A Lei de IA da UE é a primeira regulamentação abrangente de IA da UE e se tornará gradualmente vinculativa. Para as empresas, uma coisa é crucial: Quais obrigações se aplicam a partir de quando, e o que deve ser feito concretamente? Este artigo classifica as classes de risco, prazos e medidas, incluindo o recente adiamento pelo Digital Omnibus.
O que o Digital Omnibus mudou
Em maio de 2026, o Parlamento e o Conselho chegaram a um acordo sobre o „Digital Omnibus on AI" e espaçaram temporalmente as obrigações mais exigentes.2 Os pontos principais em resumo:
- Obrigações de alto risco adiadas. Sistemas autônomos de alto risco, conforme Anexo III (por exemplo, recrutamento, pontuação de crédito, educação), entram em vigor somente a partir de 2 de dezembro de 2027, e IA de alto risco incorporada em produtos, conforme Anexo I, a partir de 2 de agosto de 2028.3
- Obrigações de transparência permanecem. As obrigações do Artigo 50 aplicam-se inalteradas a partir de 2 de agosto de 2026.
- Facilitações para empresas menores. Uma nova categoria „Small Mid-Caps" (menos de 750 funcionários, no máximo 150 milhões de euros de faturamento) receberá documentação simplificada, multas limitadas e acesso prioritário ao sandbox.3
- Juridicamente vinculativas as novas datas só se tornarão com a publicação no Diário Oficial, esperada antes de 2 de agosto de 2026.
Em resumo: O adiamento posterga o esforço, mas não o elimina. Quem opera sistemas de alto risco ganha tempo de preparação. O prazo de agosto de 2026 para transparência permanece inalterado para quase todos.
O que fazer a partir de 2 de agosto de 2026
A partir desta data, as obrigações de transparência entram em vigor, independentemente de você desenvolver ou apenas usar IA.5 Concretamente:
- Identificar chatbots. Os usuários devem ser capazes de reconhecer que estão conversando com uma IA, e não com um ser humano.
- Marcar conteúdo de IA. Textos, imagens, áudios e vídeos gerados ou manipulados por IA devem ser reconhecíveis como tal. Deepfakes estão particularmente incluídos.
- Atualizar sistemas existentes. Para sistemas colocados no mercado antes de 2 de agosto de 2026, há um período de carência para a marcação legível por máquina até 2 de dezembro de 2026.
- Definir responsabilidades. Estes pontos são tecnicamente gerenciáveis, mas precisam de uma responsabilidade clara dentro da empresa.
Importante para a prática: A marcação legível por máquina (marcas d'água, metadados) é principalmente uma obrigação do fornecedor de IA, e não do usuário. Como operador, você é o principal responsável pela divulgação visível aos seus usuários.
Compreendendo as quatro classes de risco
A Lei de IA da UE regulamenta a IA com base no risco, não na tecnologia. O que importa é para que um sistema é usado e quais consequências isso tem para as pessoas.1
- Risco inaceitável: práticas proibidas, como pontuação social. Não permitido na UE.
- Alto risco: sistemas com impacto nos direitos fundamentais ou segurança, como seleção de pessoal, concessão de crédito ou infraestrutura crítica. Requer documentação e auditorias intensivas.
- Risco limitado: obrigações de transparência, como a identificação de chatbots e conteúdo de IA.
- Risco mínimo: a maior parte das aplicações operacionais, com poucas exigências.
A maioria das empresas opera predominantemente com risco mínimo e limitado. Assim que uma aplicação participa da tomada de decisões sobre pessoas, por exemplo, no processo de candidatura, ela se enquadra na classe de alto risco. A primeira classificação é, portanto, o passo mais importante.
Os prazos mais importantes em resumo
- Práticas proibidas: desde fevereiro de 2025
- Obrigações para modelos de IA de propósito geral (GPAI): desde agosto de 2025
- Obrigações de transparência (Artigo 50): a partir de 2 de agosto de 2026
- Sistemas de alto risco conforme Anexo III: a partir de 2 de dezembro de 2027
- IA de alto risco incorporada em produtos (Anexo I): a partir de 2 de agosto de 2028
A pressão para agir aumenta a cada etapa. Quem começa apenas pouco antes de um prazo ficará sob pressão de tempo, pois o levantamento, a avaliação de risco e a documentação exigem um tempo de preparação.
Quão rigorosa já é a aplicação?
Uma avaliação honesta é necessária: As práticas proibidas e as obrigações da GPAI já são aplicáveis, e a Comissão Europeia iniciou as primeiras verificações sobre práticas de IA inadmissíveis no início de 2026.1 Uma onda de multas ou advertências não ocorreu até agora, também porque as obrigações de alto risco ainda não estão em vigor e as autoridades ainda estão estabelecendo suas estruturas.
No entanto, isso não é motivo para esperar. As obrigações de transparência a partir de agosto de 2026 são reais, e o trabalho básico (inventário, classes de risco, responsabilidades) não pode ser recuperado em poucos dias, em caso de emergência.
