O Dano: Fundamentos Jurídicos

O AI Act como Instrumento de Prevenção ao Dano

O Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho, denominado AI Act, representa o mais abrangente instrumento regulatório sobre inteligência artificial até hoje aprovado em nível supranacional. Do ponto de vista da teoria do dano, parece-nos que o Regulamento opera primordialmente como um mecanismo de prevenção: ao impor obrigações de gestão de risco, transparência e supervisão humana aos operadores de sistemas de IA classificados como de alto risco, o AI Act busca reduzir a probabilidade de ocorrência de danos antes que eles se materializem.

O art. 9º do Regulamento, dedicado ao "Sistema de Gestão de Riscos", exige que fornecedores e utilizadores apliquem um sistema de gestão de risco contínuo no desenvolvimento e na utilização de aplicações de inteligência artificial de alto risco. Esse dispositivo revela a preocupação de evitar danos significativos por meio de procedimentos de governança que antecipem eventuais falhas. Verificou-se que a abordagem preventiva do AI Act se alinha à tendência contemporânea de responsabilização prospectiva, que não aguarda a ocorrência do dano para intervir, mas impõe deveres de cuidado ex ante como condição de legitimidade para a operação de sistemas com potencial lesivo.

Transparência e Segurança como Fundamentos da Não-Causação de Dano

Adicionalmente, o art. 15 do AI Act, relativo à "Exatidão, Solidez e Cibersegurança", exige transparência para sistemas que interajam com seres humanos, impondo obrigações de esclarecimento quanto à natureza do sistema, visando reduzir possíveis prejuízos relacionados à desinformação ou manipulação automatizada. Parece-nos que essa disposição é de fundamental importância para a tutela dos danos morais associados à interação com sistemas de IA, pois a manipulação ou a desinformação praticada por sistemas automatizados pode produzir lesões à dignidade, à autodeterminação e à integridade psíquica dos usuários.

A exigência de solidez — entendida como a capacidade do sistema de manter desempenho adequado em condições adversas ou inesperadas — e de cibersegurança endereça riscos de danos decorrentes de falhas técnicas ou de ataques maliciosos. Verificou-se que esses requisitos técnicos têm relevância direta para a análise da responsabilidade civil, pois a inobservância dos padrões de solidez e segurança estabelecidos pelo Regulamento pode ser invocada como evidência de defeito do sistema para fins de imputação.

A Aplicação Escalonada do Regulamento

Os diferentes capítulos do Regulamento se tornarão aplicáveis de forma escalonada: seis meses após a entrada em vigor para as proibições sobre IA de risco inaceitável; nove meses após para os códigos de conduta; doze meses após para autoridades de notificação, modelos de IA de propósito geral, governança e confidencialidade; e vinte e quatro meses após para o restante da normativa, com exceção do artigo 6, seção 1, que será aplicável trinta e seis meses após a entrada em vigor.

Essa aplicação progressiva revela uma escolha política deliberada do legislador europeu: conceder aos agentes econômicos tempo suficiente para adaptar seus sistemas e práticas às novas exigências, enquanto as obrigações mais urgentes — como as proibições de usos inaceitáveis de IA — entram em vigor de imediato. Parece-nos que essa calibração temporal é tecnicamente acertada, pois evita a criação de obrigações de cumprimento imediato para sistemas já em operação, sem, contudo, retardar a proteção contra os riscos mais graves.

Âmbito de Aplicação Pessoal e Territorial

O AI Act aplica-se a pessoas na União Europeia impactadas por sistemas de inteligência artificial comercializados ou operados no território, incluindo fornecedores e operadores de países terceiros cujos sistemas estejam destinados à União ou regulados por atos de direito internacional público (art. 2º, 1). Emendas aprovadas durante o processo legislativo ampliaram o escopo para abranger prestadores fora da União e práticas proibidas envolvendo sistemas de IA desenvolvidos fora do bloco, desde que seus responsáveis estejam estabelecidos na União (Considerando 21).

