Inteligência Artificial e Regulação: O Poder Sem Sujeito
Sistemas de inteligência artificial já decidem sobre crédito, emprego, saúde e benefícios sociais, mas nenhum sujeito responde por esses atos. Analisamos o conceito de poder sem sujeito, a governança algorítmica e por que o Brasil precisa de uma lei de IA com urgência.
Há uma característica incomum nas decisões tomadas por sistemas de inteligência artificial: elas produzem efeitos jurídicos reais sobre pessoas reais, mas frequentemente não há um responsável claro. O algoritmo não é pessoa. A empresa que o criou alega que o modelo aprendeu sozinho. O cliente que o contratou diz que apenas seguiu a recomendação da ferramenta. O resultado é uma zona cinzenta de poder sem sujeito, em que direitos são afetados sem que exista um agente identificável para responder pela lesão.
Esse fenômeno não é abstrato. Ele ocorre quando um banco nega crédito com base em pontuação algorítmica sem explicar os critérios; quando um sistema de triagem descarta currículos de candidatos antes que qualquer humano os leia; quando plataformas de saúde recomendam condutas clínicas derivadas de modelos treinados em populações específicas. Em todos esses casos, há uma decisão com consequências jurídicas e uma lacuna de responsabilidade que o direito brasileiro ainda não preencheu adequadamente.
O Conceito de Governança Algorítmica
A governança algorítmica descreve o conjunto de processos pelos quais sistemas automatizados exercem funções que, até recentemente, eram reservadas a agentes humanos com capacidade de prestar contas. Trata-se de um deslocamento do poder de decisão: em vez de um servidor público, um gerente ou um médico, passa a ser um modelo de aprendizado de máquina o responsável por filtrar, classificar e recomendar.
O problema não é tecnológico, mas político e jurídico. A teoria clássica do direito administrativo e do direito civil foi construída sobre a premissa de que decisões relevantes são tomadas por sujeitos identificáveis, que podem ser notificados, questionados, responsabilizados e, se necessário, acionados judicialmente. Quando o decisor é um modelo de IA, essa cadeia se rompe.
Pesquisadores como Antoinette Rouvroy e Thomas Berns, que cunharam o termo “governamentalidade algorítmica”, alertam que os sistemas de IA não apenas executam políticas: eles as produzem, muitas vezes sem que as organizações que os utilizam compreendam integralmente seus critérios internos. Isso é o que torna a opacidade dos modelos, o chamado problema da caixa-preta, uma questão central de direito e não apenas de engenharia.
“Uma decisão que afeta direitos fundamentais não pode ser imune ao contraditório apenas porque foi gerada por um algoritmo. A automatização do poder exige a democratização da transparência.”
O EU AI Act como Modelo Comparativo
Em junho de 2024, a União Europeia promulgou o AI Act, o primeiro marco regulatório abrangente sobre inteligência artificial no mundo. O diploma adota uma abordagem baseada em risco: quanto maior o potencial de dano de um sistema de IA, mais rigorosos são os requisitos que ele deve cumprir antes de ser colocado em operação.
A norma europeia classifica os sistemas de IA em quatro categorias. Os de risco inaceitável, como sistemas de pontuação social governamental ou manipulação subliminar de comportamento, são proibidos. Os de alto risco, que incluem IA usada em recrutamento, concessão de crédito, educação, saúde e infraestrutura crítica, devem passar por avaliação de conformidade, manter registros de auditoria, garantir supervisão humana e assegurar transparência ao usuário afetado. Os de risco limitado têm obrigações de transparência mais modestas. Os de risco mínimo são essencialmente livres de regulação.
O aspecto mais relevante para o debate brasileiro é o que o EU AI Act chama de direito à explicação. Qualquer pessoa sujeita a uma decisão significativa tomada por um sistema de alto risco tem o direito de receber uma explicação inteligível sobre os principais fatores que influenciaram o resultado. Esse direito não existe hoje de forma expressa no ordenamento brasileiro, embora a Lei Geral de Proteção de Dados (LGPD) contenha um embrião relevante no artigo 20, que trata de revisão de decisões automatizadas.
Outro ponto do EU AI Act que merece atenção é a responsabilidade pelo ciclo de vida. A norma distribui obrigações entre fornecedores, importadores, distribuidores e operadores de sistemas de IA, criando uma cadeia de responsabilidade solidária que mitiga o problema do poder sem sujeito. Essa arquitetura regulatória oferece um modelo útil para o Brasil adaptar.
O Brasil diante da Lacuna Regulatória
O Brasil não está completamente despreparado. A LGPD, em vigor desde 2020, já prevê no artigo 20 o direito do titular de dados de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado. O problema é que esse dispositivo tem aplicação limitada: exige que o controlador informe os critérios utilizados, mas não define o que é uma explicação suficiente nem estabelece um regime de responsabilidade específico para danos causados por sistemas automatizados.
O Código de Defesa do Consumidor e o Código Civil oferecem alguma proteção residual, especialmente pela teoria da responsabilidade objetiva do fornecedor de produtos e serviços defeituosos. Mas a aplicação dessas normas a sistemas de IA gera controvérsias doutrinárias relevantes: o modelo de IA é um produto ou um serviço? O defeito está na programação original ou no aprendizado posterior? Quem responde pelo dano: o desenvolvedor do modelo base, a empresa que o ajustou ou o operador que o implantou?
