“O mau uso da IA compromete o valor da empresa”

Com mais de 20 anos de experiência, Adolfo Mesquita Nunes especializou-se em políticas públicas, contratação pública e contencioso administrativo, com vasta experiência em contratos públicos e representou várias autoridades públicas e entidades privadas em litígios administrativos.

Integra a Pérez-Llorca em Lisboa desde 2024 como sócio na área de Direito Público e Regulatório. Foi secretário de Estado do Turismo nos XIX e XX Governos Constitucionais e vice-presidente do CDS/PP. Atualmente, Mesquita Nunes é administrador não executivo independente e Vice-Presidente do Conselho de Administração da Galp Energia

Em entrevista à Advocatus, fala sobre a sua nova paixão: Inteligência Artificial (IA). Com a aprovação da regulação específica para a tecnologia que está, e vai continuar, a revolucionar o mundo por Bruxelas, Adolfo Mesquita Nunes explica os contornos e os impactos que o novo quadro regulatório traz. O sócio da Pérez-Llorca deixa o aviso: “se olharmos para a IA como uma simples matéria de compliance, estaremos a prestar um mau serviço”.

Na última entrevista que deu à Advocatus, disse que o que mais o fascinava era trabalhar com temas ligados à mudança e à disrupção. Foi isso que o levou a ir para a Pérez-Llorca?

Digamos que foi difícil resistir ao convite para co-liderar em Portugal a área de direito público e regulatório da Pérez-Lorca. É uma das maiores sociedades espanholas, a que mais tem crescido nos últimos anos, que tem uma presença que vai do México a Singapura, passando por Londres, Nova Iorque ou Bruxelas e que fez uma aposta determinante em Portugal.

E o que é a área de direito público e regulatório da Pérez-Llorca em Portugal?

Uma equipa com agilidade para acompanhar a vertente transacional do escritório, que é intensa nos ativos regulados; com solidez para apoiar clientes em desafios regulatórios e de direito público, que vão da energia ou infraestruturas, passando por privatizações, contratação pública e contencioso; e, claro, com a flexibilidade para apoiar clientes em processos de transformação ou em novas áreas, como o ESG ou a Inteligência Artificial (IA).

Que sócios a integram?

A Débora Melo Fernandes, a Rita Leandro Vasconcelos e eu. Trabalho há muitos anos com a Débora, temos um percurso juntos, em que conseguimos aliar o Direito Público tradicional com as novas fronteiras regulatórias. A Rita assegura a parte de Direito Europeu e da Concorrência, com solidez reconhecida, e que, com a ligação ao escritório em Bruxelas, é essencial para apoiar transversalmente os nossos clientes. E trabalhamos de perto com o Carlos Vaz de Almeida, sócio responsável pela área de Financeiro, Energia e Infra-estruturas.

Digamos que foi difícil resistir ao convite para co-liderar em Portugal a área de direito público e regulatório da Pérez-Lorca. É uma das maiores sociedades espanholas, a que mais tem crescido nos últimos anos, que tem uma presença que vai do México a Singapura, passando por Londres, Nova Iorque ou Bruxelas e que fez uma aposta determinante em Portugal.

É uma equipa muito sénior. Começaram com 11 sócios. Não é muito comum, sobretudo se olharmos para a forma como as outras firmas espanholas entraram em Portugal.

O perfil sénior é uma opção deliberada: garantimos que um cliente mantém um aconselhamento especializado – também porque os assuntos em que trabalhamos têm tipicamente uma complexidade que o justificam. E o perfil alargado, com 11 sócios, é também deliberado: não somos um mero ponto de apoio. Somos um escritório ibérico, não um escritório meramente espanhol, e como tal estamos apetrechados para dar um apoio full-service.

Mas o nome da firma não engana: é um escritório que nasce em Espanha. Na área de Direito Público não há resistências das entidades públicas em contratar um escritório com nome espanhol?

