Conformidade com a Lei de IA da UE: o que as empresas precisam saber em 2026

A Lei de Inteligência Artificial da UE (Regulamento (UE) 2024/1689) entrou em vigor em 1 de agosto de 2024 — o primeiro regulamento abrangente de IA do mundo, estabelecendo uma estrutura baseada em risco para sistemas de IA implantados ou que afetam o mercado da UE. Com as obrigações a serem introduzidas gradualmente até 2027, 2026 é o ano crítico para o planeamento da conformidade de sistemas de IA de alto risco: os fornecedores e implantadores de IA de alto risco devem ter avaliações de conformidade, documentação técnica e quadros de governação em vigor antes de 2 de agosto de 2026.

A Lei da UE sobre IA tem alcance extraterritorial comparável ao GDPR: qualquer sistema de IA colocado no mercado da UE ou utilizado na UE — independentemente de onde o fornecedor esteja baseado — está abrangido pelo âmbito de aplicação. Para fornecedores, desenvolvedores, importadores, distribuidores e implantadores de IA que atendem aos mercados da UE ou processam dados da UE, a conformidade não é opcional.

Principais conclusões

• A Lei de IA da UE estabelece quatro níveis de risco: Risco Inaceitável (proibido), Alto Risco, Risco Limitado e Risco Mínimo
• Os sistemas de IA proibidos devem ser retirados do mercado da UE até 2 de fevereiro de 2025
• Os sistemas de IA de alto risco enfrentam as obrigações mais exigentes — avaliação de conformidade, documentação técnica, avaliação de impacto nos direitos fundamentais, monitorização pós-comercialização
• Os modelos General Purpose AI (GPAI) (como GPT-4, Claude, Gemini) enfrentam obrigações específicas; Os modelos GPAI de risco sistêmico enfrentam requisitos elevados
• O Gabinete Europeu de IA (criado em março de 2024) supervisiona as obrigações do modelo GPAI; autoridades nacionais de fiscalização do mercado supervisionam IA de alto risco
• Multas por incumprimento: até 35 milhões de euros ou 7% do volume de negócios anual global por violações proibidas de IA; até 15 milhões de euros ou 3% para violações de IA de alto risco
• Estão sendo designados organismos notificados para avaliação da conformidade por terceiros; muitos sistemas de alto risco podem se autoavaliar
• Estão a ser desenvolvidos códigos de prática e normas harmonizadas — monitorizar a AESA e os organismos relevantes

---

Cronograma e implementação progressiva da Lei de IA da UE

As obrigações da Lei AI são implementadas gradualmente ao longo de três anos:

---

Estrutura de Classificação de Risco

A Lei de IA classifica os sistemas de IA em quatro níveis de risco:

Camada 1: Risco Inaceitável (IA Proibida)

O Artigo 5 proíbe absolutamente os seguintes sistemas de IA na UE a partir de 2 de fevereiro de 2025:

• Manipulação subliminar: sistemas de IA que utilizam técnicas subliminares além da consciência ou técnicas enganosas para distorcer materialmente o comportamento de uma maneira que causa ou tem probabilidade razoável de causar danos significativos
• Exploração de vulnerabilidades: IA que explora vulnerabilidades de grupos específicos (idade, deficiência, situação social/econômica) para distorcer materialmente o comportamento
• Pontuação social por autoridades públicas: sistemas de IA usados por ou em nome de autoridades públicas para avaliar ou classificar indivíduos com base no comportamento social ou características pessoais que levam a tratamento prejudicial
• Identificação biométrica em tempo real em espaços públicos: Sistemas remotos de identificação biométrica em tempo real usados em espaços acessíveis ao público para fins de aplicação da lei (exceções restritas para terrorismo, crimes graves, crianças desaparecidas)
• Categorização biométrica baseada em atributos protegidos: IA que categoriza indivíduos com base em biometria para deduzir raça, etnia, religião, opiniões políticas, orientação sexual, filiação sindical
• Reconhecimento de emoções no local de trabalho e na educação: sistemas de IA que inferem emoções no local de trabalho ou na educação (com pequenas exceções)
• Previsão de crimes com base em perfis: IA de policiamento preditivo baseada exclusivamente em perfis sem avaliação individual
• Raspagem de banco de dados de reconhecimento facial não direcionado: IA que cria ou expande bancos de dados de reconhecimento facial por meio de raspagem não direcionada

Ação necessária: Se o seu sistema de IA se enquadrar em qualquer uma dessas categorias, será necessária a retirada imediata do mercado da UE. Se algum recurso do seu produto de IA se aproximar dessas definições, a revisão jurídica será essencial.

