EU AI Act adiado para dezembro de 2027: o que muda, o que não muda e o que o C-level precisa decidir agora

EU AI Act adiado para dezembro de 2027: o que muda, o que não muda e o que o C-level precisa decidir agora

O Parlamento Europeu votou 569 a 45 para adiar o prazo de conformidade de sistemas de IA de alto risco do EU AI Act. O deadline saiu de agosto de 2026 para dezembro de 2027, via o pacote legislativo EU Digital Omnibus. O motivo é objetivo: a própria Comissão Europeia não entregou as orientações técnicas prometidas para fevereiro de 2026. A regulação cobrou compliance das empresas antes de dizer exatamente como cumpri-la.

Para quem lidera organizações que operam na Europa, o adiamento exige uma decisão imediata: usar os 16 meses adicionais para construir compliance robusto ou permitir que o momentum interno se dissolva. A segunda opção é mais provável do que parece — e significativamente mais cara.

O que mudou e o que não mudou

A distinção é crítica e precisa estar clara em toda a organização.

O que foi adiado:

  • Obrigações de conformity assessment para sistemas de IA de alto risco (Annex III) — contratação, crédito, educação, biometria, law enforcement
  • Registro obrigatório na base de dados da UE para sistemas de alto risco
  • Requisitos completos de monitoramento pós-mercado para alto risco

O que continua em vigor, sem alteração:

  • Proibições absolutas (desde fevereiro de 2025): social scoring, manipulação subliminar que cause dano, identificação biométrica remota em tempo real em espaços públicos. Violar essas regras hoje gera multa de até €35 milhões ou 7% da receita global.
  • Obrigações de transparência (agosto de 2026, mantido): quando IA interage com pessoas, elas devem saber que estão interagindo com IA. Conteúdo sintético — texto, imagem, áudio, vídeo — deve ser marcado como gerado por IA.
  • Documentação técnica de GPAI (desde março de 2026): provedores de modelos de propósito geral já devem manter documentação disponível para o AI Office europeu.

O erro mais perigoso que uma organização pode cometer agora é interpretar o adiamento como uma pausa geral no EU AI Act. Não é. As proibições absolutas já estão valendo. A transparência entra em vigor em quatro meses. O que mudou é o prazo para alto risco — o restante do cronograma regulatório está intacto.

O risco real: efeito acomodação

Nos últimos oito meses, publicamos duas análises neste blog recomendando que empresas tratassem agosto de 2026 como deadline firme e não contassem com o Digital Omnibus. A recomendação era prudente na época — e continua relevante agora, por uma razão diferente.

Muitas organizações aprovaram budget de compliance para IA entre o quarto trimestre de 2025 e o primeiro trimestre de 2026. Equipes foram contratadas, consultorias engajadas, projetos de inventário iniciados. Com o adiamento, o risco concreto é que esse investimento perca prioridade interna.

O padrão é previsível:

  • CFO questiona se o budget alocado ainda é urgente
  • Projetos de compliance perdem espaço na agenda do CTO para iniciativas com ROI mais imediato
  • Equipes jurídicas redirecionam atenção para demandas operacionais
  • Em dezembro de 2027, a empresa está no mesmo ponto em que estava em janeiro de 2026 — com prazo apertado e trabalho por fazer

A GDPR oferece um precedente direto. Entre a aprovação em 2016 e a vigência em maio de 2018, empresas tiveram dois anos para se preparar. A maioria deixou para os últimos seis meses. O resultado foram projetos de compliance apressados, superficiais e caros. A multa máxima da GDPR é 4% da receita global. A do EU AI Act é 7%. A lição deveria ser óbvia.

16 meses a mais: o que fazer com o tempo

O adiamento não é uma licença para inação — é uma oportunidade para compliance mais profundo. A diferença entre as duas interpretações vai separar as organizações que estarão prontas em dezembro de 2027 das que estarão correndo contra o prazo.

Manter o inventário de IA em andamento. Se a organização já iniciou o mapeamento de sistemas de IA, não interrompa. Inventário é pré-requisito para qualquer compliance — e quanto mais cedo estiver completo, mais tempo há para remediar gaps. Empresas que ainda não começaram o inventário ganharam uma segunda chance que não deveriam desperdiçar.

