00261.002232/2023-26
Autoridade Nacional de Proteção de Dados
Coordenação-Geral de Tecnologia e Pesquisa
Nota Técnica nº 16/2023/CGTP/ANPD
Assunto: Sugestões de incidência legislativa em projetos de lei sobre a regulação da Inteligência Artificial no
Brasil, com foco no PL nº 2338/2023
Referência: Projeto de Lei nº 2338/2023

  1. INTRODUÇÃO
    A regulação da Inteligência Artificial tem sido um tema de crescente relevância no cenário brasileiro,
    refletindo a importância global do assunto e a necessidade de estabelecer diretrizes claras para seu
    desenvolvimento e aplicação em nosso país. O debate sobre essa regulação ganhou contornos mais
    definidos com a proposição do PL nº 21/2020.
    Desde então, a discussão tem evoluído de maneira significativa, culminando na formação da Comissão de
    Juristas no Senado Federal em 2022 (CJUSBIA). Esta Comissão foi instituída com o objetivo de aprofundar o
    estudo e a análise sobre a temática, buscando subsídios para a elaboração de um marco regulatório robusto
    e adequado à realidade brasileira.
    O relatório final da Comissão deu origem ao Projeto de Lei nº 2338/2023, apresentado pelo Senador Rodrigo
    Pacheco, que surgiu como um marco significativo na trajetória de regulação da IA no Brasil, com o objetivo
    de proteger direitos fundamentais e garantir a implementação de sistemas seguros e confiáveis, em benefício
    da pessoa humana, do regime democrático e do desenvolvimento científico e tecnológico. A proposta reflete
    o amadurecimento, os avanços e os aprendizados acumulados desde a apresentação do PL nº 21/2020 e
    busca estabelecer um equilíbrio entre a promoção da inovação e a garantia dos direitos fundamentais dos
    cidadãos. A análise e discussão desse projeto são cruciais para definir os rumos da IA no País, e a ANPD se
    coloca como uma instituição-chave nesse processo.
    Nesse contexto, é fundamental destacar o papel ativo da Autoridade Nacional de Proteção de Dados (ANPD)
    no debate sobre a regulação da IA. Há que se reforçar o compromisso da Autoridade em garantir que a
    regulação da IA esteja alinhada com os princípios e diretrizes estabelecidos pela Lei Geral de Proteção de
    Dados Pessoais (LGPD). A expertise e a visão da ANPD são essenciais para assegurar que os direitos dos
    cidadãos sejam respeitados no contexto da aplicação da IA, especialmente no que tange à proteção de
    dados pessoais.
    Durante a 25ª Reunião Técnica do Conselho Diretor da ANPD, realizada em 03 de agosto de 2023, foi
    orientado o encaminhamento do assunto à Coordenação-Geral de Tecnologia e Pesquisa (CGTP) para a
    elaboração da presente Nota Técnica. Portanto, este documento tem como objetivo principal abordar e
    propor alterações ao Projeto de Lei nº 2338/2023, com base nas premissas estabelecidas no estudo técnico
    previamente conduzido e publicado em 6 de julho de 2023. Conforme encaminhamento (doc. SUPER n.
    4491763), na 25ª Reunião Técnica do Conselho Diretor, realizada em 03 de agosto de 2023, reiterada na 29ª
    Reunião Técnica do Conselho Diretor (doc. SUPER n. 4549151), realizada em 30 de agosto de 2023, “o
    Conselho Diretor encaminhou pela validação dos contornos gerais do modelo de governança e do
    fortalecimento institucional para a proposta de alteração do Projeto de Lei 2338/2023” e apresentação de
    versão preliminar da proposta legislativa até o dia 20 de setembro de 2023.
    Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 1
  2. INTERSECÇÃO ENTRE O PL Nº 2338/2023 E A LGPD
    Conforme explicitado na Análise Preliminar do Projeto de Lei nº 2338/2023, a relação entre o Projeto de Lei
    nº 2338/2023 e a Lei Geral de Proteção de Dados Pessoais é intrínseca e fundamental para entender o
    panorama regulatório da Inteligência Artificial no Brasil. Ambas as legislações, embora tenham focos
    distintos, convergem em diversos pontos, especialmente quando se trata da tutela de direitos dos cidadãos e
    da governança de tecnologias emergentes.
    O PL nº 2338/2023 estabelece alguns parâmetros para a chamada “autoridade competente”, responsável
    central pela governança da inteligência artificial no Brasil (art. 33). Por exemplo, no capítulo VIII, Seção I, art.
    32, menciona-se que o Poder Executivo designará uma autoridade competente para zelar pela
    implementação e fiscalização da lei, com as seguintes atribuições:
    Zelar pela proteção a direitos fundamentais e a demais direitos afetados pela utilização de sistemas de
    inteligência artificial;
    Promover a elaboração, atualização e implementação da Estratégia Brasileira de Inteligência Artificial junto
    aos órgãos de competência correlata;
    Promover e elaborar estudos sobre boas práticas no desenvolvimento e utilização de sistemas de inteligência
    artificial;
    Estimular a adoção de boas práticas, inclusive códigos de conduta, no desenvolvimento e utilização de
    sistemas de inteligência artificial; e
    Promover ações de cooperação com autoridades de proteção e de fomento ao desenvolvimento e à
    utilização dos sistemas de inteligência artificial.
    2.1. Tutela de direitos
    A LGPD foi instituída com o objetivo primordial de proteger os direitos fundamentais de liberdade e de
    privacidade dos cidadãos brasileiros. Ela estabelece diretrizes claras sobre o tratamento de dados pessoais,
    garantindo aos titulares uma série de direitos, como o acesso, correção e exclusão de seus dados. O PL nº
    2338/2023, por sua vez, ao tratar da regulação da IA, inevitavelmente aborda questões relacionadas ao
    tratamento de dados, uma vez que muitos sistemas de IA dependem de vastos conjuntos de dados pessoais
    para seu funcionamento. Assim, qualquer discussão sobre IA deve considerar os direitos dos titulares de
    dados estabelecidos pela LGPD.
