Avaliação de Impacto da IA aos Direitos Fundamentais: o que é, para que serve e o que não pode faltar

Uma análise do Fundamental Rights Impact Assessment (FRIA)

Imagem gerada com o ChatGPT

A Avaliação de Impacto aos Direitos Fundamentais (Fundamental Rights Impact Assessment – FRIA) é um processo de análise voltado a identificar e mitigar riscos que um sistema de Inteligência Artificial (IA) possa representar a direitos como igualdade, privacidade, liberdade de expressão, entre outros.

Essa avaliação ganhou destaque inicialmente nas diretrizes éticas europeias sobre IA (Ethics Guidelines for Trustworthy AI), publicadas em 2019, que estabeleciam princípios para uma IA confiável, incluindo a necessidade de respeito aos direitos fundamentais e mecanismos de accountability.

Como parte dessas diretrizes, foi proposto um checklist de autoavaliação para que desenvolvedores e organizações verificassem se seus sistemas atendem aos requisitos éticos e legais estabelecidos pelas diretrizes europeias. São eles:

• agência humana e supervisão;

• robustez técnica e segurança;

• privacidade e governança de dados;

• transparência;

• diversidade, não discriminação e justiça;

• bem estar social e ambiental e

• accountability.

Esse checklist evoluiu para um documento publicado em 2020, o Assessment List for Trustworthy AI (ALTAI). Mas segundo o ALTAI, antes de verificar quaisquer dos requisitos acima, deve-se realizar uma Avaliação de Impacto aos Direitos Fundamentais (FRIA).

Assim, na perspectiva europeia, o FRIA é o primeiro passo para avaliar a confiabilidade de uma IA. Não poderia ser diferente uma vez que os documentos europeus claramente enfatizam que uma IA confiável deve respeitar princípios éticos que estão fundados nos direitos fundamentais encontrados na Convenção Europeia de Direitos Humanos e na Carta Europeia de Direitos Fundamentais.

Figura retirada das Orientações Éticas para uma IA de Confiança, da União Europeia

Mais especificamente, o FRIA é um instrumento de governança que antecipa possíveis impactos negativos da IA sobre pessoas e sociedade, orientando ajustes no design ou no uso do sistema para torná-lo compatível com os direitos fundamentais.

O que se avalia em um FRIA?

No FRIA, os responsáveis pelo sistema de IA mapeiam riscos específicos aos direitos de indivíduos ou grupos afetados e definem medidas preventivas ou mitigadoras caso esses riscos venham a se concretizar.

Trata-se, portanto, de uma ferramenta de transparência e prevenção de danos, que também facilita a prestação de contas (accountability) por parte dos desenvolvedores ou implementadores da IA.

O FRIA vai cobrir as diferentes dimensões dos direitos fundamentais, com base em perguntas orientadoras sobre cada uma delas. No contexto europeu, esses direitos são encontrados nos documentos mencionados acima.

O ALTAI traz exemplos práticos do que deve ser avaliado em um FRIA. São questões como as que vemos abaixo.

1. Não discriminação

   • O sistema de IA tem o potencial de discriminar negativamente pessoas com base em características como sexo, raça, origem étnica, orientação sexual, idade, etc.?

   • Existem processos implementados para testar e monitorar vieses durante o desenvolvimento, implantação e uso do sistema?

   • E mecanismos para corrigir ou eliminar eventuais discriminações identificadas?

2. Direitos de crianças e grupos vulneráveis

   • O sistema respeita os direitos da criança, considerando a proteção de menores e seu melhor interesse?

   • Há medidas para evitar e remediar potenciais danos a crianças causados pelo sistema de IA?

   • Estão previstos testes e monitoramento específicos durante o desenvolvimento e uso, visando identificar riscos a crianças ou a outros grupos vulneráveis?

3. Privacidade e proteção de dados

   • O sistema de IA protege os dados pessoais e a privacidade dos indivíduos em conformidade com o GDPR (Regulamento Europeu de Proteção de Dados)?

   • Avaliou-se em detalhe a necessidade de realizar uma Avaliação de Impacto a Proteção de Dados (DPIA) específica, considerando a proporcionalidade do tratamento de dados pelo sistema?

   • Foram adotadas salvaguardas de segurança e governança de dados adequadas para mitigar riscos à privacidade nas fases de desenvolvimento, implantação e uso?

4. Liberdades de expressão, informação e associação

   • O sistema de IA respeita a liberdade de expressão e de informação, e o direito de associação?

