O Risco do Empreendimento e o Risco do Desenvolvimento: Aplicações e Implicações

Aplicações e Implicações do Risco do Desenvolvimento em Sistemas de Inteligência Artificial

A compreensão adequada do risco do desenvolvimento exige que se examine, de modo específico, como as fases do ciclo de vida de um sistema tecnológico — do design à colocação no mercado e às atualizações subsequentes — interagem com as categorias jurídicas já consolidadas no Código de Defesa do Consumidor (Lei nº 8.078/1990) e, mais recentemente, com as propostas normativas em tramitação no Brasil, em particular o Projeto de Lei nº 2.338/2023, que disciplina o uso da inteligência artificial no País.

Design, Atualizações e a "Nova Colocação em Circulação"

Uma das questões mais instigantes do debate contemporâneo diz respeito ao impacto das atualizações de software sobre o marco temporal da colocação do produto em circulação. Para alguns autores, cada update promovido pelo fornecedor enseja uma "nova colocação em circulação", com todas as consequências jurídicas daí decorrentes — inclusive o reinício do prazo decadencial para reclamações por vícios e o eventual afastamento de excludentes de responsabilidade que se lastreavam no estado anterior da técnica (Barbosa, 2021).

Parece-nos que tal posicionamento tem especial relevância no contexto dos sistemas de inteligência artificial, cujo funcionamento depende de modelos constantemente retreinados e de bibliotecas de dados em permanente expansão. A cada ciclo de atualização, o sistema pode adquirir capacidades antes inexistentes, introduzir novos vetores de risco ou ampliar a superfície de exposição do usuário a danos antes não cognoscíveis. A Diretiva Europeia sobre Responsabilidade por Produtos com IA (AI Liability Directive, proposta em 2022) e o próprio AI Act (Regulamento UE 2024/1689) reconhecem implicitamente essa dinamicidade ao exigirem avaliações de conformidade periódicas para sistemas de alto risco.

O design de sistemas de inteligência artificial é, ademais, uma fase crucial que impacta diretamente na segurança e na eficiência desses sistemas. A criação de um design seguro desde o início — princípio denominado security by design e privacy by design na literatura especializada — constitui obrigação do fabricante, devendo-se considerar tanto a proteção de dados pessoais, na forma do art. 46 da Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018), quanto os riscos físicos, patrimoniais e existenciais associados ao uso do produto. Nesse ponto, Suzana Navas Navarro formula ressalva importante: é fundamental não confundir "produto defeituosamente projetado" com "produto intrinsecamente perigoso" (Navarro, 2022, pp. 88-89). O primeiro pressupõe que o defeito poderia ter sido evitado por escolha técnica diversa; o segundo traduz uma periculosidade inerente à natureza do bem, cujo risco admissível deve ser informado ao consumidor.

Risco Inerente e Risco Adquirido: Distinção Fundamental

Quando se abordam os riscos associados à criação e ao desenvolvimento de produtos sofisticados e potencialmente perigosos — e os sistemas de IA certamente permeiam essa categoria —, a doutrina costuma apontar como fundamental a distinção entre risco inerente e risco adquirido para a análise da responsabilidade civil.

Segundo Sergio Cavalieri Filho, o risco inerente refere-se à periculosidade latente de certos produtos — como armas de fogo, medicamentos com contraindicações e agrotóxicos —, cuja periculosidade é normal, previsível e intrínseca à sua natureza (Cavalieri Filho, 2023, p. 256). Não obstante, o fornecedor tem o dever de informar adequadamente o consumidor acerca de tais riscos, sob pena de configurar defeito de comercialização, nos termos dos arts. 8º e 9º do CDC. Já o risco adquirido caracteriza-se pela imprevisibilidade e pela anormalidade, surgindo de produtos que se tornam perigosos em razão de defeitos supervenientes. Nesses casos, os produtos excedem os padrões de segurança legitimamente esperados pelos consumidores, ensejando a responsabilidade objetiva do fornecedor nos moldes do art. 12 do CDC (Cavalieri Filho, 2023, p. 256).

Verificou-se, na doutrina especializada, que essa distinção adquire contornos particularmente complexos quando aplicada a sistemas de IA com capacidade de autoaprendizado. Um sistema que, ao longo do tempo, modifica seus próprios parâmetros de decisão pode transformar um risco originalmente inerente em risco adquirido — ou introduzir riscos inteiramente novos não contemplados no design original. O PL 2.338/2023, em seus arts. 28 e 29, reconhece essa problemática ao impor obrigações de monitoramento pós-implantação e de comunicação de incidentes às autoridades competentes.

A Fase de Fabricação e a Externalização de Tarefas

A fase de fabricação de sistemas de IA que utilizam machine learning abrange operações como extração, transformação, carga e integração de dados, etiquetagem, limpeza, anonimização de dados pessoais, treinamento, teste e validação do sistema (Navarro, 2022, p. 90). Essas tarefas são frequentemente externalizadas a subcontratados especializados e costumam ocorrer em ambientes distribuídos, muitas vezes em diferentes jurisdições, o que dificulta sobremaneira a identificação do responsável por defeitos de fabricação específicos.

