Avaliação de Impacto Algorítmico: o que é, quem deve fazer e qual seu papel na governança da IA

Um guia para entender o papel da AIA no Projeto de Lei 2338/2023 e sua relação com o modelo europeu

Imagem gerada com o ChatGPT

No artigo anterior, vimos como a Avaliação de Impacto aos Direitos Fundamentais (Fundamental Rights Impact Assessment – FRIA) se apresenta no contexto europeu da regulação da inteligência artificial.

Hoje, quero abordar a proposta brasileira da Avaliação de Impacto Algorítmico (AIA) do Projeto de Lei nº 2338/2023 como o conceito equivalente ao FRIA europeu.

Em seu art. 25, o PL adota explicitamente a “avaliação de impacto algorítmico” como instrumento de proteção de direitos fundamentais, inserindo tal obrigação na governança de sistemas de IA de alto risco.

Essa avaliação de impacto está definida no projeto em seu art. 4, XVI, como

“análise do impacto sobre os direitos fundamentais, apresentando medidas preventivas, mitigadoras e de reversão dos impactos negativos, bem como medidas potencializadoras dos impactos positivos de um sistema de IA”.

Note que a AIA se propõe a ser uma uma avaliação abrangente dos efeitos que um sistema de IA pode ter sobre direitos e liberdades. Isso engloba os prejuízos — que é o mais chama a atenção das pessoas quando se avalia o impacto de uma IA — mas também os benefícios, que é sempre importante considerar se quisermos fazer uma análise equilibrada do impacto de uma tecnologia.

Segundo o texto do PL 2338/2023, a avaliação de impacto algorítmico (AIA) será obrigatória sempre que um sistema de IA for classificado como de alto risco.

Isso evidencia a lógica do projeto de IA brasileiro — que é a mesma do AI Act europeu — de estabelecer um modelo de regulação baseado em classificação de risco.

Por isso, segundo o art. 12 do PL, antes de introduzir um sistema de IA no mercado, o agente de IA (desenvolvedor, distribuidor ou aplicador) pode fazer uma avaliação preliminar para determinar o grau de risco (excessivo, alto ou baixo).¹

Se essa avaliação preliminar indicar que o sistema é de alto risco, então o desenvolvedor ou o aplicador que for colocar o sistema em serviço tem a obrigação legal de realizar a avaliação de impacto algorítmico.

Assim, uma diferença importante em relação ao AI Act é que, no modelo brasileiro a AIA aplica-se a qualquer IA de alto risco, independentemente do setor, abrangendo tanto empresas privadas quanto entes públicos que desenvolvam ou implementem tais sistemas.

Analisando a AIA

Vejamos os principais elementos da AIA previstos no art. 25 e seguintes, do PL brasileiro:

1. Obrigatoriedade

A AIA deverá ser conduzida pelo desenvolvedor ou pelo aplicador responsável por introduzir o sistema de IA de alto risco em uso ou no mercado. Em outras palavras, a obrigação recai sobre a pessoa natural ou jurídica que desenvolveu o sistema de IA ou a pessoa que emprega ou utiliza o sistema de IA.

2. Momento de realização

A avaliação de impacto deve ocorrer antes da implantação ou disponibilização do sistema de IA de alto risco. Além disso, a lei determina que a AIA consistirá em um processo iterativo e contínuo ao longo de todo o ciclo de vida do sistema, com atualizações periódicas conforme o sistema evolua ou surjam novas evidências de risco.

Assim, se o sistema de IA passa por modificações ou se identifica um novo risco durante seu uso, a avaliação deve ser revisitada. Caso, após a introdução, sejam descobertos riscos inesperados relevantes aos direitos de pessoas, o agente deve notificar a autoridade e os demais envolvidos e adotar medidas cabíveis, inclusive alertar os afetados, se necessário.

3. Metodologia e conteúdo mínimo

A metodologia da AIA será detalhada em regulamento pela autoridade competente, mas o PL já indica pontos obrigatórios. A avaliação deve considerar e registrar, no mínimo, os riscos e benefícios que o sistema de IA pode trazer aos direitos fundamentais, bem como as medidas de atenuação desses riscos e a efetividade dessas medidas.

Ou seja, o relatório de impacto deve documentar:

• quais potenciais impactos negativos aos direitos foram mapeados;

• quais ações de mitigação (ou seja, salvaguardas técnicas, organizacionais, etc.) serão adotadas;

• quão eficazes se espera que essas ações sejam na prevenção de danos.

Um ponto importante: o PL menciona no art. 27 que, se o agente de IA já for obrigado a elaborar um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) nos termos da LGPD, a avaliação de impacto algorítmico poderá ser feita em conjunto com esse relatório.

4. Papel das autoridades e fluxo de informações

Nos termos do § 1º, do art. 25, o desenvolvedor de IA de alto risco deverá compartilhar com a autoridade setorial competente tanto a avaliação preliminar de risco quanto o relatório da avaliação de impacto algorítmico.

Isso cria um canal de supervisão, permitindo que órgãos reguladores acompanhem os riscos dos sistemas de IA em suas áreas (por exemplo, o Banco Central no caso de IA financeira, ANS na saúde etc).

Além disso, o texto autoriza que um agente de IA solicite informações a outros agentes na cadeia (por exemplo, aplicador solicitando ao desenvolvedor ou distribuidor) que sejam necessárias para realizar a AIA, respeitados os segredos comerciais e industriais. Isso busca garantir que quem conduz a avaliação tenha acesso a dados e documentação suficientes sobre o sistema.