   • Há processos para testar e monitorar possíveis violações a essas liberdades durante o uso do sistema (por exemplo, risco de censura algorítmica ou supressão de conteúdo legítimo)?

   • Em caso de possível impacto nessas liberdades, existem mecanismos para corrigir e compensar eventuais interferências indevidas causadas pelo sistema?

Note que o FRIA foi claramente inspirado no DPIA (Data Protection Impact Assessment), no Brasil conhecido como RIPD (Relatório de Impacto a Proteção de Dados Pessoais), mas ele expande seu foco para todos os direitos fundamentais potencialmente afetados por IA e não apenas a questão dos dados pessoais.

O FRIA no AI Act

Enquanto era previsto apenas as Ethics Guidelines for Trustworthy AI e no ALTAI, o FRIA era uma avaliação não vinculante. Mas com a chegada do AI Act, o marco regulatório europeu para a IA, realizar um FRIA passará a ser um requisito obrigatório em certos casos de IA de alto risco, a partir de 02 de agosto de 2026, que é quando o artigo 27 da lei entra em vigor.

É nesse artigo 27 do AI Act que encontramos as regras sobre o FRIA. Esse artigo determina que antes de implementar um sistema de IA de alto risco, os responsáveis pela implantação devem realizar a avaliação do impacto dessa IA sobre os direitos fundamentais.

Essa obrigação recai sobre:

• órgãos de direito público,

• entidades privadas que prestam serviços de interesse público, como educação, saúde, habitação, justiça e serviços sociais.

• sistemas de IA utilizados para avaliar a capacidade de crédito de pessoas físicas ou estabelecer pontuações de crédito (excluindo sistemas destinados à detecção de fraudes financeiras).

• sistemas de IA utilizados para avaliação de riscos e precificação relacionados a pessoas físicas no contexto de seguros de vida e saúde.

Na prática, o responsável pela implantação deve examinar e documentar:

• como e em que contexto o sistema de IA será usado,

• quais categorias de pessoas podem ser afetadas e de que forma,

• quais riscos aos direitos foram identificados,

• que medidas de supervisão humana existirão e

• que ações serão tomadas para mitigar ou remediar impactos negativos.

Além disso, os resultados do FRIA precisam ser comunicados à autoridade supervisora competente (market surveillance authority), exceto em casos de isenção previstos em lei.

Assim, o FRIA passa a ser um requisito legal ao lado de outras obrigações de gestão de risco estabelecidas no AI Act, como governança de dados e supervisão humana.

É importante notar que a obrigatoriedade do FRIA tem alcance limitado aos responsáveis pela implantação de sistemas de IA que vimos acima. Portanto, segundo o art. 27, não há obrigatoriedade de realizar um FRIA em casos como:

• empresas privadas que não prestam serviços de interesse público e que utilizam sistemas de IA de alto risco fora das áreas especificadas no Anexo III do AI Act.

• responsáveis pela implantação de sistemas de IA de alto risco utilizados como componentes de segurança na gestão e operação de infraestruturas digitais críticas, tráfego rodoviário ou no fornecimento de água, gás, aquecimento ou eletricidade.

Apesar da União Europeia ser normalmente acusada de obrigações regulatórias excessivas, o art. 27 parece ter buscado um certo equilíbrio entre proteger direitos e não onerar demais os setores regulados, prejudicando a inovação.

No que tange à avaliação de impacto ao direitos fundamentais, essa é uma diferença importante entre o AI Act e o PL 2338 que busca regular a IA no Brasil. Veremos isso na semana que vem.

---

A União Europeia está revisando o GDPR — seu regulamento geral de proteção de dados — com o objetivo de reduzir burocracias e impulsionar a inovação em áreas como inteligência artificial.

Na Masterclass de maio, vamos analisar:
✅ O que está mudando no GDPR — e por que agora
✅ Os impactos dessa reorientação regulatória para empresas e profissionais
✅ O que essa mudança indica sobre o futuro da proteção de dados na Europa e seus reflexos no Brasil

🔒 O acesso à Masterclass é exclusivo para quem assina o Board Technoethics.

✨ Ao entrar para o Board, você recebe:
✔️ Uma Masterclass mensal
✔️ Gravação da aula
✔️ Material de apoio exclusivo
✔️ Acesso ao grupo da comunidade no WhatsApp

💳 Valor: R$ 97/mês (com cancelamento a qualquer momento)

🔗 Saiba mais e garanta sua vaga.

📌 O Board é a comunidade executiva da Technoethics, voltada para quem quer acompanhar, com profundidade e senso crítico, os rumos da regulação e das tecnologias emergentes.