Seu Software de Recrutamento Já É Regulado como Alto Risco — O Prazo de Agosto de 2026 que o RH Não Conhece

A Regulamentação que Já Chegou ao Seu Departamento de RH

A conversa sobre conformidade de IA em RH tende a se concentrar no futuro: regulamentações que estão chegando, padrões sendo desenvolvidos, prazos no horizonte. Esse enquadramento ignora a realidade de aplicação de 2026.

A Lei de IA da UE já começou a moldar obrigações legais no contexto de emprego. Desde 2 de fevereiro de 2025, as práticas de IA classificadas como risco inaceitável estão proibidas. Isso inclui categorização biométrica e reconhecimento de emoções no local de trabalho — ferramentas que muitas organizações ainda utilizam, embutidas em plataformas de videoconferência, softwares de monitoramento de funcionários e sistemas de atendimento ao cliente.

O próximo marco é 2 de agosto de 2026. Nessa data, todo o conjunto de obrigações de sistemas de IA de alto risco se torna exigível para todas as ferramentas de IA usadas em decisões de emprego — incluindo cada sistema de triagem de candidatos, algoritmo de classificação de recrutamento, ferramenta de monitoramento de desempenho e plataforma de alocação de força de trabalho que sua empresa usa atualmente.

A lacuna de conformidade não é teórica. Uma análise de março de 2026 publicada no site de informações sobre a Lei de IA da UE — após a Finlândia ter se tornado o primeiro Estado-membro da UE a conferir poderes de fiscalização à sua autoridade nacional de vigilância de mercado em janeiro de 2026 — concluiu diretamente: "As empresas de recrutamento que melhor vão lidar com essa transição são as que começam agora."

O que Já É Ilegal Desde Fevereiro de 2025

Antes de abordar o prazo de agosto de 2026, é necessário declarar claramente o que a Lei de IA da UE já proíbe — porque a aplicação dessas proibições já está ativa.

Reconhecimento de emoções em locais de trabalho está proibido. O Artigo 5 da Lei de IA da UE, em vigor desde 2 de fevereiro de 2025, proíbe sistemas de IA que inferem as emoções de indivíduos em ambientes de trabalho e educacionais. Isso não se limita a ferramentas dedicadas de "IA de emoção" comercializadas como tais. Aplica-se a qualquer capacidade de IA que analise expressões faciais, padrões de voz, linguagem corporal ou sinais fisiológicos para fazer inferências sobre estado emocional.

As implicações práticas são mais amplas do que a maioria das empresas registrou:

• Plataformas de videoconferência com recursos de detecção de emoções: Várias plataformas importantes embutiram análise de sentimento ou pontuação de engajamento que analisam expressões faciais dos participantes. Se esses recursos estiverem ativos em contextos de negócios na UE, enquadram-se na proibição.
• Software de monitoramento de funcionários com rastreamento de humor: Ferramentas que rastreiam níveis de engajamento por meio de sinais comportamentais, teclas, movimentos do mouse ou análise de câmera para inferir estados emocionais são proibidas em ambientes de trabalho.
• IA de atendimento ao cliente com monitoramento de sentimento dos agentes: Sistemas que analisam o estado emocional dos agentes de atendimento ao cliente para gerenciar seu desempenho ou bem-estar por meio de inferência de IA estão no escopo.
• Sistemas de categorização biométrica: IA que categoriza funcionários ou candidatos por características físicas — raça, gênero, idade — usando análise biométrica é proibida, com exceções muito restritas.

Essas proibições não exigem intenção. Usar uma plataforma com detecção de emoções ativada — mesmo que você não tenha habilitado especificamente esse recurso — pode constituir uma violação se o output estiver sendo usado em um contexto de trabalho. A obrigação recai sobre o implantador: a organização que usa a ferramenta, não apenas o fornecedor que a construiu.

