A tensão urgência-responsabilidade: porque os momentos que exigem a acção mais rápida do agente são também os que exigem maior supervisão

Em contextos de cuidado, as situações que exigem a resposta mais rápida também acarretam as maiores implicações de responsabilidade. Um agente de IA de cuidado que hesita numa emergência em deterioração perde tempo que pode ser irreparável. Um agente de IA de cuidado que age sem autorização viola a autonomia da pessoa, o quadro de governação da instituição e as condições legais da sua implantação. Estes dois requisitos — velocidade e responsabilidade — não estão meramente em tensão. São estruturalmente opostos, e a oposição é mais acentuada exactamente quando mais importa.

Esta é a tensão urgência-responsabilidade.

A pilha de responsabilidade exige tempo

A arquitectura de responsabilidade padrão para agentes que actuam em contextos de cuidado envolve várias etapas sequenciais: consentimento da pessoa a ser cuidada, ou do seu substituto autorizado; autorização da hierarquia de principais — o operador, a instituição de cuidado, o clínico responsável; um registo de auditoria do estímulo desencadeador e da decisão tomada; e uma janela na qual uma sobreposição é possível. Cada uma destas etapas demora tempo. Nenhuma delas pode ser concluída em dois segundos. Mas um evento cardíaco pode causar danos irreversíveis em minutos.

A pilha de responsabilidade foi concebida para o caso esperado — uma decisão deliberada e reversível tomada após tempo adequado de consideração. A medicina de emergência funciona com a suposição oposta: o caso esperado é comprimido no tempo, e o custo da inacção supera o custo de agir sem autorização completa. Os quadros de responsabilidade concebidos para o caso deliberado não se estendem automaticamente ao caso de emergência. Têm de ser especificamente concebidos para ele.

A pré-autorização como resposta estrutural

A resposta estabelecida para a urgência é a pré-autorização: obter consentimento e aprovação da hierarquia de principais com antecedência, com âmbito definido para cenários de emergência específicos, e transportar essa autorização criptograficamente até que a emergência a active. O agente detém um mandato de emergência assinado que permite acções específicas em condições específicas e verificáveis. Quando essas condições são satisfeitas, o mandato é activado sem necessitar de uma negociação de autorização em tempo real.

A pré-autorização desloca o momento de responsabilidade da emergência para a inscrição. A pessoa a ser cuidada, e os seus substitutos autorizados, tomam uma decisão ponderada — fora da emergência, com tempo adequado para deliberação — sobre que tipos de acções do agente autorizam em que tipos de condições. Essa decisão é registada, assinada e armazenada num token de autorização com atestação de hardware. O agente activa-o nas condições especificadas; o registo de auditoria regista tanto as condições de activação como o mandato que autorizou a acção.

Esta arquitectura funciona quando a pré-autorização é específica. Os mandatos de emergência abrangentes — "faça o que considerar necessário para preservar a vida" — não são conformes com a responsabilidade. Transferem o julgamento da hierarquia de principais para o agente sem definir o âmbito desse julgamento, o que torna o mandato impossível de auditar e de aplicar. Uma pré-autorização conforme especifica as condições desencadeadoras, o conjunto de acções autorizadas, a janela temporal durante a qual o mandato é válido, e o caminho de escalada se as condições forem ambíguas.

O que a pré-autorização não consegue cobrir

A pré-autorização não consegue cobrir cenários que não foram antecipados. Os mandatos de emergência são definidos por prestadores de cuidado e famílias no estado de não-emergência, descrevendo emergências que ainda não experienciaram. As apresentações de manual — os casos claros e inequívocos — tendem a ser cobertas. Deterioração ambígua, apresentações com factores complicadores, leituras que podem indicar emergência ou erro de sensor: estas caem no intervalo entre cenários pré-autorizados e os casos extremos que as emergências reais frequentemente apresentam.

A lacuna de responsabilidade abre-se nestes casos ambíguos. Um agente que activa um mandato de emergência num caso que satisfaz os critérios desencadeadores agiu dentro da autorização. Um agente que age num caso que não satisfaz claramente nenhum critério pré-autorizado excedeu o seu mandato. Mas o agente pode não conseguir determinar qual categoria se aplica no tempo disponível. A obrigação de responsabilidade não se dissolve porque a situação é ambígua. Torna-se mais aguda.

Caminhos rápidos com raiz em hardware e sobrecarga pós-quântica

As operações criptográficas pós-quânticas são computacionalmente mais pesadas do que as suas predecessoras clássicas. Os esquemas de assinatura PQ utilizam material de chave maior e requerem mais computação para verificar. Em contextos de monitorização de alta frequência — análise contínua de sinais vitais, detecção de movimento em tempo real — inserir uma negociação criptográfica PQ completa no caminho de resposta de emergência introduz latência que conflitua com os requisitos de resposta clínica.

A resposta arquitectural são os caminhos rápidos com raiz em hardware. Uma abordagem de pré-computação baseada em TPM estabelece e assina a autorização de emergência no momento da inscrição, armazenando um token de autorização com porta de hardware que o agente pode activar sem uma negociação criptográfica em tempo real. A computação PQ acontece uma vez, na inscrição; o caminho rápido na emergência é uma libertação com porta de hardware do token pré-assinado, que demora milissegundos em vez dos centenas de milissegundos que uma negociação PQ em tempo real poderia requerer.

Isto preserva a garantia criptográfica — a autorização ainda é resistente a PQ, ainda tem atestação de hardware, ainda é auditável — sem inserir a computação no caminho crítico de latência. O registo de responsabilidade de cada activação inclui o token pré-computado, as condições de activação e o carimbo de data/hora, dando aos auditores tudo o que necessitam para verificar que a acção de emergência estava dentro do âmbito pré-autorizado.

A responsabilidade post-hoc como piso mínimo

Em cenários onde nenhuma pré-autorização cobre a situação, o agente deve escolher entre agir sem autorização e não agir. O quadro de governação deve decidir antecipadamente qual o modo de falha preferido em que cenários — e essa decisão em si mesma deve estar documentada no registo de implantação.

O que nunca é aceitável é agir sem autorização e omiti-lo do registo. A responsabilidade post-hoc — registar o que aconteceu, em que condições, com que justificação, mesmo quando a acção excedeu o âmbito de pré-autorização — é o piso mínimo. Um agente que age numa emergência e regista a sua decisão completamente está a operar fora da autorização mas dentro da responsabilidade. Um agente que age e não regista está fora de ambas. O registo é a estrutura de responsabilidade residual quando a arquitectura de pré-autorização não chegou.

A obrigação de concepção

A tensão urgência-responsabilidade não é resolúvel no momento da emergência. No momento da emergência, o quadro de autorização que existe é o único quadro disponível. A obrigação de concepção é preparar para a urgência antes que ela chegue: definir os cenários de emergência, criar pré-autorizações específicas com âmbito definido, estabelecer os caminhos rápidos com raiz em hardware que as activam, e construir a infra-estrutura de registo post-hoc que captura cada acção que fica fora do envelope pré-autorizado.

A pior concepção é aquela que trata a urgência como uma excepção operacional que contorna a responsabilidade. A urgência é uma restrição de concepção — talvez a mais exigente — que a arquitectura de responsabilidade deve ser construída para acomodar. Tratá-la como uma excepção não é uma opção de implantação. É uma falha de governação à espera de ocorrer.