A IA na Prática: Aplicações, Problemas e Desafios: Tendências Regulatórias

O Contexto Regulatório da IA no Brasil e no Mundo

A regulação da inteligência artificial atravessa, em escala global, um momento de definição. Após anos de autorregulação setorial e de resposta ad hoc a casos concretos de dano algorítmico, os principais sistemas jurídicos do mundo avançam em direção a marcos normativos estruturados, capazes de estabelecer padrões mínimos de segurança, transparência e responsabilidade para o desenvolvimento e a operação de sistemas de IA. Compreender as tendências regulatórias emergentes é essencial não apenas para operadores do direito, mas para qualquer agente econômico que desenvolva, utilize ou seja afetado por sistemas algorítmicos de tomada de decisão.

O ponto de partida para essa análise é a constatação de que o caso Decolar.com — e os inúmeros casos análogos de discriminação algorítmica documentados na literatura especializada — revelaram uma lacuna regulatória evidente: os marcos normativos existentes, concebidos para relações de consumo tradicionais, não estavam equipados para lidar com a complexidade técnica e a escala dos danos produzidos por sistemas de precificação e perfilização algorítmica.

Da Precificação Dinâmica ao Problema Regulatório

O sistema utilizado pela Decolar.com, como se verificou, empregava algoritmos de precificação dinâmica baseados em técnicas de machine learning e perfilização para ajustar preços automaticamente a partir de variáveis geográficas, comportamentais e de histórico de compras. O problema central, do ponto de vista regulatório, não era apenas que a empresa cobrava preços diferentes de consumidores diferentes — o que, em si, não é necessariamente ilegal em todos os contextos —, mas que o mecanismo de discriminação era opaco, automatizado e refletia vieses históricos reproduzidos pelo algoritmo sem qualquer supervisão crítica.

Além disso, o uso de modelos de precificação dinâmica pode agravar desigualdades preexistentes de forma sistêmica. Consumidores de países emergentes, identificados pelo algoritmo como pertencentes a mercados com menor sensibilidade a preço — ou, paradoxalmente, como pertencentes a mercados com menor poder de barganha —, passam a pagar sistematicamente mais pelo mesmo serviço do que consumidores de países desenvolvidos. Essa dinâmica não decorre de uma decisão humana explícita e revisável, mas de um processo estatístico distribuído e, na prática, irrastreável sem acesso ao código-fonte e aos dados de treinamento do sistema.

As Tendências Regulatórias Europeias: O AI Act

A resposta regulatória mais abrangente até o momento é o AI Act europeu (Regulamento UE 2024/1689), que entrou em vigor em agosto de 2024 e estabelece um quadro normativo baseado em uma abordagem de risco. O regulamento classifica os sistemas de IA em quatro categorias — risco inaceitável, alto risco, risco limitado e risco mínimo — e impõe obrigações proporcionais ao nível de risco identificado.

Para sistemas de IA de alto risco — categoria que inclui, entre outros, sistemas utilizados em decisões sobre acesso a serviços essenciais, crédito, emprego e administração da justiça —, o AI Act exige: avaliações de conformidade antes da colocação no mercado; documentação técnica detalhada; manutenção de logs para fins de supervisão; supervisão humana contínua; e transparência sobre as limitações e os riscos do sistema. Para sistemas de risco limitado, como chatbots, exige-se ao menos que os usuários sejam informados de que estão interagindo com um sistema de IA.

Cabe ressaltar que o AI Act não proíbe, em termos gerais, a precificação dinâmica ou a perfilização de consumidores — práticas que permanecem reguladas, primariamente, pelo RGPD e pela legislação de proteção ao consumidor europeia. O que o regulamento faz é estabelecer um patamar mínimo de transparência e supervisão que torna mais difícil — embora não impossível — a perpetuação de práticas discriminatórias algorítmicas sem responsabilização.

O Marco Regulatório Brasileiro: LGPD e PL 2.338/2023

No Brasil, a Lei Geral de Proteção de Dados (LGPD, Lei n. 13.709/2018) representa o principal instrumento normativo aplicável ao tratamento de dados pessoais para fins de perfilização e tomada de decisão automatizada. O art. 20 da LGPD assegura ao titular o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, incluindo as que afetem seus interesses, como decisões relativas ao seu perfil pessoal, profissional, de consumo e de crédito.

Esse dispositivo é relevante para casos como o da Decolar.com porque reconhece, ao menos em princípio, que decisões automatizadas que afetam o consumidor devem ser passíveis de revisão e explicação. Na prática, porém, a efetividade desse direito é limitada pela dificuldade de o consumidor sequer saber que foi objeto de uma decisão algorítmica discriminatória — afinal, para reclamar uma revisão, é preciso antes perceber que houve uma discriminação, o que pressupõe acesso a informações comparativas que normalmente não estão disponíveis.

O Projeto de Lei n. 2.338/2023, em tramitação no Senado Federal, propõe avanços significativos em relação à LGPD. Entre as principais disposições, destacam-se: a exigência de avaliações de impacto para sistemas de IA de alto risco; a proibição de práticas de IA que configurem discriminação por motivos proibidos; a obrigação de designar responsável técnico identificável para sistemas de IA que afetem direitos de pessoas; e a criação de um registro nacional de sistemas de IA de alto risco. O PL também prevê a responsabilidade solidária de agentes da cadeia de desenvolvimento e operação de sistemas de IA pelos danos causados a usuários e terceiros.

Tendências Internacionais e Convergências Normativas

Além do modelo europeu, outras jurisdições relevantes têm avançado em suas próprias abordagens regulatórias. Nos Estados Unidos, embora não exista ainda uma lei federal abrangente sobre IA, a Executive Order on Safe, Secure, and Trustworthy AI (outubro de 2023) estabeleceu diretrizes para agências federais e reguladores setoriais, incluindo obrigações de transparência e avaliação de risco para sistemas de IA de alto impacto. No âmbito estadual, diversas iniciativas legislativas — como o Colorado AI Act e o California AI Transparency Act — avançam em direções semelhantes ao AI Act europeu.

Na China, o Regulamento Provisional sobre Gestão de Serviços de IA Generativa (2023) introduziu obrigações específicas para sistemas de IA generativa, incluindo a avaliação de segurança prévia à implantação e a responsabilidade dos fornecedores pelo conteúdo gerado por seus sistemas. Embora o contexto político-institucional seja distinto, a tendência de responsabilizar fornecedores pelo comportamento de seus sistemas é comum a essas diferentes abordagens.

Verifica-se, portanto, uma convergência normativa internacional em torno de alguns princípios fundamentais: transparência sobre o funcionamento dos sistemas de IA; supervisão humana para decisões de alto impacto; avaliação de risco prévia à implantação; e responsabilidade identificável por danos causados por sistemas algorítmicos. Esses princípios representam o mínimo denominador comum de um quadro regulatório que aspira a ser efetivo.

Desafios para a Implementação no Brasil

Parece-nos que o maior desafio para a implementação efetiva de qualquer marco regulatório de IA no Brasil não é normativo, mas institucional e técnico. A capacidade das autoridades regulatórias — Autoridade Nacional de Proteção de Dados (ANPD), Ministério da Justiça e Consumidor, órgãos setoriais — de realizar auditorias técnicas de algoritmos proprietários, de avaliar impactos algorítmicos e de aplicar sanções proporcionais ainda está em desenvolvimento.

Sem essa capacidade institucional, as normas mais bem elaboradas correm o risco de permanecer como letra morta, enquanto práticas discriminatórias automatizadas continuam a produzir danos em escala massiva, protegidas pela opacidade técnica de sistemas que seus próprios operadores dizem não conseguir explicar. A regulação efetiva da IA, portanto, exige não apenas normas adequadas, mas também investimento em capacidade regulatória — um desafio que transcende o direito e demanda uma resposta de política pública mais ampla.