Compliance

A Lei de IA da UE Já Está em Vigor — A Maioria das Empresas Não Sabe o Que Ela Proíbe

21 de maio de 20269 min

A Lei de IA da UE não é uma regulação futura. A aplicação começou em fevereiro de 2025. Aplicações de IA proibidas já são ilegais. As obrigações de transparência entram em vigor em agosto de 2026. Multas chegam a €35 milhões ou 7% da receita global. Se sua empresa usa IA e tem qualquer exposição à UE, isso já afeta você.

A Regulação Que Já Começou

Quando as empresas falam sobre se preparar para a Lei de IA da UE, frequentemente enquadram isso como trabalho futuro de conformidade — algo para planejar nos próximos anos. Esse enquadramento está incorreto.

A Lei de IA da UE entrou em vigor em 1º de agosto de 2024. A proibição de práticas de IA de risco inaceitável tornou-se aplicável em 2 de fevereiro de 2025. As obrigações de transparência para modelos de IA de uso geral (GPAI) se aplicam a partir de agosto de 2026. Os requisitos para sistemas de alto risco entram em vigor progressivamente até 2027.

A regulação não está chegando. Ela já chegou — e uma de suas fases de aplicação começou há mais de um ano.

O Que Já É Proibido

Desde 2 de fevereiro de 2025, as seguintes aplicações de IA são proibidas dentro da União Europeia:

Pontuação social por autoridades públicas: Sistemas de IA que avaliam ou classificam indivíduos com base em seu comportamento social ou características pessoais para atribuir uma pontuação que determina como são tratados em contextos não relacionados. Essa é a prática associada ao sistema de crédito social da China, agora proibida para órgãos públicos da UE.

Manipulação comportamental cognitiva: Sistemas de IA que usam técnicas subliminares, exploram vulnerabilidades psicológicas ou aplicam técnicas das quais os usuários não estão cientes para manipular seu comportamento de formas que os prejudicam. Isso se aplica independentemente de o implantador ser entidade pública ou privada.

Identificação biométrica remota em tempo real em espaços públicos: Com exceções estreitas para aplicação da lei, sistemas de IA que identificam pessoas biometricamente em tempo real em espaços de acesso público são proibidos. Isso cobre a maioria das aplicações comerciais de reconhecimento facial em varejo, eventos e infraestrutura pública.

Exploração de grupos específicos: Sistemas de IA que visam crianças, pessoas com deficiência ou outros grupos vulneráveis de formas que exploram suas vulnerabilidades para manipular suas decisões.

Policiamento preditivo baseado em perfilamento: Sistemas de IA que perfilam indivíduos para avaliar ou prever a probabilidade de comportamento criminoso baseando-se exclusivamente em características não relacionadas a comportamento ou atividade criminosa real.

Se sua empresa está implantando qualquer uma dessas aplicações — ou se um fornecedor as está implantando em seu nome para suas operações na UE — você já está em violação.

O Que Se Torna Obrigatório em Agosto de 2026

O prazo de agosto de 2026 é o próximo grande marco de aplicação. Até então, provedores e implantadores de modelos de IA de uso geral (GPAI) — essencialmente, grandes modelos de linguagem e modelos de fundação similares — devem cumprir requisitos de transparência:

  • Divulgar que o conteúdo foi gerado por IA em contextos onde isso não é óbvio para usuários finais
  • Implementar mecanismos de marca-d'água ou divulgação para áudio, vídeo, imagens e texto gerados por IA em contextos relevantes
  • Manter documentação técnica de como o modelo foi treinado, suas capacidades e suas limitações conhecidas
  • Publicar resumos de dados protegidos por direitos autorais usados no treinamento

Para modelos GPAI de alto impacto — aqueles avaliados como tendo risco sistêmico, como os grandes modelos de linguagem mais avançados disponíveis — obrigações adicionais se aplicam, incluindo testes adversariais (red-teaming), relatório de incidentes à Comissão Europeia e medidas de cibersegurança.

Empresas que usam conteúdo gerado por IA em comunicações com clientes, marketing ou qualquer contexto voltado ao público sem mecanismos adequados de divulgação têm menos de três meses para alcançar a conformidade.

Sistemas de Alto Risco: O Que São e O Que Exigem

Sistemas de IA de alto risco enfrentam os requisitos de conformidade mais extensos. O framework completo de alto risco torna-se obrigatório 36 meses após a entrada em vigor — ou seja, por volta de agosto de 2027. Mas a preparação para conformidade deve começar agora, dado os requisitos de documentação técnica, testes e registro envolvidos.

