- As obrigações de IA de alto risco se aplicam a partir de 2 de agosto de 2026 – daqui a dois meses
- A maioria das empresas que utilizam ferramentas de IA de terceiros são implantadoras, não fornecedoras, mas as implantadoras de IA de alto risco ainda têm obrigações legais reais
- Oito categorias do Anexo III definem IA de alto risco – a IA de emprego e recrutamento está no escopo da maioria das empresas regulamentadas
- Várias práticas de IA foram proibidas desde fevereiro de 2025, incluindo o reconhecimento de emoções nos locais de trabalho e a pontuação social alimentada por IA
- Usar ChatGPT, Copilot ou Gemini faz de você um implementador GPAI – você herda a conformidade deles, mas é responsável pela forma como os implanta
- As multas chegam a 35 milhões de euros ou 7% do volume de negócios global para as violações mais graves
O que é o EU AI Act
O EU AI Act (Regulamento UE 2024/1689) é o primeiro quadro jurídico abrangente do mundo para inteligência artificial. Foi publicada em 12 de julho de 2024 e entrou em vigor em 1 de agosto de 2024. Ao contrário das regras setoriais específicas que regem a IA em indústrias específicas, a lei aplica-se horizontalmente a todos os setores e a todos os casos de utilização de IA, utilizando uma abordagem baseada no risco para determinar quais as obrigações aplicáveis.
A Lei cria obrigações para dois tipos principais de atores. Provedores desenvolver sistemas de IA e colocá-los no mercado da UE, pense em fornecedores de software, empresas de SaaS e desenvolvedores de ferramentas de IA. Implantadores utilizar sistemas de IA num contexto profissional sob sua própria autoridade. A maioria das empresas – incluindo PMEs que utilizam ferramentas de IA prontas para uso para RH, atendimento ao cliente ou operações – são implantadoras, não fornecedoras. Os provedores carregam obrigações mais pesadas. Os implantadores de IA de alto risco têm outras mais leves, mas ainda assim substantivas.
A lei aplica-se aos fornecedores que colocam IA no mercado da UE, independentemente do local onde estejam sediados, e aos implantadores localizados na UE. Se você usa IA em suas operações na Holanda, no Reino Unido (onde a equivalência pós-Brexit está sendo monitorada) ou em qualquer estado membro da UE, e o resultado da IA afeta pessoas na UE, esta lei se aplica a você.
Os quatro níveis de risco
A lei classifica os sistemas de IA em quatro níveis. O nível determina suas obrigações – desde nada para a maioria da IA cotidiana até um banimento total para os aplicativos mais perigosos.
IA proibida: o que foi banido desde fevereiro de 2025
As proibições do Capítulo II da Lei tornaram-se aplicáveis em 2 de fevereiro de 2025. Se sua organização usar qualquer um dos seguintes itens, você já estará violando.
- Manipulação subliminar: IA que influencia as pessoas através de técnicas que operam abaixo da percepção consciente para distorcer seu comportamento ou decisões de forma a causar danos.
- Explorando vulnerabilidades: IA que explora as vulnerabilidades de grupos específicos, idade, deficiência, situação social ou económica, para distorcer seu comportamento de forma prejudicial.
- Pontuação social: IA utilizada pelas autoridades públicas para avaliar ou classificar indivíduos com base no seu comportamento social ou características pessoais, levando a um tratamento prejudicial ou desfavorável.
- Previsão de comportamento criminoso por perfil: IA que avalia o risco de uma pessoa cometer um crime com base apenas no perfil ou nos traços de personalidade, e não em factos objetivos e verificáveis.
- Raspagem biométrica não direcionada: Sistemas de IA que criam ou expandem bancos de dados de reconhecimento facial coletando imagens da Internet ou filmagens de CFTV sem um propósito específico.
- Reconhecimento de emoções nos locais de trabalho e na educação: IA que infere as emoções de trabalhadores ou estudantes. Esta é uma preocupação direta e imediata para os empregadores que utilizam ferramentas de monitorização do humor ou do envolvimento.
- Categorização biométrica por atributos sensíveis: IA que categoriza pessoas com base em dados biométricos em grupos definidos por raça, opinião política, religião, orientação sexual ou outras características sensíveis.
- Identificação biométrica remota em tempo real em espaços públicos: IA utilizada para identificação biométrica em tempo real de pessoas em espaços acessíveis ao público, sujeita a exceções restritas e rigorosamente supervisionadas pela aplicação da lei.
