No momento atual, é evidente que o legislador europeu considera a gestão de riscos a forma ótima de enquadrar o desenvolvimento de qualquer atividade empresarial suscetível de gerar perigos relevantes.

Os exemplos de maior relevo da importância que o legislador europeu atribui à gestão de risco são, até agora, a legislação sobre proteção da segurança e saúde dos trabalhadores e a que salvaguarda a proteção dos dados pessoais. Em ambos os casos, desde o início que as normas europeias indicam que a consecução destes objetivos depende essencialmente de impor ao empresário a utilização das técnicas e instrumentos próprios da gestão de risco.

Esta mesma opção regulatória é a que se vem desenhando claramente na nova lei que a EU prepara para regular o fenómeno disruptivo que é a inteligência artificial. Hoje, parece evidente que a IA se converterá em breve, se não o for já, num elemento catalisador de boa parte das interações humanas e instrumento definidor das formas de organização e desenvolvimento da atividade económica e social das nossas comunidades. O grande número de vantagens e oportunidades decorrentes do uso da IA só se pode comparar com a quantidade de riscos e perigos que esta encerra. Não me refiro apenas aos perigos já conhecidos para a privacidade, imagem ou dados pessoais que sustentam os algoritmos que regem o funcionamento das redes sociais, nem exclusivamente ao potencial discriminatório que pode revestir a análise maciça de dados por parte das IA. Falo de perigos para qualquer dos bens ou direitos humanos mais valorizados, como a vida (veículos autónomos, transportes metropolitanos geridos por IA) ou a integridade física (cirurgiões-robô capazes de executar intervenções cirúrgicas de alta precisão). Pois bem, qual é o método escolhido pela UE para que as empresas enfrentem este tipo de risco e estes perigos tão significativos? Uma vez mais, a gestão de riscos.

A futura “Lei da IA”, nome que o próprio legislador europeu entendeu dar à proposta de regulamento de 21 de abril de 2021, onde se estabelecem normas harmonizadas em questões de inteligência artificial, constitui a peça fundamental na nova estrutura normativa. Nesta, o legislador estabeleceu os deveres fundamentais das empresas que criam e/ou utilizam a IA nos seus processos internos e relações externas. A maior parte do texto procura realizar este propósito no tocante ao que os legisladores designaram “IA de alto risco” devido ao perigo que constitui para a segurança e direitos fundamentais. O que agora nos interessa é que o artigo 9 da proposta introduz, como obrigação incontornável dos fornecedores de IA de alto risco, a implementação de um sistema de gestão de riscos. Antes de se começar a empregar um novo algoritmo deste tipo terá que se proceder à identificação e descrição dos seus potenciais perigos, à análise e avaliação da sua probabilidade e impacto e ainda à adoção de medidas de prevenção e controlo pertinentes em função da dita análise. Tudo isto dentro de um processo iterativo que deverá converter-se em elemento quotidiano da vida da empresa.

A legislação anterior ficou assim complementada com a publicação de uma proposta de Diretiva, de 28 de setembro de 2022, relativa à adaptação das normas de responsabilidade civil extracontratual à IA (Diretiva Responsabilidade da IA). Este segundo texto pretende modificar o modo de entendimento de alguns pressupostos básicos dos regimes de responsabilidade civil na Europa quando se aplicam a um sinistro pelo qual se pretende responsabilizar uma IA. Assim, a futura Diretiva inclui normas, por exemplo, para facilitar a prova da relação de causalidade, ou para permitir o acesso das vítimas de danos causados por IA à documentação interna da empresa que a criou ou a utiliza. Relativamente ao tema que nos ocupa, acho muito significativo que neste texto se mencione constantemente a gestão de risco ao lado do elemento central dos regimes de responsabilidade civil: a culpa ou negligência. A gestão de riscos é considerada, no quadro desta proposta de Diretiva, como parte essencial do dever de diligência das empresas. A empresa diligente, que cumpre o seu “dever de cuidado”, aos olhos do legislador europeu, é aquela que utiliza um sistema de gestão de riscos como elemento fundamental na sua tomada de decisões. A que não o fizer incorrerá em culpa; a sua conduta será negligente, descuidada e reprovável. Parece-me uma consequência bem relevante desta nova legislação. Com estas normas, não me parece possível voltar à gestão de riscos como mera opção das empresas, passível de ser descartada pelo “intrépido” empresário que decide ele mesmo assumir todos os riscos.