Um sistema de IA é classificado como de alto risco se se enquadrar em categorias específicas, incluindo:

  • Emprego e RH: IA usada para recrutar, triagem, rankear ou gerenciar trabalhadores e autônomos. Isso inclui ferramentas de triagem e classificação de currículos, análise de entrevistas assistida por IA, sistemas de monitoramento de desempenho e decisões de promoção ou demissão impulsionadas por IA. A partir de março de 2026, empresas de staffing que usam IA para triagem, ranking ou correspondência de candidatos já estão sujeitas aos requisitos de alto risco.

  • Crédito e serviços financeiros: IA que avalia a solvência ou estabelece pontuações de crédito, classificações de risco de seguros de vida e perfilamento financeiro similar.

  • Serviços privados e públicos essenciais: IA que determina o acesso a serviços essenciais incluindo planos de saúde, benefícios sociais e utilidades públicas.

  • Educação: IA que determina o acesso a instituições educacionais, avalia o desempenho de estudantes ou monitora comportamento em exames.

  • Infraestrutura crítica: IA integrada na gestão de sistemas de água, eletricidade, gás, aquecimento e transporte.

  • Aplicação da lei: IA usada para avaliar risco de criminalidade, analisar evidências ou avaliar a confiabilidade de testemunhas.

Sistemas de alto risco devem, entre outros requisitos:

  • Passar por avaliação de conformidade antes da implantação
  • Manter documentação técnica detalhada
  • Implementar mecanismos de supervisão humana
  • Registrar-se em um banco de dados público da UE de sistemas de IA de alto risco
  • Estabelecer sistemas de gestão de qualidade cobrindo governança de dados, gestão de riscos e monitoramento pós-mercado

A Estrutura de Multas

O descumprimento da Lei de IA da UE não é tratado principalmente por meio de advertências e períodos de remediação. A regulação impõe penalidades financeiras diretas:

Tipo de violação Multa máxima
Práticas de IA proibidas (já em vigor) €35 milhões ou 7% do faturamento global anual, o que for maior
Obrigações para sistemas de alto risco ou provedores de GPAI €15 milhões ou 3% do faturamento global anual
Fornecimento de informações incorretas ou enganosas às autoridades €7,5 milhões ou 1,5% do faturamento global anual

Para uma empresa com €1 bilhão em receita global, a multa máxima por implantar uma aplicação de IA proibida é de €70 milhões (7% da receita). Para uma empresa com €500 milhões em receita, são €35 milhões. A estrutura de multas da Lei de IA da UE é comparável em severidade ao GDPR — e a aplicação deve seguir uma trajetória similar.

A Conexão com o Brasil

A Lei de IA da UE não opera em isolamento em relação a empresas brasileiras. Existem três canais distintos de exposição:

Exposição direta à UE: Qualquer empresa com subsidiárias na UE, funcionários na UE, clientes na UE ou sistemas de IA implantados no mercado europeu está sujeita à regulação independentemente de onde a empresa está sediada. A Lei de IA, como o GDPR, se aplica com base em onde o sistema de IA opera, não onde a empresa está constituída.

O precedente do GDPR e a LGPD do Brasil: A Lei de IA da UE se baseia explicitamente no framework do GDPR. Empresas brasileiras que já operam sob programas de conformidade com a LGPD encontrarão sobreposição estrutural significativa — sistemas de IA que tratam dados pessoais enfrentam obrigações combinadas de LGPD e Lei de IA da UE quando tocam titulares de dados europeus.

Legislação própria de IA do Brasil: O Brasil está desenvolvendo ativamente seu próprio framework regulatório de IA, explicitamente modelado na Lei de IA da UE. Projetos de lei em consideração no Congresso brasileiro seguem a abordagem de classificação por risco da UE. Empresas que constroem programas de conformidade com a Lei de IA da UE agora estão construindo a fundação operacional para qualquer regulação brasileira que surgir nos próximos 12 a 24 meses.

A Lacuna de Inventário É a Lacuna de Conformidade

A razão mais comum pela qual as empresas não estão preparadas para a Lei de IA da UE é a mesma pela qual não estão preparadas para a maioria dos requisitos de governança de IA: elas não têm um inventário completo dos sistemas de IA que estão usando.

Não é possível avaliar a classificação de risco de sistemas de IA que você não conhece. Não é possível verificar se a ferramenta de IA de um fornecedor atende aos requisitos de transparência se você nunca perguntou. Não é possível demonstrar avaliação de conformidade para um sistema de IA de alto risco se você não sabia que era de alto risco quando o implantou.

A pesquisa IBM IBV constatou que apenas 18% das organizações mantêm um inventário atual e completo de IA. Sob a Lei de IA da UE, esses 82% sem inventário completo são, por definição, incapazes de confirmar conformidade — com uma regulação que já iniciou a aplicação.

