Mind Group

contato@mindconsulting.com.br

Instagram Facebook Youtube Linkedin
Menu
Menu

Em 2 de agosto de 2026, o EU AI Act entra em vigor com sanções de até €35 milhões ou 7% do faturamento global anual — o que for maior — para empresas que descumprirem as regras de sistemas de IA de alto risco. Em paralelo, o Brasil avança o PL 2338/2023, aprovado pelo Senado em dezembro de 2024 e em tramitação na Câmara dos Deputados desde 2025. Para CIOs, CTOs e Diretores Jurídicos brasileiros, 2026 é o ano em que IA deixa de ser tema de inovação e passa a ser tema de compliance regulatório com impacto material no balanço.

Este artigo decompõe o que muda concretamente na operação brasileira em 2026 — tanto pela exposição ao EU AI Act (que atinge qualquer empresa com clientes, fornecedores ou usuários no bloco europeu) quanto pelo PL 2338 nacional. Inclui as obrigações por categoria de risco, prazos críticos, multas e o checklist de adequação que diretorias jurídicas e de tecnologia precisam adotar agora.

EU AI Act: o que entra em vigor em 2 de agosto de 2026

O Artificial Intelligence Act da União Europeia foi publicado no Jornal Oficial em julho de 2024 e tem cronograma escalonado de aplicação. A timeline oficial tem três marcos críticos:

Fevereiro de 2025: entraram em vigor as proibições de práticas de IA consideradas de risco inaceitável (manipulação subliminar, social scoring por governos, identificação biométrica em tempo real em espaços públicos para aplicação da lei, salvo exceções).

Agosto de 2025: passaram a vigorar as obrigações para modelos de IA de propósito geral (GPAI), incluindo transparência sobre dados de treinamento, mitigação de riscos sistêmicos para modelos com capacidade superior a 10²⁵ FLOPS de computação, e cooperação com a AI Office europeia.

Agosto de 2026: entram em vigor as obrigações para sistemas de IA de alto risco listados no Anexo III — biometria, infraestrutura crítica, educação, emprego (recrutamento, gestão de pessoas), serviços públicos essenciais, aplicação da lei, migração e justiça. É o conjunto mais amplo e mais impactante para empresas comerciais.

Há sinalização recente do Parlamento Europeu sobre possível adiamento de partes da implementação para dezembro de 2027 ou agosto de 2028, mas a posição depende de acordo político no Conselho antes de junho. Empresas que esperam o adiamento se concretizar para começar a se preparar tomam risco regulatório alto: se a postergação não acontece, a janela de adequação fica curta demais.

Por que o EU AI Act atinge empresas brasileiras

O equívoco mais comum em diretorias jurídicas brasileiras: tratar o EU AI Act como problema europeu. A regulação tem aplicação extraterritorial — atinge qualquer empresa, independentemente de jurisdição, quando o output do sistema de IA é usado dentro do bloco europeu, ou quando o sistema é colocado no mercado europeu.

Na prática, isso significa que empresas brasileiras com pelo menos uma das seguintes características estão sob alcance: (a) clientes corporativos europeus que usam o software fornecido pela empresa, (b) plataforma SaaS com usuários finais europeus, (c) processamento de candidatos europeus em recrutamento, (d) parceiros de negócios europeus que recebem outputs de modelos de IA, (e) operações de scoring ou análise de risco com indivíduos europeus.

Para a maior parte das empresas brasileiras de médio e grande porte com operações internacionais, a resposta honesta é que estão sob alcance e ainda não fizeram diligência para confirmar — exposição regulatória que precisa ser auditada antes de agosto de 2026.

Categorias de risco e obrigações

O Act classifica sistemas em quatro níveis de risco, cada um com obrigações distintas.

Risco inaceitável: proibido. Já em vigor. Inclui práticas como social scoring por governos, manipulação subliminar e biometria em tempo real para aplicação da lei (com exceções estritas).

Alto risco: regulado fortemente. Sistemas listados no Anexo III: biometria, infraestrutura crítica, educação, emprego (recrutamento, avaliação de desempenho), serviços públicos essenciais, justiça, migração. Obrigações: sistema de gestão de risco, governança de dados de treinamento, documentação técnica, transparência ao usuário, supervisão humana, robustez técnica, registro em base de dados europeia, conformity assessment antes do market placement.

