Colorado aprova nova lei de IA para proteger as interações dos consumidores

Na sexta-feira, 17 de maio de 2024, o Governador do Colorado, Jared Polis, assinou a lei SB205 (Protecções do consumidor para interações com a inteligência artificial) com uma data efectiva de 1 de fevereiro de 2026.

Ao contrário das leis sobre inteligência artificial (IA) promulgadas noutros estados (como o Utah e a Florida), a nova lei é a primeira legislação abrangente nos Estados Unidos dirigida a "sistemas de inteligência artificial de alto risco". Em particular, a lei exige que tanto os criadores como as entidades que implementam sistemas de IA de alto risco utilizem cuidados razoáveis para evitar a discriminação algorítmica e apresenta uma presunção refutável de que foram utilizados cuidados razoáveis se cumprirem determinados requisitos e divulgarem publicamente determinadas informações sobre esses sistemas de IA de alto risco.

Embora a lei pouco faça para regulamentar a utilização de sistemas de IA que não possam ser considerados de "alto risco", pode, no entanto, constituir um modelo para outras legislaturas que estejam a contemplar a regulamentação.

Âmbito de aplicação

Ao contrário da Lei da Privacidade do Colorado, a lei aplica-se a todos os criadores e implementadores (ou seja, empresas) que utilizem "sistemas de inteligência artificial de alto risco" e que façam negócios no Colorado, independentemente do número de consumidores afectados.

Sistemas de IA de alto risco

A lei define "sistemas de IA de alto risco" como aqueles que tomam ou são um fator substancial na tomada de decisões "consequentes". Define um "fator substancial" como um fator que ajuda a tomar uma decisão consequente, é capaz de alterar o resultado de uma decisão substancial ou é gerado por um sistema de IA. Alguns sistemas de IA que são explicitamente considerados "sistemas de IA de alto risco" ao abrigo da lei incluem sistemas de IA utilizados em:

Inscrição ou oportunidade de educação
Emprego ou oportunidade de emprego
Serviços financeiros ou de empréstimo
Serviços públicos essenciais
Serviços de saúde
Habitação
Seguros
Serviços jurídicos

A lei exclui os sistemas de IA que: (i) executam tarefas processuais restritas; ou (ii) detectam padrões de tomada de decisão ou desvios de padrões de tomada de decisão anteriores e não se destinam a substituir ou influenciar a avaliação ou análise humana. A lei também exclui certas tecnologias, como o software de cibersegurança e a filtragem de spam, quando não são um fator substancial na tomada de decisões consequentes.

Discriminação algorítmica

A lei exige que tanto os criadores como os responsáveis pela implementação de sistemas de IA de alto risco utilizem cuidados razoáveis para evitar a discriminação algorítmica, ou seja, qualquer condição que resulte num tratamento ou impacto diferenciado ilegal com base na idade, cor, deficiência, etnia, informação genética, barreiras linguísticas, origem nacional, raça, religião, saúde reprodutiva, sexo, estatuto de veterano ou outras classificações reais ou percebidas. No entanto, a lei exclui qualquer discriminação que possa resultar da utilização de um sistema de IA de alto risco por parte de um programador ou de uma empresa que implemente o sistema com o único objetivo de:

Auto-teste dos seus próprios sistemas para identificar e retificar incidentes ou riscos de comportamentos/resultados discriminatórios.
Alargar um conjunto de candidatos, clientes ou participantes para aumentar a diversidade ou corrigir a discriminação histórica.

A lei também exclui quaisquer actos ou omissões de um clube privado ou outro estabelecimento que não esteja aberto ao público.

