O Risco Criado e os Riscos da Atividade: Fundamentos Jurídicos

Fundamentos Jurídicos do Risco Criado e dos Riscos da Atividade

A teoria do risco criado, cujos contornos se consolidaram no direito civil moderno a partir da insuficiência explicativa da culpa para determinados danos em massa, parte de uma premissa elementar: aquele que, no exercício de uma atividade, cria situações de perigo para outrem deve responder objetivamente pelos danos daí decorrentes, prescindindo-se da demonstração de culpa ou dolo. Trata-se, em essência, de uma forma de distribuição equitativa dos ônus sociais gerados pelo desenvolvimento econômico e tecnológico.

No ordenamento jurídico brasileiro, essa teoria encontra assento normativo no art. 927, parágrafo único, do Código Civil de 2002, que estabelece a obrigação de indenizar independentemente de culpa "nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem". A amplitude desta cláusula geral permite que o intérprete enquadre, com certa elasticidade, atividades novas — dentre as quais se destacam, contemporaneamente, as que envolvem sistemas de inteligência artificial —, desde que sua natureza imponha riscos diferenciados à coletividade.

Parece-nos relevante, nesse contexto, examinar a qualificação dos riscos que o legislador e a doutrina têm procurado sistematizar. O PL 2338/23 — Projeto de Lei que institui normas gerais sobre inteligência artificial no Brasil —, em seu art. 17, incisos I a XIV, elenca um extenso rol de domínios de aplicação considerados de alto risco, abrangendo, entre outros, o recrutamento e a seleção de pessoas, a concessão de serviços essenciais, a análise de crédito, a resposta a emergências, a administração da justiça, os veículos autônomos, a saúde, a identificação biométrica, as investigações criminais e administrativas, bem como a gestão de migração e o controle de fronteiras. A lista não é exaustiva: o art. 18, incisos I a IX e parágrafo único, autoriza sua atualização com base em critérios como a larga escala de uso, a irreversibilidade dos danos potenciais e a ausência de transparência no funcionamento dos sistemas.

Quanto à responsabilidade civil, o projeto é claro ao estabelecer, em seu art. 27, caput e §1º, que fornecedores e operadores de sistemas de inteligência artificial devem reparar integralmente os danos causados, de forma objetiva quando se tratar de sistemas classificados como de alto risco ou de risco excessivo. As excludentes admitidas são restritas: o art. 28, incisos I e II, afasta a responsabilidade apenas quando o responsável não tiver colocado o sistema em circulação ou quando o dano decorrer de fato exclusivo da vítima ou de terceiro.

As medidas de governança impostas aos sistemas de alto risco, previstas no art. 20, incluem documentação técnica adequada, registro sistemático das operações, testes de confiabilidade, adoção de mecanismos de mitigação de vieses algorítmicos e a exigência de supervisão humana nas decisões de impacto. Quando o poder público se vale desses sistemas, o art. 21 impõe, adicionalmente, a realização de consultas e audiências públicas, a definição de protocolos de acesso, a garantia de revisão humana das decisões automatizadas e a publicação de avaliações preliminares de impacto. Complementando esse quadro, os arts. 22 e 23 tornam obrigatória a avaliação de impacto algorítmico para sistemas de alto risco, com notificação à autoridade competente.

O Influxo do AI Act Europeu

Verificou-se que muitas das disposições do PL 2338/23 foram diretamente inspiradas no Regulamento (UE) 2024/1689 — o chamado AI Act —, diploma normativo aprovado pelo Parlamento Europeu e pelo Conselho da União Europeia em 13 de junho de 2024, que cria regras harmonizadas em matéria de inteligência artificial no espaço comunitário europeu. O AI Act persegue, entre outros objetivos, o estabelecimento de uma classificação graduada dos sistemas de IA e um regime de requisitos adicionais para aqueles considerados de "risco elevado" — impondo, inclusive, obrigações de governança e controles mais detalhados do que aqueles previstos, em sua versão atual, pelo próprio projeto brasileiro.

O instrumento europeu veda expressamente determinadas práticas em seu art. 5º, como o uso de sistemas de IA para manipulação subliminar, a exploração de vulnerabilidades de grupos específicos ou a classificação social injustificada de pessoas. Além disso, estabelece restrições severas à utilização de sistemas de identificação biométrica à distância em tempo real em espaços públicos. Essas proibições visam proteger os direitos fundamentais, a segurança pública e a autodeterminação individual, impondo limites claros à adoção de tecnologias de elevado potencial invasivo.

Para os sistemas de risco elevado, o Capítulo III do AI Act impõe obrigações rigorosas aos fornecedores, tais como a implementação de um sistema de gestão de riscos (art. 9º), cuidados específicos na elaboração e governança dos conjuntos de dados utilizados no treinamento (art. 10º) e a manutenção de documentação técnica detalhada (art. 11º). O regulamento estabelece ainda requisitos de rastreabilidade (art. 12º), transparência e supervisão humana (arts. 13º e 14º), bem como padrões mínimos de robustez e cibersegurança (art. 15º), tudo com vistas a minimizar impactos adversos à saúde, à segurança e aos direitos fundamentais dos cidadãos europeus.

Deveres específicos recaem sobre prestadores e responsáveis pela implantação desses sistemas (Capítulo III, Seção 3), que devem assegurar a conformidade com requisitos técnicos e legais (art. 16º), manter registros atualizados (art. 18º) e realizar avaliações periódicas de conformidade (art. 43º). O objetivo subjacente é garantir que, nas hipóteses em que a IA seja utilizada em setores sensíveis ou com capacidade de causar danos graves, existam mecanismos de controle e de responsabilização adequados ao nível do risco criado.

Tensões e Complementaridades Normativas

O cotejo entre o PL 2338/23 e o AI Act revela tanto convergências quanto assimetrias relevantes. Ambos os diplomas adotam uma lógica de categorização graduada dos riscos e vinculam o grau de exigência regulatória à magnitude do perigo que o sistema representa. Contudo, o AI Act estabelece um sistema de supervisão mais robusto, com autoridades nacionais competentes dotadas de poderes sancionatórios expressivos e um mecanismo de revisão periódica da classificação dos riscos.

Do ponto de vista da responsabilidade civil, parece-nos que a cláusula geral do art. 927, parágrafo único, do Código Civil, embora suficientemente ampla para abarcar os sistemas de IA enquanto atividades de risco, carece de regulamentação específica que oriente o intérprete quanto à distribuição dos ônus probatórios, às excludentes admissíveis e aos critérios de quantificação dos danos. O PL 2338/23 procura suprir parcialmente essa lacuna, mas permanece silente quanto a aspectos processuais e à articulação entre o regime especial de responsabilidade por IA e os regimes gerais do Código Civil e do Código de Defesa do Consumidor.

Nesse cenário normativo em formação, a compreensão dos fundamentos jurídicos do risco criado e dos riscos da atividade afigura-se indispensável para que os operadores do direito possam imputar responsabilidades de forma coerente, equânime e proporcional ao efetivo grau de perigo que as atividades com inteligência artificial representam para a coletividade.