    2.2. Classificação de sistemas de IA de alto risco
    A identificação e classificação de sistemas de IA de alto risco é um ponto crucial no PL nº 2338/2023. Estes
    sistemas, devido à sua capacidade de impactar significativamente a vida dos cidadãos, exigem uma atenção
    especial em termos de regulação. A LGPD, ao estabelecer padrões rigorosos para o tratamento de dados
    sensíveis, fornece um arcabouço que pode ser utilizado como referência para identificar e classificar tais
    sistemas, especialmente aqueles que tratam dados pessoais sensíveis. Além disso, também está prevista
    para a autoridade competente do PL nº 2338/2023 a competência para atualizar a lista dos sistemas de
    inteligência artificial de risco excessivo ou de alto risco (art. 18), que, tal como a LGPD, observa a premissa
    de uma abordagem regulatória baseada em riscos.
    2.3. Mecanismos de governança
    A LGPD introduziu no Brasil o conceito de governança de dados, estabelecendo a necessidade de as
    organizações implementarem políticas, práticas e procedimentos robustos para garantir a proteção de dados
    pessoais. O PL nº 2338/2023, ao abordar a regulação da IA, também destaca a importância de mecanismos
    de governança robustos para sistemas de IA, especialmente aqueles classificados como de alto risco. A
    experiência e as diretrizes já estabelecidos pela LGPD podem servir como base para a elaboração de
    mecanismos de governança específicos para a IA.
    2.4. Comunicados de incidentes
    A autoridade competente do PL nº 2338/2023 receberá os Comunicados de Incidentes considerados graves,
    Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 2
    em tempo razoável, conforme definição regulamentar (art. 31). Caberá à autoridade a verificação da
    gravidade do incidente, em procedimento bastante similar àqueles previstos na LGPD quanto aos incidentes
    que envolvem dados pessoais. Ainda que um incidente de inteligência artificial extrapole o conceito de
    incidente de segurança previsto pela LGPD, envolvendo também questões como a discriminação algorítmica
    abusiva ou ilegal, o comprometimento de infraestruturas críticas, os danos a pessoas físicas e à propriedade,
    entre outros parâmetros, entende-se que a expansão dos procedimentos de elaboração e análise dos
    Comunicados de Incidentes possa abarcar essas categorias, metodologias de avaliação e direitos
    fundamentais salvaguardados por ambas as legislações.
    2.5. Coordenação com outros órgãos e autoridades
    Também foi prevista no PL nº 2338/2023 a “coordenação das atividades da autoridade competente com
    órgãos e entidades públicas responsáveis pela regulação de setores específicos da atividade econômica e
    governamental” (art. 34). Ou seja, assim como prevê o art. 55-J da LGPD
    [i]
    .
    Além desse paralelo em termos de coordenação, o mesmo artigo 34 do PL nº 2338/2023 prevê a
    manutenção de um fórum permanente de comunicação com órgãos e entidades da administração pública
    (§1º), coordenado pela autoridade competente, bem como sua ciência quando da existência de ambientes
    regulatórios experimentais (sandbox regulatório) que envolvam sistemas de inteligência artificial (§2º). O
    projeto prevê a competência da autoridade para autorizar o funcionamento de sandboxes regulatórios para
    inovação em inteligência artificial (art. 38), o que condiz com os esforços já empreendidos pela ANPD nesse
    setor, em parceria com o Banco de Desenvolvimento da América Latina e do Caribe – CAF. O programapiloto de sandbox regulatório da ANPD irá explorar as intersecções entre a inteligência artificial e a proteção
    de dados e seu desenho se encontra, atualmente, em fase de consulta à sociedade
    [ii]
    .
    2.6. Processo de regulamentação
    De maneira semelhante ao que determina a LGPD (art. 55-J, §2º) o PL nº 2338/2023 prevê que os
    regulamentos e as normas editados pela autoridade competente serão precedidos de consulta e audiência
    públicas (art. 35). Sobre esse ponto, cumpre ressaltar que a ANPD foi premiada com o Selo Ouro de Boas
    Práticas Regulatórias (concedido pela Secretaria de Competitividade e Política Regulatória, vinculada ao
    Ministério de Desenvolvimento, Indústria, Comércio e Serviços). Os critérios de avaliação incluíram
    previsibilidade, qualidade regulatória, participação social e convergência regulatória, conforme estipulado
    pela Portaria nº 69, de 3 de abril de 2023. O objetivo dessa avaliação é destacar e promover práticas
    normativas de alta qualidade. É a segunda vez que a ANPD é avaliada com o selo ouro por sua excelência
    regulatória, o que corrobora sua capacidade para lidar com temas de fronteira na seara tecnológica, como o
    tratamento de dados pessoais por meio de decisões automatizadas.
    2.7. Síntese: compatibilidade e convergência funcionais
    Em conclusão, a autoridade competente tem as funções de supervisão e fiscalização da implementação da
    lei relacionada à inteligência artificial. Essa autoridade terá várias responsabilidades, incluindo a proteção dos
    direitos fundamentais afetados pela IA, a promoção e elaboração de estudos sobre boas práticas em IA, e a
    cooperação com outras autoridades relevantes. Em termos organizacionais e de competências funcionais, há
    várias semelhanças com o atual conjunto de atribuições da ANPD, como no recebimento de comunicados de
    incidentes e avaliação da suficiência de medidas técnicas e administrativas aptas a mitigar riscos relevantes
    a liberdades civis e direitos fundamentais, na condução de consultas públicas que precedam a elaboração de
    regulamentos e normas, na coordenação e diálogo com órgãos e entidades públicas responsáveis pela
    regulação de setores específicos da atividade econômica e governamental, e, finalmente, na promoção e
    elaboração de estudos sobre boas práticas.