Plataformas de monitorização do envolvimento dos funcionários, ferramentas de monitorização da produtividade que registam expressões faciais ou estado emocional e qualquer tecnologia de RH que avalie ou classifique os trabalhadores com base em sinais biométricos podem já constituir IA proibida. Revise quaisquer dessas ferramentas antes que qualquer ação de fiscalização force o problema.
IA de alto risco: as oito categorias do Anexo III
O anexo III enumera as categorias de sistemas de IA classificados como de alto risco. As obrigações para fornecedores e implantadores nestas categorias aplicam-se a partir de 2 de agosto de 2026. A maioria das organizações enfrentará riscos nas categorias de emprego e serviços financeiros.
O que os implantadores de IA de alto risco devem fazer
Se sua organização utiliza um sistema de IA de alto risco, suas obrigações como implementador são distintas das do fornecedor. O fornecedor é responsável pelo projeto, documentação e avaliação de conformidade do sistema. Você é responsável pela forma como ele é usado.
- Use-o conforme pretendido: Você deve usar o sistema de acordo com as instruções de uso do fornecedor. Modificações ou casos de uso fora do escopo pretendido transferem a responsabilidade para você.
- Implementar a supervisão humana: Você deve designar uma pessoa com competência, autoridade e recursos necessários para implementar a supervisão humana da operação do sistema. Não são permitidas decisões de alto risco totalmente automatizadas sem revisão humana significativa.
- Monitore comportamento inesperado: Deve monitorizar o funcionamento do sistema e comunicar incidentes graves ou avarias ao fornecedor e, quando necessário, à autoridade de fiscalização do mercado competente.
- Mantenha registros: Nos casos em que o sistema de IA gera registos automaticamente, deve reter esses registos durante o período exigido pela lei aplicável.
- Informe os trabalhadores afetados: Quando o sistema de IA afetar os trabalhadores, por exemplo, a monitorização do desempenho ou a atribuição de tarefas, deve informar os trabalhadores e seus representantes sobre a utilização do sistema antes da sua implantação.
- Realizar uma Avaliação de Impacto nos Direitos Fundamentais (FRIA): Os implantadores que são órgãos públicos ou que implantam IA de alto risco para pontuação de crédito, seguros ou outros serviços devem realizar e documentar uma FRIA antes da implantação.
2026
Modelos de IA de uso geral: o que os implantadores precisam saber
Os modelos General Purpose AI (GPAI) – os grandes modelos básicos que fundamentam ChatGPT, Microsoft Copilot, Google Gemini e ferramentas semelhantes – estão sujeitos a uma faixa separada na Lei. As obrigações do GPAI sobre os fornecedores tornaram-se aplicáveis a partir de 2 de agosto de 2025.
Para a maioria das empresas, o ponto principal é este: quando você usa um modelo GPAI por meio de uma API, um produto de assinatura ou uma plataforma como Microsoft 365 Copilot, você é um implementador desse sistema GPAI. O provedor, OpenAI, Microsoft, Google, cumpre as principais obrigações de conformidade com GPAI, incluindo manutenção de documentação técnica, publicação de resumos de dados de treinamento e conformidade com as leis de direitos autorais da UE. Você herda a conformidade deles por meio de seus termos e documentação de transparência.
No entanto, a situação muda se você construir com base em um modelo GPAI. Se você ajustar um modelo básico, adicioná-lo a um produto que você coloca no mercado ou usar um modelo GPAI para alimentar um aplicativo que se enquadra em uma categoria de alto risco do Anexo III, como uma ferramenta de triagem de CV alimentada por GPAI, você assume obrigações como fornecedor desse aplicativo downstream. A conformidade do provedor GPAI subjacente não cobre o aplicativo de alto risco que você criou sobre ele.
Usar ChatGPT ou Copilot com responsabilidade não é o mesmo que estar em conformidade. Se o caso de uso que você construiu com essas ferramentas for de alto risco, as obrigações seguirão o caso de uso, não a ferramenta.
Modelos GPAI com risco sistêmico
Os modelos GPAI treinados usando mais de 10²⁵ operações de ponto flutuante (aproximadamente equivalentes aos modelos de fronteira mais capazes disponíveis atualmente) são designados como tendo risco sistêmico. Seus fornecedores enfrentam requisitos adicionais: testes contraditórios, comunicação de incidentes ao Gabinete Europeu de IA, medidas de cibersegurança e relatórios de eficiência energética. Como implementador destes modelos, suas obrigações permanecem inalteradas, mas deve confirmar que seu fornecedor GPAI se registou no Gabinete de IA da UE e publicou a documentação de transparência necessária.
