O prazo do EU AI Act chega em agosto de 2026: o que empresas brasileiras com operações ou clientes na Europa precisam fazer agora — antes que a não-conformidade vire passivo real

O relógio está correndo e poucos no Brasil perceberam

Em agosto de 2026, entram em vigor as obrigações de conformidade do EU AI Act para sistemas de inteligência artificial de alto risco. A regulação, aprovada pelo Parlamento Europeu em 2024 e considerada o marco regulatório de IA mais abrangente já criado por qualquer jurisdição, aplica-se não apenas a empresas europeias — mas a qualquer organização no mundo que use IA em processos que afetam cidadãos da União Europeia.

Isso inclui empresas brasileiras. Qualquer empresa brasileira que tenha filiais na Europa, clientes europeus, usuários europeus de plataformas digitais, ou parceiros que processam dados de cidadãos da UE pode estar no escopo do EU AI Act. E “pode estar” na maioria dos casos significa “está” — o escopo extraterritorial da lei foi deliberadamente amplo, seguindo a mesma lógica do GDPR em 2018.

O problema é que, enquanto o mercado europeu debate ativamente os detalhes de implementação há mais de um ano, a maioria das empresas brasileiras com exposição à UE ainda não iniciou qualquer processo formal de avaliação de conformidade. O prazo de agosto de 2026 não é uma sugestão. É um deadline com multas que chegam a 30 milhões de euros ou 6% do faturamento global anual — o que for maior. Para empresas de médio porte com operações na Europa, isso pode representar uma ameaça existencial.

O que o EU AI Act realmente exige

O EU AI Act adota uma abordagem baseada em risco: quanto maior o potencial de dano de um sistema de IA, mais rigorosas são as obrigações. A estrutura divide os sistemas de IA em quatro categorias: risco inaceitável (proibidos), alto risco (sujeitos a obrigações extensas), risco limitado (obrigações de transparência) e risco mínimo (sem obrigações específicas).

A categoria mais relevante para empresas brasileiras é a de alto risco. Ela inclui sistemas de IA usados em: recrutamento e seleção de pessoal; concessão de crédito e avaliação de solvabilidade; diagnóstico médico e apoio a decisões clínicas; sistemas de pontuação em educação e treinamento; controle de acesso a serviços essenciais; e infraestrutura crítica. Praticamente toda empresa de médio e grande porte usa alguma forma de IA em pelo menos uma dessas categorias.

Para sistemas de alto risco, as obrigações incluem: documentação técnica completa do sistema, incluindo dados de treinamento, arquitetura do modelo, limitações conhecidas e medidas de mitigação de risco; avaliação de conformidade por terceiro independente (em muitos casos); registro obrigatório na base de dados da EU; implementação de sistemas de monitoramento pós-implantação; e designação de um AI Compliance Officer com atribuições formais. Além disso, o sistema precisa ser projetado com supervisão humana significativa e não pode ser usado para propósitos além dos declarados na documentação.

Por que empresas brasileiras frequentemente subestimam a exposição

Existe um padrão recorrente de raciocínio que leva empresas brasileiras a subestimar sua exposição ao EU AI Act. O primeiro é o argumento da sede: “nossa sede é no Brasil, então lei europeia não nos afeta”. Esse argumento foi explicitamente refutado pelo texto da lei, que segue a lógica do mercado — se você serve clientes na UE, você está sujeito à lei, independentemente de onde sua sede está.

O segundo é o argumento da plataforma: “usamos uma plataforma de terceiros que já é conforme”. Parcialmente correto — mas a conformidade do fornecedor não exime o usuário das obrigações que recaem sobre quem implanta o sistema num contexto específico de alto risco. Se você usa um modelo de IA de um fornecedor conforme para tomar decisões de crédito que afetam europeus, você precisa demonstrar conformidade do seu uso específico, não apenas do modelo base.