Responsabilidades do programador

A lei cria uma presunção refutável de que o criador de um sistema de IA exerceu cuidados razoáveis para evitar a discriminação de algoritmos se o criador seguir determinados procedimentos no seu desenvolvimento, incluindo:

Fornecer aos responsáveis pela implantação desses sistemas de IA de alto risco informações sobre o sistema, incluindo o seu objetivo, benefícios pretendidos, utilização prevista, funcionamento, riscos potenciais e qualquer discriminação algorítmica conhecida ou previsível. O programador deve também fornecer informações sobre a forma como o sistema foi treinado e avaliado em termos de desempenho e provas de discriminação algorítmica.
Fornecer aos responsáveis pelo desenvolvimento toda a documentação necessária para efetuar uma avaliação do impacto do sistema de IA de alto risco.
Disponibilização pública de informações que resumam os tipos de sistemas de alto risco desenvolvidos ou intencionalmente modificados pelo criador.
Fornecer aos responsáveis pela implantação informações sobre a forma como o próprio criador gere qualquer risco razoável ou previsível de discriminação algorítmica durante o desenvolvimento e no caso de o sistema de IA de alto risco ser modificado posteriormente.
Divulgar ao Procurador-Geral do Estado do Colorado e aos responsáveis pela implementação quaisquer riscos conhecidos ou razoavelmente previsíveis de discriminação algorítmica no prazo de 90 dias após ter sido informado de tais riscos.

Os programadores que não seguirem esses procedimentos podem ter de enfrentar uma batalha difícil para provar que utilizaram cuidados razoáveis para evitar a discriminação algorítmica.

Responsabilidades do utilizador

As empresas que implementam estes sistemas de IA têm também a tarefa de utilizar cuidados razoáveis para proteger os consumidores de quaisquer riscos conhecidos ou previsíveis de discriminação. A lei cria uma presunção refutável de dois níveis de que o implantador de um sistema de IA exerceu um cuidado razoável para evitar a discriminação algorítmica se a organização seguir certos procedimentos, incluindo:

Para todos os utilizadores:

Rever a implementação de cada sistema de IA de alto risco, pelo menos uma vez por ano, para detetar quaisquer indícios de discriminação algorítmica.
Fornecer informações a um consumidor sobre decisões consequentes relativas a esse consumidor tomadas por sistemas de IA de alto risco e dar aos consumidores a oportunidade de corrigir quaisquer dados pessoais incorrectos que possam ser utilizados para tomar essa decisão consequente. Os implantadores devem também dar aos consumidores a oportunidade de recorrer de uma decisão consequente adversa tomada por um sistema de IA de alto risco através de revisão humana (se tecnicamente viável).
Revelar que o sistema de IA de alto risco causou ou é razoavelmente provável que tenha causado discriminação algorítmica ao Procurador-Geral do Estado do Colorado no prazo de 90 dias após a descoberta.

Apenas para as empresas que, em todas as alturas em que o sistema de IA de alto risco é implantado, cumprem todos os seguintes requisitos: (a) ter mais de cinquenta (50) empregados a tempo inteiro, (b) não utilizar os dados do próprio implantador para treinar o sistema de IA de alto risco; e (c) utilizar o sistema de IA de alto risco apenas para as utilizações previstas divulgadas pelo implantador.

Implementação de políticas e programas de gestão do risco para o sistema de IA de alto risco.
Realização de uma avaliação do impacto de cada sistema de IA de alto risco.
Disponibilizar publicamente informações que resumam os tipos de sistemas de alto risco implantados, juntamente com informações sobre a forma como o implantador gere qualquer risco conhecido ou previsível de discriminação algorítmica.
Disponibilizar publicamente informações sobre a natureza, a fonte e a extensão das informações recolhidas e utilizadas pelo responsável pelo desenvolvimento no sistema de IA de alto risco.

Requisitos adicionais

A lei exige ainda que qualquer programador ou implantador que disponibilize qualquer sistema de IA destinado a interagir com os consumidores informe os consumidores de que estão a interagir com um sistema de IA e não com uma pessoa viva.

Outras exclusões

A lei não se aplica a um programador ou a um implantador que participe em actividades específicas, incluindo o cumprimento de outras leis federais, estatais ou municipais, a cooperação e a realização de investigações específicas, a tomada de medidas para proteger a vida ou a segurança física de um consumidor e a realização de determinadas actividades de investigação.