Camada 2: IA de alto risco

Os sistemas de IA de alto risco (artigos 6.º e anexo III) enfrentam as obrigações de conformidade mais extensas. O status de alto risco se aplica a:

IA como componente de segurança de produtos regulamentados (Anexo I): sistemas de IA que são componentes de segurança de produtos sujeitos à legislação de harmonização da UE (dispositivos médicos, máquinas, aviação, automóveis, brinquedos, elevadores, equipamentos sob pressão, equipamentos de proteção individual, equipamentos de rádio, diagnóstico in vitro, equipamentos marítimos, teleféricos, veículos agrícolas e florestais, sistemas ferroviários, embarcações de recreio, explosivos)

Sistemas de IA autónomos de alto risco (Anexo III — 8 categorias):

1. Identificação biométrica e categorização de pessoas físicas: Identificação biométrica em tempo real e pós-remota; verificação biométrica; categorização biométrica
2. Infraestrutura crítica: IA que gerencia ou opera infraestrutura digital crítica, tráfego rodoviário ou serviços públicos (água, gás, aquecimento, eletricidade)
3. Educação e formação profissional: IA determinando o acesso à educação, alocando oportunidades educacionais, avaliando os alunos
4. Gestão de emprego e trabalhadores: Recrutamento e seleção (filtragem de currículos, avaliação de entrevistas), avaliação de desempenho, decisões de promoção/rescisão, alocação de tarefas em plataformas gig economy
5. Acesso a serviços privados e públicos essenciais: IA avaliando a qualidade de crédito (exceto avaliação de crédito de pequeno volume/finalidade), avaliação de risco de seguro, seguro médico
6. Aplicação da lei: Polígrafos, avaliação de confiabilidade de evidências, perfis de risco de crime, reconhecimento facial em gravações para investigações criminais
7. Migração, asilo, controle de fronteiras: IA para avaliação polígrafa de migrantes/requerentes de asilo, avaliação de risco de travessia ilegal, verificação de documentos, assistência a pedidos
8. Administração da justiça e processos democráticos: IA para interpretar fatos e leis em decisões judiciais, influenciando eleições/comportamento eleitoral

Nível 3: IA de risco limitado

Sistemas de IA com obrigações de transparência, mas sem avaliação de conformidade:

• Chatbots e interação de IA: deve divulgar aos usuários que eles estão interagindo com um sistema de IA (a menos que seja óbvio no contexto)
• Reconhecimento de emoções e categorização biométrica: Divulgue aos indivíduos quando eles estão sujeitos a esses sistemas
• Deepfakes: rotule o conteúdo gerado por IA como gerado ou manipulado artificialmente (particularmente importante para eleições, notícias e conteúdo educacional)

Nível 4: IA de risco mínimo

Os sistemas de IA que apresentam risco mínimo (filtros de spam, videogames habilitados para IA, IA no controle de qualidade de fabricação) não enfrentam obrigações específicas da Lei de IA além dos requisitos gerais da legislação de produtos. Encorajados a cumprir voluntariamente os códigos de conduta.

---

Obrigações do sistema de IA de alto risco

Se o seu sistema de IA for classificado como de alto risco, aplicam-se as seguintes obrigações (capítulos 3 e 5):

1. Sistema de Gestão de Riscos (Artigo 9)

Estabelecer e manter um sistema de gestão de riscos documentado que cubra todo o ciclo de vida do sistema de IA:

• Identificação e análise de riscos razoavelmente previsíveis para a saúde, a segurança e os direitos fundamentais
• Estimativa e avaliação de riscos
• Avaliação em relação aos dados de monitoramento pós-comercialização
• Medidas de gestão de risco (risco residual aceitável, eliminado ou mitigado)

2. Dados e governança de dados (artigo 10)

Os dados de treinamento, validação e teste devem atender a critérios de qualidade específicos:

• Relevante, representativo, livre de erros e completo para a finalidade pretendida
• Examinar possíveis preconceitos e tomar medidas de mitigação apropriadas
• Detecção de preconceitos, especialmente em relação às características protegidas (raça, sexo, idade, deficiência)
• Documentação de proveniência de dados

3. Documentação Técnica (Artigo 11 e Anexo IV)

Prepare documentação técnica abrangente antes de colocar no mercado:

• Descrição geral do sistema de IA
• Descrição detalhada dos elementos e processo de desenvolvimento
• Monitoramento, funcionamento e controle do sistema
• Procedimentos de validação e teste
• Documentação de gerenciamento de risco
• Mudanças feitas ao longo do ciclo de vida
• Lista de normas harmonizadas aplicadas
• Cópia da declaração de conformidade da UE

4. Manutenção de registros e registro (artigo 12)

Os sistemas de IA de alto risco devem ter o registo automático ativado durante a operação:

• Registro de eventos relevantes para avaliar a conformidade
• Logs operacionais permitindo identificação de riscos e incidentes
• Registros retidos por um período apropriado com base no caso de uso (mínimo de 6 meses para identificação biométrica; 3 anos para IA de emprego)

5. Transparência e informações para os implantadores (artigo 13)

A IA de alto risco deve ser suficientemente transparente para que os implementadores entendam o que ela faz. Os provedores devem fornecer aos implantadores:

• Instruções de uso (claras, completas, corretas, compreensíveis)
• Informações sobre capacidades e limitações
• Métricas de desempenho em grupos específicos
• Especificações de dados de entrada
• Informações que permitam aos implantadores cumprir a sua obrigação de avaliação de impacto nos direitos fundamentais

6. Supervisão Humana (Artigo 14)

A IA de alto risco deve ser concebida e desenvolvida para permitir a supervisão humana:

• Capacidade de compreender completamente as capacidades e limitações
• Capacidade de monitorar a operação e detectar anomalias
• Capacidade de substituir, interromper ou parar o sistema
• Capacidade de interpretar resultados (especialmente IA biométrica e de emprego)
• Para decisões totalmente automatizadas: medidas de supervisão adequadas aos riscos

7. Precisão, Robustez e Segurança Cibernética (Artigo 15)

A IA de alto risco deve atingir níveis adequados de:

• Precisão apropriada para a finalidade pretendida
• Robustez a erros, falhas, inconsistências e ataques adversários
• Cibersegurança ao longo do ciclo de vida; avaliação de robustez adversária

8. Sistema de Gestão da Qualidade (Artigo 17)

Os fornecedores devem implementar um sistema de gestão da qualidade que abranja:

• Estratégia para conformidade regulatória
• Técnicas e processos para design de sistemas de IA
• Validação do sistema e procedimentos de teste
• Manutenção de documentação técnica
• Monitoramento pós-comercialização
• Estrutura de responsabilidade e aprovação da alta administração

9. Declaração de conformidade da UE (artigo 47)

Os fornecedores devem elaborar uma Declaração UE de Conformidade por escrito e apor a marcação CE antes de colocar no mercado.

10. Registo na base de dados da UE (artigo 49.º)

Os sistemas de IA de alto risco (anexo III) devem ser registados na base de dados da UE antes da colocação no mercado. A base de dados da Lei da IA ​​da UE está a ser criada pelo Gabinete Europeu de IA.

---

Obrigações do modelo de IA de uso geral (GPAI)

O Capítulo V (artigos 51 a 56) aborda especificamente modelos de IA de uso geral — grandes modelos de IA treinados em vastos dados que podem executar uma ampla gama de tarefas (GPT-4, Claude, Gemini, Llama). As obrigações se aplicam aos provedores do modelo GPAI, não aos implantadores.

Todos os provedores de modelos GPAI (artigo 53)

• Preparar e manter documentação técnica para as autoridades nacionais e o AI Office
• Fornecer informações e documentação para provedores downstream que integram GPAI em seus sistemas de IA
• Cumprir o regulamento de direitos de autor (Diretiva 2001/29/CE) — fornecer um resumo dos dados de formação
• Publicar resumo do conteúdo usado para treinamento

Modelos GPAI de Risco Sistêmico (Artigo 55)

Os modelos GPAI com risco sistêmico — definidos como modelos treinados com computação total superior a 10^25 FLOPs — enfrentam obrigações maiores:

• Testes adversários (red-teaming) de acordo com protocolos de última geração
• Relatar incidentes graves e medidas corretivas ao AI Office
• Proteção de segurança cibernética para pesos de modelo, arquitetura e dados de treinamento
• Relatórios de eficiência energética

O European AI Office mantém uma lista de modelos GPAI de risco sistémico. Os modelos designados atualmente incluem GPT-4 e modelos de fronteira comparáveis. À medida que os custos de computação diminuem, este limite pode capturar mais modelos ao longo do tempo.

---

Processo de Avaliação de Conformidade

A avaliação de conformidade determina se um sistema de IA de alto risco cumpre os requisitos da Lei de IA antes da colocação no mercado.