Não temos sentido isso. Do lado público, desde logo, porque temos vários clientes públicos. E do lado privado, muito menos. Somos uma equipa coesa, sólida, reputada, com visão empresarial, experiência que ultrapassa o direito, conhecimento de políticas públicas, ligações à academia. É isso que conta e é com esse perfil que nos temos conseguido afirmar.

Já passaram 9 meses desde que entraram em Portugal, de facto. Qual o balanço?

Genuína e entusiasticamente positivo. Para além do trabalho transacional com que já contávamos, e que tem superado as nossas expectativas, temos conseguido penetrar no mercado nacional a um ritmo mais acelerado do que o previsto. Foi um começo muito bom para um escritório que acabou de começar.

Qual a razão por detrás desse sucesso?

Nunca há uma só. Será uma combinação que junta uma firma reputada e de topo, uma equipa de sócios com a exata mescla de arrojo e solidez, uma equipa com a natural ânsia de construir algo novo e de provar o acerto da aposta que nela foi feita e, claro, um plano de negócios bem pensado.

E onde é que a IA entra nesse plano de negócios? Há muito tempo que se dedica a esse assunto, que se desdobra em artigos e conferências sobre IA, mesmo numa altura em que ainda nem se falava da regulação.

Há muito tempo que se tornou evidente para mim que a IA vinha revolucionar de tal forma o Mundo que seria impensável que não gerasse problemas jurídicos e que não levasse à alteração dos quadros regulatórios. Não imagino tema mais relevante para um sócio. Dediquei-me a ele com o febril entusiasmo de quem está a desbravar algo de novo. Como comentava com amigos, durante muito tempo só falava, comia, bebia, via e lia IA (risos).

Mas largou o Direito Público?

Nem por sombras. Acabo de submeter uma providência cautelar para tentar suspender um concurso público. Mas um tema novo e tão complexo como a IA exige estudo – e um estudo que não é apenas jurídico – se queremos depois assessorar clientes nessa área.

Em que sentido?

A IA não é uma comum ferramenta. Está a condicionar a geopolítica, o funcionamento das democracias, a forma como as gerações se formam e os negócios se fazem, e está a obrigar a rever quadros legais, sim, mas antes disso quadros éticos e filosóficos. Se queremos perceber os desafios legais da IA, temos de ter uma noção clara de todos esses aspetos. Se olharmos para a IA como uma simples matéria de compliance, estaremos a prestar um mau serviço.

Os sistemas de IA falham, e essas falhas geram responsabilidades, podem prejudicar terceiros e criar problemas legais e reputacionais. Há que fazer uma gestão de risco, que nunca é zero.

Mas não é tema de compliance? Tenho-o lido a insistir na ideia de as empresas passarem a olhar para os riscos da IA.

Os sistemas de IA falham, e essas falhas geram responsabilidades, podem prejudicar terceiros e criar problemas legais e reputacionais. Há que fazer uma gestão de risco, que nunca é zero. Se nessa gestão de risco, se na interpretação da legislação relevante, não compreendermos o que é a IA e quais os desafios e dilemas que estão por detrás dessa legislação, se olharmos para isto com uma espécie de checklist de compliance, podemos facilmente cair no erro de dizer que não a tudo, ou que sim a tudo, sem perceber o que está em causa.

É por isso que tem insistido que isto é um tema estratégico?

Uma empresa não pode continuar sem saber onde e para que utiliza IA, que riscos comporta e como os mitiga. A maior parte das empresas nem formação deu sobre os riscos da IA, mesmo quando a utilizam. Esse alheamento tem de mudar: o mau uso da IA, o seu uso ao arrepio dos quadros regulatórios gera problemas que comprometem o valor da empresa. Algo tão revolucionário como a IA não pode continuar a ser visto como uma matéria de IT. E tenho feito várias sessões com empresas, com comissões executivas e conselhos de administração, precisamente sobre este ponto.

A sua experiência como Vice-Presidente de uma empresa cotada ajuda? Ou a sua experiência enquanto legislador?

