A União Europeia criou a primeira grande lei de Inteligência Artificial do mundo
A Inteligência Artificial deixou de ser apenas uma inovação tecnológica para se tornar um tema regulatório estratégico. Em resposta ao rápido avanço das tecnologias de IA, a União Europeia aprovou o EU AI Act, considerado o primeiro marco regulatório abrangente do mundo voltado especificamente para sistemas de Inteligência Artificial.
Embora seja uma legislação europeia, seus impactos ultrapassam as fronteiras da União Europeia e podem atingir empresas brasileiras que desenvolvem, comercializam ou utilizam sistemas de IA relacionados ao mercado europeu.
O que é o EU AI Act?
O EU AI Act (Artificial Intelligence Act) é o Regulamento Europeu de Inteligência Artificial, considerado o primeiro marco regulatório abrangente do mundo voltado especificamente à governança e ao uso de sistemas de Inteligência Artificial.
A norma foi desenvolvida pela União Europeia como parte de sua estratégia de criação de um ecossistema digital confiável, buscando equilibrar inovação tecnológica e proteção dos direitos fundamentais dos cidadãos. Seu objetivo não é impedir o desenvolvimento da IA, mas estabelecer regras claras para que a tecnologia seja utilizada de forma segura, ética e responsável.
Diferentemente de legislações focadas exclusivamente na proteção de dados pessoais, como o GDPR, o EU AI Act possui escopo mais amplo. O regulamento aborda riscos associados ao desenvolvimento, comercialização, implementação e utilização de sistemas de Inteligência Artificial, independentemente de envolverem ou não dados pessoais.
A regulamentação estabelece obrigações para diversos participantes da cadeia de IA, incluindo desenvolvedores, fornecedores, importadores, distribuidores, integradores e usuários profissionais de sistemas de Inteligência Artificial. Dessa forma, a responsabilidade pela conformidade não recai apenas sobre quem desenvolve a tecnologia, mas também sobre organizações que a implementam em seus processos de negócio.
Um dos pilares centrais da norma é a proteção dos direitos fundamentais previstos na legislação europeia. Para isso, o regulamento busca mitigar riscos relacionados à discriminação algorítmica, falta de transparência, manipulação comportamental, violações de privacidade, decisões automatizadas injustas e impactos à segurança das pessoas.
Outro aspecto inovador do EU AI Act é sua abordagem baseada em risco (risk-based approach). Em vez de aplicar as mesmas exigências a todas as soluções de IA, o regulamento classifica os sistemas conforme seu potencial de impacto sobre indivíduos e sobre a sociedade. Quanto maior o risco associado à aplicação da tecnologia, maiores serão as obrigações de governança, documentação, supervisão humana e controle regulatório.
Além disso, o regulamento introduz requisitos específicos para os chamados modelos de IA de propósito geral (General Purpose AI Models – GPAI), categoria na qual se enquadram muitas das tecnologias generativas atualmente utilizadas pelo mercado, como grandes modelos de linguagem (Large Language Models – LLMs) e ferramentas capazes de gerar textos, imagens, vídeos e códigos.
Na prática, o EU AI Act inaugura uma nova fase da governança tecnológica global. Assim como o GDPR influenciou legislações de proteção de dados em diversos países, incluindo a LGPD brasileira, existe uma forte expectativa de que o modelo regulatório europeu para Inteligência Artificial sirva de referência para futuras regulamentações ao redor do mundo.
Para empresas brasileiras, especialmente aquelas que desenvolvem software, oferecem soluções SaaS, utilizam Inteligência Artificial em seus processos ou mantêm relações comerciais com organizações europeias, compreender os requisitos do EU AI Act tornou-se uma questão estratégica de governança, compliance e competitividade internacional.
Quando o EU AI Act entra em vigor?
O EU AI Act foi oficialmente publicado no Jornal Oficial da União Europeia em julho de 2024 e entrou em vigor em 1º de agosto de 2024.
