Governance & Compliance

EU AI Act 2026: O que já vale, o que vem, o que você precisa fazer

Status fevereiro 2026: proibições ativas, AI Literacy obrigatória, deadline High-Risk em seis meses. Cronograma, obrigações, recomendações.

Bert Gogolin
Bert Gogolin
CEO e fundador 11 min de leitura

A primeira lei abrangente de IA do mundo

O EU AI Act está em vigor desde agosto de 2024. É a primeira legislação abrangente do mundo para regular a inteligência artificial e se aplica a toda organização que desenvolva, implante ou forneça sistemas de IA na União Europeia. Em fevereiro de 2026, estamos no meio da fase de implementação: dois prazos já expiraram, o próximo chega em seis meses. Quem não se preparou tem um problema. Quem começa agora, ainda tem tempo.

Para empresas brasileiras com operações na Europa, o EU AI Act é diretamente relevante. Em Portugal, como Estado-membro da UE, o regulamento aplica-se integralmente (PT: aplicação direta do Regulamento UE). Para o mercado brasileiro, embora não haja equivalente direto, a LGPD (PT: RGPD) já estabelece obrigações para sistemas automatizados de decisão. Este artigo oferece uma visão objetiva do estado atual: o que já vale, o que vem e quando, quais obrigações afetam sua empresa e o que você deve fazer nos próximos 90 dias.

Cronograma: Cinco marcos

A implementação escalonada do EU AI Act se estende por três anos. Cada marco ativa obrigações diferentes.

Agosto 2024          Fevereiro 2025       Agosto 2025         Agosto 2026          Agosto 2027
    |                    |                    |                   |                    |
    v                    v                    v                   v                    v
Entrada em vigor    Práticas IA          Obrigações          Sistemas High-Risk   Demais
                    proibidas +          GPAI em vigor       devem estar          disposições
                    AI Literacy                              em conformidade
                    ATIVAS               ATIVAS              EM 6 MESES           2027

Para empresas, isso significa: duas etapas já são juridicamente vinculantes. A terceira, e para muitas empresas a mais crítica, entra em vigor em seis meses. A preparação tipicamente requer de quatro a seis meses. O tempo é curto.

O que já vale

Práticas de IA proibidas (desde fevereiro 2025)

Desde 2 de fevereiro de 2025, determinadas aplicações de IA estão completamente proibidas na UE. Isso abrange:

  • Social Scoring: Sistemas de IA que avaliam pessoas com base em seu comportamento social e derivam desvantagens em contextos não relacionados.
  • IA manipulativa: Sistemas que manipulam o comportamento humano por técnicas subliminais, como dark patterns que forçam decisões de compra ou consentimentos.
  • Biometria em tempo real em espaços públicos: A identificação biométrica em tempo real é fundamentalmente proibida. Exceções restritas existem para forças de segurança em casos de crimes graves, antiterrorismo e busca de pessoas desaparecidas, cada qual com autorização judicial.
  • Reconhecimento de emoções no local de trabalho e instituições educacionais: Sistemas de IA que detectam emoções de trabalhadores ou estudantes são inadmissíveis.
  • Predictive Policing baseado em características individuais: Avaliações de risco criminal baseadas exclusivamente em atributos pessoais.

Sanções: Infrações às proibições são punidas com multas de até 35 milhões de euros ou 7 por cento do faturamento anual global, o que for maior.

Para a maioria das empresas, essas proibições não exigem ações imediatas, pois as aplicações descritas raramente ocorrem no contexto empresarial. Mas a verificação é obrigatória: assegure-se de que nenhum de seus sistemas de IA se enquadra nessas categorias.

AI Literacy (desde fevereiro 2025)

Em paralelo às proibições, desde fevereiro de 2025 vigora a obrigação de AI Literacy conforme o Artigo 4: todas as pessoas que operam, implantam ou utilizam sistemas de IA devem possuir um nível suficiente de competência em IA. A competência deve ser adequada ao contexto respectivo: um desenvolvedor precisa de conhecimento mais profundo que um usuário final que utiliza um chatbot.

O que isso significa na prática:

  • Obrigação de treinamento: As empresas devem conseguir demonstrar que seus colaboradores foram treinados.
  • Obrigação de documentação: Conteúdos de treinamento, listas de participantes e intervalos de atualização devem estar documentados.
  • Adequação ao contexto: O treinamento deve corresponder ao papel. Um e-learning genérico não basta para os responsáveis que selecionam e respondem pelos sistemas de IA.

A obrigação de AI Literacy é frequentemente subestimada por não impor requisitos técnicos elevados. Mas já é exigível. E aplica-se a toda organização que utilize IA, independentemente da classe de risco do sistema.

Obrigações GPAI (desde agosto 2025)

Desde agosto de 2025, estão em vigor as obrigações de transparência e documentação para modelos de IA de Propósito Geral (GPAI). Estas afetam primariamente os provedores de modelos de linguagem, não as organizações que os utilizam. Mas como deployer, como organização que utiliza um modelo GPAI em suas próprias aplicações, você tem obrigações:

  • Avisos de uso: Se sua aplicação gera conteúdo que pode ser confundido com conteúdo criado por humanos, você deve sinalizá-lo.
  • Transparência perante os usuários: Pessoas que interagem com um sistema de IA devem ser informadas.
  • Infraestrutura de governance: Você deve conseguir documentar quais modelos GPAI utiliza, em qual contexto e com quais medidas de proteção.