Por que a Conformidade sem Governança não funciona
Conformidade é o objetivo, governança é o caminho para alcançá-lo. Você precisa de um inventário de seus sistemas de IA, uma classificação de risco por sistema, uma pessoa responsável e um processo que examine novas aplicações antes do uso. Sem essa estrutura, a conformidade de IA permanece uma reação pontual a casos isolados. Como ancorar isso organizacionalmente, o artigo Governança e Direito em IA aprofunda.
Implementar a Lei de IA da UE: cinco passos para começar
- Inventário de IA. Registre todos os sistemas e ferramentas de IA, internos e externos. Para cada sistema, anote em qual departamento ele é executado, quais dados ele processa e quem é responsável por ele.
- Classificação de risco. Atribua cada sistema a uma das quatro classes. Examine especialmente aplicações com dados pessoais e aquelas que preparam decisões sobre pessoas.
- Derivar obrigações. Determine os requisitos específicos para cada classe, por exemplo, avisos de transparência para risco limitado ou documentação e supervisão humana para alto risco.
- Medidas e documentação. Preencha as lacunas entre o estado atual e as obrigações. Estabeleça por escrito a documentação técnica, avaliações de risco e responsabilidades.
- Controle contínuo. Estabeleça um portão de aprovação para novas ferramentas e um ritmo de auditoria fixo.
O que acontece em caso de violação
A Lei de IA da UE prevê sanções escalonadas.4 Para práticas proibidas, multas de até 35 milhões de euros ou 7% do faturamento anual mundial, o que for maior. Para violações das obrigações de alto risco, o limite é de até 15 milhões de euros ou 3%. Para empresas de médio porte, menos o valor máximo é relevante do que o risco prático: falta de documentação, responsabilidades não claras e sistemas cuja classe de risco ninguém determinou.
Quando a consultoria externa vale a pena
Nem toda necessidade exige uma consultoria abrangente. Uma avaliação honesta ajuda:
- Treinamento puramente em ferramentas geralmente é melhor diretamente com o fornecedor.
- Integração técnica pertence à empresa de sistemas ou consultor de TI.
- Uma questão isolada de proteção de dados ou jurídica é esclarecida por um encarregado de proteção de dados especializado ou um escritório de advocacia com foco em IA.
- Uma consultoria abrangente sobre a Lei de IA da UE vale a pena quando a IA é utilizada de forma estratégica e interdepartamental, e estratégia, governança, tecnologia e proteção de dados precisam ser combinadas.
Mini-FAQ sobre a Lei de IA da UE
A Lei de IA da UE também afeta pequenas empresas? Sim. O que importa é o tipo de IA utilizada. Pequenas empresas com aplicações de alto risco também estão sujeitas às obrigações mais rigorosas.
O adiamento aboliu as obrigações? Não. Apenas o início da aplicação das obrigações de alto risco foi adiado. As obrigações de transparência a partir de agosto de 2026 permanecem inalteradas.
Qual é o primeiro passo concreto? Um inventário de IA. Sem uma visão geral de todos os sistemas, não é possível determinar uma classe de risco.
Precisamos obrigatoriamente de consultoria externa? Nem em todos os casos. Muitos passos podem ser realizados internamente. O suporte externo é especialmente útil para sistemas de alto risco e para a introdução abrangente.
O que você deve fazer concretamente
- Inicie esta semana um inventário de IA em todos os departamentos.
- Atribua cada sistema a uma classe de risco e marque as aplicações de alto risco.
- Implemente as obrigações de transparência para chatbots e conteúdo de IA até agosto de 2026.
- Documente por escrito as avaliações de risco, medidas e responsabilidades.
- Estabeleça um portão de aprovação e um ritmo de auditoria para novos sistemas.
Onde sua empresa se encontra em relação à Lei de IA da UE?
Em uma verificação de IA de 30 minutos, classificamos suas aplicações por risco e mostramos quais etapas de transparência e governança são realmente necessárias até agosto de 2026. Sem vendas, sem slides.
Fontes & Referências
- Comissão Europeia, Lei de IA – Estrutura Regulatória (Classes de risco, cronograma, aplicação): digital-strategy.ec.europa.eu
- Gibson Dunn, EU AI Act Omnibus Agreement — Postponed High-Risk Deadlines and Other Key Changes, 27.05.2026: gibsondunn.com
- Conselho da UE (Consilium), Inteligência Artificial: Conselho e Parlamento concordam em simplificar e agilizar as regras, 07.05.2026: consilium.europa.eu
- Regulamento (UE) 2024/1689 (Lei de IA), Estrutura de Sanções Art. 99, via EUR-Lex: eur-lex.europa.eu
- Lei de IA da UE, Artigo 50 (Obrigações de Transparência para Fornecedores e Operadores): artificialintelligenceact.eu
