00261.002232/2023-26
Autoridade Nacional de Proteção de Dados
Coordenação-Geral de Tecnologia e Pesquisa
Nota Técnica nº 16/2023/CGTP/ANPD
Assunto: Sugestões de incidência legislativa em projetos de lei sobre a regulação da Inteligência Artificial no
Brasil, com foco no PL nº 2338/2023
Referência: Projeto de Lei nº 2338/2023
- INTRODUÇÃO
A regulação da Inteligência Artificial tem sido um tema de crescente relevância no cenário brasileiro,
refletindo a importância global do assunto e a necessidade de estabelecer diretrizes claras para seu
desenvolvimento e aplicação em nosso país. O debate sobre essa regulação ganhou contornos mais
definidos com a proposição do PL nº 21/2020.
Desde então, a discussão tem evoluído de maneira significativa, culminando na formação da Comissão de
Juristas no Senado Federal em 2022 (CJUSBIA). Esta Comissão foi instituída com o objetivo de aprofundar o
estudo e a análise sobre a temática, buscando subsídios para a elaboração de um marco regulatório robusto
e adequado à realidade brasileira.
O relatório final da Comissão deu origem ao Projeto de Lei nº 2338/2023, apresentado pelo Senador Rodrigo
Pacheco, que surgiu como um marco significativo na trajetória de regulação da IA no Brasil, com o objetivo
de proteger direitos fundamentais e garantir a implementação de sistemas seguros e confiáveis, em benefício
da pessoa humana, do regime democrático e do desenvolvimento científico e tecnológico. A proposta reflete
o amadurecimento, os avanços e os aprendizados acumulados desde a apresentação do PL nº 21/2020 e
busca estabelecer um equilíbrio entre a promoção da inovação e a garantia dos direitos fundamentais dos
cidadãos. A análise e discussão desse projeto são cruciais para definir os rumos da IA no País, e a ANPD se
coloca como uma instituição-chave nesse processo.
Nesse contexto, é fundamental destacar o papel ativo da Autoridade Nacional de Proteção de Dados (ANPD)
no debate sobre a regulação da IA. Há que se reforçar o compromisso da Autoridade em garantir que a
regulação da IA esteja alinhada com os princípios e diretrizes estabelecidos pela Lei Geral de Proteção de
Dados Pessoais (LGPD). A expertise e a visão da ANPD são essenciais para assegurar que os direitos dos
cidadãos sejam respeitados no contexto da aplicação da IA, especialmente no que tange à proteção de
dados pessoais.
Durante a 25ª Reunião Técnica do Conselho Diretor da ANPD, realizada em 03 de agosto de 2023, foi
orientado o encaminhamento do assunto à Coordenação-Geral de Tecnologia e Pesquisa (CGTP) para a
elaboração da presente Nota Técnica. Portanto, este documento tem como objetivo principal abordar e
propor alterações ao Projeto de Lei nº 2338/2023, com base nas premissas estabelecidas no estudo técnico
previamente conduzido e publicado em 6 de julho de 2023. Conforme encaminhamento (doc. SUPER n.
4491763), na 25ª Reunião Técnica do Conselho Diretor, realizada em 03 de agosto de 2023, reiterada na 29ª
Reunião Técnica do Conselho Diretor (doc. SUPER n. 4549151), realizada em 30 de agosto de 2023, “o
Conselho Diretor encaminhou pela validação dos contornos gerais do modelo de governança e do
fortalecimento institucional para a proposta de alteração do Projeto de Lei 2338/2023” e apresentação de
versão preliminar da proposta legislativa até o dia 20 de setembro de 2023.
Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 1 - INTERSECÇÃO ENTRE O PL Nº 2338/2023 E A LGPD
Conforme explicitado na Análise Preliminar do Projeto de Lei nº 2338/2023, a relação entre o Projeto de Lei
nº 2338/2023 e a Lei Geral de Proteção de Dados Pessoais é intrínseca e fundamental para entender o
panorama regulatório da Inteligência Artificial no Brasil. Ambas as legislações, embora tenham focos
distintos, convergem em diversos pontos, especialmente quando se trata da tutela de direitos dos cidadãos e
da governança de tecnologias emergentes.
O PL nº 2338/2023 estabelece alguns parâmetros para a chamada “autoridade competente”, responsável
central pela governança da inteligência artificial no Brasil (art. 33). Por exemplo, no capítulo VIII, Seção I, art.
32, menciona-se que o Poder Executivo designará uma autoridade competente para zelar pela
implementação e fiscalização da lei, com as seguintes atribuições:
Zelar pela proteção a direitos fundamentais e a demais direitos afetados pela utilização de sistemas de
inteligência artificial;
Promover a elaboração, atualização e implementação da Estratégia Brasileira de Inteligência Artificial junto
aos órgãos de competência correlata;
Promover e elaborar estudos sobre boas práticas no desenvolvimento e utilização de sistemas de inteligência
artificial;
Estimular a adoção de boas práticas, inclusive códigos de conduta, no desenvolvimento e utilização de
sistemas de inteligência artificial; e
Promover ações de cooperação com autoridades de proteção e de fomento ao desenvolvimento e à
utilização dos sistemas de inteligência artificial.
2.1. Tutela de direitos
A LGPD foi instituída com o objetivo primordial de proteger os direitos fundamentais de liberdade e de
privacidade dos cidadãos brasileiros. Ela estabelece diretrizes claras sobre o tratamento de dados pessoais,
garantindo aos titulares uma série de direitos, como o acesso, correção e exclusão de seus dados. O PL nº
2338/2023, por sua vez, ao tratar da regulação da IA, inevitavelmente aborda questões relacionadas ao
tratamento de dados, uma vez que muitos sistemas de IA dependem de vastos conjuntos de dados pessoais
para seu funcionamento. Assim, qualquer discussão sobre IA deve considerar os direitos dos titulares de
dados estabelecidos pela LGPD.
