Do papel para a prática
O EU AI Act está em vigor desde agosto de 2024, mas as obrigações operacionais entram em escalas. Em fevereiro de 2026 foram ativadas as regras para sistemas de alto risco. Em agosto de 2026 seguem as obrigações para fornecedores de IA de uso geral. Ou seja, a discussão só agora chegou à sala de máquinas da maioria das empresas.
O que chama atenção: a maior parte das consultas que recebemos parte de mal-entendidos. Alguns clientes acham que estão sujeitos quando não estão. Outros se sentem seguros mesmo se enquadrando claramente na categoria de alto risco. É hora de uma triagem pragmática.
Quem realmente é afetado
O AI Act distingue quatro classes de risco, mas para a maioria das empresas só uma pergunta importa: estamos construindo ou operando um sistema de alto risco? A resposta não depende de a IA ser „poderosa" ou „autônoma", mas do que ela faz.
Aplicações de alto risco incluem, entre outras:
- IA em recrutamento (triagem de candidatos, análise de currículos, avaliação de entrevistas)
- IA em avaliação de pessoas (decisões de promoção, avaliação de desempenho)
- IA em infraestrutura crítica (energia, água, controle de tráfego)
- IA em contextos educacionais e de avaliação
- IA em score de crédito e precificação de seguros
- IA em segurança pública e gestão de fronteiras
Se algum desses campos se aplica, entram obrigações pesadas – gestão de risco, qualidade de dados, documentação, supervisão humana, logging, avaliação de conformidade. Quem opera um chatbot para busca interna de conhecimento, uma campanha com geração de imagens ou refatoração de código com Claude geralmente está fora da classe de alto risco.
A obrigação que pega quase todo mundo
Uma obrigação tem alcance maior do que muitos imaginam: transparência. Quem publica conteúdo gerado por IA, oferece interações apoiadas em IA ou cria deepfakes precisa marcar isso. Vale para textos de marketing, comunicação automatizada com clientes, avatares de IA e vozes sintéticas.
Concretamente: sites com artigos gerados por IA, e-mails de resposta automática, bots de suporte – todos precisam de aviso. Não escondido na política de privacidade, mas onde o usuário consegue perceber. A obrigação de marcação é a barreira mais baixa do AI Act, mas a de maior alcance.
O que fornecedores de foundation models precisam entregar
A partir de agosto de 2026, novas obrigações se aplicam a fornecedores dos chamados modelos de IA de uso geral – OpenAI, Anthropic, Google, Mistral e qualquer um que traga modelos similares ao mercado europeu. Entre outras coisas, eles precisam:
- Documentar dados de treino (com foco em material protegido por direitos autorais)
- Divulgar especificações do modelo
- Realizar análises de risco para modelos especialmente capazes
- Manter um relatório técnico de conformidade
Para empresas que apenas usam esses modelos, isso tem efeito prático: ao escolher um foundation model, a documentação de conformidade vira critério de seleção. Fornecedores que cumprirem essas exigências corretamente vão ganhar contratos enterprise. Fornecedores que tentarem fugir da UE vão perder.
Os erros típicos de implementação
Três padrões se repetem:
Excesso de compliance por insegurança. Empresas tratam cada uso de IA como sistema de alto risco – com análise de risco, avaliação de impacto, avaliação de conformidade. Isso não é só desnecessário, freia iniciativas de IA tanto que elas morrem. Uma classificação de risco bem feita no começo poupa meses.
Ignorar a obrigação de transparência. Enquanto todo mundo fala dos grandes requisitos de alto risco, muitos esquecem a simples marcação de conteúdo de IA. É exatamente aqui que vai cair a primeira onda de multas, porque é fácil de fiscalizar.
Compliance sem tooling. As exigências de logging, documentação e supervisão humana não se resolvem com um PDF. Precisam de implementação técnica – logs de auditoria nos workflows de IA, versões de modelos documentadas, entradas e saídas rastreáveis. Quem só constrói isso na hora da auditoria está atrasado.
O que fazer concretamente agora
Para empresas que querem organizar a compliance de IA, há uma sequência pragmática:
Passo 1: Inventariar. Quais sistemas de IA usamos, em quais áreas, com quais dados? Essa lista falta em 80% das empresas com as quais conversamos.
Passo 2: Classificar. Quais desses sistemas caem em uma categoria de alto risco? Quais são pura ferramenta de produtividade? Quais geram conteúdo com efeito externo?
Passo 3: Estabelecer transparência. Marcar todo conteúdo e toda interação gerados por IA. É a medida de compliance mais rápida, mais barata e mais visível.
Passo 4: Proteger sistemas de alto risco. Só onde a classificação exigir, investir em gestão de risco, processos de qualidade de dados e avaliação de conformidade.
Passo 5: Revisar contratos. Contratos com fornecedores de IA precisam de cláusulas de compliance, direitos de auditoria e proveniência de dados. Contratos-padrão de 2023 já não bastam.
O que isso significa para a escolha de ferramentas de IA
As exigências de compliance da UE estão virando filtro no mercado de tooling. Fornecedores com documentação de modelo transparente, tratamento de dados em conformidade com a UE e logs de auditoria rastreáveis serão preferidos em compras B2B. Quem introduzir em 2026 ferramentas sem essas características está acumulando dívida técnica que vai ficar cara em dois anos.
Na nh labs, fazemos uma triagem curta de compliance no início de cada projeto de IA: classe de risco, obrigação de transparência, fluxos de dados, necessidades de auditoria. Isso poupa muito depois – tanto em discussões jurídicas quanto em retrabalho de arquitetura.
Conclusão
O EU AI Act é menos assustador do que muitos acreditam – e ao mesmo tempo menos trivial. A maioria das empresas não precisa fazer avaliação de conformidade, mas quase todas precisam marcar seu conteúdo de IA e reavaliar seus fornecedores. Quem agir de forma estruturada agora – inventariar, classificar, tornar transparente – fica bem posicionado. Quem esperar até a primeira multa do setor terá apenas semanas para se adequar. E semanas não bastam para uma governança limpa de IA.