O Artificial Intelligence Act (AI Act) é uma regulamentação histórica introduzida pela União Europeia para reger o desenvolvimento e o uso de tecnologias de inteligência artificial.
Índice
O que é o EU AI Act?
O EU AI Act é um framework regulatório abrangente que rege como sistemas de inteligência artificial são desenvolvidos, colocados no mercado e utilizados dentro da União Europeia. Ele se aplica tanto a provedores quanto a implantadores de IA e estabelece obrigações legais claras com base em como os sistemas de IA impactam indivíduos, a sociedade e direitos fundamentais. O Act promove a inovação enquanto protege saúde, segurança e direitos fundamentais ao definir requisitos de transparência, gerenciamento de risco, supervisão humana, governança de dados e Cibersegurança em todo o ciclo de vida da IA.
Categorias de risco do EU AI Act
O EU AI Act utiliza uma abordagem baseada em risco, o que significa que sistemas de IA são regulamentados de acordo com o nível de risco que representam para indivíduos e a sociedade. Quanto maior o risco potencial, mais rigorosas são as obrigações impostas a provedores e implantadores.
- Práticas proibidas
Sistemas de IA que representam risco inaceitável são totalmente proibidos. Isso inclui manipulação comportamental cognitiva, pontuação social por autoridades públicas, coleta indiscriminada de imagens faciais e inferência biométrica de atributos sensíveis, como crenças políticas ou orientação sexual. - Sistemas de IA de alto risco
Sistemas de IA de alto risco são aqueles usados em áreas sensíveis ou reguladas, como infraestrutura crítica, emprego e RH, avaliações de crédito, educação, saúde, aplicação da lei, controle de fronteiras e administração da justiça. Esses sistemas devem atender a requisitos rigorosos, incluindo processos de gerenciamento de risco, dados de treinamento de alta qualidade, documentação técnica, supervisão humana, salvaguardas de Cibersegurança e marcação CE antes de serem colocados no mercado. - Modelos de IA de uso geral (GPAI)
Essa categoria inclui modelos de grande escala, como large language models (LLMs). Os provedores devem cumprir obrigações de transparência, respeitar regras de direitos autorais, documentar práticas de treinamento e implementar medidas para lidar com riscos sistêmicos, particularmente para modelos mais avançados ou amplamente implantados. - Sistemas de IA de risco limitado
Esses sistemas estão sujeitos principalmente a obrigações de transparência. Os usuários devem ser informados quando estiverem interagindo com conteúdo gerado por IA, como chatbots ou deepfakes, a menos que se aplique uma exceção. - Sistemas de IA de risco mínimo ou inexistente
Aplicações de IA que representam pouco ou nenhum risco, como videogames com IA ou filtros de spam, são em grande parte isentas de regulamentação pelo AI Act.
Violações do AI Act podem resultar em multas de até EUR 35 milhões ou 7 por cento do faturamento anual global, o que for maior.
EU AI Act e Alfabetização em IA
Desde fevereiro de 2025, provedores e implantadores devem garantir alfabetização suficiente em IA entre os colaboradores. O treinamento é recomendado, mas não obrigatório.
As principais considerações incluem o papel da empresa, compreensão geral de IA, riscos associados e medidas de alfabetização personalizadas com base em conhecimento técnico e contexto.
Implementação nas Empresas
A implementação do EU AI Act exige que as organizações traduzam obrigações regulatórias em controles operacionais. Auditorias desempenham um papel crítico nesse processo ao ajudar as empresas a entender como os sistemas de IA são usados, onde existem riscos e quais medidas de Compliance são necessárias.
Essas auditorias têm como objetivo:
- Identificar e classificar sistemas de IA de acordo com as categorias de risco do Act
- Determinar se a organização atua como provedora, implantadora ou ambas
- Avaliar como os sistemas de IA processam dados e geram resultados
- Identificar lacunas em transparência, supervisão humana, Cibersegurança e gerenciamento de risco
- Informar planos de remediação, estruturas de governança e controles internos necessários para Compliance
Na prática, essas avaliações formam a base dos programas de governança de IA e permitem que as organizações priorizem esforços de Compliance com base em risco e exposição regulatória.
Linha do tempo do EU AI Act
O EU AI Act segue uma linha do tempo de implementação em fases, dando às organizações tempo para adaptar seus programas de governança de IA, gerenciamento de risco e Compliance. Os principais marcos incluem quando a regulamentação entrou em vigor, quando obrigações específicas se aplicam e quando o Compliance total é exigido.