  3. PRINCIPAIS ÁREAS DE INCIDÊNCIA LEGISLATIVA
    · 3.1. Tutela de direitos
    A tutela de direitos é uma área de destaque tanto na LGPD quanto no PL nº 2338/2023. Ambas, lei
    vigente e proposta legislativa, reconhecem a importância de proteger os direitos dos cidadãos em um
    cenário tecnológico em constante evolução. No contexto da IA, a capacidade de sistemas tomarem
    decisões que afetam diretamente os indivíduos torna essencial a garantia de direitos como
    Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 3
    contestação e revisão. A LGPD já estabelece um precedente ao permitir que os titulares solicitem a
    revisão de decisões automatizadas que os afetem. O PL nº 2338/2023 deve, portanto, alinhar-se a
    essa premissa, garantindo que qualquer pessoa afetada por um sistema de IA tenha o direito de
    contestar e solicitar a revisão de decisões. Esse alinhamento não só fortalece a proteção dos direitos
    dos cidadãos, mas também proporciona uma consistência regulatória, facilitando a compreensão e
    implementação por parte das entidades que utilizam IA.
    · 3.2. Mecanismos de governança
    A governança eficaz é crucial para garantir que a IA seja desenvolvida e utilizada de forma
    responsável. O PL 2338/2023 introduz a ideia de uma avaliação de impacto algorítmico, que visa
    entender e mitigar os riscos associados ao uso de sistemas de IA. Por outro lado, a LGPD já
    estabelece a necessidade de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) para
    processos que envolvam riscos às liberdades civis e aos direitos fundamentais. Ambos os
    mecanismos compõem um ferramental de governança que tem o objetivo de antecipar e abordar
    potenciais problemas antes que eles ocorram. Para uma governança eficaz, é essencial que haja
    clareza sobre como esses dois mecanismos se relacionam e se complementam. Pode-se considerar
    a relação dessas avaliações, garantindo que, ao avaliar sistemas de IA, tanto os impactos
    algorítmicos quanto os de proteção de dados sejam considerados de forma integrada. Ademais, o art.
    30 do PL nº 2338/2023 traz um conjunto de medidas de boas práticas de governança que estão
    diretamente alinhadas com as medidas estabelecidas no art. 50 da LGPD, como, por exemplo a
    implementação de programas de governança.
    · 3.3. Autoridade competente
    A regulação eficaz da IA no Brasil requer uma autoridade competente que não apenas entenda os
    desafios técnicos da IA, mas também os imperativos éticos e de proteção de dados. A ANPD, com
    sua experiência e foco na proteção de dados pessoais, está idealmente posicionada para assumir
    esse papel. Considere-se, por exemplo, que esta Autoridade já é responsável (i) por determinar,
    avaliar e regulamentar relatórios de impacto à proteção de dados pessoais, que, por definição,
    envolvem riscos a liberdades civis e direitos fundamentais (arts. 10, § 3º, 32, 38, 55-J, XIII, LGPD); e
    (ii) auditar aspectos discriminatórios – isto é, envolvendo o direito à não discriminação – em
    tratamento automatizado de dados pessoais (art. 20, § 2º, LGPD). A expertise da ANPD, reconhecida
    por meio de prêmios como o Selo Ouro de Boas Práticas Regulatórias, demonstra sua capacidade de
    lidar com temas complexos e de fronteira na área tecnológica. Além disso, a ANPD já possui
    competência para expedir regulamentos e orientações, fiscalizar e proteger titulares de dados
    pessoais em relação a decisões tomadas com base em sistemas de IA, nos termos da LGPD. Da
    mesma forma, a ANPD possui mecanismos estabelecidos para consulta pública, coordenação com
    outros órgãos e avaliação de incidentes de segurança, que são essenciais para a regulamentação da
    IA. Reconhecer a ANPD como a autoridade competente para a regulação da IA no Brasil não só
    aproveitaria sua experiência existente, mas também garantiria uma abordagem unificada e integrada
    à governança da IA e à proteção de dados no País.
  4. EXPERIÊNCIAS COMPARADAS
    4.1. Proposta AI Act (União Europeia)
    A proposta exige que os Estados-Membros designem uma ou mais autoridades competentes, incluindo uma
    autoridade supervisora nacional, que seriam encarregadas de supervisionar a aplicação e implementação do
    AI Act, e estabelece um Conselho Europeu de Inteligência Artificial (composto por representantes dos
    Estados-Membros e da Comissão) no âmbito da UE. As autoridades nacionais de supervisão do mercado
    seriam responsáveis por avaliar a conformidade dos operadores com as obrigações e requisitos para
    sistemas de IA de alto risco. Elas teriam acesso a informações confidenciais (incluindo o código-fonte dos
    sistemas de IA) e estariam sujeitas a obrigações de confidencialidade vinculativas. Além disso, seriam
    obrigadas a tomar quaisquer medidas corretivas para proibir, restringir, retirar ou recolher sistemas de IA que
    não estejam em conformidade com o AI Act, ou que, embora em conformidade, apresentem um risco para a
    saúde ou segurança das pessoas ou para os direitos fundamentais ou outra proteção do interesse público.
    Em caso de não conformidade persistente, os Estados-Membros terão de tomar todas as medidas
    adequadas para restringir, proibir, recolher ou retirar o sistema de IA de alto risco em questão do mercado
    [iii]
    .
    Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 4
    4.2. Posicionamentos da Autoridade de Proteção de Dados da França – CNIL
    A Comissão Nacional de Informática e Liberdades (CNIL) da França tem se posicionado de forma proativa e
    determinada no cenário da regulação da IA. Esta postura é evidente em sua abordagem estratégica e nas
    ações que tem empreendido nos últimos anos
    [iv]
    . A CNIL reconhece os desafios emergentes associados à
    IA, especialmente em relação à proteção de dados pessoais e às liberdades individuais. A rápida evolução
    da IA, exemplificada por sistemas generativos como o ChatGPT e outros similares, trouxe à tona questões
    complexas sobre transparência, justiça, proteção de dados e direitos individuais. Em resposta, a CNIL tem
    trabalhado para abordar esses desafios, como por sua publicação em 2017 sobre os desafios éticos dos
    algoritmos e da IA
    [v]
    .
