Em 2 de agosto de 2026, o EU AI Act entra em vigor pleno. Cada Estado-membro da União Europeia terá sua agência regulatória nacional estabelecida. As multas por descumprimento chegam a €35 milhões ou 7% do faturamento global anual — o que for maior. E, ao contrário do que muitos executivos brasileiros ainda acreditam, essa regulação não se aplica apenas a empresas europeias. Ela se aplica a qualquer sistema de IA que afete pessoas dentro da União Europeia — independentemente de onde o sistema foi desenvolvido ou onde a empresa está sediada. Se a sua empresa tem clientes, parceiros ou operações na Europa, o relógio já está correndo.
A estrutura de risco do EU AI Act: o que você precisa saber primeiro
O EU AI Act classifica sistemas de IA em quatro categorias de risco, e as obrigações variam radicalmente entre elas:
Risco inaceitável (proibido): sistemas de pontuação social pelo governo, manipulação subliminal de comportamento, exploração de vulnerabilidades de grupos específicos. Esses sistemas são simplesmente proibidos na UE a partir de agosto.
Alto risco: sistemas usados em infraestrutura crítica, educação, emprego, crédito, controle de fronteiras, administração da justiça e serviços essenciais. Esses sistemas exigem avaliação de conformidade, registro em banco de dados europeu, documentação técnica detalhada e supervisão humana. Essa é a categoria mais relevante para empresas de serviços financeiros, RH e saúde que operam na Europa.
Risco limitado: sistemas como chatbots, geração de deepfakes e conteúdo sintético. Aqui as obrigações são de transparência — o usuário deve saber que está interagindo com IA.
Risco mínimo: a maioria das aplicações de IA empresarial comuns, que são permitidas sem restrições específicas, embora práticas voluntárias de boa governança sejam encorajadas.
Quais empresas brasileiras são afetadas
A regra de extraterritorialidade do EU AI Act segue lógica similar ao GDPR: o critério não é onde a empresa está, mas onde o impacto ocorre. Empresas brasileiras afetadas incluem, entre outras: exportadoras que usam sistemas de IA para triagem de crédito ou logística com parceiros europeus; plataformas digitais com usuários na Europa; empresas de software-as-a-service que vendem para clientes europeus; grupos industriais com subsidiárias na Europa que usam sistemas de IA desenvolvidos no Brasil; e prestadores de serviços financeiros com operações cross-border.
O erro mais comum que estou vendo: executivos que assumem que “quem cuida disso é a subsidiária europeia”. Em muitos casos, o sistema de IA que alimenta a subsidiária europeia foi desenvolvido e é mantido no Brasil. A responsabilidade regulatória recai sobre o desenvolvedor e o fornecedor do sistema — não apenas sobre o usuário final europeu.
As três obrigações mais críticas para sistemas de alto risco
Para empresas com sistemas classificados como alto risco, as exigências são substanciais. Primeiro, documentação técnica: descrição detalhada do sistema, dados usados no treinamento, métricas de desempenho, limitações conhecidas, medidas de segurança e plano de monitoramento pós-deploy. Segundo, supervisão humana: o sistema deve ser desenhado para permitir intervenção humana em decisões críticas, com registros de auditoria que comprovem que essa supervisão ocorre na prática. Terceiro, registro no banco de dados europeu (EU AI Act Database): sistemas de alto risco precisam ser registrados antes do deploy, com informações que ficam acessíveis ao público e às autoridades regulatórias.
Nenhuma dessas obrigações pode ser cumprida retroativamente de forma confiável. Sistemas que já estão em produção e não foram desenvolvidos com esses requisitos em mente precisarão de redesenho significativo — ou de descontinuação para o mercado europeu.
A lição do GDPR: não espere o prazo
Em 2018, quando o GDPR entrou em vigor, centenas de empresas brasileiras foram pegas desprevenidas. Muitas simplesmente bloquearam o acesso de usuários europeus como medida temporária de emergência. Outras pagaram consultores a preços premium para corridas de adequação de última hora. Algumas receberam notificações de autoridades europeias meses depois.
O EU AI Act tem o mesmo potencial de ruptura — mas com consequências potencialmente maiores, porque sistemas de IA são mais difíceis de “desligar” do que práticas de coleta de dados. Um sistema de crédito, triagem de RH ou monitoramento logístico que não pode ser desativado sem impacto operacional exige uma estratégia de adequação muito mais cuidadosa.
A janela de ação confortável já fechou. A janela de ação viável ainda está aberta — mas estreitando. Empresas que iniciarem o mapeamento de seus sistemas de IA e a análise de conformidade nos próximos 60 dias ainda têm tempo de resolver as questões mais críticas antes de agosto.
Por onde começar: três passos práticos
O primeiro passo é o inventário de sistemas de IA: catalogar todos os sistemas de IA em uso ou desenvolvimento na empresa que possam afetar usuários, parceiros ou operações na Europa. O segundo é a classificação de risco: para cada sistema, determinar em qual categoria do EU AI Act ele se enquadra — preferencialmente com apoio de assessoria jurídica especializada em regulação europeia de tecnologia. O terceiro é o gap analysis: para sistemas de alto risco, comparar a documentação e os controles existentes com os requisitos do AI Act e priorizar as adequações mais críticas.
Esse processo não é barato nem rápido. Mas o custo de não fazê-lo pode incluir não apenas multas, mas perda de acesso a um dos maiores mercados do mundo.
Publicado em 14 de março de 2026 · thinq.news
