A literacia em Inteligência Artificial deixou de ser apenas uma boa prática de sensibilização interna. No contexto do Regulamento da Inteligência Artificial (doravante “AI Act”), os fornecedores e responsáveis pela utilização de sistemas de IA devem adotar medidas que assegurem um nível suficiente de literacia em IA junto das pessoas que utilizam ou operam esses sistemas em seu nome.
Neste contexto, a ANACOM publicou um Projeto de Orientações Organizacionais que densifica, numa perspetiva prática, o modo como as organizações devem estruturar os respetivos planos internos de formação e sensibilização em IA.
Plano de formação: estrutura e princípios
De acordo com o Projeto, as organizações devem definir e implementar um plano contínuo de formação e sensibilização em IA, assente em três níveis: fundamental, intermédio e avançado. Este plano deve ser integrado nos processos de onboarding e nos programas internos já existentes, nomeadamente nas áreas de cibersegurança, proteção de dados, compliance e ética.
A formação deve ser modular e diferenciada em função dos perfis funcionais, das responsabilidades e dos níveis de exposição ao risco, devendo recorrer a exemplos práticos associados aos sistemas de IA concretamente utilizados pela organização.
O programa deve ainda ser periodicamente atualizado e integrado na governação interna e nos ciclos regulares de revisão organizacional.
Nível fundamental
No nível fundamental, a formação teórica deve abranger os conceitos básicos de IA, os seus limites e exemplos internos de utilização, os riscos típicos, incluindo enviesamento e erro material, o dever de validação humana, as regras internas de confidencialidade, proteção de dados pessoais e proteção de informação confidencial ou sujeita a dever de sigilo ou reserva legal, bem como a utilização segura dos sistemas e o conhecimento do canal de reporte interno.
No caso de sistemas de IA com funcionalidades agênticas, a formação deve incluir noções práticas sobre delegação segura de tarefas, limites de ação do sistema, identificação das situações em que a validação humana é obrigatória antes da execução de ações externas ou persistentes, proteção de credenciais, acessos e informação sensível no contexto de integrações e ferramentas. Deve ainda assegurar a consciencialização de que a execução automática não elimina a responsabilidade humana pela supervisão e pela decisão final.
A componente prática deve incidir sobre sistemas que geram conteúdos sintéticos, abordando as limitações destas ferramentas, incluindo a possibilidade de produção de conteúdos factualmente incorretos, a necessidade de verificação e validação humana e a proibição de utilização de outputs não verificados em comunicações externas ou em processos críticos.
Nível intermédio
No nível intermédio, a formação teórica deve abranger os riscos jurídicos, operacionais e éticos relevantes, os critérios de intervenção humana e de validação reforçada, o impacto potencial em pessoas, interesses e direitos fundamentais, bem como a articulação com as políticas internas aplicáveis, incluindo proteção de dados pessoais, segurança da informação e regras relativas a informação confidencial ou sujeita a dever de sigilo.
Este nível deve ainda incluir noções operacionais de rastreabilidade e de registo do uso, como o registo do recurso a IA em processos sensíveis, a indicação de fontes, quando existam, e a justificação das decisões humanas quando o output de IA influencie decisões com impacto material.
No caso de sistemas com funcionalidades agênticas, a formação deve capacitar os utilizadores para avaliar criticamente propostas de ação do sistema, compreender critérios de aprovação humana e de validação reforçada antes da execução, interpretar registos e logs relevantes e reconhecer riscos de propagação automática de erros, decisões inadequadas ou ações indevidas a sistemas ou processos a jusante. Deve também permitir compreender, quando aplicável, a necessidade de recorrer a mecanismos internos de suspensão ou escalonamento perante anomalias ou dúvidas fundadas quanto à fiabilidade, adequação ou contextualização do resultado no caso concreto.
A componente prática deve incidir sobre o reconhecimento de situações em que possam estar em causa obrigações específicas do AI Act, designadamente obrigações de transparência, informação ou supervisão humana, quando e na medida em que os respetivos pressupostos legais se verifiquem, sem prejuízo de a qualificação jurídica ser assegurada pelos circuitos internos competentes.
Nível avançado
O nível avançado destina-se, em particular, a perfis com responsabilidades técnicas, de governação ou de controlo. A formação deve abranger matérias como governação, qualidade de dados e mitigação de enviesamentos, monitorização e auditoria, deteção de degradação de desempenho, incluindo drift, documentação técnica, registo de versões e gestão de incidentes, incluindo incidentes de segurança e falhas relevantes.
Deve ainda incluir medidas técnicas e organizativas para controlo do uso de ferramentas de geração de conteúdos, como gestão de acessos, logging, salvaguardas contra exfiltração de informação sensível e mecanismos de deteção e mitigação de outputs materialmente incorretos ou inadequados ao contexto operacional.
No caso de sistemas com funcionalidades agênticas, o nível avançado deve abranger, de forma proporcional à dimensão e ao contexto técnico da organização, controlos técnicos reforçados, incluindo permissões e acessos mínimos necessários, segregação de funções, gestão segura de credenciais, com mecanismos de rotação e revogação, desenho, configuração e teste de mecanismos de aprovação humana, implementação e verificação periódica de mecanismos de suspensão ou desconexão imediata, como kill switches, logging e auditoria dos outputs e das ações executadas ou propostas pelo sistema, bem como resposta estruturada a incidentes e quase-incidentes resultantes de ação indevida ou não autorizada.
A componente prática traduz-se na capacidade de operacionalizar a articulação entre governação técnica, regras internas e obrigações legais aplicáveis, designadamente quanto à alteração de funcionalidades, substituição de fornecedores, integração de componentes e avaliação de impacto operacional e de risco, com registo das decisões e dos respetivos fundamentos no dossier de conformidade.
Certificação e evidência
O Projeto não impõe uma obrigação de certificação externa nem uma avaliação individual obrigatória do conhecimento em IA. Admite, contudo, a adoção de mecanismos proporcionais de diagnóstico e monitorização da eficácia das medidas de formação, enquanto instrumentos de gestão de risco, capacitação e melhoria contínua, e não como mecanismos de avaliação individual de desempenho.
As organizações deverão, ainda assim, conseguir demonstrar diligência e maturidade organizacional, através da implementação de medidas de formação adequadas, estruturadas e proporcionais. Para esse efeito, será relevante manter evidência interna adequada e proporcional das iniciativas de formação e sensibilização implementadas.
Nota final
A literacia em IA assume uma função central na conformidade com o AI Act, mas também na prevenção de riscos operacionais, jurídicos e reputacionais associados à utilização de sistemas de inteligência artificial.
O Projeto de Orientações da ANACOM constitui, assim, uma referência prática relevante para as organizações que estejam a estruturar ou a rever os seus programas internos de formação em IA, devendo estas avaliar, desde já, o seu grau de preparação face aos requisitos emergentes do quadro regulatório europeu.
Por Joana Pinto, Marta Beleza Costa e Simão Sobreiros Henriques, Área de Prática – Digital Contracting & Compliance