O cronograma de implementação
O que a maioria das empresas precisa fazer agora
Com a aproximação do prazo final de agosto de 2026, o ponto de partida mais útil é um inventário estruturado do seu uso de IA. Não é possível avaliar suas obrigações sem primeiro saber quais os sistemas de IA que utiliza e em que contexto.
Etapa 1: inventariar seu uso de IA
Liste todos os sistemas de IA em uso em sua organização – não apenas aqueles que a TI adquiriu, mas ferramentas usadas por equipes e indivíduos individuais. Inclui IA de produtividade (Copilot, ChatGPT), plataformas de RH com recursos de IA, chatbots voltados para o cliente, ferramentas de detecção de fraude e quaisquer plataformas analíticas que tomam ou informam decisões sobre pessoas. Shadow AI é um risco real aqui: muitas organizações descobrem através deste processo que os funcionários estão usando ferramentas de IA que sua função de TI não revisou.
Etapa 2: Classifique cada sistema por nível de risco
Para cada sistema identificado, determine qual nível se aplica. A questão-chave para a maioria das PME: o sistema de IA toma ou apoia materialmente decisões sobre pessoas no contexto de emprego, educação, crédito ou serviços essenciais? Se sim, provavelmente é de alto risco. Se for um chatbot com o qual os usuários sabem que estão conversando, o risco é limitado. Se for um mecanismo de recomendação ou uma ferramenta de produtividade interna, o risco provavelmente será mínimo.
Etapa 3: verifique seu RH e IA de recrutamento
A gestão do emprego e dos trabalhadores é a categoria do Anexo III mais relevante para a mais ampla gama de organizações. Se você usar qualquer ferramenta que automatize ou auxilie na triagem de currículos, classificação de candidatos, agendamento de entrevistas, monitoramento da produtividade dos funcionários ou tomada de decisões de alocação de tarefas, verifique se o fornecedor dessa ferramenta possui documentação que confirme sua abordagem à Lei de IA. Pergunte diretamente aos seus fornecedores de tecnologia de RH: seus sistemas são classificados como de alto risco sob o EU AI Act e qual é seu roteiro de conformidade?
Etapa 4: revise sua exposição proibida à IA
Percorra as categorias de IA proibidas e verifique se alguma ferramenta atual pode estar no escopo. O reconhecimento das emoções e a monitorização do local de trabalho são as duas exposições mais prováveis para as organizações do setor privado. Qualquer plataforma que analise expressões faciais, tom de voz ou comportamento físico para inferir o envolvimento ou o estado emocional dos funcionários deve ser revisada imediatamente.
Etapa 5: atualize suas políticas de IA e informe sua força de trabalho
A lei exige que os implantadores de IA de alto risco informem os trabalhadores quando os sistemas de IA são usados nas decisões de emprego. Para além do requisito legal, o conhecimento do pessoal sobre quais as ferramentas de IA que estão sendo utilizadas e como funcionam é uma boa governação. Atualize sua política de uso aceitável para abordar a IA generativa, documente quais ferramentas são aprovadas e para quais finalidades e garanta que a pessoa responsável pela supervisão da IA tenha autoridade e tempo para exercê-la.
Nosso equipe de auditorias e compliance trabalha com organizações para estruturar suas avaliações de preparação para a Lei de IA, desde inventário até análise de lacunas e remediação. Nosso Prática de consultoria em IA apoia empresas que implementam IA de forma responsável em setores regulamentados, incluindo serviços financeiros, saúde e hospitalidade.
A estrutura fina
A lei estabelece uma estrutura de penalidades de três níveis. As autoridades nacionais de fiscalização do mercado são responsáveis pela aplicação em cada Estado-Membro, com o Gabinete Europeu de IA a supervisionar diretamente os fornecedores de GPAI.
- Violações proibidas de IA: Até 35 milhões de euros ou 7% do volume de negócios anual total mundial, o que for maior.
- Não cumprimento das obrigações de IA de alto risco: Até 15 milhões de euros ou 3% do volume de negócios anual total mundial, o que for maior.
- Fornecer informações incorretas, incompletas ou enganosas às autoridades: Até 7,5 milhões de euros ou 1% do volume de negócios anual total mundial, o que for maior.
Para as PME e as empresas em fase de arranque, as multas são limitadas ao valor mais baixo, o limite absoluto ou a percentagem do volume de negócios. Isto proporciona alguma protecção relativamente ao tratamento dispensado às grandes empresas, mas os números absolutos permanecem significativos em qualquer escala. O Gabinete Europeu de IA indicou que a aplicação se concentrará inicialmente nas violações mais graves e no incumprimento repetido ou negligente, em vez de nas primeiras violações técnicas cometidas por organizações que façam esforços genuínos para cumprir.