    A CNIL identificou os desafios e elaborou um plano de ação para a IA, estruturado em torno de quatro pilares
    principais: entender o funcionamento dos sistemas de IA e seu impacto nas pessoas; habilitar e orientar o
    desenvolvimento de IA que respeite a privacidade; apoiar players inovadores no ecossistema de IA na
    França e Europa; e auditar e controlar sistemas de IA para proteger as pessoas. Além disso, a CNIL tem se
    esforçado para fornecer clareza e orientação para os stakeholders, publicando materiais informativos,
    posicionamentos institucionais e guias sobre a aplicação da GDPR à IA. Esses esforços são
    complementados por iniciativas como a do sandbox, que visa a apoiar projetos inovadores no campo da
    IA
    [vi]
    . A proteção de dados pessoais, em particular, é vista como um desafio fundamental no
    desenvolvimento da IA, e a CNIL está determinada a garantir que os sistemas de IA sejam desenvolvidos e
    implementados de uma maneira que respeite os direitos e liberdades dos cidadãos.
    4.3. Atuação da Autoridade de Proteção de Dados da Holanda (Autoriteit Persoonsgegevens)
    Em janeiro de 2023, a Autoridade Holandesa de Proteção de Dados anunciou que estava criando uma nova
    Diretoria de Monitoramento de Algoritmos encarregada de monitorar o uso de algoritmos e coordenar o
    trabalho das diversas agências que fiscalizam o uso de algoritmos e sistemas de inteligência artificial no
    contexto de seus setores regulados
    [vii]
    . Desde então, a autoridade tem reforçado a supervisão do uso de
    algoritmos que tratam dados pessoais. A Autoridade monitora o uso de algoritmos de IA em busca de maior
    transparência e combate a decisões arbitrárias. Algumas das funções dessa Diretoria incluem a identificação
    e análise de riscos intersetoriais, a promoção de uma interpretação conjunta das normas relativas ao
    tratamento de dados pessoais por sistemas de IA e o estabelecimento de um registro público para algoritmos
    de IA nos Países Baixos. A Autoridade pode impor multas e outras sanções em conformidade com o
    Regulamento Geral de Proteção de Dados.
    4.4. Criação de agência especializada – AESIA (Espanha)
    Em 22 de agosto, o Conselho de Ministros aprovou um Decreto Real estabelecendo a AESIA. A agência será
    formada em conjunto pelo Ministério das Finanças e Serviço Civil da Espanha e pelo Ministério dos Assuntos
    Econômicos e Transformação Digital. A agência, denominada AESIA – Agencia Española de Supervisión de
    la Inteligencia Artificial, será responsável por supervisionar e controlar tecnologias de IA. Em Julho de 2022,
    havia sido apresentado um sandbox regulatório no país para empresas espanholas testarem a
    regulamentação em discussão no âmbito da União Europeia. No momento, o sandbox está em andamento e
    espera-se que os resultados sejam publicados ainda no segundo semestre de 2023. A Espanha planeja
    ainda criar um “selo nacional de IA” para certificar sistemas que atendam aos requisitos europeus. A
    Espanha também tem planos de criar um observatório público de impacto social algorítmico e um “laboratório
    de observação de riscos”. A AESIA faz parte de um plano chamado Estratégia Nacional de Inteligência
    Artificial.
    4.5. Proposta AIDA (Canada)
    No âmbito do Artificial Intelligence and Data Act – AIDA
    [viii]
    , a autoridade ministerial responsável poderá (ou
    Ministério da Indústria), por ofício, iniciar ou exigir: i) informações e registros sobre um sistema de IA; ii) uma
    auditoria, realizada pelo responsável pelo sistema de IA ou por um auditor independente; iii) a adoção de
    medidas para abordar qualquer questão referida num relatório de auditoria; iv) a cessação da operação de
    um sistema de IA caso o ministro tenha “motivos razoáveis” para acreditar que há um “risco grave de dano
    iminente”; v) a publicação de informações sobre infrações com vistas a incentivar o cumprimento das normas
    Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 5
    aplicáveis, ressalvadas as “informações comerciais confidenciais”; e vi) o compartilhamento de informações
    com outros reguladores e executores, como o Privacy Commissioner ou a Canadian Human Rights
    Commission, conforme apropriado
    [ix]
    . A autoridade ministerial também pode designar um Comissário de IA e
    Dados, cuja função seria auxiliar e apoiar o ministro no cumprimento dos requisitos.
    4.6. Análise comparativa
    A crescente importância da inteligência artificial em diversos setores da sociedade exige uma governança
    robusta e eficaz. As experiências internacionais mostram que uma abordagem centralizada, ancorada
    em uma única autoridade, traz benefícios inegáveis. Primeiramente, uma autoridade centralizada tem a
    capacidade de responder de maneira ágil e coordenada a desafios emergentes. Em um campo tão dinâmico
    quanto a IA, a rapidez na tomada de decisões pode ser crucial para prevenir ou mitigar riscos.
    Além disso, uma entidade única proporciona uma fonte clara e consistente de orientação para todos os
    setores e agentes envolvidos, incluindo desenvolvedores, empresas, poder público e a sociedade em geral.
