiros ou os cuidados de saúde.

O procedimento de conformidade do implementador em quatro passos

Para a maioria das PME, o procedimento relevante é o percurso do implementador. Aqui está uma abordagem estruturada.

Passo 1: Classificar o sistema. Confirme se o sistema de IA que está a implementar se enquadra efetivamente no Anexo III. Analise a categoria específica em que se pode enquadrar e verifique se alguma das exclusões do Artigo 6.º se aplica. É improvável que um sistema de IA utilizado para uma função claramente acessória (gerar relatórios internos, resumir notas de reuniões) seja considerado de alto risco, mesmo que aborde um domínio regulamentado. Documente o seu raciocínio de classificação.

Passo 2: Obtenha a documentação técnica do fornecedor e a Declaração de Conformidade. Antes de implementar qualquer sistema do Anexo III, solicite o pacote de documentação técnica do fornecedor e a sua Declaração de Conformidade da UE. A Declaração de Conformidade (DoC) é a declaração formal do fornecedor de que o sistema cumpre os requisitos da Regulamento Europeu da Inteligência Artificial. Se o fornecedor não puder apresentar estes documentos, não está a cumprir as suas próprias obrigações como fornecedor, e não deve implementar o seu sistema num contexto do Anexo III.

Passo 3: Implemente as medidas de supervisão humana previstas no artigo 14.º. Com base nas instruções de utilização do fornecedor, conceba e documente o seu processo de supervisão humana. Especifique quem na sua equipa de operações é responsável pela supervisão, que formação recebeu, como pode intervir no sistema ou anular as suas decisões, e como as decisões influenciadas pela IA são revistas e registadas.

Passo 4: Documente os seus procedimentos operacionais. Elabore um registo de implementação que abranja: a classificação do sistema, a documentação do fornecedor obtida, o seu processo de supervisão, quaisquer decisões de configuração tomadas e o seu procedimento para monitorizar e comunicar incidentes. Este documento não precisa de ser elaborado para a maioria das PME, mas deve existir e deve ser mantido atualizado à medida que o sistema evolui.

Documentação técnica: o conjunto mínimo

O conjunto mínimo de documentação técnica para um sistema do Anexo III abrange seis áreas.

Descrição do sistema. O que o sistema faz, como funciona a nível funcional e qual é a sua finalidade pretendida. Isto inclui a abordagem de IA utilizada, as entradas e saídas e o contexto de implementação.

Declaração da finalidade pretendida. Uma declaração precisa do caso de utilização para o qual o sistema foi concebido e validado. A implementação fora da finalidade pretendida constitui um risco de conformidade para o implementador e um risco de responsabilidade para o fornecedor.

Processo de gestão de riscos. Como o fornecedor identificou, avaliou e mitigou os riscos associados ao sistema, incluindo riscos de erro, enviesamento e utilização indevida.

Documentação de governação de dados. Os conjuntos de dados utilizados para treinar e validar o sistema, as medidas de qualidade dos dados aplicadas e quaisquer limitações ou enviesamentos conhecidos nos dados de treino.

Métricas de precisão, robustez e cibersegurança. Referências quantitativas de desempenho para o sistema, incluindo a precisão em conjuntos de validação e as medidas de segurança que protegem o sistema contra manipulação.

Plano de monitorização pós-comercialização. Como o fornecedor irá monitorizar o desempenho do sistema após a implementação, quais as métricas que acompanha e como comunicará atualizações ou problemas identificados aos implementadores.

Como implementador, deve receber todos os seis componentes do seu fornecedor antes de entrar em funcionamento.

Perguntas frequentes

A avaliação de conformidade da Regulamento Europeu da Inteligência Artificial aplica-se às ferramentas de IA que utilizamos internamente, e não apenas aos produtos que vendemos? Sim, se a utilização interna se enquadrar numa categoria do Anexo III. A implementação interna de um sistema de IA de alto risco, por exemplo, utilizando uma ferramenta de IA para avaliar o desempenho dos funcionários, aciona as obrigações do implementador nos termos do Artigo 25.º, mesmo que não esteja a colocar um produto no mercado.

Somos uma empresa de SaaS em crescimento que oferece uma funcionalidade de IA como parte de uma plataforma mais ampla. Somos um fornecedor? Quase certamente sim, no que diz respeito ao componente da funcionalidade de IA. Se estiver a disponibilizar essa funcionalidade aos clientes, está a colocar um sistema de IA no mercado. Se a funcionalidade desempenhar uma função do Anexo III para os seus clientes, aplicam-se todas as obrigações do fornecedor a essa funcionalidade, independentemente de estar incorporada num produto mais amplo que não seja de IA.

Podemos basear-nos na marcação CE do nosso fornecedor como prova da nossa própria conformidade? A marcação CE demonstra que o fornecedor concluiu a avaliação de conformidade exigida. Como implementador, pode referi-la como prova de que o sistema que está a implementar foi avaliado. No entanto, não abrange as suas obrigações enquanto implementador. A implementação da supervisão humana prevista no artigo 14.º e a documentação da sua implementação operacional continuam a ser da sua responsabilidade.

O que acontece se modificarmos um sistema de IA de alto risco de terceiros que tenhamos implementado? A modificação substancial de um sistema de IA de alto risco pode reclassificar a organização que efetua a modificação como o fornecedor dessa versão modificada. A Regulamento Europeu da Inteligência Artificial define modificação substancial como incluindo alterações que afetem a finalidade pretendida do sistema, as suas métricas de desempenho ou o seu perfil de risco. Se a sua equipa técnica efetuar alterações desse âmbito num sistema licenciado, procure aconselhamento jurídico antes de implementar a versão modificada.

Leitura adicional

Se estiver a trabalhar pela primeira vez na classificação do Anexo III e no planeamento da conformidade, a Avaliação de Preparação para a IA fornece uma base estruturada antes de contratar um consultor jurídico ou iniciar a documentação.

Autor: Dr. Hernani Costa — Fundador da First AI Movers e da Core Ventures. Arquiteto de IA, Consultor Estratégico e CTO Fraccionado, ajudando as principais empresas de inovação a nível mundial a navegar pelas inovações em IA. Doutorado em Linguística Computacional, com mais de 25 anos de experiência em tecnologia.

Publicado originalmente em First AI Movers sob CC BY 4.0.