A acelerada integração da Inteligência Artificial (IA) em setores críticos da sociedade — como segurança pública, saúde e educação — impõe desafios complexos que transcendem a proteção de dados tradicional. Enquanto a sociedade digital se beneficia da eficiência desses sistemas, cresce o debate sobre como mitigar riscos de discriminação, opacidade e violações de direitos fundamentais.
No Brasil, essa discussão ganha contornos legislativos definidos com o avanço do Projeto de Lei nº 2.338/2023. Após aprovação no Senado Federal, o texto encontra-se atualmente em tramitação na Câmara dos Deputados. O projeto propõe um marco regulatório detalhado, introduzindo a Avaliação de Impacto Algorítmico (AIA) não apenas como uma obrigação burocrática, mas como um instrumento central para o desenvolvimento responsável de tecnologias emergentes.
Para compreender a importância da AIA, é fundamental analisar sua relação com os instrumentos já existentes na Lei Geral de Proteção de Dados Pessoais (LGPD). A LGPD estabeleceu o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) para gerenciar riscos no ciclo de vida do dado. Contudo, o RIPD possui limitações intrínsecas quando confrontado com a complexidade de sistemas algorítmicos modernos, muitas vezes focando na segurança e privacidade, mas não na lógica de decisão do modelo.
A AIA surge como uma evolução lógica e necessária desse paradigma. Embora o RIPD já desempenhe um papel fundamental na análise de potenciais impactos aos direitos dos titulares e na proposição de medidas mitigatórias relativas ao tratamento de dados, a AIA expande esse escopo para os riscos que emanam da própria lógica algorítmica. Ela incorpora princípios de justiça (fairness), explicabilidade e accountability, buscando identificar problemas como vieses discriminatórios ou inferências indevidas que o sistema pode gerar, independentemente da conformidade inicial dos dados.
Dessa forma, a implementação da AIA representa uma transição do conceito de “Privacy by Design” para um mais abrangente: “Ethics by Design”. O objetivo não é apenas proteger a informação, mas garantir que a automação não reproduza ou amplifique injustiças ou discriminações.
O Art. 4º, XVI, do PL 2.338/23 define a AIA como uma análise proativa dos impactos sobre direitos fundamentais, exigindo a apresentação de medidas preventivas, mitigadoras e de reversão de danos. A obrigatoriedade recai sobre sistemas classificados como de alto risco, devendo ser realizada antes da introdução da tecnologia no mercado.
O Projeto adota uma abordagem baseada em risco, identificando aplicações sensíveis que demandam escrutínio rigoroso. Entre os exemplos citados, destacam-se sistemas voltados a diagnósticos médicos e triagens de saúde, o reconhecimento de emoções via identificação biométrica e ferramentas decisórias em processos de recrutamento, promoção ou demissão de trabalhadores. A classificação de alto risco estende-se ainda a aplicações de segurança pública, como investigação criminal e controle de fronteiras. É crucial notar que este rol é exemplificativo e sujeito a atualizações, reconhecendo que o risco muitas vezes não reside apenas na tecnologia em si, mas no contexto de sua aplicação.
Um dos grandes receios do setor privado é a sobreposição regulatória e o excesso de burocracia previsto no Projeto. O legislador parece estar atento a essa questão quando busca harmonizar a nova exigência com a LGPD. O Art. 27 do PL estabelece que, quando um sistema de IA de alto risco envolver o tratamento de dados pessoais exigindo também um RIPD, a Avaliação de Impacto Algorítmico poderá ser realizada em conjunto com este documento.
Essa disposição aponta para uma sinergia regulatória, evitando a duplicação de esforços. Cria-se, assim, uma análise holística: o RIPD garante a conformidade da “matéria-prima” (os dados), enquanto a AIA audita o “motor” (o algoritmo).
Para que essa integração seja efetiva, o papel da Agência Nacional de Proteção de Dados (ANPD) é vital. Designada no PL como órgão central do Sistema Nacional de Regulação e Governança de Inteligência Artificial (SIA), caberá à ANPD normatizar a AIA, fiscalizar seu cumprimento e garantir a coerência entre a proteção de dados e a governança de IA.
Em princípio, a estrutura proposta para a AIA no PL não é isolada, ela dialoga com as melhores práticas globais, como o AI Act da União Europeia e os frameworks técnicos do NIST (National Institute of Standards and Technology) e da ISO (como a norma 42001). A adoção desses padrões internacionais facilita a inserção de empresas brasileiras em cadeias de valor globais, transformando a conformidade em vantagem competitiva.
Mais do que uma salvaguarda legal, a AIA deve ser encarada como uma poderosa ferramenta de diagnóstico e aprimoramento. Ao aprofundar a compreensão sobre o funcionamento interno dos sistemas, a AIA permite às organizações saírem de um paradigma reativo para um proativo. Esse processo não serve apenas para antecipar riscos e desenhar mitigações, mas fundamentalmente para identificar e impulsionar as potencialidades positivas da tecnologia. Fomenta-se, assim, uma inovação responsável, onde a eficiência técnica é maximizada.
Mesmo com o PL 2.338/23 em tramitação, a mensagem é clara: é preciso elevar a régua da governança. Caberá aos agentes ir além da segurança da informação e compreender a lógica dos sistemas que empregam, garantindo um uso consciente, estratégico e seguro.
Conheça o GCAA
Inscreva-se no 13° Congresso Internacional de Compliance
Artigo por: Pedro Guerra Costa Aragão de Carvalho, advogado do GCAA, graduado em direito pela UFRJ e pós-graduado em Direito Digital pelo Instituto de Tecnologia e Sociedade da UER