    Isso elimina ambiguidades e garante que os envolvidos tenham um entendimento uniforme das expectativas
    e regulamentações. Mais ainda, essa centralização assegura que a regulamentação da IA seja aplicada de
    forma homogênea em todo o território, evitando disparidades regionais e setoriais que poderiam criar lacunas
    ou excessivas sobreposições regulatórias. Esta centralização não impede que reguladores que fiscalizam
    setores econômicos específicos possam desenvolver suas próprias regras para o uso da IA em seus
    contextos, desde que estas estejam alinhadas a diretrizes estabelecidas pela autoridade central.
    No cenário brasileiro, a ANPD já se destaca como uma entidade de referência na proteção de dados
    pessoais e na garantia da privacidade dos cidadãos. A IA, com suas capacidades de processamento e
    análise de grandes volumes de dados, se alinha diretamente às competências da ANPD. Esta interseção
    entre IA e proteção de dados centraliza a governança da IA sob a égide de questões técnicas e operacionais,
    com ênfase contínua na proteção de direitos fundamentais e na proteção de dados pessoais. Permite, ainda,
    formar um corpo técnico especializado em ambas as áreas, otimizando a aplicação de recursos públicos e
    evitando a fragmentação regulatória e a sobreposição de competências entre órgãos reguladores distintos.
    Dessa forma, ao considerar a trajetória e a experiência da ANPD, juntamente com os benefícios inerentes a
    uma abordagem centralizada, fica claro que o modelo de centralização da governança da IA em torno da
    ANPD é uma estratégia promissora.
  5. MODELO INSTITUCIONAL PROPOSTO
    Conforme exposto com mais detalhes a seguir, propõe-se um modelo institucional estruturado em quatro
    instâncias, que devem atuar de forma articulada e coordenada:
    (i) Autoridade competente (órgão regulador central);
    (ii) Poder Executivo (elaboração de políticas públicas para o desenvolvimento de sistemas de IA);
    (iii) Órgãos reguladores setoriais (atuação de forma coordenada com o órgão regulador central; e
    (iv) Conselho consultivo (órgão de natureza consultiva, que assegure a participação da sociedade
    nos processos decisórios das demais instâncias).
    É importante enfatizar que a contribuição preliminar ora apresentada tem por objetivo apenas apresentar os
    contornos gerais do modelo institucional, de modo que as sugestões de alteração legislativa, expostas
    mais adiante neste documento, circunscrevem-se aos arts. 32 a 35 do Capítulo VIII do PL 2338, “Da
    Supervisão e Fiscalização”.
    Assim, ressalta-se que outras alterações seriam necessárias para estabelecer e detalhar o modelo
    institucional proposto. Desde já, a ANPD se coloca à disposição do Congresso Nacional e demais
    interessados para discutir a presente proposta e, se for o caso, avançar no detalhamento do modelo
    institucional.
    Autoridade competente (órgão regulador central)
    Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 6
    Propõe-se que a ANPD (Autoridade Nacional de Proteção de Dados) seja designada
    como autoridade competente, exercendo a função de órgão regulador central de
    interpretação da lei decorrente do PL nº 2.338/2023
    [x]
    . A instituição assumirá o foco especial
    na regulamentação, na proteção de direitos e na articulação com os órgãos reguladores
    setoriais. A ANPD será encarregada de supervisionar e de fiscalizar a implementação da lei,
    proteger os direitos fundamentais das pessoas afetadas pela IA, promover e elaborar estudos
    sobre boas práticas em IA e cooperar com outras autoridades relevantes, a partir de sua
    expertise já existente em funções institucionais semelhantes, tal como previsto na LGPD.
    Destaca-se, ainda, a necessidade de que o PL nº 2338/2023 contenha expressa previsão de
    fortalecimento institucional da ANPD, com vistas a viabilizar a assunção de suas novas
    funções. Com efeito, a ANPD deve ser caracterizada por uma robusta independência
    institucional, com autonomia técnica, decisória e administrativa. Esta independência, prevista
    parcialmente na LGPD, é fundamental para assegurar que todas as decisões, diretrizes e
    ações tomadas por essa entidade sejam fundamentadas em critérios técnicos sólidos e
    objetivos, sempre visando ao melhor interesse da coletividade. A efetiva autonomia da ANPD
    é uma salvaguarda contra interferências externas indevidas, sejam elas de ordem política,
    econômica ou de qualquer outra natureza, que possam comprometer a integridade e a
    imparcialidade de suas decisões. Para consolidar essa autonomia, é crucial que a legislação
    estabeleça de maneira clara e expressa as prerrogativas legais e as competências da ANPD.
    Nesse contexto, é pertinente que se siga o modelo estabelecido pela Lei das Agências (Lei nº
    13.848, de 25 de junho de 2019), que delineia os parâmetros de atuação e autonomia das
    agências reguladoras no Brasil. Ao adotar tais diretrizes, será assegurado que a ANPD opere
    com a autonomia necessária para proteger os direitos dos cidadãos e promover uma
    regulação eficaz do uso de sistemas de inteligência artificial no País.
    Nesse sentido, propõe-se a inclusão no PL de expressa previsão de que o regime de
    autarquia especial a que se submete a ANPD é o mesmo previsto para as agências
    reguladoras e o Cade, nos termos do art. 3º da Lei nº 13.848/2019. Tal regramento é
    necessário, pois, embora se refira ao regime de autarquia especial e assegure autonomia
    técnica e decisória à ANPD, a LGPD não detalhou esses conceitos, o que, na prática, tem
    suscitado muitas dúvidas e um grau elevado de insegurança jurídica quanto à real extensão
    da autonomia da ANPD.
    Além disso, propõe-se que uma nova estrutura regimental para a ANPD, contemplando os
    ajustes necessários para a implementação de suas novas funções, seja publicada pelo Poder
    Executivo no prazo de 120 dias da publicação da nova lei. Também é proposto que o Poder
    Executivo encaminhe ao Congresso Nacional projeto de lei com a criação de quadro próprio
    de servidores para a ANPD no prazo de até 180 dias.