2.2. Classificação de sistemas de IA de alto risco
A identificação e classificação de sistemas de IA de alto risco é um ponto crucial no PL nº 2338/2023. Estes
sistemas, devido à sua capacidade de impactar significativamente a vida dos cidadãos, exigem uma atenção
especial em termos de regulação. A LGPD, ao estabelecer padrões rigorosos para o tratamento de dados
sensíveis, fornece um arcabouço que pode ser utilizado como referência para identificar e classificar tais
sistemas, especialmente aqueles que tratam dados pessoais sensíveis. Além disso, também está prevista
para a autoridade competente do PL nº 2338/2023 a competência para atualizar a lista dos sistemas de
inteligência artificial de risco excessivo ou de alto risco (art. 18), que, tal como a LGPD, observa a premissa
de uma abordagem regulatória baseada em riscos.
2.3. Mecanismos de governança
A LGPD introduziu no Brasil o conceito de governança de dados, estabelecendo a necessidade de as
organizações implementarem políticas, práticas e procedimentos robustos para garantir a proteção de dados
pessoais. O PL nº 2338/2023, ao abordar a regulação da IA, também destaca a importância de mecanismos
de governança robustos para sistemas de IA, especialmente aqueles classificados como de alto risco. A
experiência e as diretrizes já estabelecidos pela LGPD podem servir como base para a elaboração de
mecanismos de governança específicos para a IA.
2.4. Comunicados de incidentes
A autoridade competente do PL nº 2338/2023 receberá os Comunicados de Incidentes considerados graves,
Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 2
em tempo razoável, conforme definição regulamentar (art. 31). Caberá à autoridade a verificação da
gravidade do incidente, em procedimento bastante similar àqueles previstos na LGPD quanto aos incidentes
que envolvem dados pessoais. Ainda que um incidente de inteligência artificial extrapole o conceito de
incidente de segurança previsto pela LGPD, envolvendo também questões como a discriminação algorítmica
abusiva ou ilegal, o comprometimento de infraestruturas críticas, os danos a pessoas físicas e à propriedade,
entre outros parâmetros, entende-se que a expansão dos procedimentos de elaboração e análise dos
Comunicados de Incidentes possa abarcar essas categorias, metodologias de avaliação e direitos
fundamentais salvaguardados por ambas as legislações.
2.5. Coordenação com outros órgãos e autoridades
Também foi prevista no PL nº 2338/2023 a “coordenação das atividades da autoridade competente com
órgãos e entidades públicas responsáveis pela regulação de setores específicos da atividade econômica e
governamental” (art. 34). Ou seja, assim como prevê o art. 55-J da LGPD
[i]
.
Além desse paralelo em termos de coordenação, o mesmo artigo 34 do PL nº 2338/2023 prevê a
manutenção de um fórum permanente de comunicação com órgãos e entidades da administração pública
(§1º), coordenado pela autoridade competente, bem como sua ciência quando da existência de ambientes
regulatórios experimentais (sandbox regulatório) que envolvam sistemas de inteligência artificial (§2º). O
projeto prevê a competência da autoridade para autorizar o funcionamento de sandboxes regulatórios para
inovação em inteligência artificial (art. 38), o que condiz com os esforços já empreendidos pela ANPD nesse
setor, em parceria com o Banco de Desenvolvimento da América Latina e do Caribe – CAF. O programapiloto de sandbox regulatório da ANPD irá explorar as intersecções entre a inteligência artificial e a proteção
de dados e seu desenho se encontra, atualmente, em fase de consulta à sociedade
[ii]
.
2.6. Processo de regulamentação
De maneira semelhante ao que determina a LGPD (art. 55-J, §2º) o PL nº 2338/2023 prevê que os
regulamentos e as normas editados pela autoridade competente serão precedidos de consulta e audiência
públicas (art. 35). Sobre esse ponto, cumpre ressaltar que a ANPD foi premiada com o Selo Ouro de Boas
Práticas Regulatórias (concedido pela Secretaria de Competitividade e Política Regulatória, vinculada ao
Ministério de Desenvolvimento, Indústria, Comércio e Serviços). Os critérios de avaliação incluíram
previsibilidade, qualidade regulatória, participação social e convergência regulatória, conforme estipulado
pela Portaria nº 69, de 3 de abril de 2023. O objetivo dessa avaliação é destacar e promover práticas
normativas de alta qualidade. É a segunda vez que a ANPD é avaliada com o selo ouro por sua excelência
regulatória, o que corrobora sua capacidade para lidar com temas de fronteira na seara tecnológica, como o
tratamento de dados pessoais por meio de decisões automatizadas.
