A promulgação do "Artificial Intelligence Act" ou apenas "AI Act" pela União Europeia, publicada oficialmente em julho de 2024, representa uma importante mudança e marco normativo e estratégico no tratamento jurídico e institucional da inteligência artificial (IA) em escala global, pois com essa legislação podemos dizer que se marca o nascimento de um regime regulatório específico para IA, o que é ao mesmo tempo transversal e tecnicamente sofisticado, estabelecendo uma arquitetura jurídica que vai muito além da mera padronização técnica ou de orientações éticas não vinculantes.
Ao contrário o AI Act possui força normativa obrigatória em todos os Estados-membros da UE, e se aplica inclusive a entidades não europeias cujos sistemas de IA impactem direta ou indiretamente indivíduos localizados no espaço econômico europeu.
Em termos de relevância histórica e sistêmica, podemos dizer de que o AI Act ocupa hoje o mesmo papel de referência global que o GDPR passou a exercer sobre a proteção de dados pessoais, dando continuidade ao chamado "efeito Bruxelas", que é um fenômeno pelo qual as normas da UE se tornam referência internacional por força de seu mercado, seu poder normativo e sua aderência a princípios de direitos fundamentais.
A motivação do AI Act é dupla, aonde de um lado é antes de mais nada proteger os cidadãos europeus contra riscos éticos, sociais e de segurança associados à adoção em larga escala de sistemas de IA, mas por outro lqdo também é de fomentar um ambiente regulado que estimule o desenvolvimento de IA responsável, confiável e competitiva no mercado europeu.
Podemos então dizer de que esta norma portanto é tanto protetiva quanto promotora, em busca deste dificil mas não impossível equilíbrio entre o controle dos riscos e o incentivo a inovação segura.
Sendo que a sua estrutura jurídica é centrada na ideia de proporcionalidade, refletida na classificação por níveis de risco, e na atribuição de responsabilidades escalonadas aos atores da cadeia de valor da IA, da concepção à disponibilização e ao uso final.
Já a estrutura técnica da legislação adota um modelo tecnologicamente neutro, ou seja não está restrita a determinadas tecnologias ou metodologias de IA (como aprendizado supervisionado, redes neurais ou algoritmos genéticos), mas sim aos efeitos e aos contextos de uso dessas tecnologias, o que evita a obsolescência regulatória, e permite assim que a norma permaneça aplicável mesmo diante do rápido avanço técnico que caracteriza o campo da IA. Adicionalmente o regulamento faz referências explícitas aos Direitos Fundamentais da União Europeia, aos Princípios de IA Confiável (desenvolvidos pela Comissão Europeia desde 2019) e aos critérios de ética algorítmica, inserindo de forma explícita a dimensão ética como eixo estrutural da normatização.
Outro aspecto central é o seu efeito extraterritorial robusto, conforme artigo 2 do regulamento, o AI Act se aplica a qualquer sistema de IA cujo output seja utilizado na União Europeia, independentemente da localização geográfica do seu desenvolvedor, distribuidor ou operador. Esse critério de efeito pelo uso do resultado amplia o alcance da norma para além das fronteiras físicas da Europa, impondo deveres regulatórios a empresas brasileiras, norte-americanas, asiáticas ou de qualquer outra origem que ofereçam, direta ou indiretamente, sistemas de IA que impactem cidadãos ou organizações da UE.
Como exemplo prático uma empresa brasileira que fornece um modelo de IA utilizado por uma fintech portuguesa para concessão de crédito a consumidores europeus deverá observar todas as obrigações previstas no regulamento, mesmo sem possuir sede ou filial na Europa. Essa característica confere ao AI Act uma força de padronização internacional de facto.
A aplicabilidade do regulamento é ainda mais abrangente se considerarmos que ele cobre não apenas os chamados "sistemas de IA finalísticos", mas também modelos de IA de uso geral (General Purpose AI Models), como os modelos de linguagem de larga escala (LLMs), motores multimodais e modelos fundacionais, desde que colocados no mercado europeu, disponibilizados para terceiros, integrados em sistemas de terceiros ou usados como parte de produtos oferecidos no mercado europeu. Isso tem implicações profundas para empresas que desenvolvem modelos open-source ou APIs que possam ser utilizadas por outras empresas, mesmo que indiretamente, em território europeu.
