Lei de IA da UE para Empresas: Guia Prático 2026

*78% das empresas não tomaram nenhuma medida significativa de compliance em relação ao EU AI Act. O prazo de 2 de agosto de 2026 para sistemas de AI de alto risco está a semanas de distância, as multas por não conformidade podem chegar a €35M ou 7% do faturamento global, e esse teto supera o GDPR. Este playbook oferece aos CTOs e líderes de compliance um caminho claro a seguir.*

O Que Já Está em Vigor e O Que Entra em Agosto

O EU AI Act não entrou em vigor de uma vez. Práticas proibidas, incluindo pontuação social, AI manipuladora e vigilância biométrica em tempo real, estão banidas desde 2 de fevereiro de 2025. As obrigações para modelos GPAI entraram em vigor em agosto de 2025. O próximo grande prazo é 2 de agosto de 2026, quando as obrigações para sistemas de AI de alto risco previstos no Anexo III entram em pleno vigor.

Esse prazo abrange os sistemas que a maioria das empresas efetivamente utiliza: ferramentas de recrutamento, avaliação de desempenho de RH, pontuação de crédito e infraestrutura crítica de segurança. Após agosto de 2026, provedores e operadores que não conseguirem demonstrar conformidade enfrentarão risco ativo de fiscalização. As autoridades nacionais de vigilância de mercado em toda a UE já estão formando equipes de fiscalização, com investigações iniciais previstas para sistemas de AI em RH, ferramentas de recrutamento e sistemas de decisão de crédito. A janela completa de conformidade se estende até agosto de 2027, mas a fiscalização já está operacional. Esperar não é uma estratégia.

A estrutura de multas é severa. Violações de AI proibida acarretam até €35M ou 7% do faturamento anual global. Violações de obrigações de alto risco chegam a €15M ou 3% do faturamento. Esses valores superam o teto de 4% do GDPR, tornando o EU AI Act a regulação tecnológica financeiramente mais consequente da história da UE.

Como Classificar Seus Sistemas de AI

O Ato utiliza um framework de quatro níveis. Sistemas proibidos são completamente banidos. Sistemas de alto risco (Anexo III) carregam as obrigações mais pesadas. Sistemas de risco limitado exigem divulgações de transparência para o usuário. Sistemas de risco mínimo não enfrentam requisitos obrigatórios.

As categorias de alto risco do Anexo III são mais amplas do que a maioria das equipes de compliance espera. Elas incluem identificação biométrica, gestão de infraestrutura crítica, ferramentas de educação e treinamento, sistemas de emprego e RH (recrutamento, avaliação de desempenho, alocação de tarefas), serviços privados essenciais como pontuação de crédito e avaliação de risco de seguros, ferramentas de aplicação da lei, controle de migração e fronteiras, e administração da justiça. Se sua empresa usa AI para triagem de candidatos a vagas ou para avaliação algorítmica do desempenho de funcionários, quase certamente está no território do Anexo III.

Dois fatores pegam as empresas de surpresa. Primeiro, a extraterritorialidade. Conforme orientação da KPMG, qualquer provedor que coloque AI no mercado da UE deve estar em conformidade, independentemente do local de constituição. Empresas americanas com clientes ou funcionários na UE estão totalmente no escopo.

Segundo, arquiteturas de AI agêntica e pipelines de RAG podem acionar a classificação de alto risco dependendo do uso downstream. A Cloud Security Alliance constatou que 40% dos sistemas de AI empresariais não podem ser classificados de forma clara. Ambiguidade não é uma isenção. Trate-a como um sinal de risco e escale imediatamente para o jurídico. Esse desafio de classificação é em parte estrutural: expertise jurídica e técnica raramente residem na mesma equipe. Empresas que reúnem compliance, engenharia e responsáveis de negócio em um único grupo de trabalho desde cedo avançam mais rápido e cometem menos erros custosos de reclassificação.

As Oito Obrigações para Sistemas de AI de Alto Risco

A conformidade para sistemas do Anexo III significa satisfazer oito requisitos distintos. Você precisará tanto de um processo documentado quanto de evidências de que o processo foi executado. Auditores buscam registros, não promessas.