O terceiro é o argumento da escala: “temos poucos clientes europeus, o risco é baixo”. Até certo ponto, a proporcionalidade regulatória considera o porte da empresa. Mas “baixo risco de ser multado” não é o mesmo que “isento de obrigações”. E empresas com ambições de crescimento no mercado europeu que não construírem estruturas de conformidade agora vão enfrentar barreiras de entrada crescentes à medida que os reguladores europeus aumentam a fiscalização.

O impacto estratégico além da conformidade

Ver o EU AI Act apenas como exercício de compliance é perder o ponto estratégico mais importante. A regulação europeia está criando um novo padrão global de governança de IA que outros mercados vão progressivamente adotar — incluindo, eventualmente, o Brasil. Empresas que construírem infraestrutura de conformidade com o EU AI Act hoje estão, na prática, construindo a base para conformidade com qualquer regulação que venha depois.

Além disso, há um argumento de confiança de mercado. Pesquisas consistentes mostram que consumidores e empresas europeias valorizam fornecedores que demonstram conformidade regulatória com IA — especialmente em setores sensíveis como saúde, finanças e RH. Ter certificação de conformidade com o EU AI Act pode se tornar um diferencial competitivo em processos de licitação e parcerias comerciais na Europa.

O argumento oposto também é verdadeiro: empresas que sofrerem sanções por não-conformidade com o EU AI Act terão não apenas o custo financeiro da multa, mas um dano reputacional que pode fechar portas no mercado europeu por anos. Em setores B2B onde a confiança é moeda fundamental, esse custo reputacional pode ser maior que a própria multa.

O roteiro de ação para empresas brasileiras

Com agosto de 2026 se aproximando, o tempo para preparação está se comprimindo. Um roteiro realista para empresas que ainda não começaram tem três fases. Na primeira — imediata — o objetivo é fazer um diagnóstico de exposição: mapear todos os sistemas de IA em uso na organização, identificar quais processam ou afetam dados de cidadãos europeus, e classificar esses sistemas segundo o framework de risco do EU AI Act. Esse diagnóstico pode ser feito em 2 a 4 semanas com a equipe interna certa ou consultores especializados.

Na segunda fase — nos próximos 60 dias — o foco é priorização e plano de ação: quais sistemas precisam de remediação urgente, quais precisam de documentação, quais exigem avaliação por terceiro. Nem tudo precisa ser resolvido ao mesmo tempo, mas é fundamental ter visibilidade do que está em conformidade, do que precisa de ajuste e do que representa risco material.

Na terceira fase — até julho de 2026 — a implementação das medidas prioritárias, com atenção especial à documentação técnica dos sistemas de alto risco, ao estabelecimento de supervisão humana demonstrável e ao treinamento das equipes que operam sistemas de IA em contextos regulados. Não é possível estar 100% conforme em todos os sistemas em semanas — mas é possível demonstrar boa-fé, progresso documentado e ausência de risco material nos sistemas mais críticos, o que é o que os reguladores europeus buscam inicialmente.

Thinq for Enterprise

Ver também

Geopolítica Tech

Índia mira US$ 250 bi em IA: o terceiro polo tech

Natsuo Oki ↗

Head de IA · Thinq.news

Quando o GDPR entrou em vigor em 2018, houve uma onda de pânico — e muitas empresas brasileiras que tinham clientes europeus simplesmente ignoraram e apostaram que não seriam fiscalizadas. Algumas tiveram sorte; outras pagaram caro depois. O EU AI Act é mais complexo, mais específico e o ambiente de fiscalização europeia em 2026 é incomparavelmente mais maduro do que era em 2018. O risco de “esperar para ver” é real e crescente. Minha recomendação para CEOs de empresas brasileiras com qualquer exposição ao mercado europeu: contrate hoje uma avaliação de exposição ao EU AI Act. Não precisa ser um projeto de 6 meses — um diagnóstico focado pode ser feito em semanas. O custo desse diagnóstico é uma fração do custo de uma multa ou de perder um contrato europeu por falta de conformidade demonstrável.

Publicado em 17 de março de 2026 · Thinq.news