O labirinto regulatório e de supervisão na agenda digital europeia: propostas de racionalização
A publicação do Regulamento Europeu da Inteligência Artificial estabelece um quadro regulatório complexo para supervisionar a utilização da IA, com autoridades de fiscalização e supervisão que se sobrepõem e concorrem com outras existentes na economia digital ou de dados. Procurando uma governação eficiente e coerente com outras normas, como o RGPD, o Comité Europeu para a Proteção de Dados (CEPD) propõe que as autoridades de proteção de dados assumam funções de supervisão para evitar a dispersão administrativa.
A recente publicação do Regulamento Europeu da Inteligência Artificial constitui um dos principais marcos regulatórios no domínio da economia digital, que também podemos designar economia da informação ou economia de dados. Do ponto de vista estrutural, trata-se de um regulamento extremamente complexo, que visa regular algo tão inédito e evolutivo como a utilização dos sistemas de inteligência artificial. Entre os conteúdos regulados, este regulamento inclui uma estrutura de governação e supervisão onde se inclui a criação de várias autoridades competentes, tanto a nível nacional em cada Estado-Membro como ao nível da União.
A abordagem faz todo o sentido, já que uma regulação que vai tão longe no desenvolvimento das obrigações das entidades afetadas deve ser acompanhada de uma verificação adequada da sua aplicação. No entanto, se olharmos em perspetiva, podemos ver como as autoridades previstas no Regulamento IA se juntam a outro conjunto de autoridades de supervisão, governação, controlo e registo que são criadas em várias das normas europeias que foram sendo emitidas no domínio da agenda digital europeia nos últimos anos. Para citar apenas algumas, foram criadas autoridades de supervisão e/ou de controlo e/ou de registo, por vezes com poderes sancionatórios, no Regulamento Geral de Proteção de Dados de 2016, no Regulamento de Dados, no Regulamento Governação de Dados, na Diretiva NIS 2 ou no Regulamento DORA.
Esta realidade, que, a partir do mundo empresarial, pode ser percebida como um aumento desproporcionado dos encargos administrativos e burocráticos, poderia ser mitigada se fossem aplicados critérios de eficiência e de especialidade, de modo a que as diversas funções de supervisão de diferentes normas fossem assumidas pela mesma autoridade com funções semelhantes ou conexas.
Neste sentido, o Comité Europeu para a Proteção de Dados (CEPD) publicou umadeclaração em que, a propósito do Regulamento da Inteligência Artificial, defende que as autoridades de controlo da proteção de dados criadas pelo RGPD devem assumir as funções de autoridade de fiscalização do mercado do Regulamento IA. Esta posição tem por base o reconhecimento de que este regulamento e as normas europeias em matéria de privacidade, como o RGPD ou a Directiva relativa à privacidade e às comunicações electrónicas, devem ser considerados e interpretados de forma coerente como instrumentos complementares e que se reforçam mutuamente.
Esta recomendação do CEPD está relacionada, por um lado, com a afirmação de que o tratamento de dados (pessoais e não pessoais) no ciclo de vida de um sistema de IA, especialmente os dados de alto risco, é claramente um elemento central das diferentes tecnologias abrangidas pela definição de IA no Regulamento IA. E, por outro lado, tal como já salientado pelo CEPD no seu relatório conjunto com a Autoridade Europeia para a Proteção de Dados (AEPD), está relacionada com a experiência já adquirida pelas autoridades de controlo em matéria de IA, os benefícios da criação de um ponto de contacto único para os operadores do mercado e com o seu grau de independência, evitando, além disso, potenciais divergências entre as decisões das duas autoridades de controlo.
Uma vez que existem Estados-Membros que iniciaram processos legislativos para a criação dessas entidades de fiscalização previstas no RIA em paralelo com as autoridades de controlo da proteção de dados (como é o caso de Espanha), o CEPD salienta a importância da colaboração e cooperação entre as entidades nos futuros processos, com base no n.º 3 do artigo 4.º do Tratado da União Europeia.
Em última análise, o CEPD recomenda que as autoridades de controlo da proteção de dados sejam designadas, nos países onde ainda não existem, como autoridades de fiscalização do mercado para os sistemas de IA de alto risco mencionados no Regulamento IA.
A governação da economia digital deve tender, na opinião do CEPD, para uma agregação de funções, de modo a evitar uma dispersão excessiva dos órgãos supervisores, fiscalizadores e sancionadores, o que acabaria por constituir um obstáculo ao aparecimento e desenvolvimento de operadores no mercado.