As obrigações GPAI exigem um inventário limpo: Quais modelos de IA você utiliza? De qual provedor? Em qual aplicação? Com qual classificação de risco? Essas informações formam a base para a conformidade High-Risk que entra em vigor em seis meses.

O que chega em seis meses: Sistemas High-Risk (agosto 2026)

O deadline High-Risk de 2 de agosto de 2026 é o prazo mais crítico do EU AI Act para a maioria das organizações. A partir dessa data, todos os sistemas de IA que se enquadram no Anexo III devem estar plenamente em conformidade. Os requisitos são extensos.

Quais sistemas se enquadram em High Risk?

O Anexo III do EU AI Act define oito áreas em que sistemas de IA são classificados como de alto risco. As mais relevantes para empresas:

  • Emprego, gestão de pessoal e acesso ao trabalho autônomo: Sistemas de IA para vagas de emprego, seleção de candidatos, avaliação de desempenho, decisões de promoção e desligamentos.
  • Capacidade de crédito e seguros: Avaliação automatizada de crédito, scoring de risco.
  • Identificação biométrica: Reconhecimento facial, identificação por voz, inclusive em espaços não públicos.
  • Infraestrutura crítica: Sistemas de IA em energia, água, transporte, telecomunicações.
  • Educação e formação profissional: Avaliação automatizada de provas, controle de acesso a instituições educacionais.

Requisitos para sistemas High-Risk

Se algum de seus sistemas de IA é classificado como High Risk, você deve atender os seguintes requisitos até agosto de 2026:

  1. Sistema de gestão de riscos: Um sistema documentado para identificar, analisar e mitigar riscos ao longo de todo o ciclo de vida do sistema de IA.
  2. Governance de dados: Requisitos sobre qualidade, representatividade e exatidão dos dados de treinamento. Ao utilizar modelos pré-treinados: documentação da procedência dos dados e do ajuste fino.
  3. Documentação técnica: Documentação abrangente do sistema antes da implantação: arquitetura, procedimentos de treinamento, métricas de desempenho, procedimentos de teste, limitações.
  4. Obrigações de registro: Registro automático de todos os eventos relevantes (logging) para garantir a rastreabilidade das decisões.
  5. Transparência: Instruções de uso para deployers que permitam uma utilização adequada.
  6. Supervisão humana (Human Oversight): Medidas técnicas que permitam supervisão efetiva por pessoas. O Decision Layer é uma arquitetura que implementa tecnicamente esse requisito.
  7. Exatidão, robustez, cibersegurança: O sistema deve entregar de forma confiável o desempenho declarado e estar protegido contra manipulação.
  8. Avaliação de conformidade: Para determinadas categorias, é necessária uma avaliação por um organismo notificado (Conformity Assessment Body). Para outras, uma autoavaliação é suficiente.

Sanções: Infrações às obrigações High-Risk são punidas com multas de até 15 milhões de euros ou 3 por cento do faturamento anual global.

Relevância especial para RH

A área de Recursos Humanos é o departamento onde aplicações de IA mais frequentemente se enquadram na categoria High-Risk. Isso se deve ao Anexo III, ponto 4 - Emprego e gestão de pessoal. A classificação cobre:

Screening automatizado de candidaturas: High Risk. Qualquer sistema de IA que pré-selecione, avalie ou filtre candidaturas se enquadra na categoria High-Risk. Independentemente de a decisão final ser tomada por uma pessoa. Já a pré-seleção está regulada.

Avaliações de desempenho assistidas por IA: High Risk. Quando sistemas de IA analisam dados de desempenho e derivam avaliações ou preparam avaliações, é High Risk. Isso se aplica também a sistemas que apenas emitem recomendações.

Predictive Attrition: High Risk. Sistemas de IA que preveem quais colaboradores provavelmente deixarão a organização processam dados pessoais para derivar decisões de emprego. É High Risk.

Otimização automática de escalas: potencialmente High Risk. Se um sistema de IA cria escalas de turno processando preferências individuais, dados de desempenho ou informações de saúde, pode se enquadrar em High Risk. A classificação depende do escopo concreto dos dados.

Para departamentos de RH, isso significa: inventarie todos os sistemas de IA utilizados em contextos de emprego. Revise a classificação. Inicie a preparação de compliance: os seis meses até agosto de 2026 são apertados para alcançar plena conformidade High-Risk. No Brasil, a CLT prevê participação sindical em mudanças tecnológicas (PT: o Código do Trabalho prevê informação e consulta da Comissão de Trabalhadores). Mais informações sobre a interação entre IA e RH em HR & AI Agents.

Digital Omnibus: Possível adiamento

A Comissão Europeia propus no final de 2025 um pacote Digital Omnibus que poderia, entre outras coisas, adiar os prazos High-Risk do EU AI Act para dezembro de 2027. O pacote também aborda uma simplificação das obrigações de reporte e uma elevação dos limiares para PMEs.