Assim o AI Act se posiciona como um marco regulatório que reorganiza o campo da IA sob uma ótica de responsabilidade jurídica, transparência técnica, supervisão institucional e governança algorítmica. Em sua essência, ele substitui a lógica do “auto-regulamento ético” pela lógica do “dever jurídico vinculante e auditável”. Essa transformação não é meramente formal, mas ela impõe obrigações jurídicas, técnicas e organizacionais concretas, com prazos, penalidades, requisitos documentais e deveres de rastreabilidade que reposicionam as estruturas de compliance, desenvolvimento de produto, governança de dados e engenharia algorítmica nas empresas.
“A Europa não quer apenas regular a inteligência artificial, mas quer civilizá-la.”
Vou tentar agora detalhar melhor abaixo alguns dos pontos que eu pessoamente considero mais relevante e que todos deveriam entender.
O escopo material e territorial do AI Act através uma regulamentação transnacional com vocação sistêmica:
O primeiro item é justamente o escopo de aplicação material e territorial do AI Act, definido nos artigos 1º e 2º do regulamento., em que estabelecem de forma clara quais atores, quais tecnologias e quais situações jurídicas estão cobertas pela norma, que é um aspecto essencial para empresas que atuam em múltiplos países e precisam avaliar com precisão o risco regulatório da sua operação algorítmica.
O AI Act cobre os seguintes elementos:
Sistemas de IA como definidos no artigo 3º, ou seja qualquer sistema baseado em máquina com capacidade de inferência adaptativa que, a partir de dados de entrada, gere saídas como recomendações, decisões, predições ou conteúdo com impacto real sobre ambientes físicos ou virtuais. Esta definição é intencionalmente ampla e inclui desde modelos de machine learning supervisionado até modelos de deep learning não supervisionado e agentes autônomos.
Modelos de IA de uso geral (GPAI), definidos no artigo 3(63) como modelos treinados com grande volume de dados, com ampla generalidade funcional, capazes de serem integrados em múltiplos sistemas downstream, independentemente do modo como são disponibilizados. Esta categoria inclui, por exemplo, o GPT-4, Claude, LLaMA, Gemini, entre outros.
Práticas de IA proibidas listadas no artigo 5, e que não podem ser colocadas no mercado ou utilizadas sob nenhuma circunstância, salvo exceções expressamente autorizadas com justificativas legais (ex: uso de identificação biométrica em tempo real para localizar vítimas de tráfico humano com autorização judicial).
Sistemas de alto risco conforme artigos 6 e 7 e Anexos I e III, incluindo produtos que integram IA como componentes de segurança (ex: equipamentos médicos) e sistemas utilizados em domínios críticos (ex: educação, crédito, emprego, segurança pública).
Sistemas de risco limitado ou mínimo cujas obrigações regulatórias se restringem a deveres de transparência, como chatbots, deepfakes e interfaces que interagem com pessoas.
Todos os operadores da cadeia de fornecimento incluindo provedores, distribuidores, importadores, fabricantes de produtos com IA, representantes legais na UE e usuários institucionais.
Do ponto de vista do escopo territorial, o AI Act vai além do critério tradicional de jurisdição baseado no local de estabelecimento da empresa, mas adota três critérios cumulativos que ampliam sua incidência internacional:
Placing on the market: sempre que um sistema de IA ou modelo de IA for disponibilizado no mercado da UE, independentemente da origem do fornecedor.
Putting into service: quando o sistema for ativado ou colocado em uso pela primeira vez na UE, mesmo que o fornecedor esteja fora da Europa.
Use of output: quando o resultado do sistema de IA for utilizado dentro da UE, mesmo que o sistema ou modelo esteja hospedado fora do bloco.
Essa formulação técnica significa que não importa onde o modelo foi treinado, nem onde ele é operado, mas o que importa é onde o seu resultado é utilizado.
Assim isso cria uma cadeia de responsabilidades globais, exigindo das empresas extraterritoriais que comercializam ou licenciam sistemas de IA uma análise profunda de risco regulatório antes de colocarem seus produtos no mercado europeu.
Complementarmente o regulamento não se aplica a atividades de pesquisa e desenvolvimento realizadas exclusivamente com fins científicos antes da disponibilização comercial, nem a sistemas usados exclusivamente para fins militares, defesa nacional, ou segurança interna por entidades públicas. Também não se aplica a indivíduos em uso pessoal e não profissional de sistemas de IA, embora os provedores dos sistemas usados por essas pessoas estejam sujeitos integralmente à norma.