Autoavaliação (controle interno — Anexo VI): Para a maioria dos sistemas de IA de alto risco do Anexo III (exceto identificação biométrica), os fornecedores podem autoavaliar a conformidade. Isto envolve o fornecedor conduzir e documentar a avaliação completa em relação a cada requisito aplicável, assinar a Declaração de Conformidade e manter a documentação técnica.

Avaliação de terceiros (Organismo notificado): Obrigatório para sistemas de identificação biométrica (Anexo III, ponto 1) e IA de componentes de segurança em produtos do Anexo I onde a legislação de harmonização relevante exige avaliação de terceiros.

Organismos notificados: Designados pelos estados membros da UE e publicados na base de dados NANDO. A designação de organismos notificados para a Lei de IA está em andamento – as organizações devem envolver os organismos notificados antecipadamente, dadas as prováveis ​​restrições de capacidade.

---

Requisitos da estrutura de governança de IA

Os artigos 26.º e 57.º a 63.º estabelecem requisitos de governação para organizações que implementam (e não apenas fornecem) IA de alto risco:

Obrigações do implantador:

• Designar um revisor humano com autoridade para substituir decisões de IA em casos de uso de alto risco
• Garantir que a equipe que opera IA de alto risco seja treinada e competente
• Realizar avaliações de impacto nos direitos fundamentais (FRIA) para determinadas IA de alto risco implantadas por organismos públicos ou em determinados contextos do setor privado
• Monitorizar o funcionamento dos sistemas de IA; relatar incidentes aos fornecedores
• Mantenha registros de operação por períodos mínimos de retenção

Alfabetização geral em IA: O Artigo 4 exige que os provedores e implantadores garantam que sua equipe tenha conhecimento suficiente em IA – compreensão das capacidades, limitações e riscos da IA ​​relevantes para sua função.

---

Lista de verificação de conformidade da Lei de IA da UE

• Inventário do sistema de IA concluído — todos os sistemas de IA usados, fornecidos ou implantados avaliados
• Classificação de risco determinada para cada sistema de IA (proibido, alto risco, risco limitado, risco mínimo)
• Sistemas de IA proibidos (Anexo I) retirados ou modificados até fevereiro de 2025
• Obrigações do modelo GPAI avaliadas se fornecer LLMs ou modelos básicos
• Sistemas de IA de alto risco identificados — abordagem de avaliação da conformidade determinada (autoridade ou organismo notificado)
• [] Documentação técnica preparada para cada sistema de IA de alto risco
• [] Sistema de gerenciamento de risco documentado
• Procedimentos de governança de dados para dados de treinamento/validação/teste documentados
• [] Registro automático implementado em sistemas de IA de alto risco
• [] Mecanismos de supervisão humana implementados para IA de alto risco
• Declaração UE de Conformidade preparada e marcação CE aplicada
• Sistemas de IA de alto risco registados na base de dados da UE
• [] Sistema de gestão de qualidade para desenvolvimento de IA estabelecido
• [] Instruções de uso preparadas para implantadores
• Plano de monitoramento pós-comercialização estabelecido
• [] Programa de alfabetização em IA para funcionários relevantes implementado
• [] Processo FRIA estabelecido para contextos de implantação aplicáveis

---

Perguntas frequentes

A Lei de IA da UE se aplica às ferramentas de IA que usamos internamente e não vendidas externamente?

Sim, sempre que essas ferramentas se enquadrem nas categorias de alto risco. A Lei da IA ​​aplica-se tanto aos fornecedores (que desenvolvem e colocam IA no mercado) como aos implantadores (que utilizam sistemas de IA em contextos profissionais). Uma organização que implemente um sistema de IA de alto risco de terceiros (por exemplo, uma ferramenta de triagem de recrutamento alimentada por IA) tem obrigações de implantação, incluindo supervisão humana, formação de pessoal e avaliações de impacto nos direitos fundamentais. O fornecedor dessa ferramenta tem obrigações de fornecedor, incluindo avaliação de conformidade e documentação técnica.

Usamos a API da OpenAI para criar um recurso de IA — somos o fornecedor ou o implementador?

É provável que seja um fornecedor de um sistema de IA de alto risco se o sistema global de IA que implantar se enquadrar numa categoria de alto risco (Anexo III). A OpenAI é um provedor de modelo GPAI com suas próprias obrigações de acordo com o Capítulo V. Ao integrar um modelo GPAI em um aplicativo de IA específico para um caso de uso regulamentado (por exemplo, triagem de currículo, avaliação de crédito), você se torna o fornecedor desse sistema de IA específico e arca com as obrigações de alto risco do Anexo III. A OpenAI (como fornecedora do modelo GPAI) deve fornecer documentação técnica e informações para permitir sua conformidade.