Status atual: O pacote Digital Omnibus é uma proposta da Comissão. Deve ser aprovado pelo Parlamento Europeu e pelo Conselho. Em fevereiro de 2026, o procedimento legislativo não foi concluído. Não há garantia de que o pacote será aprovado na forma proposta. Não há garantia de que será aprovado.

A recomendação: Planeje com agosto de 2026. Se o Digital Omnibus efetivamente trouxer um adiamento, você terá ganho tempo adicional. Se não, estará preparado. Planejamento de compliance que aposta em uma prorrogação incerta é um risco evitável.

Recomendação prática: Inicie um inventário de sistemas de IA

Independentemente de seus sistemas de IA se enquadrarem em High Risk ou não: o primeiro passo é sempre o mesmo. Você precisa de um inventário completo de todos os sistemas de IA na sua organização.

O que deve ser registrado

Para cada sistema de IA, documente:

  • Designação e descrição do sistema: O que o sistema faz? Qual processo ele suporta?
  • Provedor e modelo: Qual modelo de IA é utilizado? De qual provedor? Cloud API ou self-hosted?
  • Papel da sua organização: Você é provider (provedor), deployer (operador) ou ambos?
  • Classificação de risco: O sistema se enquadra em alguma das categorias do Anexo III (High Risk)? Nas proibições do Artigo 5? Ou trata-se de um sistema de risco limitado?
  • Pessoas afetadas: Quais pessoas são afetadas pelas decisões ou resultados do sistema?
  • Processamento de dados: Quais dados o sistema processa? Dados pessoais? Segredos comerciais?
  • Medidas de proteção: Quais medidas técnicas e organizacionais estão implementadas? Human Oversight? Audit Trail?

Cronograma

Um inventário de sistemas de IA para uma organização de médio porte é viável em quatro a oito semanas. O esforço depende do número de sistemas, do estado da documentação e da coordenação interna. Comece com os sistemas óbvios, as ferramentas de IA oficialmente adquiridas, e depois expanda para Shadow AI: sistemas de IA que os colaboradores utilizam por conta própria sem que o departamento de TI saiba.

O inventário não é uma tarefa única. Deve ser atualizado continuamente, porque novos sistemas são adicionados, sistemas existentes são modificados e a avaliação regulatória evolui. A infraestrutura de governance deve ser projetada para que o inventário permaneça um documento vivo.

Resumo: O que você deve fazer agora

  1. Revise as proibições. Assegure-se de que nenhum de seus sistemas de IA se enquadra nas práticas proibidas desde fevereiro de 2025.
  2. Cumpra a obrigação de AI Literacy. Documente treinamentos para todos os usuários de IA na sua organização. A obrigação já está em vigor.
  3. Crie um inventário de sistemas de IA. Registre todos os sistemas de IA, seus provedores, contexto de uso e classificação de risco. Prazo: quatro a oito semanas.
  4. Identifique os sistemas High-Risk. Revise especialmente a área de RH, decisões de crédito e processos automatizados com impacto direto sobre pessoas.
  5. Inicie a conformidade High-Risk. Para sistemas sob o Anexo III: estabeleça sistema de gestão de riscos, governance de dados, documentação técnica e Human Oversight. Deadline: agosto de 2026.
  6. Não planeje com base no Digital Omnibus. O possível adiamento é um bônus, não uma base de planejamento.

Gosign apoia organizações na conformidade com o EU AI Act, do inventário de sistemas à avaliação de conformidade. Se você quer saber onde sua organização está, fale conosco.

Agendar reunião. 30 minutos para avaliar seu status de compliance.

EU AI Act Regulação IA High Risk Compliance HR 2026
Compartilhar este artigo
LinkedIn X Email

Perguntas frequentes

Quais práticas de IA estão proibidas desde fevereiro 2025?

Social Scoring, sistemas de IA manipulativos e biometria em tempo real em espaços públicos (com exceções restritas para forças de segurança). Sanções: até 35 milhões EUR ou 7% do faturamento anual global.

Aplicações de IA em RH são consideradas High Risk?

Quase sempre. Screening automatizado de candidatos, avaliações de desempenho assistidas por IA, Predictive Attrition e otimização automática de escalas entram na categoria High-Risk (Anexo III). Deadline: agosto 2026.

O que significa a obrigação de AI Literacy?

Desde fevereiro 2025, todas as pessoas que operam ou utilizam sistemas de IA devem ter um nível suficiente de competência em IA. As empresas devem conseguir demonstrar medidas de treinamento.

O EU AI Act se aplica no Brasil?

O EU AI Act não se aplica diretamente no Brasil, mas afeta empresas brasileiras que operam na UE ou fornecem serviços para o mercado europeu. Em Portugal, o regulamento é diretamente aplicável. Empresas com operações nos dois mercados devem considerar ambos os marcos regulatórios: o EU AI Act na UE e a LGPD (PT: RGPD) como base de proteção de dados.

Qual processo seu primeiro agente deveria gerenciar?

Fale conosco sobre um caso de uso concreto na sua organização.

Agendar uma conversa