2.7. Síntese: compatibilidade e convergência funcionais
Em conclusão, a autoridade competente tem as funções de supervisão e fiscalização da implementação da
lei relacionada à inteligência artificial. Essa autoridade terá várias responsabilidades, incluindo a proteção dos
direitos fundamentais afetados pela IA, a promoção e elaboração de estudos sobre boas práticas em IA, e a
cooperação com outras autoridades relevantes. Em termos organizacionais e de competências funcionais, há
várias semelhanças com o atual conjunto de atribuições da ANPD, como no recebimento de comunicados de
incidentes e avaliação da suficiência de medidas técnicas e administrativas aptas a mitigar riscos relevantes
a liberdades civis e direitos fundamentais, na condução de consultas públicas que precedam a elaboração de
regulamentos e normas, na coordenação e diálogo com órgãos e entidades públicas responsáveis pela
regulação de setores específicos da atividade econômica e governamental, e, finalmente, na promoção e
elaboração de estudos sobre boas práticas. - PRINCIPAIS ÁREAS DE INCIDÊNCIA LEGISLATIVA
· 3.1. Tutela de direitos
A tutela de direitos é uma área de destaque tanto na LGPD quanto no PL nº 2338/2023. Ambas, lei
vigente e proposta legislativa, reconhecem a importância de proteger os direitos dos cidadãos em um
cenário tecnológico em constante evolução. No contexto da IA, a capacidade de sistemas tomarem
decisões que afetam diretamente os indivíduos torna essencial a garantia de direitos como
Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 3
contestação e revisão. A LGPD já estabelece um precedente ao permitir que os titulares solicitem a
revisão de decisões automatizadas que os afetem. O PL nº 2338/2023 deve, portanto, alinhar-se a
essa premissa, garantindo que qualquer pessoa afetada por um sistema de IA tenha o direito de
contestar e solicitar a revisão de decisões. Esse alinhamento não só fortalece a proteção dos direitos
dos cidadãos, mas também proporciona uma consistência regulatória, facilitando a compreensão e
implementação por parte das entidades que utilizam IA.
· 3.2. Mecanismos de governança
A governança eficaz é crucial para garantir que a IA seja desenvolvida e utilizada de forma
responsável. O PL 2338/2023 introduz a ideia de uma avaliação de impacto algorítmico, que visa
entender e mitigar os riscos associados ao uso de sistemas de IA. Por outro lado, a LGPD já
estabelece a necessidade de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) para
processos que envolvam riscos às liberdades civis e aos direitos fundamentais. Ambos os
mecanismos compõem um ferramental de governança que tem o objetivo de antecipar e abordar
potenciais problemas antes que eles ocorram. Para uma governança eficaz, é essencial que haja
clareza sobre como esses dois mecanismos se relacionam e se complementam. Pode-se considerar
a relação dessas avaliações, garantindo que, ao avaliar sistemas de IA, tanto os impactos
algorítmicos quanto os de proteção de dados sejam considerados de forma integrada. Ademais, o art.
30 do PL nº 2338/2023 traz um conjunto de medidas de boas práticas de governança que estão
diretamente alinhadas com as medidas estabelecidas no art. 50 da LGPD, como, por exemplo a
implementação de programas de governança.
· 3.3. Autoridade competente
A regulação eficaz da IA no Brasil requer uma autoridade competente que não apenas entenda os
desafios técnicos da IA, mas também os imperativos éticos e de proteção de dados. A ANPD, com
sua experiência e foco na proteção de dados pessoais, está idealmente posicionada para assumir
esse papel. Considere-se, por exemplo, que esta Autoridade já é responsável (i) por determinar,
avaliar e regulamentar relatórios de impacto à proteção de dados pessoais, que, por definição,
envolvem riscos a liberdades civis e direitos fundamentais (arts. 10, § 3º, 32, 38, 55-J, XIII, LGPD); e
(ii) auditar aspectos discriminatórios – isto é, envolvendo o direito à não discriminação – em
tratamento automatizado de dados pessoais (art. 20, § 2º, LGPD). A expertise da ANPD, reconhecida
por meio de prêmios como o Selo Ouro de Boas Práticas Regulatórias, demonstra sua capacidade de
lidar com temas complexos e de fronteira na área tecnológica. Além disso, a ANPD já possui
competência para expedir regulamentos e orientações, fiscalizar e proteger titulares de dados
pessoais em relação a decisões tomadas com base em sistemas de IA, nos termos da LGPD. Da
mesma forma, a ANPD possui mecanismos estabelecidos para consulta pública, coordenação com
outros órgãos e avaliação de incidentes de segurança, que são essenciais para a regulamentação da
IA. Reconhecer a ANPD como a autoridade competente para a regulação da IA no Brasil não só
aproveitaria sua experiência existente, mas também garantiria uma abordagem unificada e integrada
à governança da IA e à proteção de dados no País. - EXPERIÊNCIAS COMPARADAS
4.1. Proposta AI Act (União Europeia)
A proposta exige que os Estados-Membros designem uma ou mais autoridades competentes, incluindo uma
autoridade supervisora nacional, que seriam encarregadas de supervisionar a aplicação e implementação do
AI Act, e estabelece um Conselho Europeu de Inteligência Artificial (composto por representantes dos
Estados-Membros e da Comissão) no âmbito da UE. As autoridades nacionais de supervisão do mercado
seriam responsáveis por avaliar a conformidade dos operadores com as obrigações e requisitos para
sistemas de IA de alto risco. Elas teriam acesso a informações confidenciais (incluindo o código-fonte dos
sistemas de IA) e estariam sujeitas a obrigações de confidencialidade vinculativas. Além disso, seriam
obrigadas a tomar quaisquer medidas corretivas para proibir, restringir, retirar ou recolher sistemas de IA que
não estejam em conformidade com o AI Act, ou que, embora em conformidade, apresentem um risco para a
saúde ou segurança das pessoas ou para os direitos fundamentais ou outra proteção do interesse público.
Em caso de não conformidade persistente, os Estados-Membros terão de tomar todas as medidas
adequadas para restringir, proibir, recolher ou retirar o sistema de IA de alto risco em questão do mercado
[iii]
.
Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 4
4.2. Posicionamentos da Autoridade de Proteção de Dados da França – CNIL
A Comissão Nacional de Informática e Liberdades (CNIL) da França tem se posicionado de forma proativa e
determinada no cenário da regulação da IA. Esta postura é evidente em sua abordagem estratégica e nas
ações que tem empreendido nos últimos anos
[iv]
. A CNIL reconhece os desafios emergentes associados à
IA, especialmente em relação à proteção de dados pessoais e às liberdades individuais. A rápida evolução
da IA, exemplificada por sistemas generativos como o ChatGPT e outros similares, trouxe à tona questões
complexas sobre transparência, justiça, proteção de dados e direitos individuais. Em resposta, a CNIL tem
trabalhado para abordar esses desafios, como por sua publicação em 2017 sobre os desafios éticos dos
algoritmos e da IA
[v]
.
A CNIL identificou os desafios e elaborou um plano de ação para a IA, estruturado em torno de quatro pilares
principais: entender o funcionamento dos sistemas de IA e seu impacto nas pessoas; habilitar e orientar o
desenvolvimento de IA que respeite a privacidade; apoiar players inovadores no ecossistema de IA na
França e Europa; e auditar e controlar sistemas de IA para proteger as pessoas. Além disso, a CNIL tem se
esforçado para fornecer clareza e orientação para os stakeholders, publicando materiais informativos,
posicionamentos institucionais e guias sobre a aplicação da GDPR à IA. Esses esforços são
complementados por iniciativas como a do sandbox, que visa a apoiar projetos inovadores no campo da
IA
[vi]
. A proteção de dados pessoais, em particular, é vista como um desafio fundamental no
desenvolvimento da IA, e a CNIL está determinada a garantir que os sistemas de IA sejam desenvolvidos e
implementados de uma maneira que respeite os direitos e liberdades dos cidadãos.
4.3. Atuação da Autoridade de Proteção de Dados da Holanda (Autoriteit Persoonsgegevens)
Em janeiro de 2023, a Autoridade Holandesa de Proteção de Dados anunciou que estava criando uma nova
Diretoria de Monitoramento de Algoritmos encarregada de monitorar o uso de algoritmos e coordenar o
trabalho das diversas agências que fiscalizam o uso de algoritmos e sistemas de inteligência artificial no
contexto de seus setores regulados
[vii]
. Desde então, a autoridade tem reforçado a supervisão do uso de
algoritmos que tratam dados pessoais. A Autoridade monitora o uso de algoritmos de IA em busca de maior
transparência e combate a decisões arbitrárias. Algumas das funções dessa Diretoria incluem a identificação
e análise de riscos intersetoriais, a promoção de uma interpretação conjunta das normas relativas ao
tratamento de dados pessoais por sistemas de IA e o estabelecimento de um registro público para algoritmos
de IA nos Países Baixos. A Autoridade pode impor multas e outras sanções em conformidade com o
Regulamento Geral de Proteção de Dados.
4.4. Criação de agência especializada – AESIA (Espanha)
Em 22 de agosto, o Conselho de Ministros aprovou um Decreto Real estabelecendo a AESIA. A agência será
formada em conjunto pelo Ministério das Finanças e Serviço Civil da Espanha e pelo Ministério dos Assuntos
Econômicos e Transformação Digital. A agência, denominada AESIA – Agencia Española de Supervisión de
la Inteligencia Artificial, será responsável por supervisionar e controlar tecnologias de IA. Em Julho de 2022,
havia sido apresentado um sandbox regulatório no país para empresas espanholas testarem a
regulamentação em discussão no âmbito da União Europeia. No momento, o sandbox está em andamento e
espera-se que os resultados sejam publicados ainda no segundo semestre de 2023. A Espanha planeja
ainda criar um “selo nacional de IA” para certificar sistemas que atendam aos requisitos europeus. A
Espanha também tem planos de criar um observatório público de impacto social algorítmico e um “laboratório
de observação de riscos”. A AESIA faz parte de um plano chamado Estratégia Nacional de Inteligência
Artificial.
4.5. Proposta AIDA (Canada)
No âmbito do Artificial Intelligence and Data Act – AIDA
[viii]
, a autoridade ministerial responsável poderá (ou
Ministério da Indústria), por ofício, iniciar ou exigir: i) informações e registros sobre um sistema de IA; ii) uma
auditoria, realizada pelo responsável pelo sistema de IA ou por um auditor independente; iii) a adoção de
medidas para abordar qualquer questão referida num relatório de auditoria; iv) a cessação da operação de
um sistema de IA caso o ministro tenha “motivos razoáveis” para acreditar que há um “risco grave de dano
iminente”; v) a publicação de informações sobre infrações com vistas a incentivar o cumprimento das normas
Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 5
aplicáveis, ressalvadas as “informações comerciais confidenciais”; e vi) o compartilhamento de informações
com outros reguladores e executores, como o Privacy Commissioner ou a Canadian Human Rights
Commission, conforme apropriado
[ix]
. A autoridade ministerial também pode designar um Comissário de IA e
Dados, cuja função seria auxiliar e apoiar o ministro no cumprimento dos requisitos.
4.6. Análise comparativa
A crescente importância da inteligência artificial em diversos setores da sociedade exige uma governança
robusta e eficaz. As experiências internacionais mostram que uma abordagem centralizada, ancorada
em uma única autoridade, traz benefícios inegáveis. Primeiramente, uma autoridade centralizada tem a
capacidade de responder de maneira ágil e coordenada a desafios emergentes. Em um campo tão dinâmico
quanto a IA, a rapidez na tomada de decisões pode ser crucial para prevenir ou mitigar riscos.
Além disso, uma entidade única proporciona uma fonte clara e consistente de orientação para todos os
setores e agentes envolvidos, incluindo desenvolvedores, empresas, poder público e a sociedade em geral.