O Prazo de 2 de Agosto de 2026: O Que Deve Estar em Vigor

O prazo de 2 de agosto é o ponto de inflexão para o framework de IA de alto risco em emprego. Após essa data, cada sistema de IA usado em decisões que afetam trabalhadores e candidatos — em qualquer organização com operações na UE ou candidatos baseados na UE — deve cumprir os seguintes requisitos.

Avaliação de Risco Obrigatória e Documentação de Conformidade

Antes da implantação, e de forma contínua, os sistemas de IA de alto risco devem passar por avaliação de risco documentada. Não é uma caixa de seleção única. Sob o framework da Lei de IA, a avaliação de risco deve cobrir:

• O propósito previsto do sistema de IA e o escopo de sua implantação
• Riscos conhecidos e previsíveis para saúde, segurança e direitos fundamentais — incluindo o risco específico de resultados discriminatórios em decisões de contratação e emprego
• Governança de dados: os conjuntos de dados usados para treinar ou configurar o sistema, sua representatividade e medidas tomadas para abordar vieses
• Métricas de desempenho incluindo precisão, taxas de erro e desempenho em grupos demográficos
• Mecanismos de supervisão humana e as condições sob as quais os outputs automatizados de IA são usados para influenciar decisões

A maioria das equipes de RH e recrutamento nunca produziu essa documentação para as ferramentas de IA que estão usando. Muitas não sabem com quais dados a IA de seu fornecedor foi treinada, ou se foi testada para desempenho diferencial em grupos demográficos.

Supervisão Humana Não É Opcional — e Não Pode Ser Delegada ao Fornecedor

O Artigo 14 da Lei de IA da UE é explícito: cada sistema de IA de alto risco deve ser implantado de forma que permita supervisão humana efetiva. As pessoas exercendo supervisão devem ser capazes de detectar e corrigir erros — incluindo padrões discriminatórios — e devem ter tanto o treinamento quanto a autoridade para anular os outputs de IA.

Essa obrigação tem uma implicação específica que muitas organizações estão interpretando mal: você não pode satisfazer o Artigo 14 apontando para as alegações do fornecedor sobre a precisão do sistema. A obrigação é do implantador. Seus recrutadores, gerentes de RH e gerentes de contas devem entender como o sistema de IA funciona, quais são suas limitações e quais condições exigem intervenção humana. Um documento de política que diz "todos os outputs de IA são revisados por um humano" não satisfaz esse requisito se a revisão for superficial ou carecer de critérios documentados para quando anular.

Além disso, o implantador não pode transferir as obrigações de conformidade para o fornecedor de tecnologia. A análise de março de 2026 da Lei de IA da UE é direta nesse ponto: "Você não pode cumprir obrigações que não sabe que tem" — e saber quais obrigações se aplicam é responsabilidade do implantador, não do fornecedor. Se o provedor de sua plataforma de recrutamento disser que a conformidade é responsabilidade deles, essa resposta está legalmente incorreta sob a Lei de IA da UE.

Divulgação para Candidatos: Artigos 26 e 86

Dois artigos criam obrigações em relação a candidatos e trabalhadores que a maioria das equipes de RH não está preparada para cumprir.

O Artigo 26(7) exige que antes de implantar um sistema de IA de alto risco em contextos de emprego, os implantadores informem os representantes dos trabalhadores e os indivíduos afetados. Para recrutamento, isso significa que os candidatos devem ser informados:

• Que IA está sendo usada no processo de contratação
• Qual papel a IA desempenha nas decisões que os afetam
• Como o sistema funciona em um nível que lhes permite entender sua significância

Essa divulgação deve ser visível e significativa. Enterrá-la nos termos e condições de uma candidatura de emprego não é suficiente.

