Em 2 de agosto de 2026, a Comissão Europeia ativa formalmente seus poderes de fiscalização sobre provedores de modelos GPAI. As multas chegam a 3% do faturamento global anual ou €15 milhões — o que for maior. O setor inteiro tinha um ano para se adequar; o relógio expira em menos de três meses.
O que destrava em 2 de agosto
O AI Act europeu já estava em vigor: as obrigações do Capítulo V para provedores de General-Purpose AI Models (OpenAI, Anthropic, Google DeepMind, Meta, Mistral, xAI e quem mais entrar no escopo) foram ativadas em agosto de 2025. O que se ativa agora, em 2 de agosto de 2026, é diferente: a capacidade da Comissão de exercer seus poderes de supervisão e enforcement. Em outras palavras, sai do papel para a prática.
Os instrumentos que a Comissão passa a operar são quatro. Primeiro, o poder de requisitar documentação técnica e informação detalhada sobre treino, dados e capacidades dos modelos. Segundo, o poder de conduzir avaliações próprias. Terceiro, o poder de exigir medidas de mitigação, recall ou retirada do mercado. Quarto, o poder de aplicar multas. As três primeiras são burocracia pesada; a quarta é o que move agenda de board.
O cálculo das multas
Sob o Art. 101, o AI Office pode aplicar multa de até 3% do faturamento global anual ou €15 milhões, o que for maior. Para uma OpenAI ou Anthropic, isso passa de €1 bilhão como teto. Para Google e Microsoft, ultrapassa €10 bilhões. O sinal regulatório é o mesmo do GDPR: o tamanho da multa precisa doer no faturamento global, não na operação local.
Aderir ao Code of Practice voluntário não exclui multas, mas funciona como atenuante: o AI Office leva em conta os compromissos assumidos no Code quando calibra o valor. É a velha lógica europeia — a opção é “negociar regulação” ou “ser regulado pela força”. Quem optou por boicotar (Meta foi o caso mais barulhento) entra agosto sem rede de proteção.
O que muda na prática para enterprise fora da Europa
Aqui está o ponto que C-levels brasileiros precisam ler com atenção. O AI Act se aplica a qualquer provedor de modelo que coloque seu modelo no mercado europeu, com efeito extraterritorial análogo ao GDPR. Mas a consequência operacional vai além disso. Empresa brasileira que usa OpenAI, Anthropic ou Google em produto que atende cliente europeu (mesmo via subsidiária ou parceiro), precisa documentar a cadeia de uso, registrar a versão do modelo e manter trilha de auditoria — porque a Comissão pode exigir isso da provedora, e a provedora vai descer o pedido na cadeia de contrato.
Isto é, mesmo que a empresa brasileira não seja o alvo direto, vira parte da pegada de compliance da OpenAI ou da Anthropic. Quem assinou contrato com cláusula de auditoria fraca em 2024 e 2025 vai ter conversa difícil em 2026. E o ponto que ainda é raramente discutido: a documentação técnica que o AI Office passará a exigir do provedor inclui informação sobre dados de treino, restrições de uso e procedimentos de mitigação — informação que o cliente enterprise pode acabar tendo de fornecer ao provedor.
O segundo prazo: agosto de 2027
Há outra data crítica que poucas pautas estão tratando: 2 de agosto de 2027 é a deadline para que provedores de modelos GPAI colocados no mercado antes de 2 de agosto de 2025 entrem em compliance. Toda a primeira geração — GPT-4, Claude 2 e 3, Gemini 1, Llama 2 e 3 — precisa ser auditada e enquadrada antes dessa data. Modelos legados que ficam em uso em produtos enterprise são o calcanhar mais frágil do calendário.
Para uma empresa que mantém produção em modelo lançado em 2024, a pergunta operacional não é “como migro para o modelo da moda?”. É “como meus contratos com o provedor garantem suporte e compliance até 2027 e além?”. Renovação contratual neste ano vai ter cláusula nova de partilha de responsabilidade regulatória — e quem não negociar agora vai pagar caro depois.
O xadrez geopolítico
O timing é diplomaticamente carregado. Os Estados Unidos, sob a atual administração, sinalizaram desregular IA na China com flexibilização de exportação de chips. A Comissão Europeia caminha no sentido oposto: aplica enforcement, exige documentação, define padrão técnico. O Brasil fica entre dois polos — mercado consumidor sob influência regulatória europeia (efeito Bruxelas), mas com cadeia de fornecimento e infraestrutura sob lógica americana.
O Marco Civil da IA brasileiro, em discussão final no Congresso em 2026, deve refletir essa tensão. Empresas brasileiras vão operar em um ambiente híbrido: regras europeias quando exportam, regras americanas quando consomem chip e modelo, regras brasileiras quando atendem o consumidor local. A complexidade não vai diminuir; vai aumentar.
O que fazer nos próximos 90 dias
Para o conselho de uma empresa brasileira que usa IA em escala — banking, varejo, saúde, indústria — três movimentos imediatos. Primeiro, mapear toda exposição: quais produtos, em quais geografias, usando quais modelos, fornecidos por quais provedores, sob qual contrato. Esse inventário não existe na maioria das empresas e leva 60 a 90 dias para ser feito direito. Segundo, abrir conversa com fornecedores sobre cláusulas de compliance regulatória — ler letra miúda do contrato e renegociar onde a partilha de responsabilidade está mal calibrada.
Terceiro, criar uma matriz de risco regulatório por uso, não por modelo. Mesmo modelo pode ser baixo risco em um caso de uso (sumário interno) e alto risco em outro (decisão de crédito ao consumidor). O AI Act trabalha por uso, e a empresa precisa pensar do mesmo jeito.
O dia 2 de agosto não vai vir com tribunal aberto e fila de empresas. Vai vir com a primeira investigação pública, provavelmente um caso emblemático escolhido por Bruxelas para sinalizar tom — exatamente como aconteceu no GDPR. Quem está estruturado quando o tom for sinalizado entra na onda; quem não estiver, vira o exemplo.
Publicado em 8 de maio de 2026 · thinq.news
