(2/3) A Conta do AI Act Cai sobre o Empregador, Não sobre o Fornecedor

Há um pressuposto cómodo embutido na forma como a maioria das empresas pensa sobre o EU AI Act: é um problema para quem constrói a IA. Os fornecedores treinaram os modelos, os fornecedores farão as avaliações de conformidade, os fornecedores carregarão o peso da conformidade. Nós apenas comprámos uma licença.

Para a IA de alto risco usada em contratação e RH, esse pressuposto está errado de uma forma que cria exposição real. O Act divide a responsabilidade entre dois papéis — o fornecedor que desenvolve e coloca o sistema no mercado, e o responsável pela implementação que o usa sob a sua própria autoridade. Sim, os fornecedores carregam o maior fardo na fase de conceção. Mas o Act coloca deliberadamente um conjunto distinto e indelegável de obrigações sobre o responsável pela implementação. E se é uma empresa que faz correr uma ferramenta de filtragem com IA sobre os seus candidatos, você é o responsável pela implementação. A conformidade do fornecedor não absorve a sua.

Esta é a Parte 2 de uma série de três partes. A Parte 1 mapeou porque é que quase toda a IA de RH é classificada como alto risco e o que está proibido por completo. Aqui percorro o que o Act exige de facto ao empregador que implementa estes sistemas — e porque é que a maior parte disso não pode ser terceirizada para uma cláusula de contratação.

As Obrigações do Responsável pela Implementação, em Termos Simples

Os deveres centrais vivem no Artigo 26.º ("Obrigações dos responsáveis pela implementação de sistemas de IA de alto risco"). Retire o jargão legal e resumem-se a um punhado de compromissos que são operacionais, não teóricos:

• Usar o sistema conforme previsto (Art. 26(1)). Tem de o operar em linha com as instruções do fornecedor. Reaproveite uma ferramenta de filtragem de candidatos para algo para que não foi concebida ou documentada, e poderá ter passado de responsável pela implementação a fornecedor — herdando no processo todo o conjunto de obrigações do fornecedor.
• Atribuir supervisão humana real (Art. 26(2)). A supervisão tem de ser entregue a pessoas singulares que tenham a competência, formação e autoridade para a exercer. Não um nome num organograma. Uma pessoa que compreende o sistema e que consegue de facto agir sobre o que vê.
• Guardar os registos (Art. 26(6)). Os responsáveis pela implementação têm de conservar os registos gerados automaticamente pelo sistema durante um período adequado — pelo menos seis meses, salvo se outra lei dispuser o contrário. Se não consegue reconstruir o que o sistema fez e porquê, não consegue demonstrar conformidade.
• Informar as pessoas sujeitas a ele (Art. 26(11)). As pessoas que são sujeitas a decisões tomadas ou assistidas por um sistema de alto risco têm de ser informadas.
• Avisar primeiro a força de trabalho (Art. 26(7)). Esta merece a sua própria secção.

A Obrigação em que as Empresas Vão Tropeçar: Avisar os Trabalhadores

O Artigo 26(7) é curto e fácil de não notar, e é onde espero que a maioria das empresas seja apanhada. Antes de colocar um sistema de IA de alto risco em uso no local de trabalho, os responsáveis pela implementação que sejam empregadores têm de informar os representantes dos trabalhadores e os trabalhadores afetados de que serão sujeitos a ele.

Isto não é uma cortesia. É uma condição prévia para uma implementação lícita, e liga-se diretamente ao tecido existente do direito do trabalho europeu — que já tem fortes direitos de informação e consulta para comissões de trabalhadores e representantes dos colaboradores. Em vários Estados-Membros, lançar um sistema que monitoriza ou avalia o pessoal sem passar por essa consulta não é apenas uma questão de AI Act; é uma questão de direito coletivo do trabalho.

A Bélgica é o exemplo mais limpo da sobreposição. Muito antes de o AI Act existir, a Convenção Coletiva de Trabalho n.º 39 (1983) já obrigava os empregadores a informar e consultar quando introduzissem nova tecnologia que afetasse significativamente o emprego ou as condições de trabalho. O AI Act não substitui isso — empilha-se por cima. Por isso, uma empresa que implemente uma ferramenta de IA de RH na Bélgica responde agora a dois regimes ao mesmo tempo, e existem sobreposições nacionais semelhantes por todo o bloco.

A conclusão estratégica: não pode ligar discretamente um sistema de avaliação por IA. A transparência para a força de trabalho faz parte da implementação, e "avisamo-los se perguntarem" não é o que a lei diz.

Supervisão Humana que de Facto Conta

"Humano no circuito" tornou-se uma das expressões mais abusadas da IA. O Act tenta dar-lhe dentes, através de dois artigos a trabalhar em conjunto.