Risco limitado: transparência. Sistemas como chatbots, geração de conteúdo sintético (deepfakes, conteúdo gerado por IA). Obrigação principal: deixar claro ao usuário que está interagindo com IA ou que o conteúdo é gerado por IA.

Risco mínimo: livre. A vasta maioria dos sistemas. Sem obrigações específicas além das transversais (proteção de dados, segurança).

Multas e enforcement

O regime sancionatório é severo. As multas máximas são:

Para violações das proibições de risco inaceitável: até €35 milhões ou 7% do faturamento global anual, o que for maior.

Para violações das obrigações de alto risco e GPAI: até €15 milhões ou 3% do faturamento global anual.

Para informações falsas ou enganosas a autoridades: até €7,5 milhões ou 1,5% do faturamento global anual.

O enforcement é descentralizado em autoridades nacionais de cada estado-membro, com coordenação da AI Office europeia. Estados-membros podem, ainda, ordenar a remoção de sistemas não conformes do mercado europeu — risco operacional adicional para empresas que tenham receita material no bloco.

PL 2338/2023 no Brasil: o que está em jogo

Em paralelo ao avanço europeu, o Brasil tramita o PL 2338/2023, conhecido como Marco Legal da Inteligência Artificial. O projeto foi aprovado pelo Senado Federal em dezembro de 2024 em texto substitutivo que consolidou emendas e busca consenso, e está em tramitação na Câmara dos Deputados desde março de 2025, aguardando trabalho da Comissão Especial.

O texto adota abordagem similar ao europeu — risk-based approach com classificação de sistemas de IA por nível de risco — mas com nuances brasileiras: lista de direitos do usuário, requisito de governança proporcional ao risco, arranjo institucional de regulação que envolve a ANPD (Autoridade Nacional de Proteção de Dados) e medidas de incentivo à inovação responsável.

Pontos centrais do texto que está sob análise:

Classificação de risco: aplicações são divididas em risco excessivo (proibidas), alto risco (reguladas com obrigações materiais) e demais (regime mais leve). A lista brasileira tem sobreposição parcial com o Anexo III europeu, mas adiciona casos específicos de relevância nacional.

Direitos do usuário: direito a explicação de decisões automatizadas, direito a revisão humana em decisões de alto impacto, direito à não discriminação algorítmica, transparência sobre uso de IA.

Governança: empresas que operam IA de alto risco precisarão estabelecer programa de governança proporcional, com avaliação de impacto algorítmico em casos específicos.

Sanções: o texto prevê multas administrativas a serem detalhadas em regulamentação posterior. A comparação com a LGPD sugere que valores podem chegar a 2% do faturamento da pessoa jurídica no Brasil, com teto de R$ 50 milhões por infração.

Cronograma esperado: aprovação na Câmara em 2026, sanção presidencial e prazo de adequação que historicamente, no caso da LGPD, foi de 18–24 meses. Empresas que começarem a estruturar governança de IA em 2026 vão chegar à entrada em vigor com vantagem operacional.

Como a LGPD e o PL 2338 se relacionam

A LGPD já regula o tratamento de dados pessoais que alimentam modelos de IA. O PL 2338 adiciona camada complementar: regula o uso e os impactos do sistema de IA propriamente dito, independentemente de envolver dados pessoais.

Para diretorias jurídicas brasileiras, a leitura prática é que o programa de adequação à LGPD precisa ser estendido para incluir governança específica de IA. Em particular: (1) registro e classificação de sistemas de IA por nível de risco, (2) avaliação de impacto algorítmico para sistemas de alto risco, (3) política de transparência ao usuário sobre uso de IA, (4) procedimentos de revisão humana em decisões automatizadas de alto impacto, (5) governança de dados de treinamento incluindo direitos autorais e proteção de dados.

O checklist de adequação para 2026

Empresas brasileiras com exposição combinada (EU AI Act + PL 2338) precisam executar oito ações em 2026.

1. Inventário de sistemas de IA. Mapear todos os sistemas de IA em operação ou desenvolvimento, com responsável, finalidade, dados de treinamento, decisões impactadas. Sem inventário, qualquer programa de compliance é teatro.

2. Classificação por risco. Aplicar a taxonomia europeia (Anexo III) e a brasileira (PL 2338) a cada sistema, identificando os de alto risco. Concentre o esforço de adequação nesses primeiros.