O AI Act ainda "conversa" com outros regimes jurídicos europeus, como o GDPR, a Diretiva de Privacidade Eletrônica e as diretivas de proteção ao consumidor, estabelecendo que as obrigações da IA não substituem, mas complementam as obrigações já existentes em matéria de proteção de dados, segurança cibernética, responsabilidade civil e direito da concorrência.
Essa abordagem integrada, ao mesmo tempo abrangente e tecnicamente ancorada, representa uma das inovações mais importantes do AI Act, e impõe as empresas uma necessidade imperiosa de revisar contratos, fluxos de dados, práticas de engenharia, ciclos de vida dos sistemas de IA e programas de compliance digital de forma transversal e sistêmica. A partir desse ponto todas as etapas do desenvolvimento, fornecimento, disponibilização e uso de IA no contexto europeu passam a ser reguladas não apenas por princípios éticos ou boas intenções, mas por obrigações jurídicas auditáveis, fiscalizáveis e passíveis de sanções severas.
“Não importa onde a IA é criada, mas se seu impacto toca a Europa, ela será chamada à responsabilidade.”
A Estrutura de Classificação de Risco do AI Act e os Fundamentos Técnicos, Implicações Jurídicas e Requisitos Operacionais
O segundo ponto central do Artificial Intelligence Act, e talvez seu eixo estrutural mais inovador e desafiador, é a implementação de um modelo de regulação proporcional baseada em risco, que já conhecemos este princípio de outros segmentos e riscos. Aqui a lógica normativa do AI Act parte da premissa de que nem toda inteligência artificial representa o mesmo grau de ameaça à sociedade, aos direitos fundamentais ou à integridade dos mercados. Assim quanto maior o risco associado a um sistema de IA, mais rigorosas serão as obrigações aplicáveis ao seu desenvolvimento, disponibilização e uso. Essa abordagem baseada em risco se fundamenta em três elementos: a gravidade do dano potencial, a probabilidade de ocorrência do risco, e a possibilidade de mitigação eficaz.
Assim o modelo regula não apenas a tecnologia em si, mas sobretudo a finalidade e o contexto em que a IA será utilizada, estabelecendo um marco que combina análise funcional, avaliação de impacto e exigência de governança algorítmica robusta.
A classificação de risco do AI Act está dividida em quatro categorias progressivas: risco inaceitável (proibido), risco alto (regulado de forma intensa), risco limitado (regulado parcialmente) e risco mínimo (livre, mas incentivado à autorregulação). Vou tentar então detalhar melhor cada uma dessas categorias.
Sistemas de Risco Inaceitável com a Proibição Total de Colocação e Uso
A categoria de risco inaceitável representa o “coração ético” do AI Act, aonde ooo artigo 5 estabelece uma lista taxativa de sistemas de IA cuja comercialização, disponibilização ou uso no território da União Europeia está totalmente proibida, salvo exceções restritíssimas sob autorização judicial ou administrativa. O racional jurídico para essa proibição absoluta é a constatação de que certos sistemas por sua própria natureza, violam direitos fundamentais ou colocam em risco a dignidade humana de maneira estrutural e irreversível, tornando inaceitável qualquer tentativa de mitigação proporcional.
Para ter uma ideia entre estas práticas de IA proibidas estão:
Manipulação subliminar ou enganosa de comportamento: sistemas que utilizem técnicas abaixo do limiar da percepção consciente ou estratégias de engenharia comportamental (como dark patterns algorítmicos) com o objetivo de induzir decisões ou ações contra o melhor interesse do usuário, especialmente se isso causar dano físico ou psicológico.
Exploração de vulnerabilidades de grupos específicos: sistemas que deliberadamente se aproveitam de deficiências cognitivas, emocionais, econômicas ou sociais de grupos vulneráveis, como crianças, idosos, pessoas com deficiência ou populações marginalizadas, para influenciar seu comportamento ou decisões, resultando em dano direto ou indireto.
Sistemas de Social Scoring: qualquer sistema que classifique indivíduos com base em comportamento social, antecedentes pessoais, ou padrões de interação, e que utilize essas pontuações para determinar o acesso a direitos, serviços ou benefícios, exceto em contextos diretamente relacionados à finalidade da avaliação (como histórico de crédito justificado por dados objetivos).