Datas principais do EU AI Act
Data
Marco
1 de agosto de 2024
O EU AI Act entra em vigor, tornando-se oficialmente lei da UE.
2 de fevereiro de 2025
Práticas de IA proibidas entram em vigor e são banidas. Autoridades nacionais responsáveis pela fiscalização são designadas.
2 de agosto de 2025
Regras para modelos de IA de uso geral (GPAI) e obrigações de governança relacionadas começam a se aplicar.
2 de agosto de 2026
O AI Act passa a ser totalmente aplicável. Obrigações de Compliance se aplicam a todas as categorias de risco de IA, incluindo sistemas de alto risco.
2 de agosto de 2027
Sistemas de IA de alto risco incorporados em produtos regulados devem estar totalmente em conformidade com os requisitos do EU AI Act.
Essa abordagem em fases busca equilibrar inovação com segurança jurídica, permitindo que as organizações implementem progressivamente governança, salvaguardas técnicas e mecanismos de supervisão com base no risco de IA.
O que é Inteligência Artificial (IA)?
Inteligência artificial (IA) é uma área da ciência da computação que imita capacidades cognitivas humanas ao identificar e classificar dados de entrada. Essa inteligência pode ser baseada em workflows programados ou criada com machine learning.
Em machine learning, dados de treinamento são usados para ensinar a IA a reconhecer padrões e fazer previsões. O AI Act define um sistema de IA como um sistema baseado em máquina que opera com níveis variados de autonomia e gera resultados como previsões, conteúdo, recomendações ou decisões.
Exemplos de sistemas de IA sob o AI Act incluem reconhecimento de emoções, reconhecimento facial, seleção de candidatos, administração da justiça, saúde (por exemplo, análise de sintomas), atendimento ao cliente, chatbots e IA generativa.
A IA generativa, como o ChatGPT, refere-se a sistemas de IA que geram resultados de forma autônoma com base em dados de entrada usando machine learning e large language models (LLMs). Esses sistemas podem cometer erros e 'alucinar' — inventando afirmações prováveis, porém imprecisas.
Proteção de Dados
O uso de sistemas de IA que envolvem dados pessoais deve estar em conformidade com o GDPR e implementar práticas de prevenção contra perda de dados. Multas por violações podem chegar a 4 por cento do faturamento global ou EUR 20 milhões.
As empresas devem garantir processamento lícito, respeitar minimização de dados, precisão e confidencialidade, e cumprir obrigações de informação.
Decisões automatizadas com efeitos legais devem envolver discernimento humano. Medidas técnicas e organizacionais (TOM), como criptografia e pseudonimização, são essenciais.
Uma avaliação de impacto de proteção de dados é obrigatória para processamento de alto risco.
Proteção de Segredos Comerciais
Segredos comerciais devem ser protegidos contra aquisição e divulgação ilícitas. Os requisitos incluem medidas de confidencialidade, restrições de acesso e NDAs.
Sistemas de IA, dados de treinamento e resultados podem constituir segredos comerciais. As empresas devem regular o uso de inputs e revisar termos de terceiros para evitar riscos de divulgação.
Quais são as implicações de direitos autorais da IA?
Questões de direitos autorais surgem tanto nos lados de input quanto de output dos sistemas de IA. O uso de conteúdo protegido para treinamento está sob escrutínio legal.
Obras geradas por IA não têm proteção de direitos autorais sob a legislação atual, pois não são criações humanas. Isso significa que tais outputs estão em domínio público.
A quem o EU AI Act se aplica?
O EU AI Act se aplica amplamente a organizações envolvidas no desenvolvimento, distribuição ou uso de sistemas de IA que impactam o mercado da UE, independentemente de onde a organização esteja sediada.
As partes responsáveis incluem:
- Provedores de IA, como empresas que desenvolvem ou colocam sistemas de IA ou modelos de IA de uso geral no mercado da UE
- Implantadores de IA, incluindo organizações que usam sistemas de IA em operações de negócios, tomada de decisão ou serviços voltados ao cliente
- Importadores e distribuidores que levam sistemas de IA para a cadeia de suprimentos da UE
- Fabricantes de produtos que integram IA em produtos ou serviços regulados
Dentro das organizações, a responsabilidade normalmente recai sobre:
- Liderança executiva responsável por governança e supervisão de riscos
- Equipes jurídicas e de Compliance gerenciando obrigações regulatórias
- Equipes de TI, segurança e dados responsáveis por implementação, monitoramento e salvaguardas
O Act responsabiliza essas partes por meio de mecanismos de fiscalização, incluindo multas, restrições de mercado e exposição à responsabilidade por não conformidade ou danos causados por sistemas de IA.