A Sequência de Ação

Para empresas que ainda não iniciaram a preparação para conformidade com a Lei de IA da UE, a sequência lógica é:

Passo 1 — Inventário de IA: Mapeie cada sistema de IA atualmente em uso, incluindo ferramentas SaaS com IA embutida, sistemas desenvolvidos internamente e IA fornecida por fornecedores terceiros. Para cada um: o que faz, quem usa, quais dados processa, quais decisões influencia.

Passo 2 — Classificação de risco: Aplique a taxonomia de risco da Lei de IA da UE a cada sistema em seu inventário. Quais são proibidos? Quais são de alto risco? Quais enfrentam requisitos de transparência? Quais são de risco mínimo e amplamente não regulados?

Passo 3 — Remediação imediata: Para qualquer sistema classificado como proibido ou que levanta sérias questões sobre classificação como prática proibida, interrompa a implantação e busque avaliação jurídica antes de agosto de 2026.

Passo 4 — Conformidade de transparência: Para qualquer modelo GPAI ou conteúdo gerado por IA em contextos voltados ao cliente, implemente mecanismos adequados de divulgação antes do prazo de transparência de agosto de 2026.

Passo 5 — Preparação para alto risco: Para sistemas classificados como de alto risco, inicie o processo de documentação, testes e avaliação de conformidade imediatamente. O prazo de 2027 está mais próximo do que parece quando a documentação técnica e a infraestrutura de governança necessárias são levadas em conta.

Passo 6 — Diligência de fornecedores: Para cada capacidade de IA fornecida por um fornecedor terceiro, obtenha documentação do status de conformidade com a Lei de IA da UE. Sob a Lei, as obrigações do implantador são reais mesmo quando o sistema de IA foi construído por um fornecedor.

Perguntas Frequentes Sobre a Lei de IA da UE

A Lei de IA da UE se aplica a empresas fora da UE?
Sim, se o sistema de IA produz resultados usados dentro da UE ou a empresa tem clientes ou funcionários na UE. O alcance territorial da Lei espelha o alcance extraterritorial do GDPR.

Existem isenções para pequenas empresas?
A Lei inclui algumas acomodações para PMEs, incluindo requisitos de documentação simplificados e acesso a sandboxes regulatórios. No entanto, a proibição de práticas de risco inaceitável e os requisitos básicos de transparência se aplicam independentemente do tamanho da empresa.

E se usarmos um fornecedor de IA americano — o fornecedor é responsável?
A Lei distingue entre provedores (que desenvolvem o modelo de IA) e implantadores (que o colocam em uso em seu contexto). Implantadores têm suas próprias obrigações de conformidade, incluindo verificar que os sistemas de IA que implantam atendem aos requisitos da Lei. A cadeia de conformidade passa tanto pelo provedor quanto pelo implantador.

Como a Lei de IA da UE se relaciona com o GDPR para aplicações de IA com dados intensivos?
São complementares. O GDPR governa o processamento de dados pessoais. A Lei de IA da UE governa a implantação de sistemas de IA. Um sistema de IA que processa dados pessoais deve cumprir ambos. Na prática, isso significa que a IA usada em RH, atendimento ao cliente, avaliação de crédito e contextos similares enfrenta obrigações sob ambos os frameworks simultaneamente.

Qual é a primeira coisa que uma empresa deveria fazer hoje?
Construir o inventário. Nenhuma outra ação de conformidade é possível sem saber quais sistemas de IA estão em uso. Um diagnóstico de Shadow AI — mapeando ferramentas, acesso a dados, casos de uso e governança atual — é o passo fundacional para tudo que vem depois.

A Intrabit apoia empresas no mapeamento de seu ecossistema de ferramentas de IA, na classificação de sistemas conforme o framework de risco da Lei de IA da UE e na construção da infraestrutura de governança necessária para a conformidade. A primeira conversa é gratuita.

Leitura Recomendada

  • Compliance de IA em Setores Regulados
  • AI-BOM: O Inventário de Shadow AI Que Sua Empresa Precisa
  • IA Generativa e LGPD
  • Como Auditar o Uso de IA na Sua Empresa

Artigos relacionados

  • Transparência de IA Agora É Lei — O que Seu Chatbot, Conteúdo de Marketing e Ferramentas de Funcionários Devem Exibir até Agosto de 2026
  • Seu Software de Recrutamento Já É Regulado como Alto Risco — O Prazo de Agosto de 2026 que o RH Não Conhece
  • 95% das Empresas Estão Investindo Bilhões em IA e Não Vendo Retorno — O Fracasso Organizacional que Ninguém Discute

Pronto para diagnosticar sua empresa?

A primeira sessão é gratuita e dura 45 minutos.

Solicitar diagnóstico