Voltar ao site SAFIE →
AI Act e regulação internacional

AI Act e regulação internacional de IA em 2026

Por · · 4 min de leitura
AI Act e regulação internacional de IA em 2026

A MIT Technology Review Brasil publicou uma análise direta: a adoção de Inteligência Artificial nas organizações ainda está capturada por uma lógica de aquisição tecnológica, como se contratar uma plataforma de IA fosse suficiente para gerar valor. Processos, pessoas e governança ficam em segundo plano.

Esse diagnóstico não é apenas um problema operacional. Ele é, também, um problema jurídico. Empresas que implantam IA sem estrutura de governança estão expostas a riscos regulatórios que crescem à medida que os marcos legais avançam, dentro e fora do Brasil.

O AI Act europeu é o exemplo mais concreto desse avanço. Publicado no Jornal Oficial da União Europeia em 12 de julho de 2024 e em vigor desde 1º de agosto de 2024, o regulamento impõe obrigações graduais que afetam qualquer empresa, inclusive brasileiras, que ofereçam produtos ou serviços de IA a usuários na Europa.

Contexto jurídico e regulatório

O AI Act e seu alcance extraterritorial

O AI Act (Regulamento UE 2024/1689) segue o modelo do GDPR: aplica-se a qualquer empresa que coloque sistemas de IA no mercado europeu ou cujos sistemas afetem pessoas localizadas na UE, independentemente de onde a empresa está sediada. Uma startup brasileira de IA com clientes em Portugal ou Espanha está sujeita ao regulamento.

O regulamento classifica sistemas de IA em quatro categorias de risco: inaceitável (proibido), alto, limitado e mínimo. Sistemas de risco alto, como aqueles usados em crédito, saúde, seleção de emprego e infraestrutura crítica, exigem avaliações de conformidade obrigatórias, documentação técnica, supervisão humana e registro em banco de dados europeu antes de serem colocados no mercado.

As multas são expressivas: até 35 milhões de euros ou 7% do faturamento global anual para violações relacionadas a sistemas proibidos; até 15 milhões de euros ou 3% do faturamento para descumprimento de outras obrigações. Para startups com faturamento menor, a Comissão Europeia pode aplicar limites proporcionais, mas o risco reputacional permanece.

O cenário regulatório brasileiro

O Brasil ainda não tem uma lei geral de IA aprovada. O PL 2.338/2023, que tramita no Senado Federal desde junho de 2023 com relatoria do senador Eduardo Gomes, prevê categorias de risco similares ao AI Act e obrigações de transparência, mas não tem data definida para votação final.

Isso não significa vácuo regulatório. A Lei Geral de Proteção de Dados (Lei 13.709/2018) já exige base legal para tratamento de dados pessoais, incluindo aqueles usados para treinar modelos de IA. O artigo 20 da LGPD garante ao titular o direito de revisão de decisões automatizadas que afetem seus interesses, com exigência de explicação sobre os critérios utilizados.

Além da LGPD, o Marco Civil da Internet (Lei 12.965/2014), as normas do Banco Central para fintechs que usam modelos preditivos (Resolução BCB 85/2021 e Resolução CMN 4.557/2017 sobre gestão de riscos), e as diretrizes da ANS para saúde digital compõem um conjunto normativo que já impõe obrigações concretas a empresas de IA em setores regulados.

A ANPD publicou em 2024 o Regulamento de Comunicação de Incidentes de Segurança e vem sinalizando que tratamento de dados em sistemas de IA será área prioritária de fiscalização. Ignorar esse movimento é um erro estratégico.

Impacto prático

Para founders e CTOs, a principal consequência prática do AI Act é a necessidade de mapear, já, se seus sistemas se enquadram como de risco alto sob a classificação europeia. Isso exige um inventário de casos de uso, não apenas uma lista de tecnologias adotadas. A pergunta correta não é "usamos IA?", mas "para quê usamos IA e quem é afetado?".

Do ponto de vista contábil e financeiro, empresas que buscam captação de investidores europeus ou americanos enfrentam due diligence cada vez mais focada em governança de IA. Fundos de venture capital com exposição à Europa já incluem questionários específicos sobre conformidade com o AI Act em seus processos de investimento. Não ter respostas claras pode travar rodadas ou reduzir valuation.

Para advogados e contadores que atendem empresas de tecnologia, o momento exige atualização estrutural. Contratos de fornecimento de IA precisam prever cláusulas de compliance regulatório, alocação de responsabilidade entre fornecedor e cliente, e obrigações de atualização conforme novos marcos legais entrem em vigor. A ausência dessas cláusulas expõe ambas as partes a litígios que a legislação atual, mesmo sem lei específica de IA, já permite acionar via LGPD, Código de Defesa do Consumidor e responsabilidade civil geral.

Considerações finais

A análise da MIT Technology Review Brasil aponta um problema real: empresas adotam IA como se fosse um produto acabado, sem construir a infraestrutura de processos e pessoas que transforma tecnologia em valor. O mesmo raciocínio se aplica à conformidade regulatória. Ter um documento de política de IA guardado em pasta de servidor não é governança; é fachada.

O AI Act europeu e a trajetória regulatória brasileira sinalizam o mesmo caminho: quem estruturar governança real agora, com registros, processos, responsáveis identificados e revisão periódica, terá vantagem competitiva quando a fiscalização se intensificar. Quem esperar a lei chegar para começar a se preparar vai correr para apagar incêndio.

Perguntas frequentes

O AI Act europeu se aplica a empresas brasileiras?

Sim. O AI Act aplica-se a qualquer empresa que coloque sistemas de IA no mercado europeu ou cujos sistemas produzam efeitos sobre pessoas na União Europeia, independentemente de onde a empresa está sediada. Uma startup brasileira com clientes na Europa precisa avaliar sua conformidade com o regulamento.

O que são sistemas de IA de risco alto segundo o AI Act?

O AI Act classifica como risco alto sistemas usados em áreas como crédito, saúde, seleção de empregados, educação, infraestrutura crítica e aplicação da lei. Esses sistemas exigem documentação técnica obrigatória, avaliação de conformidade antes de entrar no mercado, supervisão humana e registro em banco de dados europeu.

Sem uma lei de IA no Brasil, há risco jurídico para empresas que usam IA?

Sim. A LGPD já regula o tratamento de dados usados em sistemas de IA e garante direito de revisão de decisões automatizadas (artigo 20). O Marco Civil da Internet, normas do Banco Central, da ANS e do Código de Defesa do Consumidor também criam obrigações aplicáveis. A ausência de lei específica não equivale a ausência de responsabilidade.

Qual é o status do PL 2.338/2023, o projeto de lei de IA no Brasil?

O PL 2.338/2023 tramita no Senado Federal desde junho de 2023, com relatoria do senador Eduardo Gomes. O texto prevê categorias de risco inspiradas no modelo europeu e obrigações de transparência para sistemas de IA. Até a data de publicação deste artigo, não há prazo definido para votação final.

Como preparar contratos de fornecimento de IA para o novo cenário regulatório?

Contratos de IA precisam incluir cláusulas de compliance regulatório com referência às normas aplicáveis (LGPD, AI Act para operações europeias), alocação clara de responsabilidade entre fornecedor e cliente em caso de incidente, obrigações de atualização conforme novos marcos legais, e previsão de auditoria ou revisão periódica dos sistemas contratados.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.