Entretanto, suas obrigações não passaram a ser aplicáveis de forma imediata. A legislação prevê uma implementação gradual, permitindo que organizações e autoridades se adaptem às novas exigências.
O cronograma de implementação prevê:
- Fevereiro de 2025: início da aplicação das regras relacionadas às práticas de IA proibidas;
- Agosto de 2025: entrada em vigor das obrigações para modelos de IA de propósito geral (General Purpose AI – GPAI);
- Agosto de 2026: aplicação da maior parte das obrigações previstas pelo regulamento, incluindo diversos requisitos para sistemas de IA de alto risco;
- Agosto de 2027: implementação de determinadas obrigações específicas para sistemas de alto risco regulados por legislação setorial da União Europeia.
Embora parte significativa das exigências ainda esteja em fase de implementação, empresas que desenvolvem ou utilizam Inteligência Artificial já estão sendo pressionadas por clientes, investidores e parceiros comerciais a demonstrar práticas adequadas de governança e gestão de riscos em IA.
O alcance extraterritorial da norma
Assim como ocorreu com o GDPR, o EU AI Act possui alcance extraterritorial.
Isso significa que a legislação pode se aplicar a empresas localizadas fora da União Europeia quando elas comercializam sistemas de IA no mercado europeu, disponibilizam soluções de IA para usuários localizados na União Europeia, produzem resultados utilizados dentro da União Europeia ou prestam serviços envolvendo IA para organizações europeias.
Em outras palavras, uma empresa brasileira pode estar sujeita ao regulamento mesmo sem possuir filial ou operação física na Europa.
A classificação de riscos do EU AI Act
O regulamento organiza os sistemas de IA em quatro categorias principais.
1. Risco inaceitável
São sistemas considerados incompatíveis com os valores fundamentais da União Europeia.
Nesses casos, a utilização é proibida.
Exemplos incluem sistemas de manipulação subliminar capazes de influenciar comportamentos, exploração de vulnerabilidades de crianças ou pessoas vulneráveis, sistemas de pontuação social e determinadas formas de identificação biométrica em tempo real em espaços públicos.
2. Alto risco
São sistemas que podem impactar significativamente direitos fundamentais, segurança ou oportunidades das pessoas.
Exemplos incluem IA utilizada em recrutamento e seleção de candidatos, avaliação de desempenho profissional, concessão de crédito, educação, saúde, infraestrutura crítica, serviços públicos e aplicação da lei.
Esses sistemas estão sujeitos a exigências rigorosas de governança e conformidade.
3. Risco limitado
São sistemas cujo principal requisito é a transparência.
Exemplos incluem chatbots, assistentes virtuais, ferramentas de atendimento automatizado e sistemas que geram conteúdo sintético.
O usuário deve ser claramente informado de que está interagindo com uma Inteligência Artificial.
4. Risco mínimo
São aplicações com baixo potencial de impacto.
Exemplos incluem filtros de spam, sistemas de recomendação simples e ferramentas de automação com baixo impacto sobre direitos individuais.
Esses sistemas possuem poucas obrigações regulatórias.
Obrigações para sistemas de IA de alto risco
Os sistemas classificados como alto risco devem cumprir uma série de requisitos antes de serem disponibilizados no mercado.
Gestão de riscos
As organizações deverão implementar processos contínuos de identificação, avaliação e mitigação de riscos associados à IA.
Governança de dados
Os dados utilizados para treinamento, validação e testes devem possuir qualidade adequada e ser livres de vieses indevidos.
Documentação técnica
Os fornecedores devem manter documentação detalhada sobre a finalidade do sistema, arquitetura, modelos utilizados, dados empregados e medidas de mitigação de riscos.
Registro de logs
O sistema deve ser capaz de registrar eventos relevantes para possibilitar auditorias e investigações futuras.