Predição de crimes baseada exclusivamente em perfilagem: sistemas que a partir de dados biométricos, características pessoais ou inferência de comportamento, projetem a probabilidade de um indivíduo cometer um crime, sem base em evidência factual objetiva e atual. Essa prática viola o princípio da presunção de inocência e pode perpetuar discriminações estruturais.
Criação de bases de dados biométricos a partir de scraping indiscriminado: uso de IA para coletar imagens e vídeos de forma automatizada, sem consentimento ou base legal, a partir de fontes públicas como redes sociais, câmeras de segurança e internet aberta, visando alimentar sistemas de reconhecimento facial.
Inferência emocional em ambientes escolares e corporativos: uso de IA para detectar emoções de estudantes, candidatos, empregados ou alunos em tempo real, com base em expressões faciais, variações de voz ou sinais biométricos, para fins de avaliação, controle ou disciplina. Tal uso é considerado invasivo, impreciso e prejudicial ao direito à privacidade emocional.
Categorização biométrica baseada em dados sensíveis: uso de IA para inferir etnia, religião, orientação sexual, convicções políticas ou filosóficas com base em sinais biométricos, salvo em contextos muito específicos autorizados por lei (como etiquetagem de dados para fins de treinamento sob supervisão policial).
Identificação biométrica remota em tempo real em espaços públicos para fins policiais: vedada de forma geral, com exceções extremamente restritas, como ameaças terroristas específicas, busca de vítimas de crimes graves ou identificação de criminosos perigosos, desde que previamente autorizada por autoridade judicial e sujeita a controle público.
A violação dessas proibições configura infração gravíssima, sujeita a sanções de até €35 milhões ou 7% do faturamento global anual da empresa, o que confere a essas disposições caráter exemplar e dissuasório.
“Se a IA pode parecer humana, ela deve ser obrigada a confessar que é máquina.”
- Sistemas de Alto Risco com Regulação Técnica Completa, Registro Público e Supervisão Contínua:
Os sistemas de alto risco representam o núcleo regulado de forma mais densa pelo AI Act. Sua classificação está prevista nos artigos 6 e 7, e detalhada nos Anexos I e III. Existem duas vias pelas quais um sistema pode ser classificado como de alto risco:
Via do Produto que são sistemas de IA que constituem componente de segurança de produtos regulados por legislação europeia de harmonização técnica, como: Dispositivos médicos, Aeronaves civis, Veículos automotores, Equipamentos de monitoramento industrial. Máquinas perigosas ou autônomas, Elevadores inteligentes, e Brinquedos robotizados.
Nesses casos o sistema de IA se integra a um produto cuja segurança já é regulada, e o AI Act atua de forma complementar, exigindo conformidade técnica adicional específica para o componente algorítmico.
Via da Finalidade que são sistemas de IA utilizados nos setores listados no Anexo III, independentemente de integrarem produtos físicos. Exemplos como Educação (ex: IA para admissão em universidades ou avaliação de desempenho), Emprego (ex: triagem de currículos ou avaliação automatizada de entrevistas), Crédito e finanças (ex: concessão de empréstimos com base em algoritmos), Serviços públicos (ex: elegibilidade para benefícios sociais), Infraestrutura crítica (ex: controle de tráfego ou gestão de rede elétrica), Aplicação da lei (ex: análise preditiva, detecção de fraudes). Imigração, fronteiras e asilo (ex: triagem de requerentes) e Justiça e tribunais (ex: recomendação algorítmica de penas ou decisões).
Para todos esses sistemas o AI Act impõe um conjunto rigoroso de obrigações técnicas, organizacionais e documentais, que incluem:
Documentação técnica detalhada: abrangendo o design do sistema, objetivos, arquitetura algorítmica, fluxos de decisão, limitações conhecidas, modelos utilizados, testes realizados e desempenho esperado.
Qualidade dos dados: utilização de conjuntos de dados para treinamento, validação e teste que sejam livres de viés discriminatório, suficientemente diversos, estatisticamente robustos e documentados quanto à sua origem, representatividade e limites.
Supervisão humana significativa: os sistemas devem permitir intervenção humana qualificada, em tempo razoável, com capacidade de reversão ou modificação de decisões automatizadas.
