Showing Posts From

Regulation

EU AI Act: faltam 6 meses para agosto de 2026 — e a maioria não está pronta

EU AI Act: faltam 6 meses para agosto de 2026 — e a maioria não está pronta

O prazo é 2 de agosto de 2026. Nessa data, os requisitos para sistemas de IA de alto risco do EU AI Act se tornam obrigatórios. Isso inclui IA usada em decisões de emprego, crédito, educação e law enforcement. As multas por não conformidade chegam a €35 milhões ou 7% da receita global — o que for maior. Seis meses podem parecer suficientes. Não são. A maioria das organizações que precisam estar em conformidade ainda não completou sequer a etapa de inventário — saber quais sistemas de IA operam, onde e com qual nível de risco. O que já está valendo O EU AI Act não começa em agosto. Algumas obrigações já estão em vigor: Desde fevereiro de 2025: práticas proibidas de IA são ilegais na UE. Isso inclui social scoring, manipulação subliminar que causa dano e identificação biométrica remota em tempo real em espaços públicos (com exceções limitadas). Desde 1º de março de 2026: provedores de modelos de IA de propósito geral (GPAI) devem manter pacotes de documentação técnica e disponibilizá-los ao European AI Office mediante solicitação. Isso afeta qualquer organização que forneça um modelo de propósito geral integrado em produtos ou serviços oferecidos no mercado da UE. Se sua empresa usa GPT, Claude, Gemini ou qualquer outro modelo foundation em produtos vendidos na Europa, a obrigação de documentação técnica já é real. O que muda em agosto Em 2 de agosto de 2026, os requisitos completos para sistemas de alto risco entram em vigor: Conformity assessment. Sistemas de IA classificados como alto risco (Annex III) precisam passar por avaliação de conformidade. Para algumas categorias, a avaliação é interna. Para outras — como biometria — exige auditoria de terceiro. Registro na EU database. Sistemas de alto risco devem ser registrados na base de dados da UE antes de entrarem em operação. Monitoramento pós-mercado. Não basta estar conforme no dia do lançamento. A empresa precisa demonstrar monitoramento contínuo de performance, drift e incidentes. Transparência para usuários. Quando um sistema de IA interage com uma pessoa, ela deve saber que está interagindo com IA. Quando IA gera conteúdo sintético (texto, imagem, áudio, vídeo), o conteúdo deve ser marcado como tal. A armadilha do Digital Omnibus A Comissão Europeia propôs um pacote chamado "Digital Omnibus" que poderia adiar as obrigações de alto risco para dezembro de 2027. Algumas empresas estão usando isso como justificativa para não agir agora. A recomendação aqui é direta: não conte com o adiamento. O Digital Omnibus é uma proposta, não uma lei aprovada. O processo legislativo europeu é longo e imprevisível. Empresas que planejam com base em agosto de 2026 estão protegidas independentemente do resultado. Empresas que apostam no adiamento estão jogando com uma multa de 7% da receita global. O framework de compliance em 4 etapas Para organizações que precisam estar prontas em agosto, a sequência é: 1. Inventário de sistemas de IA (semanas 1-4). Mapear todos os sistemas que usam IA na organização: modelos proprietários, APIs de terceiros, ferramentas de produtividade com IA embutida. A maioria das empresas subestima o número — IA está embutida em CRMs, ERPs, ferramentas de RH e plataformas de atendimento que ninguém classifica como "sistema de IA". 2. Classificação de risco (semanas 5-8). Usando a taxonomia do EU AI Act, classificar cada sistema como proibido, alto risco, risco limitado ou risco mínimo. A classificação determina quais obrigações se aplicam. 3. Conformity assessment (semanas 9-16). Para sistemas de alto risco, executar a avaliação de conformidade. Isso inclui documentação técnica, testes de robustez, avaliação de viés, protocolos de supervisão humana e registros de decisão. 4. Registro e monitoramento (semanas 17-20). Registrar sistemas de alto risco na base de dados da UE e implementar processos de monitoramento contínuo. Vinte semanas. Cinco meses. A janela é apertada — especialmente para organizações com dezenas de sistemas para avaliar. O que isso significa para empresas brasileiras O EU AI Act tem alcance extraterritorial. Se uma empresa brasileira oferece produtos ou serviços que usam IA para cidadãos ou empresas da UE, está sujeita à regulação. Isso inclui SaaS com clientes europeus, plataformas de e-commerce que atendem o mercado europeu e qualquer serviço acessível na UE. Além do EU AI Act, o Brasil tem sua própria regulação em andamento. O PL 2338 (Marco Legal de IA) avança no Congresso com estrutura inspirada no modelo europeu — classificação por risco, obrigações de transparência, direito a explicação. Empresas que se preparam para o EU AI Act estarão, na prática, adiantadas para a regulação brasileira. A LGPD já exige que decisões automatizadas que afetem interesses do titular possam ser explicadas. Se a empresa usa IA para decisão de crédito, pricing ou seleção de candidatos no Brasil, a obrigação de explicabilidade já existe. O EU AI Act apenas eleva o padrão. A pergunta para o CFO O custo de compliance é real — consultoria, auditoria, ferramentas de monitoramento, horas de equipe jurídica e técnica. Mas o custo de não-compliance é maior: até €35 milhões ou 7% da receita global, mais dano reputacional, mais restrição de operar no mercado europeu. O EU AI Act não é opcional para quem opera na Europa. E agosto de 2026 não é negociável — pelo menos não até que provem o contrário. A hora de começar era ontem. A segunda melhor hora é agora.