    Poder Executivo
    O Poder Executivo, que pode ser representado por órgãos como o Ministério da Ciência,
    Tecnologia e Inovação, Ministério da Gestão e da Inovação em Serviços Públicos e o
    Ministério da Justiça e Segurança Pública, tem um papel crucial na formulação de políticas
    públicas relacionadas à inteligência artificial, o que deve ser previsto de forma expressa na
    proposta legislativa, seguindo a divisão de papeis usual entre órgãos reguladores e Poder
    Executivo. O principal instrumento de materialização e coordenação de políticas públicas
    relacionadas ao desenvolvimento de sistemas de IA no Brasil é a Estratégia Brasileira de
    Inteligência Artificial (EBIA), tal como já previsto no PL 2338. Propõe-se que o PL atribua
    expressamente ao Poder Executivo – e não à autoridade competente, como previsto na
    atual redação do art. 32, parágrafo único, II, do PL – a competência para elaborar, gerir,
    atualizar e implementar a EBIA. Caberá à ANPD contribuir no processo de elaboração e
    implementar, apenas na esfera de suas atribuições, as previsões constantes da EBIA. Assim,
    o Poder Executivo será incumbido da função geral de elaborar e implementar a EBIA, sendo
    possível que parte do documento estabeleça, por exemplo, políticas, metas e orientações
    gerais que demandem a implementação de determinadas ações específicas por parte da
    ANPD, no âmbito de suas competências legais.
    Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 7
    Órgãos reguladores setoriais
    Propõe-se que os Órgãos Reguladores Setoriais, tais como Agência Nacional de
    Telecomunicações – Anatel, Agência Nacional de Saúde – ANS, Agência Nacional de Aviação
    Civil – Anac, Agência Nacional do Cinema – Ancine, e Agência Nacional do Petróleo, Gás
    Natural e Biocombustíveis – ANP, mantenham suas competências regulatórias específicas.
    Dessa forma, alia-se a expertise setorial, própria de cada órgão regulador, com a visão
    mais ampla e geral sobre os sistemas de IA, que decorre da atuação da ANPD,
    enquanto órgão central. Com o objetivo de evitar sobreposição e fragmentação regulatórias,
    o órgão central e os órgãos setoriais devem atuar de forma cooperativa e coordenada,
    observando-se os regulamentos e orientações gerais da ANPD quanto ao uso de IA e, ao
    mesmo tempo, as peculiaridades e especificidades de cada setor. O PL nº 2.338/2023 já
    prevê uma coordenação das atividades da autoridade competente com estes órgãos e
    entidades públicas, garantindo uma abordagem unificada e coordenada para a regulação da
    inteligência artificial no Brasil. Propõe-se aqui a previsão específica de um “Fórum de Órgãos
    Reguladores Setoriais”, a fim de institucionalizar e tornar permanente a cooperação entre o
    órgão central e os órgãos setoriais. Em suma, o modelo institucional proposto visa a garantir
    uma abordagem abrangente e coordenada para a regulação da inteligência artificial no Brasil,
    alinhando-se com as diretrizes e princípios estabelecidos tanto na LGPD, quanto no PL nº
    2.338/2023.
    Conselho consultivo
    Propõe-se, ainda, a criação de um Conselho Consultivo, que deve funcionar nos moldes
    do Conselho Nacional de Proteção de Dados (CNPD). Este órgão terá como principal
    função garantir a participação ativa de diversos grupos e setores da sociedade nas decisões
    relacionadas à IA, seja na formulação e execução de políticas públicas, seja na atuação da
    autoridade central, função a ser desempenhada pela ANPD, conforme proposto acima. Na
    proposta legislativa apresentada a seguir, optamos por apenas mencionar a criação do
    órgão consultivo, sem detalhar a sua composição e suas competências, tendo em vista
    que tal detalhamento poderá ser efetuado em momento posterior, conforme já
    mencionado.
    Modelo institucional proposto
    Proposta preliminar de alteração do PL nº 2338/2023
    Capítulo VIII (arts. 32 a 35 da redação original do PL)
    Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 8
    CAPÍTULO VIII
    DA SUPERVISÃO E FISCALIZAÇÃO
    Seção I
    Da Autoridade Competente
    Art. 32. Fica designada como a autoridade competente a que se refere o artigo 4º, V, desta lei, a
    Autoridade Nacional de Proteção de Dados (ANPD), autarquia de natureza especial, dotada de autonomia
    técnica e decisória, com patrimônio próprio e com sede e foro no Distrito Federal.
    § 1º Aplica-se à ANPD o disposto no art. 3º e, no que couber, nos arts. 14 a 20 da Lei nº 13.848,
    de 25 de junho de 2019.
    § 2º O Poder Executivo fornecerá os recursos necessários para assegurar o fortalecimento
    institucional e a ampliação da estrutura e do corpo de servidores da ANPD para atender às determinações
    desta Lei.
    § 3º Para atender ao disposto no § 2º deste artigo:
    I – a nova estrutura regimental da ANPD deverá ser publicada no prazo de até 120 dias contados
    da publicação desta Lei; e
    II – o projeto de lei com a criação de quadro próprio de servidores da ANPD será encaminhado
    pelo Poder Executivo ao Congresso Nacional no prazo de até 180 dias contados da publicação desta Lei.
    § 4º Sem prejuízo das competências previstas na Lei nº 13.709, de 21 de agosto de 2018, cabe à
    ANPD:
    I – zelar pela proteção a direitos fundamentais e a demais direitos afetados pela utilização de
    sistemas de inteligência artificial;
    II – contribuir para o processo de elaboração e implementar, em sua esfera de atribuições, a
    Estratégia Brasileira de Inteligência Artificial junto aos órgãos de competência correlata;
    III – promover e elaborar estudos sobre boas práticas no desenvolvimento e utilização de sistemas
    de inteligência artificial;
    IV – estimular a adoção de boas práticas, inclusive códigos de conduta, no desenvolvimento e
    utilização de sistemas de inteligência artificial;
    V – promover ações de cooperação com autoridades de proteção e de fomento ao
    desenvolvimento e à utilização dos sistemas de inteligência artificial de outros países, de natureza
    internacional ou transnacional;
    VI – expedir normas para a regulamentação desta Lei, inclusive sobre:
    a) procedimentos associados ao exercício dos direitos previstos nesta Lei;
    b) procedimentos e requisitos para elaboração da avaliação de impacto algorítmico;
    c) forma e requisitos das informações a serem publicizadas sobre a utilização de sistemas de
    inteligência artificial; e
    d) procedimentos para certificação do desenvolvimento e utilização de sistemas de alto risco.
