O AI Act da União Europeia entrou em vigor em agosto de 2024, mas é em agosto de 2026 que a maioria das obrigações se torna plenamente aplicável. Isso significa que empresas de qualquer lugar do mundo — inclusive do Brasil — que desenvolvem ou implantam sistemas de inteligência artificial cujos outputs são usados na UE precisam estar em conformidade. Este post explica o que muda na prática, como estruturar a governança de IA na sua organização e quais armadilhas evitar antes do prazo final.

Trabalho com integração de modelos de linguagem em produtos há mais de dois anos, e acompanho a evolução do AI Act desde o primeiro rascunho. O que mais me chamou atenção ao longo desse período foi a distância entre o que os times jurídicos entendiam como "conformidade" e o que os times de engenharia precisavam implementar de fato. A maioria das empresas que assessorei subestimou o esforço técnico — documentação de datasets, logging automático, avaliações de viés — e superestimou a complexidade jurídica. Na prática, o gargalo é engenharia, não advocacia.

O que é o AI Act e por que ele importa agora

O AI Act é a primeira legislação abrangente do mundo voltada exclusivamente para inteligência artificial. Aprovado pelo Parlamento Europeu e pelo Conselho da UE, ele estabelece um framework regulatório baseado em risco: quanto maior o potencial de dano de um sistema de IA, mais rigorosas são as obrigações de conformidade.

O cronograma de implementação é escalonado. Práticas de IA proibidas (como scoring social e manipulação subliminar) já são ilegais desde fevereiro de 2025. Regras de governança para modelos de propósito geral (GPAI) entraram em vigor em agosto de 2025. Mas o grosso das obrigações — especialmente para sistemas de alto risco — só se torna exigível em 2 de agosto de 2026.

As multas por não conformidade podem chegar a €35 milhões ou até 7% do faturamento global anual da empresa, o que for maior. Não é uma recomendação: é uma obrigação legal com consequências financeiras severas.

Classificação de risco: onde seu sistema de IA se encaixa

O AI Act categoriza sistemas de IA em quatro níveis de risco. Entender onde cada sistema da sua empresa se encaixa é o primeiro passo para definir o escopo de conformidade.

Risco inaceitável (proibido)

Sistemas que manipulam comportamento humano de forma subliminar, exploram vulnerabilidades de grupos específicos, realizam scoring social governamental ou usam identificação biométrica remota em tempo real em espaços públicos (com exceções limitadas para aplicação da lei). Esses já estão banidos desde fevereiro de 2025.

Alto risco

A categoria que exige mais atenção. Inclui sistemas de IA usados em:

  • Infraestrutura crítica (energia, transporte, água)
  • Educação e formação profissional (admissão, avaliação)
  • Emprego e gestão de trabalhadores (recrutamento, promoção, demissão)
  • Serviços essenciais (crédito, seguros, serviços públicos)
  • Aplicação da lei e gestão de migração
  • Administração da justiça e processos democráticos

Para esses sistemas, as exigências incluem: sistema de gestão de riscos documentado, governança de dados robusta, documentação técnica detalhada, logging automático, supervisão humana, e garantias de precisão, robustez e cibersegurança. Antes de colocar no mercado, é necessário realizar avaliação de conformidade, emitir declaração de conformidade da UE, afixar marcação CE e registrar o sistema na base de dados da UE.

Risco limitado

Sistemas como chatbots, deepfakes e conteúdo gerado por IA. A principal obrigação é transparência: o usuário precisa saber que está interagindo com IA ou consumindo conteúdo gerado por IA.

Risco mínimo

A maioria dos sistemas de IA — filtros de spam, jogos com IA, sistemas de recomendação simples. Sem obrigações regulatórias específicas, embora a UE encoraje adoção voluntária de boas práticas.