Perceber os dramas e desafios de um board ajuda a colocar a questão, a direcionar a atenção da empresa para os aspetos estratégicos, não meramente de compliance, sim. E ter conhecimento de políticas públicas é essencial num campo em que a legislação está toda a surgir, e muita dela de forma inovadora.

Fala da aprovação do novo Regulamento Europeu?

Mesmo antes desse Regulamento os problemas já se colocavam, mas agora torna-se claro que há um Regulamento, já em vigor, que vem responsabilizar as empresas que criam ou que usam sistemas de IA.

E as empresas estão cientes do que diz este Regulamento?

Se não estão, deveriam. Se utilizam IA, aceitam a responsabilidade de cumprir todo o quadro regulatório, de avaliar todas as consequências potenciais, de limitar as responsabilidades e de compreender os riscos envolvidos.

Diz que os sistemas de IA falham. Pode dar-me exemplos?

Ferramentas de IA usadas no recrutamento ou na atribuição de créditos ou seguros podem estar a discriminar pessoas em função do género ou da etnia ou da idade, chatbots criados para falar com clientes podem dar informações falsas, máquinas automatizadas ou sistemas inteligentes de gestão de tráfego ou manutenção preventiva ou preditiva de equipamentos e ativos podem provocar danos, ferramentas de diagnóstico podem errar nos seus diagnósticos. Não é só o processo decisório que pode conduzir a más decisões, são más decisões que podem gerar danos e responsabilidades.

Como é que um sistema de IA discrimina pessoas em função do género?

Um caso real de um sistema de recrutamento que estava a prejudicar mulheres. Como? Porque examinou uma década de currículos num setor predominantemente masculino e, consequentemente, favoreceu os currículos masculinos. Não havia qualquer vontade de discriminar, mas a informação com que o algoritmo foi alimentado gerou esse efeito.

Ou seja, a empresa pode nem saber que está a discriminar.

Ou que está a causar danos, a recomendar más decisões, a expor a empresa a responsabilidade. Esse desconhecimento é fatal. Aliás, entre as preocupações do Regulamento Europeu estão a transparência, a explicabilidade, a responsabilidade e a supervisão humana: que a empresa saiba o que está a fazer, que consiga explicar o que está a fazer, que mantenha controlo e que se responsabilize pelo que está a fazer.

Não vale a pena pensar que se pode colocar a culpa toda em quem fabricou ou vendeu o sistema. Quem a usa é responsável também. Há gradações, mas no essencial o objetivo é que os utilizadores sejam responsáveis também.

E há setores mais expostos a estes problemas?

Haverá, mas todos os setores estão expostos à IA. Quando vamos ao banco ou a uma seguradora queremos ter a certeza de que o crédito ou prémio que nos é proposto não é discriminatório, quando andamos no trânsito queremos que o sistema inteligente não colapse e nos ponha a vida a risco, quando nos fazem diagnóstico de saúde queremos que ela seja o mais preciso possível, quando se coloca inteligência artificial em redes de energia ou de água, queremos que tudo funcione bem. Se isso não sucede, não podemos deixar de buscar responsabilidades.

Se pudesse resumir esse Regulamento, como o descreveria?

O Regulamento estabelece obrigações aos vários envolvidos na cadeia de fornecimento dos sistemas de IA, com destaque para os “prestadores” (essencialmente, os fornecedores) e os “responsáveis pela implantação” (essencialmente, os utilizadores).

O regime aplica-se também aos utilizadores?

Não vale a pena pensar que se pode colocar a culpa toda em quem fabricou ou vendeu o sistema. Quem a usa é responsável também. Há gradações, mas no essencial o objetivo é que os utilizadores sejam responsáveis também.

E que obrigações são essas?

As obrigações variam consoante o nível de risco das utilizações dos sistemas de IA que é definido pelo Regulamento. Certos sistemas, de risco inaceitável, são expressamente proibidos na UE. É o caso de sistemas com técnicas subliminares ou manipulativas do comportamento de pessoas. Mas há também os sistemas de risco elevado e os de risco limitado.

Pode dar-me exemplo de sistemas de risco elevado?

