As sanções constam na proposta de Lei sobre a IA, colocada em consulta pública desde Setembro deste ano pelo Ministério das Telecomunicações, Tecnologias de Informação e Comunicação Social (MINTTICS).
No documento, constituem crimes puníveis com penas de prisão de um a 12 anos as acções que violem a privacidade e os direitos fundamentais salvaguardados pela proposta, que promovam discriminação ou incitem ao ódio através de algoritmos, bem como aquelas que causem danos graves à segurança nacional, à ordem pública ou ao processo democrático.
O artigo 76.º da proposta criminaliza ainda a facilitação de crimes contra o Estado, incluindo espionagem, terrorismo ou outros actos que atentem contra a segurança nacional, além dos que comprometam de forma irreparável a integridade das instituições.
A recolha de informações pessoais sem consentimento ou o uso indevido de IA para avaliações privadas é considerada uma transgressão administrativa grave, passível de multa de até 1,5 mil milhões Kz no caso das empresas e 750 milhões Kz para pessoas singulares.
Na prática, supermercados, bancos e outros estabelecimentos comerciais passam a ser obrigados a explicar as razões da recolha de dados dos clientes e a finalidade do seu uso. O cliente, por sua vez, ganha o direito de recusar que os seus dados sejam utilizados para treinar sistemas de IA ou exigir que sejam anonimizados, garantindo a protecção da sua privacidade.
O incumprimento destas disposições pode resultar em contra-ordenações e coimas, conforme previsto na proposta. Esta medida reforça o princípio da transparência e explicabilidade, considerados pilares fundamentais da regulamentação da indústria de IA. Tais princípios impõem aos operadores o dever de fornecer informações claras sobre produtos e serviços baseados em IA, explicando, de forma adequada, o seu funcionamento, propósito e intenção.
Há outras transgressões que são consideradas graves como a falta de registo de IA crítica (aplicadas em áreas como saúde, educação) dentro do prazo legal, ou a não comunicação de incidentes de ciberataques “significativos” às autoridades.
Além das contra-ordenações graves, as empresas podem ser simultaneamente punidas com coima e com sanções acessórias, como a perda dos equipamentos ou sistemas utilizados na prática da contra-ordenação, encerramento do estabelecimento por período de dois anos, assim como privação do direito a subsídio ou benefício outorgado por entidade ou serviço público por período de dois anos e também suspensão de registos, licenças ou quaisquer autorizações dadas nos termos da presente lei e demais legislação complementar, por período de dois anos, conforme o artigo 73.º da proposta.
As autoridades defendem que a iniciativa busca “proteger os cidadãos”, garantir segurança digital e evitar abusos num momento em que o uso da IA cresce rapidamente em vários sectores.