Governança corporativa: o que precisa existir na sua empresa

Conformidade com o AI Act não é só sobre o modelo em si — é sobre a estrutura organizacional ao redor dele. De acordo com o guia de compliance da LegalNodes, as empresas precisam estabelecer:

  • Responsável por IA (AI Officer): alguém com autoridade real para vetar deploys, não apenas um título honorífico. Idealmente reporta diretamente ao C-level.
  • Comitê de governança de IA: multidisciplinar — engenharia, jurídico, produto, compliance. Se reúne periodicamente para revisar inventário de sistemas e avaliações de risco.
  • Inventário de sistemas de IA: um registro centralizado de todos os sistemas de IA em uso, com classificação de risco, responsável técnico, dataset de treino, métricas de performance e data do último audit.
  • Processo de avaliação de impacto: para sistemas de alto risco, uma avaliação de impacto nos direitos fundamentais deve ser conduzida antes do deploy.
Comparativo: Estrutura de governança mínima vs. recomendada
ElementoMínimo (compliance)Recomendado (maturidade)
Responsável por IADesignado formalmenteC-level ou reporte direto ao board
Inventário de sistemasPlanilha atualizadaPlataforma com versionamento e alertas
Avaliação de riscoAntes do deploy inicialContínua, com re-avaliação trimestral
Logging e monitoramentoLogs retidos por período legalDashboards em tempo real com anomaly detection
Treinamento de equipeAI literacy básicaPrograma contínuo com certificação interna

Requisitos técnicos: o que a engenharia precisa entregar

Para times de engenharia, o AI Act traduz-se em requisitos técnicos concretos que precisam ser implementados antes de agosto de 2026:

Sistema de gestão de riscos

Não é um documento estático. É um processo iterativo e documentado que identifica riscos conhecidos e previsíveis, estima e avalia riscos que emergem do uso pretendido e do mau uso razoavelmente previsível, e adota medidas de mitigação. Na prática, isso significa ter pipelines de avaliação automatizados que rodam em cada release.

Governança de dados

Datasets de treino, validação e teste precisam ter documentação que cubra: proveniência dos dados, metodologia de coleta, vieses conhecidos, medidas de limpeza e enriquecimento, e limitações. Se você usa dados sintéticos, precisa documentar o processo de geração. Se faz fine-tuning em modelos de terceiros, precisa documentar quais dados foram usados e por quê.

Documentação técnica

Cada sistema de alto risco precisa de documentação que inclua: descrição geral do sistema, elementos do design e processo de desenvolvimento, informações sobre monitoramento e funcionamento, descrição detalhada do sistema de gestão de riscos, e mudanças feitas ao longo do ciclo de vida. Pense nisso como um "passaporte técnico" do seu modelo.

Logging automático

Sistemas de alto risco devem registrar automaticamente eventos relevantes ao longo do seu ciclo de vida. Isso inclui: período de uso, inputs que geraram os outputs, banco de dados de referência usado, e resultados da verificação de inputs. Os logs devem ser retidos por um período adequado à finalidade do sistema e às obrigações legais aplicáveis.

Supervisão humana

Sistemas de alto risco devem ser projetados para que possam ser efetivamente supervisionados por pessoas durante o período de uso. Isso não significa ter um humano revisando cada output — significa ter mecanismos técnicos que permitam ao operador entender as capacidades e limitações do sistema, monitorar seu funcionamento, e intervir ou interromper o sistema quando necessário.

Impacto no Brasil e na América Latina

O AI Act tem alcance extraterritorial: aplica-se a qualquer empresa cujos sistemas de IA sejam colocados no mercado da UE ou cujos outputs sejam usados na UE, independentemente de onde a empresa esteja sediada. Para empresas brasileiras que exportam software, oferecem SaaS global ou têm clientes europeus, a conformidade é obrigatória.

Paralelamente, o Brasil avança com sua própria regulamentação. O Projeto de Lei 2.338/2023 foi aprovado pelo Senado Federal em dezembro de 2024 e tramita na Câmara dos Deputados. Embora o PL brasileiro tenha suas especificidades, a abordagem baseada em risco é semelhante ao AI Act europeu, o que facilita a conformidade cruzada para empresas que operam nos dois mercados.