Teste de robustez, precisão e segurança cibernética: avaliação técnica periódica da resiliência do sistema a falhas, ataques, manipulações e alterações de ambiente.
Rastreabilidade: manutenção de registros operacionais ao longo de todo o ciclo de vida do sistema, garantindo a auditabilidade técnica e jurídica do seu funcionamento.
Registro no banco de dados europeu de IA: antes de serem colocados no mercado ou usados, os sistemas de alto risco devem ser registrados em repositório público mantido pela Comissão Europeia, com informações acessíveis sobre finalidade, operador, riscos e medidas mitigatórias.
Avaliação de conformidade: por meio de autoavaliação com base em normas técnicas harmonizadas ou, em alguns casos, por meio de certificação realizada por organismos notificados.
Marcação CE: selo de conformidade europeia que atesta a adesão aos requisitos técnicos do AI Act e à legislação de harmonização aplicável.
A não conformidade com esses requisitos sujeita o operador a sanções de até €20 milhões ou 4% do faturamento global anual. As autoridades nacionais de vigilância de mercado serão responsáveis por fiscalizar a conformidade desses sistemas, podendo exigir recall, suspensão de uso e retirada do mercado.
Além disso o AI Act impõe deveres específicos para importadores, distribuidores e usuários institucionais, que incluem a verificação da documentação de conformidade antes da comercialização, supervisão operacional durante o uso, comunicação de incidentes graves e cooperação com as autoridades regulatórias.
“Quanto maior o poder da IA, maior o peso da responsabilidade regulatória.”
- Sistemas de Risco Limitado com a Obrigações Específicas de Transparência:
A terceira categoria de risco definida pelo AI Act é composta pelos chamados sistemas de risco limitado, ou seja, aplicações de IA que não representam risco elevado à integridade física dos usuários nem ameaçam diretamente os direitos fundamentais, mas que podem até pela sua natureza interativa ou manipulativa induzir o erro, gerar confusão ou comprometer a autodeterminação informacional dos indivíduos. O tratamento jurídico desses sistemas é regulado principalmente pelo artigo 52 do regulamento.
Diferente dos sistemas de alto risco, os de risco limitado não estão sujeitos a avaliação formal de conformidade, nem à documentação técnica complexa, tampouco precisam passar por auditorias externas ou registro em banco europeu. No entanto, o regulamento exige deles obrigações específicas de transparência, que, se descumpridas, podem ensejar penalidades significativas.
Três tipos de sistemas enquadram-se claramente nessa categoria:
Sistemas que interagem com seres humanos: por exemplo os chatbots, voice assistants e avatares de atendimento automatizado. Nesses casos o usuário deve ser informado de forma clara, inequívoca e antes da interação que está se comunicando com um sistema de IA e não com um ser humano.
Sistemas que geram ou manipulam conteúdos sintéticos: como deepfakes, simulações faciais, vídeos falsificados, vozes clonadas ou textos gerados automaticamente em nome de terceiros. Esses conteúdos devem conter marcações técnicas (como metadados legíveis por máquina) que permitam sua detecção automática, bem como aviso visível para o usuário comum de que se trata de conteúdo artificialmente produzido ou manipulado.
Sistemas de reconhecimento emocional ou categorização biométrica não sensível: ainda que não se enquadrem nas proibições do artigo 5, estes sistemas estão sujeitos a transparência reforçada, sobretudo se forem utilizados para inferir estados mentais, humor, atenção ou engajamento em contextos comerciais, educacionais ou publicitários.
O descumprimento dessas obrigações, conforme previsto no artigo 99 do AI Act, pode acarretar sanções administrativas de até €10 milhões ou 2% do faturamento global, além de outras penalidades civis ou contratuais dependendo do contexto de uso. A lógica aqui é clara: o usuário não pode ser enganado ou manipulado por sistemas de IA cuja natureza não seja imediatamente perceptível. Essa exigência dialoga diretamente com o princípio da autodeterminação informacional e da liberdade de escolha consciente, que é um dos pilares da regulação europeia desde o GDPR.
Do ponto de vista prático as empresas que operam com sistemas de interação artificial (como assistentes virtuais, mecanismos de recomendação ou editores automáticos) devem revisar urgentemente seus fluxos de UX/UI, seus contratos com fornecedores e suas políticas de divulgação de conteúdo, para garantir total transparência aos usuários quanto à origem e à natureza dos outputs.
