EU AI Act 2026: o que muda para empresa brasileira

Por que você (empresa brasileira) deve se importar

EU AI Act é uma regulação europeia. Mas o Article 2 (Territorial Scope) deixa claro: aplica-se a qualquer empresa que coloque sistema de IA no mercado europeu OU cujo output do sistema seja usado dentro da UE.

Em palavras: se você é SaaS brasileiro vendendo para empresa europeia, está dentro. Se você tem usuários europeus no seu produto (mesmo gratuitos), está dentro. Se sua empresa serve Portugal, Espanha ou Alemanha de forma alguma, AI Act se aplica.

Multa máxima: até 35 milhões de euros ou 7% do faturamento global, o que for maior.

Este post é o overview que aplicamos em consultoria pra empresas brasileiras que descobrem que estão expostas ao AI Act.

Timeline 2026 — onde estamos

O AI Act entrou em vigor formal em 2 agosto 2024. Mas as obrigações foram entrando em fases:

• 2 fev 2025: práticas proibidas + obrigação de AI literacy (em vigor).
• 2 ago 2025: regras de governance + obrigações para GPAI (modelos genéricos como Claude, GPT, Gemini) — em vigor.
• 2 ago 2026 (original): aplicação plena, incluindo Annex III (sistemas high-risk).
• AI Act Omnibus deal — 7 mai 2026: postergação de Annex III para 2 dez 2027 (+16 meses). Article 50 transparency antecipado para 2 dez 2026.

Status hoje (mai 2026):

• Em vigor agora: AI literacy + GPAI rules + práticas proibidas.
• Em vigor dez 2026 (curto prazo): Article 50 — transparency em conteúdo sintético + ban a nudifiers.
• Em vigor dez 2027 (médio prazo): Annex III — sistemas high-risk (HR, scoring, biometria, etc.).

As 4 categorias de risco

Categoria 1: prohibited (proibidos)

Já em vigor desde fev 2025. Práticas categoricamente banidas:

• Social scoring estatal (China-style).
• Manipulação subliminar.
• Exploração de vulnerabilidade (idade, condição mental).
• Biometric categorization por atributos sensíveis (raça, religião, orientação sexual).
• Real-time remote biometric identification em espaços públicos (com exceções estritas para law enforcement).

Para empresa brasileira: na prática, nenhuma SMB cai nesses casos. Big tech pode cair.

Categoria 2: high-risk (Annex III) — adiado dez 2027

Sistemas onde uma falha tem impacto significativo em direitos fundamentais. Lista (Annex III):

1. Componentes de segurança em produtos regulados (toys, máquinas, dispositivos médicos).
2. Biometria para identificação ou categorização.
3. Gestão de infraestrutura crítica (água, eletricidade, transporte).
4. Educação e formação profissional — sistema decidindo admissão, avaliação ou allocation.
5. Recursos humanos — recrutamento, screening de currículo, avaliação de performance, scoring para decisão de promoção/demissão.
6. Acesso a serviços essenciais (welfare, financiamento, scoring de crédito).
7. Law enforcement.
8. Migração / asilo / controle de fronteira.
9. Administração de justiça e processos democráticos.

Para empresa brasileira, os casos mais comuns que tocam Annex III:

• HR-tech vendendo screening pra empresa EU.
• Fintech com scoring de crédito atendendo cliente EU.
• Edtech com sistema de avaliação automatizada usado por escola EU.

Obrigações (quando entrar em vigor):

• Sistema de gestão de risco documentado.
• Dataset de treino e teste auditável.
• Documentação técnica detalhada.
• Audit trail de outputs.
• Supervisão humana obrigatória.
• Robustez + cybersecurity demonstrável.
• Registro em base europeia (EU database para sistemas high-risk).
• Conformity assessment antes de colocar no mercado.

Categoria 3: limited risk (Article 50) — em vigor dez 2026

Transparency obligations:

1. Sistemas que interagem com humanos (chatbots) — usuário precisa saber que está conversando com IA.
2. Sistemas que geram synthetic content (imagem, vídeo, áudio, texto) — output precisa ser marcado como AI-generated, machine-readable.
3. Deepfake explícito — proibição de nudifiers + obrigação de marcar deepfakes.
4. Emotional recognition + biometric categorization — divulgação para o usuário.

Para SMB brasileira, isso é o que vai bater mais cedo. Se você:

• Roda chatbot WhatsApp/web atendendo cliente EU → precisa ter disclaimer.
• Gera imagem ou vídeo via IA para campanha que rodará na EU → precisa watermark machine-readable (C2PA é o padrão emergente).
• Usa voice cloning ou avatar AI → mesmo.

Categoria 4: minimal risk — sem obrigações específicas

Tudo o resto. Mas mesmo aqui, AI literacy obligation (Article 4) já em vigor exige que sua equipe operando IA tenha treinamento mínimo.