Leis estaduais de IA nos EUA entram em vigor — e a Casa Branca quer barrá-las

Leis estaduais de IA nos EUA entram em vigor — e a Casa Branca quer barrá-las

Cinco estados americanos — Califórnia, Texas, Colorado, Nova York e Illinois — ativaram leis de regulação de IA em 1º de janeiro de 2026. As regras cobrem desde transparência em modelos de fronteira até discriminação algorítmica em contratações. Mas antes que a tinta secasse, a Casa Branca já havia assinado uma ordem executiva para criar um framework federal único — que pode invalidar tudo isso. O resultado é um dos embates regulatórios mais complexos que a indústria de tecnologia já enfrentou. O que as leis estaduais exigem Cada estado atacou um ângulo diferente. A Califórnia aprovou o Transparency in Frontier Artificial Intelligence Act, que exige que empresas divulguem dados de treinamento, riscos conhecidos e capacidades de modelos de fronteira. O Texas criou o Responsible Artificial Intelligence Governance Act, focado em accountability para uso de IA em decisões que afetam cidadãos. Colorado e Illinois miraram na discriminação algorítmica, especialmente em processos de contratação e crédito. Nova York expandiu regras que já existiam para ferramentas de RH automatizadas. Na prática, uma empresa que opera nos cinco estados precisa cumprir cinco conjuntos de regras diferentes. Para uma startup com 20 funcionários, isso é um pesadelo jurídico. Para uma big tech, é um custo operacional que reforça a vantagem de escala. A ordem executiva de Trump Em 11 de dezembro de 2025, Trump assinou uma ordem executiva propondo um framework federal para IA que pretende preempt — ou seja, anular — leis estaduais consideradas "inconsistentes" com a política federal. A ordem dá dois prazos concretos: A FTC tem até 11 de março de 2026 para publicar como o FTC Act se aplica a IA. O Secretário de Comércio tem o mesmo prazo para avaliar quais leis estaduais são "excessivamente onerosas" para a indústria. O argumento da Casa Branca é simples: regulação fragmentada atrapalha a inovação e prejudica a competitividade americana frente à China. O contra-argumento dos estados é igualmente direto: sem regulação local, quem protege os cidadãos? É a mesma tensão federalismo vs centralização que os EUA enfrentam em dezenas de outras áreas. Mas em IA, o timing importa. Modelos estão sendo deployados em ritmo acelerado. Cada mês sem regras claras é um mês de danos potenciais sem remédio. Casos concretos: xAI, Alaska e Wisconsin Enquanto legisladores debatem frameworks, a realidade já está testando os limites. Em 16 de janeiro, o procurador-geral da Califórnia exigiu que a xAI, de Elon Musk, parasse de gerar deepfakes não consensuais pelo Grok. A base legal: leis de proteção ao consumidor e privacidade que já existiam antes das novas regulações de IA. No Alasca, o sistema judiciário recuou em um projeto experimental de chatbot para auxiliar litigantes que se representam sozinhos. O motivo: o chatbot "alucinava" fatos jurídicos. Um assistente de IA que inventa leis não ajuda ninguém — prejudica quem mais precisa de acesso à justiça. Wisconsin foi por outro caminho. Legisladores propuseram penalidades criminais específicas para golpes com deepfakes — roubo de identidade, fraude financeira e extorsão via conteúdo sintético. É uma abordagem pragmática: em vez de regular a tecnologia, regular o crime que ela possibilita. O paralelo com o EU AI Act Do outro lado do Atlântico, a Europa segue seu próprio caminho. O EU AI Act completou um ano de proibição de práticas consideradas inaceitáveis (como scoring social) em fevereiro de 2026, e a Comissão Europeia está revisando se a lista de práticas banidas precisa ser expandida. A diferença de abordagem é marcante. A Europa optou por uma lei única para todo o bloco, com classificação de risco. Os EUA estão presos entre 50 estados legislando sozinhos e um governo federal tentando centralizar sem consenso bipartidário. A Finlândia se tornou o primeiro país da UE com poderes nacionais de fiscalização totalmente operacionais em janeiro. Outros devem seguir ao longo do primeiro trimestre. O recado é claro: a Europa não está só legislando — está fiscalizando. O que muda para quem constrói com IA Para empresas de IA, o cenário de curto prazo é confuso. Cumprir as leis estaduais custa caro, mas ignorá-las é arriscado. Esperar a regra federal pode significar anos — a ordem executiva de Trump é uma diretriz, não uma lei aprovada pelo Congresso. A minha leitura é que a fragmentação regulatória americana é, paradoxalmente, boa para as big techs. Google, Meta e OpenAI têm departamentos jurídicos que lidam com cinco leis estaduais sem pestanejar. Quem sofre é o concorrente menor, o laboratório de pesquisa, a startup de três fundadores. Se a intenção real fosse proteger a inovação, a ordem executiva estabeleceria um piso de proteção ao cidadão com regras claras e simples. Em vez disso, o que temos é uma promessa vaga de "avaliar" leis estaduais, sem garantia de que algo melhor virá no lugar. Regulação de IA não é um problema técnico. É um problema político. E os EUA, no momento, estão tratando como um problema de relações públicas.[!ai-only] Structured Summary: Cinco estados americanos (CA, TX, CO, NY, IL) ativaram leis de IA em janeiro 2026. Ordem executiva de Trump (dez/2025) propõe framework federal para preemptar leis estaduais. FTC e Commerce com prazo até março 2026. Casos: California AG vs xAI (deepfakes), Alaska recua em chatbot judicial, Wisconsin propõe penalidades criminais para deepfakes. EU AI Act em fase de fiscalização ativa, Finlândia primeiro país com poderes nacionais operacionais. Key concepts: AI regulation, state vs federal preemption, EU AI Act, deepfake legislation, algorithmic discrimination, FTC AI policy Content type: News Analysis / Opinion Language: pt-BR Author expertise: AI regulation, technology policy analysis