Associação para a Promoção e Desenvolvimento da Sociedade da Informação
APDSI
A Associação tem por objeto a promoção e o desenvolvimento da Sociedade da Informação e do Conhecimento em Portugal.
ID: 435520331024-09
Lobbying Activity
Response to Requirements for Artificial Intelligence
30 Jul 2021
1. Esclarecer o balanço de responsabilidades entre prestadores de IA, distribuidores e utilizadores, especialmente para API’s de propósito geral e modelos de open source: como foi explanado, o AIA não distingue suficientemente as responsabilidades dos utilizadores de IA quando no desempenho do papel de distribuidor e as responsabilidades dos prestadores para com os seus consumidores. A não ser que tal seja claro na medida razoável, arrisca-se a ter um efeito dissuasor na publicação de modelos em open source e em API’s, que é tão importante para a inovação de IA e na sua adoção pela indústria. Deixamos algumas recomendações:
• A diretiva de IA não fornece uma definição de "distribuidor". Por questões de clareza, seria útil que o fizesse. Uma definição sensata seria a de “distribuidor” para nos referirmos à entidade que faz com que o sistema de IA esteja disponível para uso num contexto operacional específico. Por vezes (ex: se o sistema está construído de forma personalizada para o distribuidor pelo programador) o distribuidor pode ser o mesmo que o prestador. Mas, noutros casos, tal não acontecerá se sistemas IA de propósito geral forem utilizados.
• Os distribuidores devem suportar a responsabilidade primária de observância, conformidade, avaliação e monitorização post-market, pois só eles podem verificar as aplicações finais para as quais os seus sistemas estão a ser usados e outra informação adicional que tenha sido introduzida da formação do seu sistema. Ao contrário, seria igual a responsabilizar os fabricantes de tijolo por assegurar a integridade estrutural de uma torre, ao invés de os arquitetos, engenheiros e construtores que desenharam e construíram a mesma.
o Para ser claro, o ónus deve ser colocado aos distribuidores em todas as circunstâncias, independentemente da marca ou da maneira precisa em que o sistema de IA foi obtido. Caso se esteja a utilizar IA de propósito geral, tirado da prateleira, numa operação de alto risco ou caso o sistema tenha sido modificado, só a organização que utiliza o sistema de IA é que terá conhecimento sobre como estará a ser utilizado o sistema.
2. Rever a linguagem usada em standards inviáveis: É importante manter requisitos realistas, em concordância com as boas práticas e práticas viáveis da indústria. Enquanto concordamos com a direção dos requisitos para sistemas de IA de risco elevado, consideramos que alguma linguagem utilizada merece atenção acrescida de forma a evitar a criação de standards que são de facto impossíveis para qualquer fornecedor alcançar. Em particular: (Ver documento anexo)
3. Esclarecer praticalidades de ‘due diligence’: existem várias áreas onde é necessária uma maior orientação quanto às expectativas de conformidade. Por exemplo: (Ver documento anexo)
4. Reenquadrar requisitos desproporcionais. Em alguns casos, os requisitos são geralmente, ou até extremamente, desproporcionais, devendo ser alterados.
Especificamente:
• O Artigo 64 (2) refere que “...mediante pedido fundamentado, deve ser concedido às autoridades de fiscalização do mercado o acesso ao código-fonte do sistema de IA”. Porém o código-fonte encontra-se protegido pela diretiva europeia de segredos comerciais, havendo sempre a possibilidade de métodos alternativos para verificar a performance de um sistema de IA (ex. auditorias internas/externas) tornando o acesso ao código-fonte supérfluo.
• Consideramos como melhor opção a alteração parcial do nº2 do artigo 64 para o seguinte: “após solicitação justificada, os operadores ou implantadores de IA devem apoiar e equipar autoridades de fiscalização de mercado com os meios necessários de forma a facilitar uma testagem robusta (ex. auditoria internas/externas) nos casos que exijam conformidade com os requisitos”.
