O EU AI Act (Regulamento UE 2024/1689) é a primeira lei abrangente do mundo sobre inteligência artificial. Aprovado em 2024, entrou em vigor em agosto de 2024 e tem aplicação escalonada até 2027. Para muitas empresas brasileiras, a percepção é a de que "isso é problema da Europa" — mas a aplicação extraterritorial do regulamento muda esse cálculo.
Este artigo explica, sem juridiquês, quando o EU AI Act se aplica a empresas brasileiras, quais obrigações ele cria, prazos relevantes, multas e como conduzir a adequação preventiva.
Quando o EU AI Act se aplica a uma empresa brasileira
O regulamento tem alcance extraterritorial. Sua empresa pode estar no escopo se:
- Coloca um sistema de IA no mercado da União Europeia (vende, licencia, disponibiliza)
- Fornece um sistema de IA cuja saída (output) é usada na União Europeia
- Atua como provedor, importador, distribuidor, deployer ou representante autorizado de sistemas de IA na UE
- É subsidiária brasileira de grupo europeu, ou tem matriz/clientes enterprise na UE
- Processa dados de cidadãos europeus em soluções com componentes de IA (interface com GDPR)
Mesmo empresas 100% brasileiras, sem operação na Europa, frequentemente são puxadas para o escopo via cláusulas contratuais de clientes ou parceiros europeus.
As 4 categorias de risco
O EU AI Act adota uma abordagem baseada em risco. Cada sistema de IA é classificado em uma das 4 categorias, e as obrigações variam drasticamente.
Risco inaceitável (proibido)
Sistemas que manipulam comportamento de forma prejudicial, exploram vulnerabilidades, fazem social scoring por autoridades públicas, identificação biométrica em tempo real em espaços públicos (com exceções estritas), policiamento preditivo individual, scraping não direcionado de imagens faciais e reconhecimento de emoções em ambiente de trabalho ou educacional. Proibidos desde 2 de fevereiro de 2025.
Alto risco
Sistemas usados em áreas críticas: infraestrutura, educação, emprego (recrutamento, avaliação), serviços essenciais (crédito, seguros), aplicação da lei, migração, justiça, processos democráticos, e produtos cobertos por legislação setorial (médicos, automotivos, brinquedos). Maioria das obrigações entra em vigor em agosto de 2026 e agosto de 2027.
Risco limitado (transparência)
Chatbots, sistemas de geração de conteúdo (deepfakes, texto sintético), sistemas de reconhecimento de emoção e categorização biométrica fora do alto risco. Obrigação principal: informar claramente o usuário de que está interagindo com IA.
Risco mínimo
Maioria dos casos de uso (filtros de spam, IA em videogames, otimizações operacionais). Sem obrigações regulatórias específicas, mas a recomendação é seguir códigos de conduta voluntários.
GPAI: modelos de propósito geral
O EU AI Act trata separadamente os General Purpose AI Models (LLMs como GPT, Gemini, Claude, Llama). Provedores precisam publicar resumo de dados de treinamento, documentação técnica, política de copyright. Modelos com risco sistêmico (above 10^25 FLOPs) têm obrigações adicionais. Empresas brasileiras que constroem produtos sobre GPAI herdam parte dessas obrigações como deployers.
Obrigações típicas de um sistema de alto risco
- Sistema de gestão de risco ao longo de todo o ciclo de vida
- Governança de dados (qualidade, representatividade, viés)
- Documentação técnica completa (arquitetura, testes, limitações)
- Logging automático de eventos relevantes
- Transparência e instruções para deployer
- Supervisão humana efetiva
- Acurácia, robustez e cibersegurança comprovadas
- Sistema de gestão de qualidade (alinhado a ISO/IEC 42001)
- Avaliação de conformidade antes da colocação no mercado
- Marcação CE e registro em base de dados da UE
- Monitoramento pós-mercado e reporte de incidentes graves
Multas
As sanções são proporcionais à violação:
- Práticas proibidas: até €35 milhões ou 7% do faturamento global anual (o que for maior)
- Demais violações: até €15 milhões ou 3% do faturamento
- Informação incorreta a autoridades: até €7,5 milhões ou 1,5%
Linha do tempo de aplicação
- Agosto de 2024: entrada em vigor
- Fevereiro de 2025: proibições de risco inaceitável
- Agosto de 2025: regras para GPAI e governança
- Agosto de 2026: maioria das obrigações de alto risco
- Agosto de 2027: alto risco em produtos regulados (Anexo I)
EU AI Act, ISO 42001 e Marco Legal brasileiro
Implementar a ISO/IEC 42001 é o caminho mais eficiente para atender boa parte das obrigações do EU AI Act, especialmente sistema de gestão, gestão de risco, documentação, ciclo de vida e melhoria contínua. O Marco Legal da IA brasileiro (em construção a partir do PL 2338/2023) segue lógica conceitual semelhante: classificação por risco, governança, transparência, supervisão humana. Empresas que se preparam para o EU AI Act ganham vantagem competitiva no mercado brasileiro também.
Como conduzir a adequação preventiva
- Inventário completo de sistemas de IA (próprios, contratados, embarcados)
- Classificação por categoria de risco do EU AI Act
- Mapeamento de papel: você é provedor, deployer, importador, distribuidor?
- Identificação dos sistemas que tocam mercado/usuários/dados europeus
- Gap analysis contra obrigações aplicáveis
- Roadmap de adequação alinhado ao calendário europeu (2025–2027)
- Estruturação documental e operacional (idealmente sobre AIMS ISO 42001)
- Ajustes contratuais com fornecedores de GPAI e clientes europeus
Como a VGrid apoia
A VGrid atua em Consultoria EU AI Act e AI Compliance & Regulação, com método de adequação preventiva integrado ao AIMS ISO/IEC 42001. Não prometemos certificação oficial nem garantia de conformidade absoluta — entregamos estruturação técnica e documental que reduz risco regulatório e suporta auditorias futuras.
Solicite um diagnóstico de exposição ao EU AI Act e receba um plano de adequação adequado ao seu setor e mercado.
Quanto sua empresa pode economizar com Governança de IA?
Calculadora gratuita: multas evitadas, ganhos de produtividade e redução de risco em 5 minutos.
Conteúdo produzido pela equipe da VGrid, consultoria brasileira especializada em monitoramento corporativo, insider risk, DLP, governança operacional e conformidade.