Os critérios gerais para a elaboração da AIA e a periodicidade de sua atualização serão definidos no futuro pela ANPD (a autoridade competente que coordena o Sistema Nacional de Regulação e Governança de Inteligência Artificial - SIA).

As autoridades setoriais, como BACEN a ANS, podem especificar critérios das AIAs em suas respectivas áreas e definir os casos em que essa avaliação pode ser flexibilizada, conforme as características de cada setor.

O PL também abre a possibilidade de participação pública em AIAs, desde que a ANPD ou as autoridades setoriais estabeleçam em que hipóteses isso deve ocorrer e como essa participação se dará.

5. Transparência dos resultados

Em linha com o princípio da accountability, o PL dispõe que as conclusões da avaliação de impacto serão públicas, ressalvados os trechos que revelem segredo industrial ou comercial protegido.

Segundo o art. 46, II, “a”, isso vai depender de norma posterior a ser editada pela ANPD, que deve estabelecer a forma e os requisitos das informações a serem publicizadas.

Essa publicidade aumenta a confiança e permite escrutínio externo sobre como uma IA de alto risco está sendo gerenciada em termos de direitos fundamentais. Por outro lado, ela precisa ser tratada com o devido cuidado, na medida em que o segredo industrial ou comercial é um elemento fundamental do desenvolvimento econômico.

Diferença de abrangência entre o FRIA e a AIA

Conforme o AI Act, a obrigação de conduzir um FRIA recai sobre os responsáveis pela implantação (deployers) de IA de alto risco em determinados contextos, como setor público ou serviços de interesse público (como educação e saúde), e usos considerados sensíveis (como avaliação de crédito e precificação de seguros de vida).

No PL 2338, a AIA é exigida para qualquer sistema de IA classificado como de alto risco, em qualquer setor, seja a entidade privada ou pública. Ou seja, o PL brasileiro como está é muito mais abrangente quanto aos setores e agentes envolvidos do que o AI Act.

É verdade que o § 4º, do art. 25 do PL abre espaço para um flexibilização pelas autoridades setoriais na realização das AIAs. Mas não há segurança quanto à maneira e à frequência com que isso ocorrerá. Talvez fosse melhor seguir o exemplo do AI Act nesse ponto.

A UE optou explicitamente por delimitar o FRIA obrigatório a fim de concentrá-lo onde o potencial de dano social é mais crítico: órgãos públicos e certos usos privados de grande impacto.

Conclusão

Em suma, o marco legal brasileiro segue uma lógica similar à europeia no sentido de exigir uma avaliação prévia focada em direitos fundamentais para IA de alto risco, incorporando-a como obrigação de compliance.

No AI ACT, essa avaliação recebe o nome de Fundamental Rights Impact Assessment (FRIA), enquanto que, no Brasil, por influência do PL 2338, ela tem sido chamada de Avaliação de Impacto Algorítmico (AIA).

A AIA é tratada como peça central da governança de IA no PL 2338/2023, desemprenhando um importante papel IA para a transparência e prevenção de danos de sistemas de IA de alto risco.

Assim, tanto a UE quanto o Brasil reconhecem a avaliação de impacto como peça fundamental para uma regulação responsável da inteligência artificial.

Em ambos os casos, depois da norma geral, ainda haverá desafios na operacionalização — como padronização de métodos, capacitação de equipes multidisciplinares para conduzir essas avaliações e coordenação entre órgãos reguladores.

Mas os dois modelos regulatórios revelam uma direção clara para o compliance de IA no mundo: FRIAs/AIAs tendem a se tornar práticas cada vez mais comuns, buscando fortalecer a confiança no uso de sistemas de IA.

1

No texto aprovado pelo Senado, esta avaliação preliminar aparece como uma faculdade do agente de IA (uma medida de boa prática), já que o art. 12 usa o verbo “poderá”. Essa foi uma alteração em relação à redação original do PL elaborada pela Comissão de Juristas e apresentada pelo Senador Rodrigo Pacheco.

Mas como a avaliação preliminar pode ser facultativa se, na lógica do texto, ela é necessária para determinar o grau de risco do sistema? Como se saberia o risco do sistema sem fazer antes a avaliação preliminar? Nesse aspecto, a redação originalmente apresentada parece mais consistente.

---

A União Europeia está revisando o GDPR — seu regulamento geral de proteção de dados — com o objetivo de reduzir burocracias e impulsionar a inovação em áreas como inteligência artificial.

Na Masterclass de maio, vamos analisar:
✅ O que está mudando no GDPR — e por que agora
✅ Os impactos dessa reorientação regulatória para empresas e profissionais
✅ O que essa mudança indica sobre o futuro da proteção de dados na Europa e seus reflexos no Brasil

🔒 O acesso à Masterclass é exclusivo para quem assina o Board Technoethics.

✨ Ao entrar para o Board, você recebe:
✔️ Uma Masterclass mensal
✔️ Gravação da aula
✔️ Material de apoio exclusivo
✔️ Acesso ao grupo da comunidade no WhatsApp

💳 Valor: R$ 97/mês (com cancelamento a qualquer momento)

🔗 Saiba mais e garanta sua vaga.

📌 O Board é a comunidade executiva da Technoethics, voltada para quem quer acompanhar, com profundidade e senso crítico, os rumos da regulação e das tecnologias emergentes.