Usar o tempo para certificação ISO 42001. O standard internacional para sistemas de gestão de IA foi publicado em dezembro de 2023 e está ganhando tração como framework de referência. Empresas certificadas em ISO 42001 terão vantagem significativa no conformity assessment do EU AI Act — os requisitos se sobrepõem substancialmente. Os 16 meses adicionais são suficientes para implementação e certificação completas.

Investir em conformity assessment piloto. Em vez de esperar até o último trimestre de 2027, selecionar dois ou três sistemas de alto risco e executar o assessment completo agora. Isso revela gaps de processo, documenta lições aprendidas e calibra o esforço necessário para o portfólio completo. Um piloto agora custa menos e ensina mais do que uma corrida contra o prazo depois.

Aguardar as orientações técnicas — mas não de braços cruzados. A Comissão Europeia terá agora até meados de 2027 para publicar as guidance técnicas que não entregou em fevereiro. Quando saírem, a organização que já tem inventário, classificação de risco e pilotos concluídos estará em posição de adaptar — não de começar do zero.

Implicações para empresas brasileiras

O EU AI Act tem alcance extraterritorial. Se uma empresa brasileira oferece produtos ou serviços com IA para cidadãos ou organizações da UE, está sujeita à regulação. Isso não mudou com o adiamento — apenas o prazo para alto risco foi estendido.

Para empresas brasileiras, três pontos exigem atenção:

Primeiro, o PL 2338 continua avançando no Congresso. O Marco Legal de IA no Brasil segue a estrutura de classificação por risco inspirada no modelo europeu. Empresas que investem em compliance para o EU AI Act estão, na prática, se preparando para a regulação brasileira. O adiamento europeu não reduz a relevância desse investimento — reforça, porque dá mais tempo para construir processos que servirão para ambas as jurisdições.

Segundo, clientes europeus vão começar a cobrar. Mesmo com o adiamento, empresas europeias que são clientes de fornecedores brasileiros de tecnologia vão incluir requisitos de compliance em contratos de procurement. Due diligence de IA em supply chains é uma tendência que o adiamento não freia — acelera, porque dá mais tempo para que processos de vendor assessment se consolidem.

Terceiro, a LGPD já exige explicabilidade em decisões automatizadas. Para empresas brasileiras que usam IA em decisões de crédito, contratação ou precificação no Brasil, as obrigações de transparência e explicabilidade já existem independentemente do EU AI Act. O framework de compliance deve endereçar ambas as regulações de forma integrada.

Recomendações para a liderança

Para o CEO: O adiamento não retira o tema da pauta do board. O EU AI Act está em vigor — o que mudou é um prazo específico. A recomendação é manter o item na agenda trimestral do conselho e garantir que o plano de compliance tenha owner, cronograma e métricas de progresso. O pior cenário é chegar a dezembro de 2027 com a mesma conversa de “precisamos começar” que muitos tinham em janeiro de 2026.

Para o CFO: Não redirecione o budget de compliance de IA. Renegocie o cronograma de desembolso se necessário — espalhar o investimento em 16 meses adicionais pode até reduzir o custo total, permitindo contratação menos urgente e negociação mais favorável com consultorias. Mas cancelar o budget é a decisão que mais custa no longo prazo.

Para o CTO/CAIO: Priorize o inventário de IA e os pilotos de conformity assessment. Use os próximos seis meses para completar o mapeamento e classificação de risco. Use os dez meses seguintes para executar assessments. Chegue em dezembro de 2027 com evidências documentadas, não com promessas.

Para o General Counsel: Atualize a análise de risco regulatório com o novo timeline, mas não reduza a severidade. As multas não mudaram. O escopo não mudou. O prazo mudou — e prazos passam rápido quando não há pressão imediata.

A decisão que importa agora

O Parlamento Europeu fez o que qualquer regulador razoável faria quando percebe que não entregou sua parte: estendeu o prazo. A questão não é se o adiamento foi correto — foi. A questão é o que cada organização faz com ele.

Dezesseis meses adicionais de compliance bem investido produzem uma organização mais resiliente, com processos auditáveis e vantagem competitiva no mercado europeu. Dezesseis meses de acomodação produzem exatamente o que a GDPR já demonstrou: corrida de última hora, compliance superficial e risco persistente.

A recomendação aqui é direta: trate dezembro de 2027 como o prazo que é — firme, definido e mais próximo do que parece. O tempo adicional é um recurso. A inação é uma escolha. E escolhas têm consequências que chegam em euros.