O Artigo 14.º obriga os fornecedores a conceber sistemas de alto risco de modo a que possam ser efetivamente supervisionados por um humano — com as interfaces, a informação e os controlos de paragem que tornam a supervisão possível. O Artigo 26(2) obriga depois o responsável pela implementação a, de facto, dotar essa supervisão de alguém competente e habilitado.

A fasquia que o Act define é a supervisão significativa: a pessoa tem de ser capaz de compreender o output do sistema, interpretá-lo corretamente, decidir não o usar, e anulá-lo ou revertê-lo. Um humano que carimba uma lista ordenada de candidatos porque a ferramenta a produziu não é supervisão — isso é automação com uma testemunha. Supervisão significa que o discernimento do humano pode mudar, e por vezes muda, o resultado.

Este é o ponto preciso onde a lei e a boa engenharia convergem. A supervisão que se consegue demonstrar é a supervisão que se concebeu de propósito: um ponto de decisão onde um humano revê, um registo do que decidiu, e um caminho real para discordar da máquina.

As Duas Avaliações de Impacto

Os sistemas de RH de alto risco arrastam duas obrigações de avaliação distintas, e as pessoas confundem-nas rotineiramente.

• A Avaliação de Impacto sobre os Direitos Fundamentais (Art. 27). Certos responsáveis pela implementação de sistemas de alto risco têm de avaliar o impacto sobre os direitos fundamentais antes da implementação — quem é afetado, o que pode correr mal, que mitigações e medidas de supervisão humana estão em vigor. Para sistemas que decidem quem é contratado ou promovido, este não é um exercício hipotético.
• A Avaliação de Impacto sobre a Proteção de Dados (GDPR Art. 35). A IA de contratação processa dados pessoais — muitas vezes uma grande quantidade, por vezes sensíveis. O Artigo 26(9) do AI Act diz explicitamente aos responsáveis pela implementação para usarem a informação que o fornecedor disponibiliza ao abrigo do Artigo 13.º para realizar a sua DPIA do GDPR. Os dois regimes foram concebidos para encaixar um no outro.

Se isto soa a dois documentos sobrepostos, em parte é — e a jogada inteligente é conduzi-los como uma avaliação coordenada em vez de dois exercícios de papelada desconexos.

A Camada do GDPR que Já Devia

O AI Act não chegou a um vácuo. O GDPR rege o tratamento automatizado de dados pessoais desde 2018, e uma das suas disposições sempre apontou diretamente para a IA de contratação: o Artigo 22.º, o direito a não ficar sujeito a uma decisão baseada unicamente no tratamento automatizado quando esta produz efeitos jurídicos ou semelhantemente significativos.

Uma decisão de rejeição totalmente automatizada — sem qualquer humano envolvido — é o caso de manual que o Artigo 22.º foi escrito para limitar. Os candidatos têm direito a informação, a intervenção humana e a contestar a decisão. Os requisitos de supervisão humana do AI Act e o Artigo 22.º do GDPR são agora duas razões que se reforçam mutuamente para manter um humano competente dentro da decisão e não à volta dela.

O proposto Digital Omnibus que mencionei na Parte 1 é, em parte, uma tentativa de clarificar como estes dois regimes se articulam. Até que isso assente, assuma a leitura mais estrita: uma pessoa, não apenas um pipeline, é dona do resultado.

A Que Isto Equivale

Coloque as obrigações de ponta a ponta e emerge uma forma clara. Para implementar IA na contratação de forma lícita na UE, uma empresa tem de:

1. Confirmar a ferramenta e o caso de uso, e operá-la conforme documentado.
2. Colocar um humano competente e habilitado a cargo da supervisão — e tornar essa supervisão real.
3. Informar os trabalhadores e os seus representantes antes da implementação.
4. Realizar uma avaliação dos direitos fundamentais e uma DPIA coordenada.
5. Conservar registos e ser capaz de explicar qualquer decisão em que o sistema tenha tocado.
6. Honrar os direitos dos candidatos ao abrigo do GDPR a informação, intervenção humana e contestação.

Nenhuma destas se cumpre com o selo de conformidade de um fornecedor. Cada uma delas é algo que o empregador que implementa tem de assumir, dotar de pessoal e documentar.

Isso é um fardo — mas também é um projeto. As empresas que tratam esta lista como uma especificação de conceção em vez de um aborrecimento jurídico acabam com processos de contratação que não são apenas conformes, mas genuinamente melhores: mais transparentes para os candidatos, mais responsáveis internamente, e mais defensáveis quando um candidato rejeitado pergunta porquê.

Na Parte 3, torno-me específico sobre como isto se parece na prática — usando o único processo que conheço intimamente: como construímos a pré-seleção de candidatos remotos da Conectia para que a IA faça aquilo em que é boa, os humanos se mantenham responsáveis pela decisão, e a coisa toda já estivesse moldada como a lei antes de a lei a exigir.