O Artigo 86 dá aos indivíduos sujeitos a decisões por sistemas de IA de alto risco o direito de solicitar uma explicação dos principais fatores por trás dessas decisões. Um candidato que se candidata a um cargo, é eliminado por uma ferramenta de IA e não recebe resposta substancial tem direito a solicitar uma explicação de como a IA avaliou sua candidatura. As organizações devem estar operacionalmente preparadas para fornecer essa explicação sob demanda — o que exige documentar como o sistema de IA produz seus outputs.

Para operações de recrutamento em alto volume que triagem milhares de candidatos, esses requisitos de divulgação e explicação criam um desafio de infraestrutura que deve ser dimensionado e construído antes do 2 de agosto.

Retenção de Logs por Pelo Menos Seis Meses

Os implantadores de sistemas de IA de alto risco devem manter os logs gerados por esses sistemas por pelo menos seis meses. Isso é um requisito de infraestrutura. Significa que cada pontuação gerada por IA, classificação, decisão de triagem e recomendação em seu workflow de recrutamento ou avaliação de desempenho deve ser retida em um formato que possa ser acessado, revisado e fornecido a reguladores ou candidatos mediante solicitação.

A maioria das plataformas de recrutamento disponíveis no mercado não fornece essa retenção de logs por padrão. As organizações devem perguntar explicitamente aos seus fornecedores: quais logs são gerados, por quanto tempo são retidos e em que formato podem ser exportados para conformidade regulatória?

Testes de Viés e Monitoramento Contínuo

A Lei de IA exige que os sistemas de IA de alto risco sejam monitorados quanto ao desempenho após a implantação. Para IA de emprego, isso significa monitoramento contínuo de desempenho diferencial entre grupos demográficos — o sistema não deve produzir resultados sistematicamente piores para candidatos com base em características protegidas.

Isso não é uma auditoria única na implantação. É uma obrigação contínua. E requer dados sobre resultados dos candidatos que a maioria das organizações não coleta atualmente de forma estruturada.

A Isenção do Artigo 6(3): Por Que Suas Ferramentas Quase Certamente Não Se Qualificam

Quando as organizações encontram pela primeira vez a classificação de alto risco da Lei de IA da UE para IA de emprego, muitas equipes jurídicas e de conformidade recorrem ao Artigo 6(3), que fornece uma isenção restrita para sistemas de IA usados em áreas de alto risco que, no entanto, realizam apenas funções procedimentais, preparatórias ou assistivas.

A isenção cobre quatro cenários:

1. O sistema realiza apenas uma tarefa procedimental restrita (classificar documentos em categorias, sinalizar duplicatas)
2. Melhora o resultado de uma atividade humana concluída anteriormente (editar linguagem em um documento elaborado)
3. Detecta padrões de decisão em decisões humanas anteriores (sinalizar inconsistências nas avaliações passadas de um gerente)
4. Realiza apenas uma tarefa preparatória (indexar, traduzir, pesquisar material de origem antes de um humano decidir)

Isso parece que pode se aplicar a muitas ferramentas de recrutamento. Não se aplica.

O Artigo 6(3) exclui explicitamente sistemas que envolvem perfilamento no sentido do Artigo 4(4) do RGPD. Perfilamento é qualquer processamento automatizado de dados pessoais que avalia aspectos pessoais de um indivíduo — incluindo previsão de desempenho no trabalho, confiabilidade, comportamento ou adequação.

Quase todas as ferramentas de correspondência de candidatos, algoritmos de classificação de candidatos, sistemas de triagem de CVs e plataformas de alocação de força de trabalho fazem exatamente isso. Elas pegam dados pessoais, aplicam lógica automatizada e produzem previsões sobre adequação para um cargo. Isso é perfilamento, o que torna a isenção do Artigo 6(3) indisponível.

A análise de março de 2026 da Lei de IA da UE é explícita: "Para qualquer coisa que corresponda, classifique, avalie ou aloque trabalhadores com base em características pessoais, quase certamente não é" isento.