Isso elimina ambiguidades e garante que os envolvidos tenham um entendimento uniforme das expectativas
e regulamentações. Mais ainda, essa centralização assegura que a regulamentação da IA seja aplicada de
forma homogênea em todo o território, evitando disparidades regionais e setoriais que poderiam criar lacunas
ou excessivas sobreposições regulatórias. Esta centralização não impede que reguladores que fiscalizam
setores econômicos específicos possam desenvolver suas próprias regras para o uso da IA em seus
contextos, desde que estas estejam alinhadas a diretrizes estabelecidas pela autoridade central.
No cenário brasileiro, a ANPD já se destaca como uma entidade de referência na proteção de dados
pessoais e na garantia da privacidade dos cidadãos. A IA, com suas capacidades de processamento e
análise de grandes volumes de dados, se alinha diretamente às competências da ANPD. Esta interseção
entre IA e proteção de dados centraliza a governança da IA sob a égide de questões técnicas e operacionais,
com ênfase contínua na proteção de direitos fundamentais e na proteção de dados pessoais. Permite, ainda,
formar um corpo técnico especializado em ambas as áreas, otimizando a aplicação de recursos públicos e
evitando a fragmentação regulatória e a sobreposição de competências entre órgãos reguladores distintos.
Dessa forma, ao considerar a trajetória e a experiência da ANPD, juntamente com os benefícios inerentes a
uma abordagem centralizada, fica claro que o modelo de centralização da governança da IA em torno da
ANPD é uma estratégia promissora. - MODELO INSTITUCIONAL PROPOSTO
Conforme exposto com mais detalhes a seguir, propõe-se um modelo institucional estruturado em quatro
instâncias, que devem atuar de forma articulada e coordenada:
(i) Autoridade competente (órgão regulador central);
(ii) Poder Executivo (elaboração de políticas públicas para o desenvolvimento de sistemas de IA);
(iii) Órgãos reguladores setoriais (atuação de forma coordenada com o órgão regulador central; e
(iv) Conselho consultivo (órgão de natureza consultiva, que assegure a participação da sociedade
nos processos decisórios das demais instâncias).
É importante enfatizar que a contribuição preliminar ora apresentada tem por objetivo apenas apresentar os
contornos gerais do modelo institucional, de modo que as sugestões de alteração legislativa, expostas
mais adiante neste documento, circunscrevem-se aos arts. 32 a 35 do Capítulo VIII do PL 2338, “Da
Supervisão e Fiscalização”.
Assim, ressalta-se que outras alterações seriam necessárias para estabelecer e detalhar o modelo
institucional proposto. Desde já, a ANPD se coloca à disposição do Congresso Nacional e demais
interessados para discutir a presente proposta e, se for o caso, avançar no detalhamento do modelo
institucional.
Autoridade competente (órgão regulador central)
Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 6
Propõe-se que a ANPD (Autoridade Nacional de Proteção de Dados) seja designada
como autoridade competente, exercendo a função de órgão regulador central de
interpretação da lei decorrente do PL nº 2.338/2023
[x]
. A instituição assumirá o foco especial
na regulamentação, na proteção de direitos e na articulação com os órgãos reguladores
setoriais. A ANPD será encarregada de supervisionar e de fiscalizar a implementação da lei,
proteger os direitos fundamentais das pessoas afetadas pela IA, promover e elaborar estudos
sobre boas práticas em IA e cooperar com outras autoridades relevantes, a partir de sua
expertise já existente em funções institucionais semelhantes, tal como previsto na LGPD.
Destaca-se, ainda, a necessidade de que o PL nº 2338/2023 contenha expressa previsão de
fortalecimento institucional da ANPD, com vistas a viabilizar a assunção de suas novas
funções. Com efeito, a ANPD deve ser caracterizada por uma robusta independência
institucional, com autonomia técnica, decisória e administrativa. Esta independência, prevista
parcialmente na LGPD, é fundamental para assegurar que todas as decisões, diretrizes e
ações tomadas por essa entidade sejam fundamentadas em critérios técnicos sólidos e
objetivos, sempre visando ao melhor interesse da coletividade. A efetiva autonomia da ANPD
é uma salvaguarda contra interferências externas indevidas, sejam elas de ordem política,
econômica ou de qualquer outra natureza, que possam comprometer a integridade e a
imparcialidade de suas decisões. Para consolidar essa autonomia, é crucial que a legislação
estabeleça de maneira clara e expressa as prerrogativas legais e as competências da ANPD.
Nesse contexto, é pertinente que se siga o modelo estabelecido pela Lei das Agências (Lei nº
13.848, de 25 de junho de 2019), que delineia os parâmetros de atuação e autonomia das
agências reguladoras no Brasil. Ao adotar tais diretrizes, será assegurado que a ANPD opere
com a autonomia necessária para proteger os direitos dos cidadãos e promover uma
regulação eficaz do uso de sistemas de inteligência artificial no País.
Nesse sentido, propõe-se a inclusão no PL de expressa previsão de que o regime de
autarquia especial a que se submete a ANPD é o mesmo previsto para as agências
reguladoras e o Cade, nos termos do art. 3º da Lei nº 13.848/2019. Tal regramento é
necessário, pois, embora se refira ao regime de autarquia especial e assegure autonomia
técnica e decisória à ANPD, a LGPD não detalhou esses conceitos, o que, na prática, tem
suscitado muitas dúvidas e um grau elevado de insegurança jurídica quanto à real extensão
da autonomia da ANPD.
Além disso, propõe-se que uma nova estrutura regimental para a ANPD, contemplando os
ajustes necessários para a implementação de suas novas funções, seja publicada pelo Poder
Executivo no prazo de 120 dias da publicação da nova lei. Também é proposto que o Poder
Executivo encaminhe ao Congresso Nacional projeto de lei com a criação de quadro próprio
de servidores para a ANPD no prazo de até 180 dias.