O EU AI Act se aplica ao Reino Unido?
O EU AI Act não se aplica diretamente no Reino Unido, pois o Reino Unido não faz mais parte da União Europeia. No entanto, organizações sediadas no Reino Unido ainda podem ser afetadas se desenvolverem, venderem ou implantarem sistemas de IA que sejam usados dentro da UE ou impactem indivíduos da UE.
Nesses casos, empresas do Reino Unido podem ser obrigadas a cumprir o EU AI Act como legislação extraterritorial. Isso torna o alinhamento com os requisitos do EU AI Act relevante para organizações do Reino Unido que operam internacionalmente ou atendem mercados da UE, particularmente em casos regulados ou de alto risco.
O que deve ser revisado nos Termos de Uso de Sistemas de IA?
As empresas devem revisar termos de sistemas de IA de terceiros, com foco em:
Lei aplicável e jurisdição
Armazenamento e uso de input para treinamento
Direitos sobre o output
Indenização contra reivindicações de direitos autorais
Limitações de garantia e responsabilidade
Quais diretrizes as empresas devem seguir para Compliance com o EU AI Act?
Diretrizes internas de IA ajudam a regular o uso de sistemas de IA pelos colaboradores. Isso pode incluir:
Descrições e autorizações de sistemas de IA
Instruções para tratamento de input e output
Compliance com confidencialidade e proteção de dados
Medidas de Cibersegurança e obrigações de transparência
Resumo do EU AI Act
O EU AI Act se aplicará amplamente a partir de 2 de agosto de 2026 e deverá ser implementado por empresas que utilizam IA. Ele regula provedores e implantadores de IA por meio de uma abordagem baseada em risco quanto maior o risco de dano social, mais rigorosas são as regras.
O Compliance com o GDPR é obrigatório ao processar dados pessoais usando sistemas de IA.
Sistemas de IA devem ser protegidos contra acesso não autorizado e ataques cibernéticos.
Segredos comerciais devem ser protegidos ao usar sistemas de IA.
Questões de direitos autorais tanto no input quanto no output estão sob escrutínio legal.
As empresas são responsáveis por defeitos em produtos e serviços causados por IA.
Os termos de uso de sistemas de IA de terceiros devem ser cuidadosamente revisados.
A alfabetização em IA entre os colaboradores deve ser promovida por meio de diretrizes internas.
Como a Trend Micro oferece suporte ao Compliance com o AI Act?
Manter Compliance com o EU AI Act exige mais do que apenas entender as regras requer governança ativa, monitoramento de riscos e responsabilidade clara em todos os sistemas de IA. De direitos autorais e responsabilidade a termos de uso e diretrizes internas, as organizações devem garantir que cada aspecto da implantação de IA esteja alinhado aos padrões legais em evolução.
Para apoiar isso, as empresas podem aproveitar ferramentas avançadas que simplificam o Compliance e reduzem a exposição a riscos cibernéticos usando a plataforma Cyber Risk Exposure Management da Trend Micro, projetada para ajudar a identificar vulnerabilidades, gerenciar riscos relacionados à IA e manter a confiança em todas as operações digitais.
Fernando Cardoso é o Vice-Presidente de Gerenciamento de Produto na Trend Micro, com foco no mundo em constante evolução de IA e cloud. Sua carreira começou como Network and Sales Engineer, onde aprimorou suas habilidades em datacenters, cloud, DevOps e Cibersegurança — áreas que continuam sendo sua paixão.
Perguntas Frequentes (FAQs)
O que é o EU AI Act?
O EU AI Act é uma regulamentação que rege sistemas de inteligência artificial para garantir segurança, transparência e proteção de direitos fundamentais.
Quando o EU AI Act entra em vigor?
O EU AI Act entra em vigor em 2024, com aplicação total prevista até 2026 em todos os Estados-membros da UE.
A quem o EU AI Act se aplica?
O EU AI Act se aplica a provedores, usuários e importadores de sistemas de IA que operam ou têm como alvo o mercado da União Europeia.
Quando o EU AI Act foi aprovado?
O EU AI Act foi aprovado pelo Parlamento Europeu em 2024 após extensas negociações e consultas a partes interessadas.
Como estar em conformidade com o EU AI Act?
Para estar em conformidade, as organizações devem classificar sistemas de IA por risco, garantir transparência, conduzir avaliações de conformidade e manter documentação.
Quais penalidades existem por não conformidade com o EU AI Act?
- A não conformidade com o EU AI Act pode resultar em multas de até EUR 35 milhões ou 7 por cento do faturamento global.