A tendência global é clara: regulamentação de IA não é mais hipotética. Empresas que se antecipam gastam menos e sofrem menos disrupção do que as que esperam o prazo final.

Checklist prático: como se preparar até agosto de 2026

Se sua empresa usa ou desenvolve sistemas de IA e tem qualquer exposição ao mercado europeu, aqui está um roteiro pragmático:

  • Mês 1-2: Faça um inventário completo de todos os sistemas de IA em uso. Classifique cada um na escala de risco do AI Act. Identifique quais são de alto risco.
  • Mês 3-4: Para cada sistema de alto risco, inicie a documentação técnica. Mapeie datasets, documente processos de treino, identifique vieses conhecidos.
  • Mês 5-6: Implemente logging automático e mecanismos de supervisão humana. Configure dashboards de monitoramento.
  • Mês 7-8: Conduza avaliações de impacto nos direitos fundamentais. Realize testes de robustez e cibersegurança.
  • Mês 9-10: Execute avaliações de conformidade. Prepare declarações de conformidade da UE. Inicie processo de registro na base de dados europeia.
  • Mês 11-12: Revise toda a documentação. Treine equipes. Realize auditorias internas finais antes do prazo de agosto de 2026.

Erros comuns que as empresas cometem

Com base na experiência de acompanhar empresas nesse processo de adequação, os erros mais frequentes são:

  • Tratar como projeto jurídico: compliance com AI Act é 70% engenharia, 30% jurídico. O time técnico precisa liderar.
  • Classificar tudo como "risco mínimo": empresas tendem a subestimar o risco dos seus próprios sistemas. Um sistema de recomendação de conteúdo pode parecer inofensivo, mas se influencia decisões de crédito ou emprego, é alto risco.
  • Ignorar o alcance extraterritorial: "não estamos na Europa" não é defesa. Se o output do seu modelo é usado na UE, você está no escopo.
  • Deixar para o último mês: documentação técnica retroativa é exponencialmente mais cara e menos precisa do que documentação feita durante o desenvolvimento.
  • Confundir AI literacy com compliance: a obrigação de AI literacy (que entrou em vigor em fevereiro de 2025) é separada das obrigações de sistemas de alto risco. Cumprir uma não isenta da outra.

Ferramentas e frameworks que ajudam

O ecossistema de ferramentas para compliance com AI Act está amadurecendo rapidamente. De acordo com uma análise do Conselho da UE, algumas abordagens que têm se mostrado eficazes incluem:

  • Model cards e datasheets: formatos padronizados de documentação de modelos e datasets. Frameworks como o Model Card Toolkit do Google facilitam a geração.
  • Plataformas de governança de IA: ferramentas como IBM OpenPages, ModelOp e Credo AI oferecem inventário centralizado, avaliação de risco automatizada e workflows de aprovação.
  • Frameworks de fairness e bias: Fairlearn, AI Fairness 360, What-If Tool — para avaliar e mitigar vieses em modelos antes do deploy.
  • Pipelines de MLOps com compliance embutida: integrar checks de conformidade diretamente no CI/CD do modelo — avaliação de viés, validação de documentação, verificação de logging — evita retrabalho manual.

Conclusão

O AI Act não é apenas mais uma regulamentação burocrática — é uma mudança estrutural na forma como empresas precisam desenvolver e operar sistemas de IA. Com o prazo de agosto de 2026 se aproximando, a janela para adequação está se fechando. Empresas que tratam governança de IA como um projeto técnico-organizacional integrado, e não apenas como uma checklist jurídica, terão vantagem competitiva clara: não só evitam multas milionárias, mas também constroem sistemas mais confiáveis e auditáveis. A hora de agir é agora — não quando a multa chegar.