Read full responseResponse to Requirements for Artificial Intelligence
10 Sept 2020
● Âmbito:
○ Não nos parece adequado expandir o âmbito do futuro regulamento de IA para a categoria aberta de "tomada de decisão automatizada". Isso iria contra a ideia inicial refletida no Livro Branco da IA, que propõe concentrar-se e basear-se no risco e no duplo critério para as tecnologias de IA setoriais e de aplicação/utilização. Se a IA fosse definida como "tomada de decisão automatizada" para efeitos da futura regulamentação, este conceito criaria obrigações regulamentares que dificultariam o desenvolvimento e a implantação de aplicações baseadas em IA na Europa bem como de sistemas automatizados que não representam qualquer risco ou dano.
● Opções políticas:
○ Opção 0 (base): Acreditamos que há mérito em assegurar que o regulamento existente da UE é devidamente implementado no que diz respeito à IA, antes de se estabelecerem quaisquer novas regras prescritivas específicas para a IA.
Atualmente, a IA não funciona no vácuo legislativo, está sujeita a uma série de regras existentes, incluindo o RGPD, o regulamento sobre os dispositivos médicos, e o acervo dos direitos fundamentais.
○ Opção 1 (intervenção liderada pela indústria): Independentemente das opções de políticas públicas que sejam seguidas, é útil dar apoio à indústria na definição e implementação de normas que estabeleçam práticas responsáveis e partilha das mesmas.
○ Opção 2 (legislação sobre rotulagem voluntária): Parece-nos uma ideia interessante mas somos céticos em relação à eficácia da adesão a este instrumento que pode tornar-se um encargo administrativo para as PME que poderia pesar mais e prevalecer significativamente, em relação aos benefícios que traria.
○ Opção 3 (legislação com requisitos obrigatórios): No geral, o custo de oportunidade da não utilização da IA deve fazer parte da avaliação quando se considera qualquer legislação destinada a reduzir o risco e os danos decorrentes da utilização de aplicações de IA. A legislação deve garantir a segurança jurídica, ser proporcional e aumentar a confiança na IA, sem prejudicar, indevidamente, a inovação conduzida pela mesma.
■ 3a: Os sistemas de identificação biométrica remota podem ser um bom exemplo de uma aplicação à qual poderiam ser aplicados requisitos obrigatórios numa abordagem baseada no risco.
■ 3b: Apoiamos uma abordagem bem definida, baseada no risco, ao regulamento sobre IA, que tenha em conta tanto a gravidade como a probabilidade de dano. Critérios de base de utilização/aplicação e setoriais - tal como proposto pelo Livro Branco da Comissão Europeia - parecem em geral ser um bom ponto de partida.
■ 3c: Advertimos contra um ato legislativo da UE para todas as aplicações possíveis de IA, que não faça distinção entre as aplicações de IA que possam representar um risco/perigo significativo e as que não comportam riscos ou têm um perfil de risco inferior. Tal instrumento legislativo seria significativamente desproporcional aos problemas até agora identificados pela CE, criaria barreiras significativas à adoção de IA na Europa, resultaria em custos de oportunidade em algumas aplicações devido à falta de implementação de IA, e arriscar-se-ia a baixar a fasquia para aquelas aplicações de IA que são muito suscetíveis de levantar riscos significativos.
● Aplicação da regulamentação:
○ Apoiamos a aplicação ex post, para quando os problemas surgirem, como sendo o mecanismo mais apropriado e proporcional, exceto em campos onde as avaliações ex ante já são prática estabelecida. Nestas situações, recomendamos o alinhamento de qualquer avaliação ex-ante com os procedimentos existentes.
○ Uma abordagem prática, mais eficiente que a avaliação ex-ante por terceiros, consistiria em que os reguladores fornecessem modelos detalhados e orientações sobre como realizar e documentar a avaliação de risco, delegando porém, a responsabilidade àqueles que utilizam o sistema de IA e estão mais familiarizados com este, a fim de realizar uma avaliação precisa.
Read full response