AI Act da União Europeia: Lições para o Brasil
A regulação europeia de inteligência artificial chegou para redefinir os padrões globais, e o Brasil precisa entender o que está em jogo antes que a janela de oportunidade se feche.
O AI Act Europeu: O Que É e Por Que Importa ao Mundo
Em junho de 2024, a União Europeia concluiu o processo legislativo que resultou no Artificial Intelligence Act (Regulamento UE 2024/1689), o primeiro marco regulatório abrangente sobre inteligência artificial do mundo ocidental. O texto entrou em vigor em agosto de 2024, com um calendário faseado de aplicação que se estende até 2026 e 2027 para as obrigações mais complexas.
A importância do AI Act vai muito além das fronteiras europeias. Assim como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia influenciou a Lei Geral de Proteção de Dados Pessoais (LGPD) brasileira e dezenas de outras leis nacionais pelo mundo, o AI Act já funciona como uma bússola para legisladores, empresas e juristas em todos os continentes. Compreender sua estrutura não é apenas um exercício acadêmico: é uma necessidade estratégica para advogados, gestores públicos e empresários brasileiros que operam em mercados globais ou pretendem fazê-lo.
A Arquitetura do AI Act: A Abordagem por Níveis de Risco
O aspecto mais sofisticado do AI Act é sua metodologia de classificação de sistemas de IA por categorias de risco. Em vez de uma regulação horizontal e uniforme, o legislador europeu optou por uma abordagem proporcional, na qual as obrigações impostas ao desenvolvedor ou fornecedor variam conforme o potencial de dano que o sistema pode causar.
Risco Inaceitável: Proibições Absolutas
No topo da pirâmide estão os sistemas de IA considerados incompatíveis com os valores fundamentais da União Europeia. O regulamento proíbe de forma absoluta, por exemplo, sistemas que utilizam técnicas subliminares para manipular o comportamento humano de forma prejudicial, sistemas de pontuação social generalizada conduzidos por governos (os chamados social scoring de inspiração chinesa) e, com exceções bastante restritas, o uso de identificação biométrica em tempo real em espaços públicos para fins policiais.
Essas proibições entram em vigor já nos primeiros meses do calendário de aplicação, sinalizando que a União Europeia não está disposta a negociar sobre certos limites éticos, independentemente da eficiência tecnológica que esses sistemas possam oferecer.
Alto Risco: Obrigações Rigorosas
A categoria de alto risco é, provavelmente, o coração regulatório do AI Act. São classificados como de alto risco os sistemas de IA utilizados em infraestruturas críticas, educação, recrutamento e gestão de trabalhadores, acesso a serviços essenciais como crédito e seguros, aplicação da lei, gestão de fronteiras e administração da justiça.
Para esses sistemas, o regulamento impõe um conjunto denso de obrigações: gestão de risco documentada, governança de dados de treinamento, transparência técnica, supervisão humana efetiva, robustez e precisão mensuráveis, e registro obrigatório em banco de dados europeu público. Os fornecedores precisam realizar avaliações de conformidade antes de colocar o produto no mercado.
O AI Act não proíbe a inovação: ele define as condições sob as quais a inovação pode ser considerada responsável. Essa distinção é fundamental para qualquer estratégia regulatória que o Brasil venha a adotar.
Risco Limitado e Risco Mínimo
Sistemas que interagem diretamente com humanos, como chatbots, estão sujeitos a obrigações de transparência: o usuário deve saber que está conversando com uma máquina. Já a vasta maioria dos sistemas de IA em uso comercial se enquadra na categoria de risco mínimo e não está sujeita a obrigações específicas, embora o regulamento incentive a adoção voluntária de códigos de conduta.
O Modelo de Governança do AI Act e Seus Instrumentos Práticos
O AI Act não é apenas um conjunto de normas: é também uma arquitetura institucional. O regulamento cria o Escritório Europeu de Inteligência Artificial, vinculado à Comissão Europeia, responsável por coordenar a aplicação das normas, supervisionar os modelos de IA de uso geral (como os grandes modelos de linguagem) e elaborar guias técnicos.
Cada Estado-membro deve designar autoridades nacionais competentes para fiscalização. O regime de sanções é expressivo: infrações às proibições absolutas podem resultar em multas de até 35 milhões de euros ou 7% do faturamento global anual da empresa, o que for maior. Descumprimento de outras obrigações pode gerar multas de até 15 milhões de euros ou 3% do faturamento.
O regulamento também cria os chamados regulatory sandboxes, ambientes controlados de experimentação nos quais empresas podem desenvolver e testar sistemas de IA com supervisão regulatória, mas sem a aplicação imediata de todas as obrigações. Essa ferramenta é particularmente relevante para startups e para a inovação pública, pois permite aprendizado regulatório mútuo entre governo e setor privado.