• Art. 9, Gestão de Riscos: Identificação e mitigação contínua de riscos previsíveis ao longo do ciclo de vida da AI. Uma AI de recrutamento deve documentar modos de falha, como impacto desproporcional sobre grupos protegidos, com etapas de mitigação testadas antes da implantação, não depois.
• Art. 10, Governança de Dados: Os conjuntos de dados de treinamento e teste devem atender a critérios de qualidade. Testes de viés são obrigatórios. Para modelos de pontuação de crédito, isso significa auditar os dados de treinamento em busca de distorções demográficas antes do início do treinamento do modelo.
• Art. 11, Documentação Técnica: Arquitetura, finalidade pretendida, escolhas de design, métricas de desempenho e planos de monitoramento pós-mercado. Se seu sistema é um LLM ajustado para decisões de RH, você precisa de diagramas de arquitetura, metodologia de treinamento e benchmarks de desempenho segmentados por demografias.
• Art. 12, Registro de Logs: Registro automático de eventos para permitir rastreabilidade pós-implantação e investigação de incidentes. Cada triagem automatizada de contratação deve gerar um log com carimbo de data/hora contendo entradas, saídas e a versão do modelo utilizada, retido pelo período definido pelas autoridades supervisoras nacionais.
• Art. 13, Transparência: Divulgação clara ao usuário sobre as capacidades, limitações e requisitos de supervisão do sistema. Usuários que interagem com uma ferramenta de originação de empréstimos assistida por AI devem ser informados de que ela é assistida por AI e quais recursos estão disponíveis a eles.
• Art. 14, Supervisão Humana: Mecanismos obrigatórios para que humanos monitorem, intervenham e substituam decisões de AI. Inegociável para implantações de RAG empresarial e pipelines de agentes de alto risco. Uma ferramenta de avaliação de desempenho não pode emitir pontuações finais sem que um humano revise e aprove o resultado antes que ele seja registrado no prontuário do funcionário.
• Art. 15, Precisão e Cibersegurança: Níveis de desempenho definidos e mantidos ao longo do ciclo de vida, com resiliência contra entradas adversariais. Testes de robustez adversarial devem ser documentados e repetidos após cada atualização significativa do modelo.
• Art. 43/49, Avaliação de Conformidade e Registro: Autoavaliação para a maioria dos sistemas do Anexo III. AI biométrica e de infraestrutura crítica exige auditoria por terceiros. Todos os sistemas de alto risco devem ser registrados no banco de dados de AI da UE antes da implantação, incluindo documentação técnica completa.

Registro de logs e supervisão humana são tipicamente os mais rápidos de implementar. Comece por eles. A documentação técnica e a avaliação de conformidade levam mais tempo e já deveriam estar em andamento.

Um Roadmap de Compliance de 14 Semanas

Com semanas restantes antes de agosto, a sequência importa mais do que a abrangência.

Semanas 1-2: Construa um inventário de AI. 83% das empresas não têm um, conforme o relatório de prontidão da Vision Compliance. Sem um catálogo de cada modelo, ferramenta, agente e pipeline em produção, a classificação de risco é impossível e nada mais pode avançar.

Semanas 2-3: Classifique por nível de risco. Mapeie cada sistema em relação ao Anexo III. Espere que 40% exijam julgamento jurídico. Escale sistemas ambíguos imediatamente. Não os deixe em espera.

Semana 3: Atribua responsabilidade de governança. 74% das empresas não têm um responsável designado por governança de AI. Nomeie um conselho multifuncional: CTO, CCO, Diretor Jurídico, CISO. Indique um líder dedicado do programa de compliance que seja dono do cronograma.

Semanas 3-5: Avaliação de lacunas. Audite cada sistema de alto risco em relação aos Artigos 9-15. Separe as obrigações completamente ausentes daquelas parcialmente atendidas. Preste atenção especial à AI utilizada em decisões de RH, que os reguladores da UE indicaram como prioridade de fiscalização inicial.

Semanas 5-10: Remediação prioritária. Registro de logs (Art. 12), mecanismos de supervisão humana (Art. 14) e documentação técnica (Art. 11) são os mais rápidos de implementar e os de maior valor para a prontidão de auditoria.

Semanas 10-14: Avaliação de conformidade e registro na UE. Autoavalie-se para a maioria dos sistemas do Anexo III. Contrate auditores terceirizados agora para AI biométrica ou de infraestrutura crítica. Os prazos de contratação são longos.

Armadilhas Comuns

Três padrões consistentemente desviam programas de compliance na reta final.

Classificação incorreta das obrigações do operador. Equipes frequentemente assumem que, como um fornecedor construiu o modelo, as obrigações do fornecedor cobrem sua implantação. Não cobrem. Operadores têm obrigações independentes sob os Artigos 26 e 29. Se você está configurando, integrando ou determinando a finalidade de um sistema de AI de terceiros, você é um operador com obrigações reais de compliance.

Tratar a documentação como uma tarefa única. O Ato exige atualizações contínuas. Uma especificação técnica escrita na implantação torna-se não conforme no momento em que o modelo é retreinado sem atualizar a documentação. Incorpore versionamento no seu processo de documentação desde o primeiro dia.

Subestimar o prazo de registro no banco de dados da UE. Muitas equipes deixam a avaliação de conformidade e o registro para as semanas finais. Esse processo exige documentação técnica completa. Se a documentação não estiver concluída, você não consegue registrar. E você não pode implantar legalmente na UE sem isso.

O investimento é real. Grandes empresas devem orçar $8-15M para o compliance inicial, empresas de médio porte $2-5M, com sobrecarga anual de governança de 15-20% desses valores. Compare isso com o teto de multa de €35M e o cálculo é direto. Conforme pesquisa da Gartner de 2026, empresas que utilizam plataformas dedicadas de governança de AI têm 3,4x mais probabilidade de alcançar efetividade de compliance. Trate esse investimento como um custo de acesso ao mercado da UE. E ao mapear seu ecossistema de AI, considere como sistemas de AI multi-agente na sua stack alteram sua exposição ao Anexo III.