O Risco Comercial Além das Multas

O framework de penalidades da Lei de IA da UE para violações de sistemas de alto risco chega a €15 milhões ou 3% do faturamento anual global — o que for maior. Para uma empresa com €500 milhões em receita global, isso é uma multa de até €15 milhões.

Mas a multa é frequentemente descrita como a coisa errada em que se concentrar. O risco comercialmente mais significativo é um poder que os reguladores têm e que recebe menos atenção: o poder de retirar ou recolher sistemas de IA não conformes do mercado, com efeito imediato.

Para uma organização cujas operações de recrutamento dependem de uma plataforma de triagem com tecnologia de IA, ter essa plataforma retirada por um regulador no meio de um ciclo de contratação — no meio de um contrato, durante um período crítico de aquisição de talentos — cria uma disrupção operacional que nenhum cálculo de multa captura. A análise de março de 2026 identificou isso explicitamente: "Para uma empresa de recrutamento cujo modelo operacional depende de correspondência e triagem habilitadas por tecnologia, esse é o risco comercialmente mais significativo: uma ferramenta central retirada no meio de um contrato, com disrupção operacional imediata."

O Sinal da Finlândia

Em janeiro de 2026, a Finlândia tornou-se o primeiro Estado-membro da UE a conferir poderes de fiscalização à sua autoridade nacional de vigilância de mercado sob o Artigo 99 da Lei de IA. Isso não é uma nota de rodapé procedimental. Significa que a aplicação das disposições de alto risco da Lei de IA — as disposições que se aplicam à IA de emprego — está agora totalmente operacional em pelo menos uma jurisdição da UE, com outros Estados-membros progredindo em sua implementação nacional.

O modelo de fiscalização descentralizado significa que as obrigações variam por interpretação e prioridade de aplicação do Estado-membro. Mas para operações em vários países, o denominador comum mais baixo não é proteção adequada. Uma organização que está em conformidade na Alemanha, mas não na Finlândia, tem uma violação na Finlândia — e a autoridade de vigilância de mercado da Finlândia está agora equipada para agir sobre ela.

O Que Deve Ser Feito Antes do 2 de Agosto

Para organizações que usam IA em decisões de emprego com qualquer exposição à UE, a sequência de ação prática antes de 2 de agosto de 2026:

1. Complete o inventário de IA para RH e recrutamento: Liste cada sistema de IA usado em triagem, classificação, correspondência de candidatos, monitoramento de desempenho ou alocação de força de trabalho. Inclua ferramentas embutidas em plataformas de terceiros. Se a plataforma usa IA para selecionar candidatos ou pontuar candidaturas, está no escopo independentemente de como o fornecedor comercializa a ferramenta.

2. Classifique cada ferramenta sob o framework da Lei de IA da UE: Aplique a classificação de risco. Qualquer ferramenta que perfila candidatos ou trabalhadores — o que é a definição da maioria das IA de recrutamento — é de alto risco sob o Anexo III, e a isenção do Artigo 6(3) quase certamente não se aplica.

3. Audite a documentação de conformidade dos fornecedores: Entre em contato com cada fornecedor de IA de RH em seu stack com perguntas específicas: Eles realizaram avaliação de conformidade? Podem fornecer documentação técnica e resultados de testes de viés? Podem fornecer logs em um formato que atenda às suas obrigações de retenção? Apoiarão contratualmente suas obrigações como implantador? Silêncio ou respostas vagas são por si só um sinal de conformidade.

4. Projete e implante a divulgação para candidatos: Elabore as divulgações exigidas pelo Artigo 26(7) e integre-as aos seus workflows de candidatura. Devem ser claras, visíveis e entregues antes ou no momento da primeira interação influenciada por IA. Não podem ser enterradas em termos e condições.

5. Construa a capacidade de explicação para o Artigo 86: Estabeleça o processo para responder a solicitações de candidatos por explicação. Isso requer saber quais pontos de dados o sistema de IA usa, como os pondera e como seu output é produzido. Se o fornecedor não puder fornecer essas informações, isso é uma falha de supervisão do Artigo 14.

