O Ato de IA da UE tem sido a maior história em regulamentação de IA por anos. Mas agora que está realmente sendo aplicado, a questão mudou de “o que diz?” para “o que isso significa para meu negócio hoje?”
Onde Estamos Agora
O Ato de IA da UE entrou em plena aplicação por fases e, a partir do início de 2026, as disposições mais impactantes estão em vigor:
Práticas de IA proibidas agora são ilegais. Sistemas de pontuação social, vigilância biométrica em tempo real em espaços públicos (com exceções limitadas) e IA que manipula pessoas por meio de técnicas subliminares são todas ilegais na UE.
Sistemas de IA de alto risco devem cumprir requisitos estritos: avaliações de risco, documentação, mecanismos de supervisão humana, padrões de governança de dados e monitoramento de precisão. Isso abrange IA em saúde, educação, emprego, aplicação da lei e infraestrutura crítica.
Modelos de IA de uso geral (como GPT-4, Claude, Gemini) devem cumprir requisitos de transparência. Os provedores precisam publicar documentação técnica, cumprir regras de direitos autorais e fornecer resumos dos dados de treinamento.
Modelos de risco sistêmico — os sistemas de IA mais poderosos — enfrentam obrigações adicionais: testes adversariais, relatórios de incidentes, medidas de cibersegurança e relatórios de consumo de energia.
Quem Está Realmente Afetado
A resposta curta: quase toda empresa que usa IA no mercado europeu.
Provedores de IA (empresas que constroem e vendem sistemas de IA) suportam o maior ônus de conformidade. Se você está vendendo uma ferramenta de contratação de IA, um sistema de diagnóstico médico ou um modelo de pontuação de crédito na UE, precisa cumprir os requisitos de alto risco.
Implantadores de IA (empresas que usam sistemas de IA desenvolvidos por outros) têm obrigações mais leves, mas ainda significativas. Você precisa garantir a supervisão humana adequada, monitorar problemas e manter registros.
Empresas fora da UE são afetadas se oferecerem sistemas ou serviços de IA a clientes da UE. Soa familiar? É o mesmo alcance extraterritorial que o GDPR.
A Realidade da Conformidade
Aqui está com o que as empresas realmente estão lidando:
Os requisitos de documentação são extensos. Para sistemas de IA de alto risco, você precisa de documentação técnica detalhada cobrindo o propósito do sistema, arquitetura, dados de treinamento, procedimentos de teste, métricas de precisão e limitações conhecidas. A maioria das empresas não tem essa documentação e está correndo para criá-la.
As avaliações de risco são subjetivas. A Lei exige “avaliações de impacto sobre os direitos fundamentais” para sistemas de IA de alto risco, mas há pouca orientação sobre o que constitui uma avaliação adequada. As empresas estão fazendo suas melhores suposições e esperando que os reguladores concordem.
As penalidades são sérias. Até 35 milhões de euros ou 7% da receita anual global para as violações mais severas. Isso é suficiente para chamar a atenção até mesmo das maiores empresas de tecnologia.
A aplicação é desigual. Cada estado membro da UE designa sua própria autoridade de aplicação, e algumas estão melhor equipadas do que outras. Isso cria incerteza sobre quão consistentemente as regras serão aplicadas.
O Que as Empresas Estão Realmente Fazendo
Com base no que estou vendo no mercado:
Grandes empresas de tecnologia (Google, Microsoft, Meta, OpenAI, Anthropic) têm equipes dedicadas à conformidade com o Ato de IA da UE e estão investindo pesadamente em documentação, testes e processos de governança. Estão tratando isso como o GDPR 2.0 — caro, mas gerenciável.
Empresas de IA de médio porte estão enfrentando mais dificuldades. Elas têm as obrigações de conformidade, mas não os recursos das grandes tecnologias. Muitas estão contratando consultores, o que é caro. Algumas estão considerando se o mercado da UE vale o custo de conformidade.
Startups estão na posição mais difícil. Os custos de conformidade que são gerenciáveis para o Google podem ser potencialmente fatais para uma startup de 10 pessoas. Algumas estão optando por lançar primeiro nos EUA ou na Ásia e enfrentar a conformidade com a UE mais tarde.
Empresas não-IA que usam ferramentas de IA muitas vezes não estão cientes de suas obrigações. Uma empresa que usa um chatbot de IA para atendimento ao cliente ou uma ferramenta de IA para contratações pode não perceber que tem obrigações de implantador sob a Lei.
A Crítica
O Ato de IA da UE não falta críticos:
“É muito prescritivo.” Os requisitos detalhados podem rapidamente se tornar obsoletos à medida que a tecnologia de IA evolui. Uma regulamentação projetada para a IA de hoje pode não fazer sentido para a de ano que vem.
“Isso inibe a inovação.” Empresas de IA europeias argumentam que estão sendo prejudicadas em comparação com concorrentes dos EUA e da China que enfrentam regulamentações mais leves. Alguns talentos e investimentos em IA estão fluindo para jurisdições com menos restrições.
“É muito vaga em alguns pontos.” Apesar de ter centenas de páginas, a Lei deixa muitas questões importantes para documentos de orientação futuros e órgãos de padrões. As empresas querem clareza que ainda não existe.
“Não vai longe o suficiente.” Organizações da sociedade civil argumentam que as exceções (como as isenções de aplicação da lei para vigilância biométrica) são muito amplas e que a Lei deveria ser mais protetiva dos direitos individuais.
O Que Acontece Agora
O Escritório de IA da UE está desenvolvendo diretrizes detalhadas, padrões harmonizados e códigos de prática que preencherão as lacunas. As primeiras ações de aplicação provavelmente virão no final de 2026 ou início de 2027, e elas definirão precedentes importantes.
Quer você a ame ou a odeie, o Ato de IA da UE é agora a regulamentação de IA mais completa do mundo, e está moldando como a IA é desenvolvida e implantada globalmente. Assim como o GDPR se tornou o padrão global de privacidade de fato, o Ato de IA provavelmente influenciará a regulamentação de IA em todo o mundo.
As empresas que investem em conformidade agora terão uma vantagem. As que ignorarem isso enfrentarão um rude despertar quando a aplicação começar a valer a sério.
🕒 Published: