O G7 publicou, em 30 de outubro de 2023, um código de conduta com 11 ações voluntárias para organizações que desenvolvem sistemas avançados de IA, incluindo modelos de base e IA generativa. A ideia é criar um padrão mínimo de segurança, transparência e gestão de riscos, sem virar lei automaticamente, mas elevando o nível de cobrança sobre quem lança modelos mais poderosos.
O que esse código significa na prática
O documento faz parte do Hiroshima AI Process e funciona como um guia de boas práticas para todo o ciclo de vida do sistema, do treinamento ao uso em produção. Ele se declara “vivo”, isto é, pode ser revisado, e se apoia em uma lógica de abordagem por risco, com exigências proporcionais ao potencial de dano.
Na prática, o recado é simples: quanto maior a capacidade e o alcance do modelo, maior a expectativa de evidências, controles e prestação de contas. Para ler o texto completo, a referência mais acessível é a versão publicada pelo G7 Information Centre, com opção de PDF: Código de conduta do Hiroshima Process.
As 11 ações do G7, sem “juridiquês”
As recomendações cobrem governança, testes, transparência e proteção de dados. Em linguagem direta, os pontos centrais são:
- Gerir risco do começo ao fim: identificar, avaliar e mitigar riscos ao longo do ciclo de vida, com testes internos e externos, inclusive red-teaming.
- Monitorar após o lançamento: detectar vulnerabilidades, incidentes e padrões de abuso em produção, com canais e incentivos para reporte responsável.
- Ser transparente: publicar capacidades, limitações e usos adequados e inadequados, com relatórios de transparência e documentação atualizada.
- Compartilhar informação com responsabilidade: trocar sinais de incidentes e descobertas relevantes com setor, governo, academia e sociedade, protegendo propriedade intelectual.
- Governança e políticas: formalizar gestão de risco, privacidade e mecanismos de accountability, com treinamento interno.
- Segurança robusta: reforçar segurança física e cibernética, proteger pesos do modelo e reduzir risco interno, com gestão de vulnerabilidades.
- Proveniência do conteúdo: quando viável, usar mecanismos como marca-d’água e rotulagem para indicar conteúdo gerado por IA.
- Investir em mitigação: priorizar pesquisa e ferramentas para reduzir risco social, de segurança e de proteção de direitos.
- Direcionar para desafios globais: estimular aplicações em clima, saúde, educação e letramento digital.
- Padrões técnicos: apoiar e adotar padrões internacionais, inclusive para autenticação e segurança.
- Dados e propriedade intelectual: elevar qualidade de dados, proteger dados pessoais e respeitar direitos autorais e demais regras aplicáveis.
Como aplicar isso em um produto de IA
Exemplo rápido, bem “mão na massa”
Uma startup que treina um modelo em português para atendimento ao cliente pode tratar o código como checklist de lançamento: fazer red-teaming focado em fraude e vazamento de dados, publicar um relatório simples de limitações, abrir um canal de reporte de falhas, e rotular respostas automatizadas em canais sensíveis, como cobrança e cancelamento.
Regra de decisão para saber se entra no radar
Se o sistema tiver alta escalabilidade e capacidade de gerar conteúdo ou executar ações com impacto real, como recomendar decisões, operar ferramentas, ou produzir texto e imagem em volume, ele deve ser tratado como “IA avançada” para fins de governança. Nesse caso, a exigência mínima passa a ser: testes antes do release, monitoramento em produção e transparência pública, nem que seja em formato enxuto.
Mini-modelo de mercado para guardar na cabeça
O mercado está se organizando pela “tríade ATR”: Alcance, Tempo e Risco. Quanto maior o alcance do modelo, menor a tolerância a correções lentas, e maior o risco reputacional e regulatório, o que empurra empresas para processos mais formais.
Um sinal de que isso não ficou só no papel é que a OCDE chegou a iniciar um piloto para monitorar como organizações aplicam as 11 ações, buscando comparabilidade e transparência: piloto da OCDE sobre o código do G7. Para contexto de princípios globais, vale também a referência dos Princípios de IA da OCDE, e, no lado regulatório obrigatório, a visão europeia baseada em risco aparece no AI Act da União Europeia.