Aplicação da lei

A lei não permite um direito de ação privado e, em vez disso, deixa a aplicação exclusiva ao Procurador-Geral do Estado do Colorado. O Procurador-Geral também tem poder discricionário, ao abrigo do estatuto, para implementar novas regulamentações, incluindo documentação adicional e regras de requisitos para os promotores, requisitos para avisos e divulgações, requisitos para políticas de gestão de riscos e avaliações de impacto, ajustes de âmbito e orientação relacionados com quaisquer presunções refutáveis e os requisitos para as defesas de execução.

No entanto, a lei também oferece aos criadores e implementadores uma defesa afirmativa se estiverem em conformidade com outras estruturas de gestão de riscos de IA reconhecidas a nível nacional ou internacional, especificadas no projeto de lei ou pelo Procurador-Geral. Atualmente, isto inclui a Estrutura de Gestão de Riscos de IA do NIST e a ISO/IEC 42001.

Impactos para as empresas

Em última análise, a nova lei fornece aos programadores e às empresas que implementam sistemas de IA de alto risco um enquadramento para a forma como podem avaliar e utilizar cuidados razoáveis para evitar a discriminação algorítmica. Embora a nova lei não entre em vigor até 1 de fevereiro de 2026, os criadores e os responsáveis pela implementação de sistemas de IA de alto risco poderão ter de dedicar recursos significativos para cumprir a sua documentação e outras obrigações antes da entrada em vigor da nova lei.

Os promotores devem iniciar as seguintes acções para se prepararem para a nova lei:

Começar a compilar, ou melhor ainda, criar no momento em que o sistema de IA de alto risco é conceptualizado ou criado, toda a documentação necessária que tem de ser divulgada aos consumidores ou disponibilizada aos responsáveis pela implementação para que estes possam efetuar uma avaliação de impacto. Importante para essa documentação deve ser uma descrição de como o desenvolvedor treina o sistema de IA de alto risco e como ele testa e corrige a discriminação algorítmica potencial.
Esteja preparado para responder e fornecer documentação adicional aos implantadores de tais sistemas de IA de alto risco que possam exigir documentação mais detalhada ou questionar o conteúdo da documentação.
Comece a redigir as declarações públicas relativas aos tipos de sistemas de alto risco que o programador desenvolveu (ou modificou intencional e substancialmente) e esteja preparado para descrever e potencialmente defender a forma como o programador gere o risco conhecido ou previsível de discriminação algorítmica.
Começar a implementar políticas (com a devida análise jurídica e de outras partes interessadas) para notificar o Procurador-Geral da discriminação algorítmica causada ou razoavelmente suscetível de ser causada pelo sistema de inteligência artificial de alto risco.

Os utilizadores, por outro lado, devem iniciar as seguintes acções para se prepararem para a nova lei:

Começar a desenvolver uma política e um programa de gestão de riscos baseados num quadro normalizado de gestão de riscos de IA, como o Quadro de Gestão de Riscos de IA do NIST e/ou a norma ISO/IEC 42001.
Comecem a desenvolver uma avaliação de impacto para os sistemas de IA de alto risco que implementam e estejam preparados para solicitar mais informações aos programadores, se necessário.
Implementar processos para analisar cada sistema de IA de alto risco para discriminação algorítmica pelo menos uma vez por ano (mais frequentemente se houver uma mudança significativa no sistema ou na utilização de tal sistema).
Considerar a possibilidade de redigir avisos em formato de formulário para os consumidores, contendo todos os elementos necessários, se um sistema de IA de alto risco tomar uma decisão consequente em relação ao consumidor, e dar aos consumidores a oportunidade de recorrer dessa decisão para revisão humana.
Começar a desenvolver procedimentos para os consumidores corrigirem quaisquer dados pessoais incorrectos utilizados por sistemas de IA de alto risco. As empresas que estão sujeitas à Lei de Privacidade do Colorado já estarão familiarizadas com o fornecimento aos consumidores do direito de corrigir dados pessoais incorrectos e com a forma de verificar se os dados pessoais estavam originalmente incorrectos.
Começar a redigir as declarações públicas relativas aos tipos de sistemas de alto risco atualmente implementados e informações sobre a forma como os riscos conhecidos ou previsíveis de discriminação algorítmica estão a ser geridos. As empresas que estão sujeitas à Lei de Privacidade do Colorado já estarão familiarizadas com o requisito de que estas declarações públicas também incluam a natureza, a fonte e a extensão das informações recolhidas e utilizadas pelo responsável pela implementação.
Começar a implementar políticas (com a devida análise jurídica e de outras partes interessadas) para notificar o Procurador-Geral de discriminação algorítmica causada ou razoavelmente provável causada por um sistema de IA de alto risco.