Poder Executivo
O Poder Executivo, que pode ser representado por órgãos como o Ministério da Ciência,
Tecnologia e Inovação, Ministério da Gestão e da Inovação em Serviços Públicos e o
Ministério da Justiça e Segurança Pública, tem um papel crucial na formulação de políticas
públicas relacionadas à inteligência artificial, o que deve ser previsto de forma expressa na
proposta legislativa, seguindo a divisão de papeis usual entre órgãos reguladores e Poder
Executivo. O principal instrumento de materialização e coordenação de políticas públicas
relacionadas ao desenvolvimento de sistemas de IA no Brasil é a Estratégia Brasileira de
Inteligência Artificial (EBIA), tal como já previsto no PL 2338. Propõe-se que o PL atribua
expressamente ao Poder Executivo – e não à autoridade competente, como previsto na
atual redação do art. 32, parágrafo único, II, do PL – a competência para elaborar, gerir,
atualizar e implementar a EBIA. Caberá à ANPD contribuir no processo de elaboração e
implementar, apenas na esfera de suas atribuições, as previsões constantes da EBIA. Assim,
o Poder Executivo será incumbido da função geral de elaborar e implementar a EBIA, sendo
possível que parte do documento estabeleça, por exemplo, políticas, metas e orientações
gerais que demandem a implementação de determinadas ações específicas por parte da
ANPD, no âmbito de suas competências legais.
Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 7
Órgãos reguladores setoriais
Propõe-se que os Órgãos Reguladores Setoriais, tais como Agência Nacional de
Telecomunicações – Anatel, Agência Nacional de Saúde – ANS, Agência Nacional de Aviação
Civil – Anac, Agência Nacional do Cinema – Ancine, e Agência Nacional do Petróleo, Gás
Natural e Biocombustíveis – ANP, mantenham suas competências regulatórias específicas.
Dessa forma, alia-se a expertise setorial, própria de cada órgão regulador, com a visão
mais ampla e geral sobre os sistemas de IA, que decorre da atuação da ANPD,
enquanto órgão central. Com o objetivo de evitar sobreposição e fragmentação regulatórias,
o órgão central e os órgãos setoriais devem atuar de forma cooperativa e coordenada,
observando-se os regulamentos e orientações gerais da ANPD quanto ao uso de IA e, ao
mesmo tempo, as peculiaridades e especificidades de cada setor. O PL nº 2.338/2023 já
prevê uma coordenação das atividades da autoridade competente com estes órgãos e
entidades públicas, garantindo uma abordagem unificada e coordenada para a regulação da
inteligência artificial no Brasil. Propõe-se aqui a previsão específica de um “Fórum de Órgãos
Reguladores Setoriais”, a fim de institucionalizar e tornar permanente a cooperação entre o
órgão central e os órgãos setoriais. Em suma, o modelo institucional proposto visa a garantir
uma abordagem abrangente e coordenada para a regulação da inteligência artificial no Brasil,
alinhando-se com as diretrizes e princípios estabelecidos tanto na LGPD, quanto no PL nº
2.338/2023.
Conselho consultivo
Propõe-se, ainda, a criação de um Conselho Consultivo, que deve funcionar nos moldes
do Conselho Nacional de Proteção de Dados (CNPD). Este órgão terá como principal
função garantir a participação ativa de diversos grupos e setores da sociedade nas decisões
relacionadas à IA, seja na formulação e execução de políticas públicas, seja na atuação da
autoridade central, função a ser desempenhada pela ANPD, conforme proposto acima. Na
proposta legislativa apresentada a seguir, optamos por apenas mencionar a criação do
órgão consultivo, sem detalhar a sua composição e suas competências, tendo em vista
que tal detalhamento poderá ser efetuado em momento posterior, conforme já
mencionado.
Modelo institucional proposto
Proposta preliminar de alteração do PL nº 2338/2023
Capítulo VIII (arts. 32 a 35 da redação original do PL)
Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 8
CAPÍTULO VIII
DA SUPERVISÃO E FISCALIZAÇÃO
Seção I
Da Autoridade Competente
Art. 32. Fica designada como a autoridade competente a que se refere o artigo 4º, V, desta lei, a
Autoridade Nacional de Proteção de Dados (ANPD), autarquia de natureza especial, dotada de autonomia
técnica e decisória, com patrimônio próprio e com sede e foro no Distrito Federal.
§ 1º Aplica-se à ANPD o disposto no art. 3º e, no que couber, nos arts. 14 a 20 da Lei nº 13.848,
de 25 de junho de 2019.
§ 2º O Poder Executivo fornecerá os recursos necessários para assegurar o fortalecimento
institucional e a ampliação da estrutura e do corpo de servidores da ANPD para atender às determinações
desta Lei.
§ 3º Para atender ao disposto no § 2º deste artigo:
I – a nova estrutura regimental da ANPD deverá ser publicada no prazo de até 120 dias contados
da publicação desta Lei; e
II – o projeto de lei com a criação de quadro próprio de servidores da ANPD será encaminhado
pelo Poder Executivo ao Congresso Nacional no prazo de até 180 dias contados da publicação desta Lei.