Sistemas de Risco Mínimo ou Nulo que Dispensam de Regulação Obrigatória, Incentivo à Autorregulação:
A quarta e última categoria prevista no AI Act abrange os chamados sistemas de risco mínimo ou nulo, ou seja as aplicações de IA que apresentam um risco tão baixo a integridade física,aà segurança da informação ou aos direitos fundamentais, que não justificam imposição de obrigações regulatórias compulsórias.
Esta categoria não é definida explicitamente em um artigo específico, mas resulta da lógica residual do sistema legal: tudo aquilo que não for risco proibido, alto ou limitado, enquadra-se como risco mínimo.
Exemplos típicos incluem os Filtros de spam de e-mail. os sistemas de recomendação de produtos simples (ex: “clientes que compraram isto também compraram aquilo”), as ferramentas de organização automática de fotos por local. a IA embutida em dispositivos domésticos básicos (ex: aspiradores robotizados), e a classificadores de documentos em bases de dados sem decisões automatizadas relevantes.
Para esses sistemas não há exigência legal compulsória de registro, documentação técnica, testes, ou rotulagem. Entretanto o AI Act incentiva fortemente que mesmo esses operadores adotem boas práticas voluntárias, por meio de códigos de conduta, princípios de ética algorítmica, diretrizes internas e medidas de explicabilidade. A própria Comissão Europeia e o AI Office serão responsáveis por promover a disseminação desses códigos de conduta, com possibilidade futura de certificação voluntária.
A adesão a esses códigos pode ser vantajosa para empresas, pois aumenta a confiança dos usuários, e ainda prepara a empresa para regimes futuros de conformidade mais exigente, e assim ainda reduz riscos reputacionais e de litígios, e também facilita a integração com sistemas de terceiros regulados.
Assim o fato de um sistema ser de risco mínimo não elimina a necessidade de governança técnica e jurídica, sobretudo se esse sistema evoluir ao longo do tempo, passar por fine-tuning, ou for combinado a outros módulos de IA de maior risco. Uma ferramenta inicialmente trivial pode, após integração com outros sistemas, passar a requerer obrigações superiores. o que torna fundamental manter monitoramento contínuo do ciclo de vida funcional da IA.
“Nem toda IA precisa de vigilância, mas toda IA merece governança.”
Modelos de IA de Uso Geral (GPAI) e o Risco Sistêmico, Rastreabilidade e Responsabilidade Compartilhada:
Com o avanço dos modelos fundacionais, o AI Act incorporou um capítulo específico sobre os chamados General Purpose AI Models (GPAIs), regulados principalmente pelos artigos 51, 52 e 55 do texto final, aonde a importância dessa seção esta no fato de que muitos dos sistemas de IA hoje utilizados por empresas e governos são na verdade modelos de base (foundation models) desenvolvidos por terceiros, como OpenAI, Anthropic, Google DeepMind, Meta ou Cohere.
Os GPAIs são definidos como modelos que uma vez treinados com grandes volumes de dados, podem ser integrados a múltiplos sistemas, com múltiplas finalidades, em contextos de difícil previsão pelo provedor original. São exemplos os modelos GPT, Gemini, LLaMA, Claude, entre outros. Segundo o AI Act, esses modelos devem cumprir requisitos específicos, mesmo que sejam disponibilizados como open source ou de forma gratuita.
As obrigações aplicáveis aos GPAIs estão:
Documentação técnica completa do modelo, incluindo escopo de treinamento, arquitetura, limitações e funcionalidades.
Avaliação de riscos sistêmicos, caso o modelo atenda aos critérios de impacto amplo, uso em múltiplos setores, escala populacional, influência sobre processos democráticos ou dependência estrutural de grandes cadeias de suprimento.
Medidas de mitigação de risco, como governança de APIs, limitação de abusos por terceiros, detecção de usos indevidos e controle sobre bias.
Transparência sobre dados de treinamento e benchmark de desempenho, especialmente quanto à diversidade dos dados e riscos de discriminação.
Supervisão independente e auditorias externas periódicas, nos casos de GPAIs classificados como de risco sistêmico.
Compromisso com sustentabilidade ambiental, com relato do consumo energético, impacto de carbono e medidas compensatórias adotadas.