Tanto os programadores como os responsáveis pela implementação devem também continuar a monitorizar quaisquer orientações adicionais do Procurador-Geral do Estado do Colorado. Com base no padrão de regulamentos emitidos pelo Procurador-Geral em conformidade com a Lei da Privacidade do Colorado, os regulamentos adicionais emitidos podem ser extensos e exigir mais pormenores do que os exigidos pela lei.

Ler mais

Para um mergulho mais profundo no que esta nova lei significa para os empregadores e a utilização de sistemas de IA no contexto dos recursos humanos, a equipa de Trabalho e Emprego da Foley criou uma cartilha sobre o impacto esperado. Clique aqui para ler o artigo complementar.

Se tiver quaisquer outras questões relacionadas com os requisitos desta lei, contacte qualquer um dos autores ou outros Sócios ou Consultores Sénior da área de especialização em Inteligência Artificial da Foley & Lardner.

Declaração de exoneração de responsabilidade

Este blogue é disponibilizado por Foley & Lardner LLP ("Foley" ou "a Firma") apenas para fins informativos. Não se destina a transmitir a posição jurídica da Sociedade em nome de qualquer cliente, nem a prestar aconselhamento jurídico específico. As opiniões expressas neste artigo não reflectem necessariamente a posição da Foley & Lardner LLP, dos seus sócios ou dos seus clientes. Por conseguinte, não actue de acordo com esta informação sem procurar aconselhamento junto de um advogado licenciado. Este blogue não se destina a criar, e a sua receção não constitui, uma relação advogado-cliente. A comunicação com a Foley através deste sítio Web, por correio eletrónico, publicação no blogue ou outro, não cria uma relação advogado-cliente para qualquer assunto jurídico. Por conseguinte, qualquer comunicação ou material que transmita a Foley através deste blogue, seja por correio eletrónico, publicação no blogue ou qualquer outra forma, não será tratado como confidencial ou proprietário. A informação neste blogue é publicada "COMO ESTÁ" e não se garante que seja completa, exacta ou actualizada. A Foley não faz representações ou garantias de qualquer tipo, expressas ou implícitas, quanto ao funcionamento ou conteúdo do sítio. A Foley renuncia expressamente a todas as outras garantias, garantias, condições e representações de qualquer tipo, expressas ou implícitas, quer surjam ao abrigo de qualquer estatuto, lei, utilização comercial ou de outra forma, incluindo garantias implícitas de comercialização, adequação a um determinado fim, título e não infração. Em nenhuma circunstância a Foley ou qualquer um dos seus parceiros, oficiais, funcionários, agentes ou afiliados serão responsáveis, direta ou indiretamente, sob qualquer teoria da lei (contrato, delito, negligência ou outra), perante si ou qualquer outra pessoa, por quaisquer reclamações, perdas ou danos, diretos, indirectos, especiais, incidentais, punitivos ou consequenciais, resultantes ou ocasionados pela criação, utilização ou confiança neste site (incluindo informações e outros conteúdos) ou quaisquer sites de terceiros ou as informações, recursos ou materiais acedidos através de tais sites. Em algumas jurisdições, o conteúdo deste blogue pode ser considerado publicidade de advogados. Se aplicável, tenha em atenção que resultados anteriores não garantem um resultado semelhante. As fotografias destinam-se apenas a fins de dramatização e podem incluir modelos. As imagens não implicam necessariamente o estatuto atual de cliente, parceiro ou empregado.