§ 4º Sem prejuízo das competências previstas na Lei nº 13.709, de 21 de agosto de 2018, cabe à
ANPD:
I – zelar pela proteção a direitos fundamentais e a demais direitos afetados pela utilização de
sistemas de inteligência artificial;
II – contribuir para o processo de elaboração e implementar, em sua esfera de atribuições, a
Estratégia Brasileira de Inteligência Artificial junto aos órgãos de competência correlata;
III – promover e elaborar estudos sobre boas práticas no desenvolvimento e utilização de sistemas
de inteligência artificial;
IV – estimular a adoção de boas práticas, inclusive códigos de conduta, no desenvolvimento e
utilização de sistemas de inteligência artificial;
V – promover ações de cooperação com autoridades de proteção e de fomento ao
desenvolvimento e à utilização dos sistemas de inteligência artificial de outros países, de natureza
internacional ou transnacional;
VI – expedir normas para a regulamentação desta Lei, inclusive sobre:
a) procedimentos associados ao exercício dos direitos previstos nesta Lei;
b) procedimentos e requisitos para elaboração da avaliação de impacto algorítmico;
c) forma e requisitos das informações a serem publicizadas sobre a utilização de sistemas de
inteligência artificial; e
d) procedimentos para certificação do desenvolvimento e utilização de sistemas de alto risco.
VII – articular-se com as autoridades reguladoras públicas para exercer suas competências em
setores específicos de atividades econômicas e governamentais sujeitas à regulação;
Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 9
VIII – fiscalizar, de modo independente ou em conjunto com outros órgãos públicos competentes, a
divulgação das informações previstas nos arts. 7º e 43;
IX – fiscalizar e aplicar sanções, em caso de desenvolvimento ou utilização de sistemas de
inteligência artificial em descumprimento à legislação, mediante processo administrativo que assegure o
contraditório, a ampla defesa e o direito de recurso;
X – solicitar, a qualquer momento, às entidades do poder público que desenvolvam ou utilizem
sistemas de inteligência artificial, informe específico sobre o âmbito, a natureza dos dados e os demais
detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o
cumprimento desta Lei;
XI – celebrar, a qualquer momento, compromisso com agentes de inteligência artificial para
eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de
acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;
XII – apreciar petições em face do operador de sistema de inteligência artificial, após comprovada
apresentação de reclamação não solucionada no prazo estabelecido em regulamentação; e
XIII – elaborar relatórios anuais acerca de suas atividades.
§ 5º Ao exercer as atribuições do caput, a ANPD poderá estabelecer condições, requisitos, canais
de comunicação e divulgação diferenciados para fornecedores e operadores de sistemas de inteligência
artificial qualificados como micro ou pequenas empresas, nos termos da Lei Complementar nº 123, de 14 de
dezembro de 2006, e startups, nos termos da Lei Complementar nº 182, de 1º de junho de 2021.
Art. 33. A ANPD será o órgão central de aplicação desta Lei e do estabelecimento de normas e
diretrizes para a sua implementação.
Art. 34. A ANPD e os órgãos e entidades públicas responsáveis pela regulação de setores
específicos da atividade econômica e governamental coordenarão suas atividades, nas correspondentes
esferas de atuação, com vistas a assegurar o cumprimento desta Lei.
§ 1º A ANPD manterá o Fórum de Órgãos Reguladores Setoriais, inclusive por meio de
cooperação técnica, composto por órgãos e entidades da administração pública responsáveis pela regulação
de setores específicos da atividade econômica e governamental, a fim de facilitar as suas competências
regulatória, fiscalizatória e sancionatória.
§ 2º Nos ambientes regulatórios experimentais (sandbox regulatório) que envolvam sistemas de
inteligência artificial, conduzidos por órgãos e entidades públicas responsáveis pela regulação de setores
específicos da atividade econômica, a ANPD será cientificada, podendo se manifestar quanto ao
cumprimento das finalidades e princípios desta lei.
Art. 35. Os regulamentos e as normas editados pela ANPD, com amparo nesta Lei, serão
precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório, nos termos do
art. 55-J, § 2º, da Lei nº 13.709, de 21 de agosto de 2018 e dos arts. 6º a 12 da Lei nº 13.848, de 25 de junho
de 2019, no que cabível.
Seção II
Do Poder Executivo e do Conselho Consultivo de Inteligência Artificial
Art. 36. Caberá ao órgão competente do Poder Executivo promover a elaboração, atualização,
gestão e implementação da Estratégia Brasileira de Inteligência Artificial, observadas as competências da
ANPD e dos órgãos reguladores setoriais.
§ 1º A Estratégia Brasileira de Inteligência Artificial será elaborada com participação da sociedade,
sendo precedida da realização de consulta pública.
Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 10
§ 2º Fica criado o Conselho Consultivo de Inteligência Artificial, composto por representantes
titulares e suplentes do setor público e da sociedade, cuja função é garantir a participação ativa e
multissetorial na elaboração de recomendações acerca da regulação de inteligência artificial no Brasil.
§ 3º A composição e as competências do Conselho Consultivo de Inteligência Artificial serão
estabelecidas por Decreto do Poder Executivo. - CONCLUSÃO
À medida que a Inteligência Artificial continua a moldar e transformar diversos aspectos de nossa sociedade,
a necessidade de uma regulação clara, robusta e adaptada à realidade brasileira torna-se cada vez mais
premente. A IA, com seu vasto potencial e complexidades inerentes, apresenta desafios únicos que exigem
uma abordagem regulatória bem fundamentada e equilibrada.
Neste contexto, a Autoridade Nacional de Proteção de Dados emerge como uma instituição central, não
apenas pela sua expertise em proteção de dados, mas também pelo seu compromisso precípuo com os
direitos e interesses dos cidadãos brasileiros. A ANPD, com sua estrutura, conhecimento e capacidade
técnica, está idealmente posicionada para desempenhar um papel de liderança na regulação da IA no Brasil.
As sugestões apresentadas nesta Nota Técnica visam a fortalecer o papel da ANPD como autoridade-chave
na regulação de IA e garantir que o Projeto de Lei 2338/2023 esteja alinhado com os princípios e diretrizes
estabelecidos pela Lei Geral de Proteção de Dados. Estas propostas refletem uma análise cuidadosa e são
informadas por práticas regulatórias internacionais e pela experiência acumulada da ANPD.