No Congresso, o PL 2338/2023, de autoria do Senado Federal, representa a tentativa mais estruturada de criar um marco regulatório para IA no Brasil. O projeto adota uma abordagem de risco semelhante à europeia e cria deveres de transparência, avaliação de impacto e responsabilização para sistemas de IA de alto risco. Contudo, o texto ainda tramita e enfrenta resistências do setor produtivo, que alega que uma regulação prematura pode inibir a inovação nacional.
Esse argumento merece escrutínio. A experiência europeia sugere que marcos regulatórios claros tendem a aumentar a confiança dos usuários e a atrair investimentos em IA responsável, em vez de afastar o desenvolvimento tecnológico. A ausência de regulação, por outro lado, gera insegurança jurídica para as próprias empresas, que não sabem os limites do que podem fazer, e para os cidadãos, que não sabem como se defender quando lesados.
Vale lembrar que o Brasil já regulou setores tecnológicos com resultados positivos. O Marco Civil da Internet (Lei 12.965/2014) é citado internacionalmente como referência em proteção de direitos digitais. A LGPD, apesar de suas limitações, posicionou o país no grupo de nações com legislação moderna de privacidade. Um marco regulatório de IA bem desenhado seguiria essa tradição de liderança normativa regional. Para aprofundar a leitura sobre direitos digitais no contexto brasileiro, recomendamos a análise de nossas áreas de atuação em direito digital e direito administrativo.
Responsabilidade e Direitos dos Afetados
Do ponto de vista prático, o cidadão brasileiro que hoje é prejudicado por uma decisão algorítmica enfrenta um caminho tortuoso. Identificar o responsável, obter acesso aos critérios do modelo e provar o nexo causal entre o funcionamento do sistema e o dano sofrido são obstáculos consideráveis, especialmente diante da assimetria de informação e de recursos entre indivíduos e grandes organizações.
Uma regulação adequada precisa endereçar pelo menos quatro pontos. Primeiro, o direito à explicação: a pessoa afetada deve receber, em linguagem acessível, os fatores determinantes da decisão automatizada que a atingiu. Segundo, o direito à revisão humana: decisões de alto impacto, como negação de crédito, demissão ou exclusão de benefício, devem poder ser revistas por um ser humano qualificado. Terceiro, a inversão do ônus da prova em litígios envolvendo IA: diante da opacidade dos modelos, é razoável que a empresa operadora demonstre que o sistema funcionou corretamente, e não que o consumidor prove o contrário. Quarto, a auditabilidade: sistemas de IA de alto risco devem manter logs suficientes para permitir auditoria ex post, seja por autoridades regulatórias, seja por peritos em processos judiciais.
A Autoridade Nacional de Proteção de Dados (ANPD) tem potencial para ser o órgão regulador central nesse ecossistema, mas precisaria de ampliação de mandato e de recursos humanos especializados para fiscalizar sistemas de IA de forma efetiva. Essa discussão sobre o desenho institucional da regulação é tão importante quanto o conteúdo das normas materiais, e costuma ser negligenciada no debate público.
Para quem atua com questões de direito digital e deseja entender como essas mudanças regulatórias podem afetar sua situação específica, o caminho mais seguro é buscar orientação jurídica especializada. Acesse nossa página de contato para agendar uma consulta e discutir seu caso com um advogado especializado.
Perguntas Frequentes
O que significa “poder sem sujeito” no contexto da inteligência artificial?
O termo descreve a situação em que sistemas de IA tomam decisões com efeitos jurídicos reais sobre pessoas, mas nenhum agente humano ou jurídico identificável pode ser diretamente responsabilizado por elas. O algoritmo não é pessoa, o desenvolvedor alega que o modelo aprendeu de forma autônoma e o operador diz ter apenas seguido a recomendação do sistema. Essa cadeia de negação de responsabilidade cria uma lacuna incompatível com os princípios fundamentais do direito.
O EU AI Act se aplica a empresas brasileiras?
O EU AI Act tem alcance extraterritorial: aplica-se a qualquer sistema de IA colocado no mercado europeu ou utilizado na União Europeia, independentemente de onde o desenvolvedor ou operador esteja sediado. Portanto, empresas brasileiras que exportam produtos ou serviços baseados em IA para clientes europeus ou que operam plataformas acessíveis na UE precisam avaliar sua conformidade com a norma. Além disso, o EU AI Act serve como referência para o debate regulatório brasileiro e pode influenciar diretamente o texto final do PL 2338/2023.
O que o artigo 20 da LGPD já garante em relação a decisões automatizadas?
O artigo 20 da LGPD assegura ao titular de dados o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, incluindo decisões destinadas a definir seu perfil pessoal, profissional, de consumo e de crédito. O controlador deve informar os critérios e procedimentos utilizados para a decisão. No entanto, a norma não detalha o que constitui uma explicação adequada, não define um regime de responsabilidade civil específico e não prevê sanções diferenciadas para descumprimento nesse ponto, o que limita sua efetividade prática.
Quais setores seriam mais afetados por uma regulação de IA no Brasil?
Os setores com uso intensivo de IA para decisões individualizadas seriam os mais diretamente impactados: instituições financeiras que utilizam modelos de credit scoring, plataformas de recrutamento com triagem automatizada de candidatos, operadoras de saúde com ferramentas de apoio diagnóstico, e órgãos públicos que já usam IA para análise de benefícios sociais e gestão de serviços. O setor de publicidade digital e as plataformas de conteúdo também seriam afetados, especialmente quanto à transparência dos sistemas de recomendação. Uma regulação bem calibrada pode aumentar a confiança nesses setores ao invés de simplesmente restringi-los. Para entender os impactos regulatórios em situações concretas, consulte nossa equipe especializada.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