O que é uma Avaliação de Impacto nos Direitos Fundamentais (FRIA) e quando é necessária?

Uma FRIA é uma avaliação documentada de como um sistema de IA de alto risco pode afetar os direitos fundamentais — privacidade, não discriminação, liberdade de expressão, acesso à justiça, etc. Nos termos do artigo 27.º, os implantadores de sistemas de IA de alto risco que sejam organismos públicos, ou operadores privados que prestam serviços essenciais (bancos, educação, cuidados de saúde), devem realizar uma FRIA antes de implantar o sistema. A avaliação considera: que direitos podem ser afetados, que riscos surgem, como os riscos podem ser mitigados, quem é o responsável. O FRIA deve ser registado junto da autoridade de fiscalização do mercado competente.

Como a Lei de IA da UE interage com o GDPR?

Os dois regulamentos são complementares. O GDPR se aplica quando os sistemas de IA processam dados pessoais. A Lei de IA se aplica a sistemas de IA independentemente de eles processarem dados pessoais – ela abrange o design, implantação e supervisão do sistema de IA. Ambos se aplicam simultaneamente quando a IA de alto risco processa dados pessoais: os requisitos do GDPR em termos de base legal, minimização de dados e requisitos de DPIA aplicam-se ao processamento de dados; Os requisitos da Lei de IA para gerenciamento de risco, registro, supervisão humana e avaliação de conformidade se aplicam ao sistema de IA. Quando a Lei de IA e o GDPR tiverem requisitos sobrepostos (por exemplo, transparência, tomada de decisão automatizada), a conformidade com ambos deverá ser alcançada.

Quais são as penalidades para violações da Lei de IA?

As multas são escalonadas de acordo com a gravidade da violação: (1) Violações de IA proibidas (Artigo 5): até 35 milhões de euros ou 7% do volume de negócios anual global, o que for maior; (2) Outras violações de obrigações de IA de alto risco: até 15 milhões de euros ou 3% do volume de negócios anual global; (3) Fornecimento de informações incorretas, incompletas ou enganosas às autoridades: até 7,5 milhões de euros ou 1,5% do volume de negócios anual global. As PME e as startups têm montantes máximos mais baixos para as obrigações previstas nas cláusulas (2) e (3). O Gabinete Europeu de IA tem autoridade para fazer cumprir os modelos GPAI; autoridades nacionais de fiscalização do mercado aplicam nos seus territórios.

Quando é que precisamos de registar o nosso sistema de IA na base de dados da UE?

Os sistemas de IA de alto risco abrangidos pelo anexo III devem ser registados antes de serem colocados no mercado da UE ou colocados em serviço. A base de dados da Lei da IA ​​da UE está a ser criada pelo Gabinete Europeu de IA. O prazo de 2 de agosto de 2026 é quando as obrigações de registro se aplicam integralmente à IA autônoma de alto risco (Anexo III). O registo requer: detalhes do fornecedor, nome e versão do sistema de IA, finalidade pretendida, categorias de utilizadores, categoria de alto risco, detalhes da avaliação de conformidade e referência da Declaração de Conformidade.

---

Próximas etapas

A Lei da UE sobre IA representa uma mudança fundamental na forma como os sistemas de IA devem ser desenvolvidos, avaliados e implantados no mercado da UE. Para empresas de tecnologia que criam produtos de IA — sejam ferramentas internas ou aplicativos voltados para o cliente — a conformidade exige a integração da governança de IA em seu ciclo de vida de desenvolvimento de produtos, desde o design até a implantação e o monitoramento pós-comercialização.

Os serviços da plataforma OpenClaw AI da ECOSIRE são desenvolvidos tendo em mente a conformidade com a Lei de IA da UE. Nossa equipe ajuda as empresas a avaliar seus sistemas de IA de acordo com a estrutura de risco da lei, a implementar os controles de governança necessários e a se preparar para a avaliação de conformidade.

Explore os serviços de conformidade de IA: ECOSIRE OpenClaw Services

Isenção de responsabilidade: este guia é apenas para fins informativos e não constitui aconselhamento jurídico. As orientações para a implementação da Lei da IA ​​da UE, as normas harmonizadas e os códigos de prática ainda estão a ser desenvolvidos. Consulte um consultor jurídico qualificado da UE para obter aconselhamento específico para os seus sistemas de IA.