É uma categoria ampla e diversa. Alguns exemplos de utilizações de IA de risco elevado: em infraestruturas críticas (por exemplo, transportes) que possam pôr em risco a vida e a saúde dos cidadãos, no ensino, nas componentes de segurança de produtos, em relações de emprego, em serviços serviços públicos e privados essenciais (por exemplo, pontuação de crédito que nega aos cidadãos a oportunidade de obter um empréstimo), etc…

Estamos a falar de que tipo de deveres e obrigações?

No alto risco é um conjunto alargado de deveres e obrigações, que vão desde deveres de adotar medidas técnicas adequadas, de fazer uma análise de risco, dever de controlo do funcionamento do sistema, de garantir supervisão humana, de garantir a qualidade dos dados que são utilizados, de transparência na utilização desses sistemas, de explicabilidade dos mesmos. Ou seja, há o dever não só de avisar que se está a utilizar IA como de explicar o funcionamento dessas ferramentas. Se alguém me recusa um crédito por causa de um algoritmo, eu tenho direito a saber que foi um algoritmo, qual e como é que ele funciona.

E aplica-se também ao setor público?

Aplica pois. Aliás, o setor público tem particulares responsabilidades precisamente pelo seu estatuto. Desde logo, no caso de sistemas de alto risco, tem de fazer uma análise de impacto dessa utilização nos direitos fundamentais. Também se tem falado pouco disto.

Há muito tempo que se tornou evidente para mim que a IA vinha revolucionar de tal forma o Mundo que seria impensável que não gerasse problemas jurídicos e que não levasse à alteração dos quadros regulatórios.

Quando é que o Regulamento entra em vigor?

Entrou a 1 de Agosto, mas só será plenamente aplicável em Agosto de 2027. Há um período de transição, em que as primeiras obrigações a ser aplicáveis são as referentes às práticas proibidas de IA – a 2 de Fevereiro de 2025. O grosso das obrigações dirigem-se aos sistemas de IA de risco elevado e entrarão em vigor em Agosto de 2027.

Então ainda há tempo.

É uma ilusão pensar que há tempo. Desde logo, porque há regras que não tardarão a aplicar-se. Mas porque, como sucedeu com o RGPD, o tempo é pouco para garantir a conformidade com um Regulamento que não só é extenso como tem uma vasta margem de interpretação em aspetos essenciais.

O que é que as empresas deviam estar a fazer?

No imediato, o mapeamento e identificação dos sistemas de IA utilizados, a caracterização dessa empresa em relação a esses sistemas, em particular enquanto prestador ou responsável pela sua implantação, e a classificação dos sistemas consoante o risco. Isso permitirá identificar as principais obrigações aplicáveis e começar a tratar da implementação de medidas destinadas a garantir o cumprimento: processos de decisão empresarial serão alterados, estruturas de governance serão criadas, novas funções surgirão, métricas serão desenvolvidas, contratos serão revistos, códigos de ética atualizados e novos procedimentos serão desenhados. E, claro, garantir formação na empresa, assegurando uma compreensão generalizada e a conformidade com os padrões legais.

Em que é que a Pérez-Llorca está a trabalhar nesta matéria?

Fizemos uma parceria com um parceiro tecnológico, a Futura, com larga experiência em proteção de dados e cibersegurança. Isso permitiu criar uma equipa pluridisciplinar e, numa só solução, oferecer valências jurídicas, de avaliação de risco, governação e formação, suportadas em pessoas experientes e com conhecimento e visão de negócios. Fazemos um assessment que permite mapear todas as aplicações e práticas de IA e verificar qual o nível de risco envolvido e quais as medidas a implementar. Para além disso, temos trabalhado no desenvolvimento e revisão de políticas internas que regulamentem o uso de IA pela empresa e/ou pelos seus trabalhadores, na implementação de práticas de governança, na negociação e elaboração de contratos com fornecedores de tecnologia, licenciamento de software, e gestão de risco associado às tecnologias de IA e na organização de sessões de formação sobre as implicações legais do uso de IA.