Importante destacar que mesmo um modelo open source, se for integrado a um sistema de alto risco (como um sistema de justiça criminal automatizada), poderá implicar obrigações regulatórias tanto para o desenvolvedor quanto para o integrador. Esse ponto reforça a necessidade de acordos contratuais robustos entre fornecedores e usuários finais, para distribuir corretamente responsabilidades técnicas, jurídicas e regulatórias.
“Na nova era regulatória, nem o código aberto escapa da lupa da responsabilidade.”
Cronograma de Implementação, Sanções e Fiscalização:
A implementação do AI Act segue um cronograma escalonado, cuidadosamente desenhado para permitir a adaptação dos operadores, a criação das autoridades nacionais competentes e o desenvolvimento dos instrumentos técnicos de governança.
O cronograma oficial é:
12 de julho de 2024 – Publicação oficial no Jornal da União Europeia.
2 de fevereiro de 2025 – Entra em vigor a proibição de práticas de risco inaceitável e o dever de capacitação em literacia algorítmica (AI literacy).
2 de maio de 2025 – Prazo para apresentação voluntária de códigos de conduta para GPAIs.
2 de agosto de 2025 – Regras sobre GPAIs entram plenamente em vigor, incluindo deveres de rastreabilidade e registro. Também ocorre a designação das autoridades reguladoras nacionais.
2 de agosto de 2026 – Passa a ser obrigatória a conformidade plena de todos os sistemas de alto risco.
Até 2030 – Data limite para adaptação de sistemas legados usados por órgãos públicos, infraestruturas críticas ou grandes integradores já em operação.
As sanções administrativas são escalonadas conforme a gravidade da infração:
Até €35 milhões ou 7% do faturamento global para uso de sistemas proibidos (risco inaceitável).
Até €20 milhões ou 4% do faturamento para violações relativas à conformidade de GPAIs e sistemas de alto risco.
Até €10 milhões ou 2% para descumprimento de obrigações de transparência (sistemas de risco limitado) ou falhas em cooperar com autoridades.
As autoridades competentes incluem:
O AI Office (órgão central europeu).
O AI Board (colegiado de coordenação multinacional).
As autoridades nacionais de vigilância de mercado (responsáveis por fiscalização, recall e sanções).
Os Notified Bodies (organismos independentes de certificação).
As autoridades de proteção de dados, quando a IA envolver tratamento automatizado de informações pessoais.
“O relógio da conformidade já está correndo e os atrasados pagarão caro.”
O AI Act como Marco Normativo, Ético e Estratégico para a Governança da Inteligência Artificial
O Artificial Intelligence Act não é apenas uma norma técnica, tampouco uma peça isolada de compliance digital, mas se trata de uma nova constituição funcional para o ecossistema algorítmico da Europa, com impacto direto sobre cadeias globais de fornecimento, governança corporativa, engenharia de sistemas, direito da concorrência e proteção de direitos fundamentais.
Sua abordagem baseada no risco, a estrutura de responsabilidades distribuídas entre todos os operadores, o efeito extraterritorial com base no uso do output e a incorporação de obrigações sobre modelos fundacionais fazem do AI Act um marco sem precedentes.
Do ponto de vista prático, todas as empresas sejam elas desenvolvedores, integradores, distribuidores ou usuários institucionais de IA devem imediatamente: mapear todos os sistemas de IA sob sua responsabilidade, e depois classificá-los conforme os critérios do AI Act, assim como avaliar a documentação técnica existente, e identificar lacunas de conformidade, pata depois criar um programa de governança de IA auditável, escalável e em linha com os princípios da norma.
Conselhos de administração, comitês de risco e diretoria executiva devem incorporar o tema como ponto estratégico permanente de sua agenda, garantindo que a IA seja usada de forma ética, segura, sustentável e juridicamente responsável. A era da “IA sem freios” está tecnicamente superada na Europa, e todos que quiserem continuar operando nesse mercado terão que se adequar ao novo paradigma. O AI Act não apenas regula o que a IA pode fazer, mas também redefine o que as empresas devem ser para operar com responsabilidade em um mundo "algoritmizado".
“O AI Act não é apenas sobre IA, mas é sobre como queremos que o futuro seja programado.”
Para os que desejarem saber mais e ler direto da fonte recomendo a leitura do documento oficial (em inglês) em:
