3.2.4. O Risco Criado e os Riscos da Atividade: Fundamentos Jurídicos

crutamento, concessão de serviços essenciais, análise de crédito, resposta a emergências, administração da justiça, veículos autônomos, saúde, identificação biométrica, investigações criminais e administrativas, além de gestão de migração e controle de fronteiras (art. 17, I a XIV), podendo a lista ser atualizada com base em critérios como larga escala de uso, dano irreversível e falta de transparência (art. 18, I a IX, parágrafo único). Quanto à responsabilidade civil, fornecedores ou operadores devem reparar integralmente os danos causados, de forma objetiva quando se tratar de referidos sistemas de alto risco ou de risco excessivo (art. 27, caput e §1º), excetuando-se os casos em que não tenham colocado o sistema em circulação ou em que o dano decorra de fato exclusivo da vítima ou de terceiro (art. 28, I e II). As medidas de governança para sistemas de alto risco incluem documentação, registro, testes de confiabilidade, mitigação de vieses e supervisão humana (art. 20), enquanto o poder público, ao utilizá-los, deve realizar consultas e audiências públicas, definir protocolos de acesso, assegurar revisão humana das decisões e publicar avaliações preliminares (art. 21). Além disso, a avaliação de impacto algorítmico torna-se obrigatória para sistemas de alto risco, mediante notificação à autoridade competente (art. 22 e 23). Por sua vez, muitas dessas disposições do PL 2338/23 foram inspiradas no AI Act da União Europeia525, que busca, entre outros objetivos, estabelecer uma classificação e um regime de requisitos adicionais para sistemas de “risco elevado” – impondo inclusive mais controle de governança e obrigações acessórias do que o próprio projeto brasileiro, atualmente, prevê526. O instrumento tem por objetivo assegurar que, nas hipóteses em que 525 Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho, de 13 de Junho de 2024, que Cria Regras Harmonizadas em Matéria de Inteligência Artificial e que Altera os Regulamentos (CE) 300/2008, (UE) 167/2013, (UE) 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e as Diretivas 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (“Regulamento da Inteligência Artificial”). Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/ HTML/?uri=OJ:L_202401689. 526 O AI ACT estabelece uma lista de práticas expressamente proibidas (art. 5º), que incluem, entre outras, o uso de sistemas de IA para manipulação subliminar, exploração de vulnerabilidades ou classificação social injustificada, além de restrições específicas à utilização de identificação biométrica à distância em “tempo real” em espaços públicos (art. 5º, nº 1, alíneas ‘a’ à ‘h’). Essas proibições visam proteger os direitos fundamentais, a segurança pública e a autodeterminação das pessoas, impondo limites claros à adoção de tecnologias altamente invasivas. Em seguida, o regulamento classifica determinados sistemas de IA como “de risco elevado” (Capítulo III, Seção 1), impondo obrigações mais rigorosas aos fornecedores, tais como