Supervisão humana
A tomada de decisões não pode ocorrer de forma totalmente autônoma em situações críticas. Deve existir supervisão humana adequada para monitorar o funcionamento da IA.
Precisão, robustez e cibersegurança
Os sistemas devem demonstrar níveis adequados de precisão, resiliência, segurança e proteção contra ataques cibernéticos.
Transparência para IA generativa
Um dos temas mais debatidos durante a construção do regulamento foi o tratamento da IA generativa.
Ferramentas como ChatGPT, Gemini, Claude, Midjourney, DALL-E e Copilot passaram a ser objeto de obrigações específicas.
Entre elas estão a divulgação de que determinado conteúdo foi gerado por IA quando aplicável, a implementação de medidas para evitar conteúdos ilícitos, a disponibilização de informações sobre os dados utilizados para treinamento e o respeito às regras de direitos autorais.
O objetivo é aumentar a confiança dos usuários e reduzir riscos relacionados à desinformação e à utilização indevida dessas tecnologias.
Penalidades previstas
As multas previstas pelo EU AI Act estão entre as mais severas do cenário regulatório global.
Dependendo da infração, podem alcançar até € 35 milhões ou até 7% do faturamento global anual da organização.
A aplicação dependerá da natureza da infração e do porte da empresa envolvida.
O que empresas brasileiras devem fazer agora?
Mesmo organizações que não atuam diretamente na Europa devem começar a se preparar.
1. Mapear o uso de IA na organização
Identifique quais sistemas utilizam IA, quais áreas utilizam essas ferramentas e quais decisões são influenciadas pela tecnologia.
2. Criar uma Política de Inteligência Artificial
Uma política corporativa permite estabelecer regras de utilização, responsabilidades, limites de uso, procedimentos de aprovação e requisitos de segurança.
3. Implementar governança de IA
A governança deve contemplar inventário de sistemas, gestão de riscos, avaliações periódicas, monitoramento contínuo e registros de uso.
4. Avaliar fornecedores de IA
Empresas que contratam soluções de terceiros também precisam analisar medidas de segurança, transparência, compliance regulatório e tratamento de dados pessoais.
5. Integrar IA, LGPD e Segurança da Informação
O uso responsável da Inteligência Artificial depende da integração entre governança de IA, proteção de dados pessoais, segurança da informação e compliance corporativo.
A relação entre o EU AI Act e a ISO 42001
A ISO/IEC 42001, publicada em 2023, é o primeiro padrão internacional voltado para Sistemas de Gestão de Inteligência Artificial.
Embora a certificação não seja obrigatória pelo EU AI Act, diversos requisitos da norma contribuem diretamente para demonstrar maturidade regulatória, incluindo governança de IA, gestão de riscos, avaliação de impactos, monitoramento contínuo, definição de responsabilidades e controles de transparência.
Por esse motivo, muitas organizações estão utilizando a ISO 42001 como base para suas estratégias de adequação regulatória.
Conclusão
O EU AI Act representa um marco histórico na regulação da Inteligência Artificial e tende a influenciar legislações em diversas partes do mundo, incluindo o Brasil.
Mais do que uma obrigação jurídica, a conformidade com regras de governança de IA passa a ser um diferencial competitivo, especialmente para empresas que desenvolvem tecnologia, oferecem soluções SaaS, utilizam IA generativa ou possuem clientes internacionais.
Organizações que iniciarem desde já a implementação de práticas de governança, gestão de riscos e transparência estarão mais preparadas para enfrentar o novo cenário regulatório e aproveitar as oportunidades geradas pela Inteligência Artificial de forma segura e sustentável.
A Sigma Governance pode ajudar
Nosso programa de Governança de Inteligência Artificial prepara sua empresa para o cenário regulatório global: PL 2338/2023, EU AI Act e ISO 42001. Do inventário de sistemas à implementação de políticas e treinamentos.
Fale com nossos especialistas ou chame no WhatsApp e descubra como proteger sua empresa antes que a regulação bata na porta.