3. Diligência de exposição extraterritorial. Verificar quais sistemas alcançam usuários, candidatos, parceiros ou fornecedores europeus. Esses entram no escopo do EU AI Act independentemente da localização da empresa.

4. Avaliação de impacto algorítmico. Para sistemas de alto risco, conduzir avaliação documentada que cubra dados de treinamento, métricas de bias, robustez, transparência, supervisão humana.

5. Governança documental. Estabelecer comitê de IA com representação cross-funcional (jurídico, tecnologia, dados, negócios), política de IA, procedimento de aprovação de novos sistemas, registro contínuo.

6. Cláusulas contratuais. Revisar contratos com fornecedores de IA (modelos GPAI, plataformas, integradores) para incluir obrigações de transparência, conformidade e indenização por descumprimento regulatório.

7. Treinamento. Capacitar áreas usuárias em conceitos básicos de IA, riscos, obrigações regulatórias e práticas de uso responsável. Cultura de compliance só vira efetiva com treinamento.

8. Monitoramento e atualização. Estabelecer cadência de revisão (trimestral ou semestral) para incorporar evolução regulatória, novas funcionalidades e mudanças no inventário.

O custo de não se adequar em 2026

Há três custos materiais para empresas brasileiras que ignorarem a adequação.

Custo regulatório direto. Multas (€35M no EU AI Act; até R$ 50M no PL 2338 em estimativa) e ordem de remoção de sistemas do mercado.

Custo comercial. Clientes corporativos europeus e brasileiros sofisticados estão começando a exigir, em RFP, documentação de adequação à regulação de IA. Empresa sem documentação perde processo competitivo antes mesmo da fase de proposta.

Custo reputacional e de M&A. Em diligências de M&A, ausência de governança de IA virou risco material que reduz valuation. Investidores estratégicos sofisticados aplicam discount sobre targets sem programa de adequação.

Perguntas frequentes sobre regulação de IA em 2026

Empresa brasileira que não atende clientes europeus precisa se preocupar com EU AI Act? Diretamente, não. Mas vale revisar: muitos parceiros de negócio brasileiros (clientes corporativos, fornecedores, plataformas) têm operação europeia e exigem conformidade contratual em cascata. Na dúvida, faça diligência de exposição.

Quanto custa um programa de adequação ao EU AI Act + PL 2338 para empresa brasileira média? Para empresa com 5–15 sistemas de IA em operação, o programa estruturado custa entre R$ 350 mil e R$ 1,5 milhão no primeiro ano (consultoria jurídica especializada, avaliações de impacto, treinamentos, ajustes técnicos). Custo de manutenção em anos seguintes cai para 30–50% do valor inicial.

Sistemas de IA de baixo risco também precisam de governança? Sim, mas em nível proporcional. A obrigação principal é classificação correta (para confirmar que é baixo risco), transparência ao usuário quando aplicável e gestão básica de qualidade de dados.

Como o uso de modelos GPAI (ChatGPT, Claude, Gemini) está regulado? Os fornecedores desses modelos têm obrigações específicas pelo EU AI Act (transparência, documentação técnica, avaliação de risco sistêmico para modelos avançados). Empresas usuárias precisam revisar contratos para garantir que o fornecedor cumpre essas obrigações e considerar requisitos próprios de uso responsável.

O que muda na contratação de software house ou consultoria de IA? Em 2026, contratos com fornecedores de IA precisam incluir cláusulas de conformidade regulatória, transparência sobre dados de treinamento, indenização por descumprimento e direito a auditoria. Contratos antigos sem essas cláusulas estão sendo renegociados.

Conclusão: 2026 é o ano da governança de IA

O timing combina: EU AI Act entrando em vigor em agosto de 2026, PL 2338 caminhando para aprovação na Câmara, expectativa de regulação setorial específica em finanças, saúde e RH. Empresas brasileiras que entrarem em 2027 com programa de governança de IA consolidado vão ter vantagem competitiva, capacidade de captura de receita europeia e proteção contra risco regulatório material.

As que tratarem o tema como burocracia jurídica vão descobrir, no melhor dos cenários, que perderam contratos por falta de documentação. No pior, vão integrar as primeiras grandes multas do regime europeu — que serão, com certeza, transformadas em precedente comunicacional.

WhatsApp Especialista
Falar com especialista