    VII – articular-se com as autoridades reguladoras públicas para exercer suas competências em
    setores específicos de atividades econômicas e governamentais sujeitas à regulação;
    Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 9
    VIII – fiscalizar, de modo independente ou em conjunto com outros órgãos públicos competentes, a
    divulgação das informações previstas nos arts. 7º e 43;
    IX – fiscalizar e aplicar sanções, em caso de desenvolvimento ou utilização de sistemas de
    inteligência artificial em descumprimento à legislação, mediante processo administrativo que assegure o
    contraditório, a ampla defesa e o direito de recurso;
    X – solicitar, a qualquer momento, às entidades do poder público que desenvolvam ou utilizem
    sistemas de inteligência artificial, informe específico sobre o âmbito, a natureza dos dados e os demais
    detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o
    cumprimento desta Lei;
    XI – celebrar, a qualquer momento, compromisso com agentes de inteligência artificial para
    eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de
    acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;
    XII – apreciar petições em face do operador de sistema de inteligência artificial, após comprovada
    apresentação de reclamação não solucionada no prazo estabelecido em regulamentação; e
    XIII – elaborar relatórios anuais acerca de suas atividades.
    § 5º Ao exercer as atribuições do caput, a ANPD poderá estabelecer condições, requisitos, canais
    de comunicação e divulgação diferenciados para fornecedores e operadores de sistemas de inteligência
    artificial qualificados como micro ou pequenas empresas, nos termos da Lei Complementar nº 123, de 14 de
    dezembro de 2006, e startups, nos termos da Lei Complementar nº 182, de 1º de junho de 2021.
    Art. 33. A ANPD será o órgão central de aplicação desta Lei e do estabelecimento de normas e
    diretrizes para a sua implementação.
    Art. 34. A ANPD e os órgãos e entidades públicas responsáveis pela regulação de setores
    específicos da atividade econômica e governamental coordenarão suas atividades, nas correspondentes
    esferas de atuação, com vistas a assegurar o cumprimento desta Lei.
    § 1º A ANPD manterá o Fórum de Órgãos Reguladores Setoriais, inclusive por meio de
    cooperação técnica, composto por órgãos e entidades da administração pública responsáveis pela regulação
    de setores específicos da atividade econômica e governamental, a fim de facilitar as suas competências
    regulatória, fiscalizatória e sancionatória.
    § 2º Nos ambientes regulatórios experimentais (sandbox regulatório) que envolvam sistemas de
    inteligência artificial, conduzidos por órgãos e entidades públicas responsáveis pela regulação de setores
    específicos da atividade econômica, a ANPD será cientificada, podendo se manifestar quanto ao
    cumprimento das finalidades e princípios desta lei.
    Art. 35. Os regulamentos e as normas editados pela ANPD, com amparo nesta Lei, serão
    precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório, nos termos do
    art. 55-J, § 2º, da Lei nº 13.709, de 21 de agosto de 2018 e dos arts. 6º a 12 da Lei nº 13.848, de 25 de junho
    de 2019, no que cabível.
    Seção II
    Do Poder Executivo e do Conselho Consultivo de Inteligência Artificial
    Art. 36. Caberá ao órgão competente do Poder Executivo promover a elaboração, atualização,
    gestão e implementação da Estratégia Brasileira de Inteligência Artificial, observadas as competências da
    ANPD e dos órgãos reguladores setoriais.
    § 1º A Estratégia Brasileira de Inteligência Artificial será elaborada com participação da sociedade,
    sendo precedida da realização de consulta pública.
    Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 10
    § 2º Fica criado o Conselho Consultivo de Inteligência Artificial, composto por representantes
    titulares e suplentes do setor público e da sociedade, cuja função é garantir a participação ativa e
    multissetorial na elaboração de recomendações acerca da regulação de inteligência artificial no Brasil.
    § 3º A composição e as competências do Conselho Consultivo de Inteligência Artificial serão
    estabelecidas por Decreto do Poder Executivo.
  6. CONCLUSÃO
    À medida que a Inteligência Artificial continua a moldar e transformar diversos aspectos de nossa sociedade,
    a necessidade de uma regulação clara, robusta e adaptada à realidade brasileira torna-se cada vez mais
    premente. A IA, com seu vasto potencial e complexidades inerentes, apresenta desafios únicos que exigem
    uma abordagem regulatória bem fundamentada e equilibrada.
    Neste contexto, a Autoridade Nacional de Proteção de Dados emerge como uma instituição central, não
    apenas pela sua expertise em proteção de dados, mas também pelo seu compromisso precípuo com os
    direitos e interesses dos cidadãos brasileiros. A ANPD, com sua estrutura, conhecimento e capacidade
    técnica, está idealmente posicionada para desempenhar um papel de liderança na regulação da IA no Brasil.
    As sugestões apresentadas nesta Nota Técnica visam a fortalecer o papel da ANPD como autoridade-chave
    na regulação de IA e garantir que o Projeto de Lei 2338/2023 esteja alinhado com os princípios e diretrizes
    estabelecidos pela Lei Geral de Proteção de Dados. Estas propostas refletem uma análise cuidadosa e são
    informadas por práticas regulatórias internacionais e pela experiência acumulada da ANPD.