Apresentamos ao Conselho Diretor da ANPD as sugestões aqui delineadas, com a sugestão de aprovação
do texto e posterior encaminhamento ao Poder Legislativo como contribuição para os debates em torno do
PL n. 2338/2023. Acreditamos que, ao considerar e incorporar estas recomendações, daremos passo
significativo para estabelecer um marco regulatório de IA que seja ao mesmo tempo inovador, protetor dos
direitos dos cidadãos e propício ao desenvolvimento tecnológico responsável no Brasil. - REFERÊNCIAS
[i] Brasil. Lei n. 13.709, de 2018. Lei Geral de Proteção de Dados Pessoais. Artigo 55-J, § 3º: A ANPD e os órgãos e
entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental
devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento
de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme
legislação específica, e o tratamento de dados pessoais, na forma desta Lei. Disponível em:
https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm.
[ii] Autoridade Nacional de Proteção de Dados. Sandbox Regulatório de Inteligência Artificial e Proteção de Dados
no Brasil. 03 de Outubro de 2023. Disponível em: https://www.gov.br/participamaisbrasil/sandbox-regulatorio-deinteligencia-artificial-e-protecao-de-dados-no-brasil.
[iii] União Europeia. European Parliament Briefing on the Artificial Intelligence Act. Junho de 2023. Disponível em:
https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/698792/EPRS_BRI(2021)698792_EN.pdf.
[iv] Commission Nationale de l’Informatique et des Libertés. Artificial intelligence: the action plan of the CNIL. 16 de
Maio de 2023. Disponível em: https://www.cnil.fr/en/artificial-intelligence-action-plan-cnil.
[v] Commission Nationale de l’Informatique et des Libertés. Comment permettre à l’Homme de garder la main ?
Rapport sur les enjeux éthiques des algorithmes et de l’intelligence artificielle. 15 de Dezembro de 2017. Disponível
em: https://www.cnil.fr/fr/comment-permettre-lhomme-de-garder-la-main-rapport-sur-les-enjeux-ethiques-desalgorithmes-et-de.
[vi] Commission Nationale de l’Informatique et des Libertés. “Sandbox”: CNIL launches call for projects on artificial
intelligence in public services. 28 de Julho de 2023. Disponível em: https://www.cnil.fr/en/sandbox-cnil-launchescall-projects-artificial-intelligence-public-services.
Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 11
[vii]
IAPP “Dutch DPA begins algorithm enforcement work”. 18 de Janeiro de 2023. Disponível em:
https://iapp.org/news/a/dutch-dpa-begins-algorithm-enforcement-work/.
[viii] Canadá. Bill C-27. 16 de Junho de 2022. Disponível em: https://www.parl.ca/DocumentViewer/en/44-1/bill/C27/first-reading.
[ix] Medeiros, Maya; Beatson, Jesse. Bill C-27: Canada’s first artificial intelligence legislation has arrived. Norton
Rose Fulbright. 23 de Junho de 2023. Disponível em: https://www.nortonrosefulbright.com/enca/knowledge/publications/55b9a0bd/bill-c-27-canadas-first-artificial-intelligence-legislation-has-arrived.
[x] Senado Federal. Projeto de Lei n. 2.338, de 2023, que dispõe sobre o uso da inteligência artificial. Disponível
em: https://legis.senado.leg.br/sdleg-getter/documento?dm=9347622&ts=1692285382471&disposition=inline.
À consideração superior.
Brasília, 17 de outubro de 2023.
DIEGO CARVALHO MACHADO
Servidor Público em Exercício na ANPD
LUCAS COSTA DOS ANJOS
Servidor Público em Exercício na ANPD
THIAGO GUIMARAES MORAES
Coordenador de Inovação e Pesquisa
De acordo. Encaminha-se o presente processo à Secretaria-Geral da ANPD para conhecimento e
providências cabíveis.
Brasília, 17 de outubro de 2023.
MARCELO SANTIAGO GUEDES
Coordenador-Geral de Tecnologia e Pesquisa
Documento assinado eletronicamente por Lucas Costa dos Anjos, ANPD – Autoridade Nacional de
Proteção de Dados, em 17/10/2023, às 16:15, conforme horário oficial de Brasília, com fundamento no
§ 3º do art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020 .
Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 12
Documento assinado eletronicamente por Diego Carvalho Machado, ANPD – Autoridade Nacional de
Proteção de Dados, em 17/10/2023, às 16:59, conforme horário oficial de Brasília, com fundamento no
§ 3º do art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020 .
Documento assinado eletronicamente por Thiago Guimaraes Moraes, Coordenador(a), em
17/10/2023, às 17:08, conforme horário oficial de Brasília, com fundamento no § 3º do art. 4º, do
Decreto nº 10.543, de 13 de novembro de 2020 .
Documento assinado eletronicamente por Marcelo Santiago Guedes, Coordenador(a)-Geral, em
17/10/2023, às 17:13, conforme horário oficial de Brasília, com fundamento no § 3º do art. 4º, do
Decreto nº 10.543, de 13 de novembro de 2020 .
A autenticidade do documento pode ser conferida informando o código verificador 4649091 e o código
CRC A29FD0ED no site:
https://super.presidencia.gov.br/controlador_externo.php?
acao=documento_conferir&id_orgao_acesso_externo=0
Referência: Processo nº 00261.002232/2023-26 SUPER nº 4649091
Nota Técnica 16 (4649091) SEI 00261.002232/2023-26 / pg. 13