6. Estabeleça o protocolo de supervisão humana: Defina especificamente quem revisa os outputs de IA, sob quais critérios anulariam a recomendação da IA e como essa anulação é documentada. Treine a equipe relevante — não apenas sobre como usar a ferramenta, mas sobre suas limitações e padrões de erro.

7. Implante infraestrutura de retenção de logs: Confirme com seu fornecedor ou equipe de TI que a retenção mínima de logs de seis meses está em vigor para cada sistema de IA de emprego de alto risco. Audite o formato do log para confirmar que pode ser fornecido a reguladores ou candidatos mediante solicitação.

Perguntas Frequentes Sobre IA de RH e a Lei de IA da UE

Somos uma empresa brasileira sem escritório na UE. Isso se aplica a nós?
Se o seu sistema de IA é usado para triagem, classificação ou avaliação de candidatos localizados na UE ou candidatos a funções na UE — por exemplo, uma função remota publicada na UE, ou um candidato baseado na Alemanha — as disposições extraterritoriais da Lei de IA se aplicam. A regulamentação cobre sistemas de IA cujo output é usado na UE, não apenas sistemas de IA operados por empresas da UE.

Nosso fornecedor de ATS (sistema de rastreamento de candidatos) diz que cuida da conformidade. Isso é verdade?
Não. Sob a Lei de IA da UE, o implantador — a organização que usa o sistema — tem suas próprias obrigações independentes de conformidade. A conformidade do fornecedor com suas obrigações de provedor não satisfaz suas obrigações como implantador em relação a supervisão humana, divulgação de candidatos, retenção de logs e monitoramento contínuo. A obrigação de avaliar se a ferramenta é de alto risco também é sua.

Usamos um sistema de pontuação que um humano sempre revisa. Estamos cobertos?
Depende da revisão. O Artigo 14 exige que a supervisão humana seja substantiva: a pessoa revisando deve entender como o sistema de IA produziu seu output, deve ter critérios para quando anulá-lo e deve exercer julgamento genuíno em vez de ratificar rotineiramente os outputs de IA. Uma revisão em que o recrutador quase sempre segue a pontuação de IA não é supervisão humana efetiva no sentido regulatório.

O que acontece com ferramentas que não podem ser tornadas conformes antes do 2 de agosto?
As organizações devem considerar duas opções: interromper o uso da ferramenta não conforme antes do prazo (aceitando a disrupção operacional agora, em seus termos, em vez de por meio de ação regulatória mais tarde), ou acelerar o engajamento com o fornecedor para estabelecer um roteiro de conformidade documentado. Usar um sistema de alto risco não conforme após o 2 de agosto é uma violação direta.

Isso realmente está sendo aplicado, ou é regulamentação aspiracional como o RGPD foi inicialmente?
A conferência de poderes de fiscalização pela Finlândia em janeiro de 2026 — antes do prazo de agosto de 2026 — sugere uma postura de aplicação inicial mais ativa do que os primeiros anos do RGPD. E a arquitetura de fiscalização da Lei de IA da UE inclui múltiplos caminhos: autoridades de vigilância de mercado, reclamações de provedores downstream, o painel científico e direitos individuais de apresentar reclamações a reguladores.

---

A Intrabit trabalha com equipes de RH e conformidade para avaliar seu inventário de ferramentas de IA em relação aos requisitos da Lei de IA da UE, desenvolver frameworks de divulgação para candidatos e construir a infraestrutura de governança necessária para conformidade demonstrável com IA de alto risco antes de 2 de agosto de 2026.

Leitura Complementar

• A Lei de IA da UE Já Está em Vigor
• Compliance de IA em Setores Regulados
• IA Generativa e Privacidade de Dados
• Como Auditar o Uso de IA na Sua Empresa