    Apresentamos ao Conselho Diretor da ANPD as sugestões aqui delineadas, com a sugestão de aprovação
    do texto e posterior encaminhamento ao Poder Legislativo como contribuição para os debates em torno do
    PL n. 2338/2023. Acreditamos que, ao considerar e incorporar estas recomendações, daremos passo
    significativo para estabelecer um marco regulatório de IA que seja ao mesmo tempo inovador, protetor dos
    direitos dos cidadãos e propício ao desenvolvimento tecnológico responsável no Brasil.
  7. REFERÊNCIAS
    [i] Brasil. Lei n. 13.709, de 2018. Lei Geral de Proteção de Dados Pessoais. Artigo 55-J, § 3º: A ANPD e os órgãos e
    entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental
    devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento
    de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme
    legislação específica, e o tratamento de dados pessoais, na forma desta Lei. Disponível em:
    https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm.
    [ii] Autoridade Nacional de Proteção de Dados. Sandbox Regulatório de Inteligência Artificial e Proteção de Dados
    no Brasil. 03 de Outubro de 2023. Disponível em: https://www.gov.br/participamaisbrasil/sandbox-regulatorio-deinteligencia-artificial-e-protecao-de-dados-no-brasil.
    [iii] União Europeia. European Parliament Briefing on the Artificial Intelligence Act. Junho de 2023. Disponível em:
    https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/698792/EPRS_BRI(2021)698792_EN.pdf.
    [iv] Commission Nationale de l’Informatique et des Libertés. Artificial intelligence: the action plan of the CNIL. 16 de
    Maio de 2023. Disponível em: https://www.cnil.fr/en/artificial-intelligence-action-plan-cnil.
    [v] Commission Nationale de l’Informatique et des Libertés. Comment permettre à l’Homme de garder la main ?
    Rapport sur les enjeux éthiques des algorithmes et de l’intelligence artificielle. 15 de Dezembro de 2017. Disponível
    em: https://www.cnil.fr/fr/comment-permettre-lhomme-de-garder-la-main-rapport-sur-les-enjeux-ethiques-desalgorithmes-et-de.
    [vi] Commission Nationale de l’Informatique et des Libertés. “Sandbox”: CNIL launches call for projects on artificial
    intelligence in public services. 28 de Julho de 2023. Disponível em: https://www.cnil.fr/en/sandbox-cnil-launchescall-projects-artificial-intelligence-public-services.
    Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 11
    [vii]
    IAPP “Dutch DPA begins algorithm enforcement work”. 18 de Janeiro de 2023. Disponível em:
    https://iapp.org/news/a/dutch-dpa-begins-algorithm-enforcement-work/.
    [viii] Canadá. Bill C-27. 16 de Junho de 2022. Disponível em: https://www.parl.ca/DocumentViewer/en/44-1/bill/C27/first-reading.
    [ix] Medeiros, Maya; Beatson, Jesse. Bill C-27: Canada’s first artificial intelligence legislation has arrived. Norton
    Rose Fulbright. 23 de Junho de 2023. Disponível em: https://www.nortonrosefulbright.com/enca/knowledge/publications/55b9a0bd/bill-c-27-canadas-first-artificial-intelligence-legislation-has-arrived.
    [x] Senado Federal. Projeto de Lei n. 2.338, de 2023, que dispõe sobre o uso da inteligência artificial. Disponível
    em: https://legis.senado.leg.br/sdleg-getter/documento?dm=9347622&ts=1692285382471&disposition=inline.
    À consideração superior.
    Brasília, 17 de outubro de 2023.
    DIEGO CARVALHO MACHADO
    Servidor Público em Exercício na ANPD
    LUCAS COSTA DOS ANJOS
    Servidor Público em Exercício na ANPD
    THIAGO GUIMARAES MORAES
    Coordenador de Inovação e Pesquisa
    De acordo. Encaminha-se o presente processo à Secretaria-Geral da ANPD para conhecimento e
    providências cabíveis.
    Brasília, 17 de outubro de 2023.
    MARCELO SANTIAGO GUEDES
    Coordenador-Geral de Tecnologia e Pesquisa
    Documento assinado eletronicamente por Lucas Costa dos Anjos, ANPD – Autoridade Nacional de
    Proteção de Dados, em 17/10/2023, às 16:15, conforme horário oficial de Brasília, com fundamento no
    § 3º do art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020 .
    Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 12
    Documento assinado eletronicamente por Diego Carvalho Machado, ANPD – Autoridade Nacional de
    Proteção de Dados, em 17/10/2023, às 16:59, conforme horário oficial de Brasília, com fundamento no
    § 3º do art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020 .
    Documento assinado eletronicamente por Thiago Guimaraes Moraes, Coordenador(a), em
    17/10/2023, às 17:08, conforme horário oficial de Brasília, com fundamento no § 3º do art. 4º, do
    Decreto nº 10.543, de 13 de novembro de 2020 .
    Documento assinado eletronicamente por Marcelo Santiago Guedes, Coordenador(a)-Geral, em
    17/10/2023, às 17:13, conforme horário oficial de Brasília, com fundamento no § 3º do art. 4º, do
    Decreto nº 10.543, de 13 de novembro de 2020 .
    A autenticidade do documento pode ser conferida informando o código verificador 4649091 e o código
    CRC A29FD0ED no site:
    https://super.presidencia.gov.br/controlador_externo.php?
    acao=documento_conferir&id_orgao_acesso_externo=0
    Referência: Processo nº 00261.002232/2023-26 SUPER nº 4649091
    Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 13

Membro
Cadastramento

Por favor, preencha todos os campos abaixo para prosseguir com o seu cadastro. Ao concluir, você será direcionado à página de pagamento. Seu cadastro é o primeiro passo para acessar nossos serviços exclusivos. Agradecemos a preferência!”

Preencha os dados do cartão de crédito abaixo.