Estão excluídos da aplicação do Regulamento as autoridades públicas ou organizações internacionais sob acordos de cooperação específicos; as atividades de pesquisa e testes anteriores à comercialização, desde que respeitem os direitos fundamentais; os componentes de IA distribuídos sob licenças abertas, salvo integração em sistemas de alto risco; e os sistemas exclusivamente militares. Verificou-se que essas exclusões refletem um equilíbrio entre a proteção contra danos e a preservação de espaços de inovação e de segurança nacional que não devem ser submetidos ao regime geral de responsabilidade.

Sistemas de Alto Risco: Identificação e Obrigações

O foco principal do AI Act são os sistemas de alto risco, para os quais o Regulamento exige avaliações de risco, transparência e supervisão humana em setores como infraestruturas críticas, saúde, emprego e justiça. Do ponto de vista da teoria do dano, parece-nos que a identificação prévia dos setores de alto risco é fundamental, pois permite calibrar as obrigações preventivas de acordo com a magnitude e a irreversibilidade dos danos que cada categoria de sistema pode produzir.

O Regulamento assegura, ademais, direitos aos cidadãos — como a contestação de decisões baseadas em IA e maior transparência —, com suporte operacional fornecido pelo Gabinete de Inteligência Artificial. Esses direitos têm repercussão direta na análise da responsabilidade civil, pois a negativa de acesso a informações necessárias para o exercício da contestação pode configurar, por si só, uma violação de direito que enseja reparação.

Fundamentos Jurídicos Brasileiros: Código Civil, CDC e LGPD

No ordenamento brasileiro, os fundamentos jurídicos da tutela contra danos produzidos por sistemas de IA repousam, primordialmente, no Código Civil de 2002, no Código de Defesa do Consumidor e na Lei Geral de Proteção de Dados. O art. 927, parágrafo único, do Código Civil estabelece responsabilidade objetiva para atividades que, por sua natureza, impliquem risco para os direitos de outrem. Parece-nos que a atividade de desenvolvimento e operação de sistemas de IA de alto risco se enquadra nessa hipótese, dado o potencial de danos graves que caracteriza tais sistemas.

O art. 14 do CDC impõe responsabilidade objetiva ao fornecedor de serviços pelos danos causados em razão de defeitos na prestação, incluindo a hipótese de defeito de informação — relevante quando o sistema de IA não fornece ao usuário informações adequadas sobre seu funcionamento ou sobre os riscos associados. Verificou-se que a LGPD, em seu art. 42, estabelece responsabilidade solidária do controlador e do operador pelos danos decorrentes do tratamento de dados pessoais em violação à legislação, o que inclui o tratamento automatizado realizado por sistemas de IA.

A Gestão de Risco como Dever Jurídico Preventivo

A convergência entre o AI Act europeu e as normas brasileiras aponta para a emergência de um dever jurídico de gestão de risco aplicável aos operadores de sistemas de IA. Esse dever não se reduz à abstinência de condutas ilícitas, mas impõe ações positivas de identificação, avaliação e mitigação de riscos antes que eles se materializem em danos. Parece-nos que o descumprimento desse dever preventivo pode ser considerado, no sistema brasileiro, como negligência grave para fins de responsabilidade subjetiva ou como defeito do serviço para fins de responsabilidade objetiva consumerista.

O PL 2338/23, ao prever a classificação de risco e os deveres de transparência e documentação em seus arts. 5º e 13 a 18, caminha na mesma direção. A criação de padrões mínimos de explicabilidade para algoritmos de alto impacto social, contemplada no Projeto, é condição indispensável para que as vítimas de danos algorítmicos possam exercer seus direitos de forma efetiva.

Considerações Finais

Os fundamentos jurídicos da tutela contra danos produzidos por inteligência artificial revelam-se em múltiplos planos: no plano preventivo, por meio de obrigações de gestão de risco e transparência impostas pelo AI Act e pelo PL 2338/23; no plano reparatório, por meio dos regimes de responsabilidade civil objetiva estabelecidos pelo Código Civil, pelo CDC e pela LGPD; e no plano processual, por meio de instrumentos como a inversão do ônus da prova e a presunção de causalidade. Verificou-se que a articulação entre esses planos é a chave para a construção de um regime de tutela efetivo, capaz de responder à complexidade e à escala dos danos produzidos pela revolução tecnológica em curso.