Roadmap prático para empresa brasileira

Fase 1 — Mapping (mês 1)

Liste todos os sistemas de IA que você usa OU oferece. Para cada:

• Qual a categoria de risco?
• Você está em quais países UE (incluindo cookies + leads + transações)?
• Dado pessoal de europeu é processado?

Output: matriz simples sistema × categoria × exposição EU.

Fase 2 — Quick wins Article 50 (mês 2-6, antes de dez 2026)

Action items para chatbot + content generator:

1. Chatbot: adicione disclaimer claro na primeira mensagem (“Este é um atendimento automatizado”).
2. Conteúdo sintético: implemente C2PA ou metadados equivalentes em todo output AI generation que sai pra audience EU.
3. Documentação de uso: registre internamente todos os casos onde sua IA gera conteúdo sintético. Reservar audit trail.

Custo típico: 40-80 horas de eng + design. Faça agora, não depois.

Fase 3 — Annex III preparation (mês 6-18, antes de dez 2027)

Se você está em Annex III categoria:

1. Governance: nomeie DPO (Data Protection Officer) ou equivalente. Cria política de risco de IA documentada.
2. Dataset hygiene: documente origem, conteúdo, viés conhecido de cada dataset de treino. Para vendor de modelo (Claude/GPT/Gemini), peça AI Act compliance statement.
3. Audit trail: implemente logging completo de inputs + outputs + decisões automatizadas. Retain por pelo menos 6 meses.
4. Human oversight: garanta que toda decisão high-stakes pode ser revista por humano. Não pode ser fully autonomous.
5. Robustez: tests adversariais, security review, plano de incidente.
6. Conformity assessment: contratar entidade europeia certificada OR fazer self-assessment seguindo padrão CE.

Custo típico para SMB com 1-2 sistemas high-risk: R$ 300k-1M ao longo de 18 meses. Não é trivial.

Decisão estratégica

Se você está em Annex III e não vê retorno claro do mercado EU:

• Opção A: invista em compliance, mantenha o mercado. Faça sentido se EU é > 20% do revenue ou estratégico para próximos 3 anos.
• Opção B: geo-fence o produto. Pare de servir EU. Faça sentido se EU é < 10% do revenue e compliance custaria mais que esse revenue.

Não tem opção C: “ignorar e esperar não pegar”. Multa de 7% do faturamento global derruba empresa.

O que vendor americano de IA está fazendo

Anthropic, OpenAI, Google publicaram declarações de AI Act compliance para uso de seus modelos. Quando você usa Claude/GPT/Gemini em sistema seu, parte da carga é deles (eles são “provider” do GPAI). Você é “deployer” no AI Act linguagem.

Isso significa: você não precisa documentar o treinamento do Claude (Anthropic faz). Mas precisa documentar como você USA Claude no seu sistema, especialmente se for high-risk.

Peça aos vendors:

• AI Act compliance statement.
• DPA (Data Processing Agreement).
• Documento técnico sobre robustez + viés conhecido.

Anthropic e Google têm isso pronto em 2026. OpenAI também. Se vendor não tem, considere migrar.

Comparativo com BR

Aspecto	EU AI Act	Brasil (PL 2338/2023, em discussão)
Status	Em vigor	Tramitando, possivelmente 2027
Estrutura	4 categorias de risco	Similar, baseada em EU AI Act
Multa	7% faturamento ou €35M	Em discussão, provável similar
LGPD overlap	Sim, complementar	LGPD já em vigor, AI Act BR seria adicional

Estratégia: empresa BR que se preparar pra EU AI Act vai estar 80% pronta para AI Act BR quando ele vier.

FAQ

Sou freelancer brasileiro vendendo serviço de prompt engineering pra cliente EU. Sou afetado? Se você só vende serviço (não disponibiliza sistema de IA), você não é “provider” nem “deployer” no sentido AI Act. Seu cliente sim, e pode pedir documentação sobre o trabalho.

Tenho SaaS B2B brasileiro com 5% de clientes EU. Vale fazer compliance? Depende. Se você cair em categoria limited risk (chatbot + content), sim — esforço é pequeno. Se for Annex III high-risk, considere geo-fence ou faça compliance só se estratégico.

Anthropic Claude está em compliance? Sim. Anthropic publicou Mythos System Card cobrindo AI Act requirements para GPAI. Verifique versão atual.

Posso ser punido por usuário europeu acessando meu site brasileiro sem eu querer? Tecnicamente sim se você ofereceu serviço de IA disponível. Geo-fence proativo (IP-based) é defesa razoável.

Próximos passos

• Aplique a Fase 1 (mapping) ao seu stack este mês. É auto-assessment de 2-4 horas.
• Workshop SkilLab — Consultoria & Treinamento. Implementação de compliance AI Act + LGPD para empresa BR. Detalhes.
• Newsletter SkilLab AI. Inscreva-se abaixo.

Leia também

• LGPD e IA na rotina do gestor — paralelo brasileiro, complementar.
• Política interna de uso de IA — template — template editável.
• IA em RH brasileiro: limites legais — caso particular Annex III.

---

Por Ivan Prado · SkilLab AI · Maio de 2026.