Parece-nos que tal fragmentação produtiva coloca em xeque a lógica da solidariedade passiva prevista nos arts. 12 e 14 do CDC, que imputa responsabilidade objetiva a todos os integrantes da cadeia de fornecimento. Se o defeito de fabricação se origina em um componente desenvolvido por terceiro subcontratado, a discussão sobre a distribuição interna do ônus indenizatório — por meio de ação regressiva — torna-se inevitável. A esse propósito, a lei de proteção ao consumidor espanhola (Ley General para la Defensa de los Consumidores y Usuarios, Real Decreto Legislativo 1/2007) traz, em seu art. 140.2, uma causa de exoneração relevante: "O produtor de uma parte integrante de um produto acabado não será responsabilizado se provar que o defeito é imputável ao projeto do produto no qual foi incorporado ou às instruções fornecidas pelo fabricante desse produto" (tradução livre).

Tal dispositivo é um bom exemplo do que uma futura norma especial — ou uma atualização legislativa do CDC — poderia incorporar ao tratamento da IA no Brasil, sem que se abdique da proteção conferida ao consumidor individual. Nas ações difusas, coletivas e individuais homogêneas, essa discussão poderia ser explorada de forma mais aprofundada, permitindo a correta imputação dos custos da inovação às partes melhor posicionadas para absorvê-los.

Defeitos de Informação e o Problema dos Algoritmos de Otimização

Os defeitos de informação são, em muitos casos, mais acessíveis à prova em comparação com defeitos de design ou fabricação, pois não requerem o exame de milhões de linhas de código. Em vez disso, baseiam-se na análise de se as informações fornecidas ao consumidor foram suficientes, claras e adequadas para que este pudesse tomar uma decisão de consumo esclarecida — princípio basilar do art. 6º, III, do CDC (Castells I Marques, 2017b, p. 120).

Produtos digitais, por sua natureza, podem apresentar riscos impossíveis de eliminar completamente. Entretanto, sistemas de inteligência artificial sofisticados exigem um nível mais elevado de precisão nas advertências, informações e instruções fornecidas pelo fabricante. Informações personalizadas, baseadas em análises de dados massivos e ajustadas ao perfil do usuário, podem facilitar a compreensão sobre os riscos envolvidos — prática que o AI Act denomina transparency obligations e que o PL 2.338/2023 traduz em deveres de explicabilidade e de prestação de informações claras ao usuário.

Um exemplo emblemático das consequências dos defeitos de informação é o caso dos "algoritmos de otimização de colisão" (crash-optimization algorithms) em veículos autônomos. Se o fabricante não comunicar que esse algoritmo nem sempre priorizará a integridade física do usuário — podendo optar por soluções que minimizem danos coletivos em detrimento do ocupante do veículo —, o consumidor pode sofrer lesões em acidentes cujas circunstâncias não foram antecipadas pelo algoritmo (Gurney, 2016, p. 234, apud Castells I Marques, 2017b, p. 120). Além disso, é essencial alertar o condutor para as limitações dos sensores em detectar objetos em movimento, ciclistas e pedestres, ou em condições de pouca luz e forte reflexo solar — riscos que, se omitidos, configuram defeito de informação passível de responsabilizar o fornecedor nos termos do art. 12, § 1º, III, do CDC.

Síntese Aplicativa

Parece-nos, em síntese, que as categorias clássicas de defeito — de design, de fabricação e de informação — mantêm sua relevância analítica no exame da responsabilidade civil por danos causados por sistemas de IA, mas exigem adaptações significativas para acomodar as especificidades desses sistemas: a dinamicidade das atualizações, a fragmentação da cadeia produtiva, a autoaprendizagem e a opacidade algorítmica. A interpretação sistemática do CDC, do Código Civil (em especial o art. 931), da LGPD e do PL 2.338/2023 oferece, a nosso ver, o arsenal normativo necessário para enfrentar esses desafios, desde que os operadores do direito estejam dispostos a realizar o esforço hermenêutico que a inovação tecnológica invariavelmente demanda.

---

Referências

• BARBOSA, Mafalda Miranda. Inteligência Artificial, E-persons e Responsabilidade Civil. Coimbra: Gestlegal, 2021.
• CAVALIERI FILHO, Sergio. Programa de Responsabilidade Civil. 15. ed. São Paulo: Atlas, 2023.
• CASTELLS I MARQUES, Miguel. Vehículos Autónomos y Semiautónomos. In: NAVARRO, Suzana Navas (Coord.). Inteligencia Artificial: Tecnologia, Derecho. Valência: Tirant lo Blach, 2017b.
• GURNEY, Jeffrey. Crashing into the Unknown: an Examination of Crash-Optimization Algorithms Through the Two Lanes of Ethics and Law. Albany Law Review, vol. 79, núm. 1, 2016.
• NAVARRO, Suzana Navas. Daños Ocasionados por Sistemas de Inteligencia Artificial. Granada: Ed. Comares, 2022.