Lições para o Brasil: O Que Podemos e Devemos Aprender
O Brasil ocupa uma posição singular nesse debate. Temos uma infraestrutura jurídica de proteção de dados razoavelmente madura com a LGPD e a ANPD. Temos iniciativas legislativas em curso no Congresso Nacional sobre regulação de IA, algumas das quais claramente inspiradas no modelo europeu. E temos um ecossistema tecnológico vibrante, com startups e grandes empresas investindo em soluções de inteligência artificial para os mais diversos setores.
A Questão da Abordagem por Risco
A principal lição estrutural do AI Act é que a regulação de IA não pode ser binária. Uma lei que simplesmente proíba ou permita usos de IA de forma generalizada seria ao mesmo tempo ineficaz e danosa à inovação. O Brasil precisa internalizar a lógica da proporcionalidade: quanto maior o risco de dano a direitos fundamentais, maior deve ser o nível de exigência sobre quem desenvolve e implanta o sistema.
Isso tem implicações práticas diretas. Sistemas de IA usados pelo poder público para concessão de benefícios sociais, para triagem de crédito, para decisões em processos administrativos ou para vigilância devem estar sujeitos a controles muito mais rigorosos do que um algoritmo de recomendação de conteúdo em plataforma de entretenimento.
A Necessidade de Institucionalidade
O AI Act só funciona porque existe uma estrutura institucional para implementá-lo. No Brasil, a ANPD tem competências sobre proteção de dados, mas ainda não existe uma autoridade com mandato claro para supervisão de sistemas de IA em geral. O desenho institucional da futura regulação brasileira precisará enfrentar essa questão: criar um novo órgão, expandir as competências da ANPD, ou adotar um modelo de co-regulação setorial?
Cada escolha tem custos e benefícios distintos. A fragmentação regulatória setorial pode gerar inconsistências. A concentração em um único órgão pode criar gargalos e captura regulatória. A experiência europeia sugere que algum grau de coordenação centralizada é indispensável, mesmo em modelos descentralizados.
O Efeito Bruxelas e o Risco de Exclusão de Mercado
O chamado Efeito Bruxelas descreve o fenômeno pelo qual empresas globais, para evitar o custo de manter sistemas distintos para diferentes mercados, acabam adotando o padrão regulatório mais exigente como padrão global. O GDPR produziu esse efeito na proteção de dados. O AI Act tende a reproduzi-lo na regulação de inteligência artificial.
Para o Brasil, isso significa que empresas brasileiras que queiram exportar produtos ou serviços baseados em IA para a Europa precisarão cumprir o AI Act, independentemente do que a legislação brasileira exija. Quanto mais cedo o mercado e os juristas brasileiros compreenderem essa realidade, mais preparados estaremos para competir em igualdade de condições no mercado global de tecnologia.
Transparência Algorítmica e Direitos Fundamentais
Uma das contribuições mais relevantes do AI Act para o debate brasileiro é a operacionalização do princípio da transparência. O regulamento não se contenta com a transparência formal: exige documentação técnica acessível, explicabilidade das decisões automatizadas em contextos de alto risco e supervisão humana efetiva. Isso dialoga diretamente com o debate sobre o artigo 20 da LGPD, que assegura ao titular o direito de revisão de decisões tomadas exclusivamente por meios automatizados.
A regulação brasileira de IA precisará enfrentar com seriedade a questão de como garantir que esses direitos sejam exercíveis na prática, e não apenas enunciados em textos normativos que carecem de instrumentos de implementação.
O AI Act da União Europeia se aplica a empresas brasileiras?
Sim, quando a empresa brasileira coloca um sistema de IA no mercado europeu, oferece serviços a usuários localizados na União Europeia ou quando os resultados produzidos pelo sistema afetam pessoas no território europeu. O AI Act tem aplicação extraterritorial similar ao GDPR, o que significa que empresas brasileiras exportadoras de tecnologia ou serviços digitais precisam estar atentas às suas obrigações mesmo sem ter sede na Europa.
O Brasil tem uma lei equivalente ao AI Act?
Até a data de publicação deste artigo, o Brasil não possui uma lei geral de regulação de inteligência artificial equivalente ao AI Act europeu. Existem projetos de lei em tramitação no Congresso Nacional e iniciativas setoriais, além de normas esparsas que tangenciam o tema, como o artigo 20 da LGPD. O debate regulatório está em curso, mas o país ainda não consolidou um marco legal abrangente sobre o tema.
O que são os “regulatory sandboxes” previstos no AI Act e por que são relevantes?
Os regulatory sandboxes são ambientes controlados de experimentação onde empresas podem desenvolver, treinar e testar sistemas de IA sob supervisão da autoridade regulatória, sem a aplicação imediata do conjunto completo de obrigações legais. O objetivo é permitir que inovação e regulação coevoluam, com aprendizado mútuo entre o setor privado e o poder público. Para o Brasil, essa ferramenta é especialmente interessante em setores como saúde, educação e serviços financeiros, nos quais o potencial transformador da IA convive com riscos significativos a direitos dos cidadãos.
Quais são as principais diferenças entre o AI Act e a LGPD do ponto de vista prático?
A LGPD regula o tratamento de dados pessoais, enquanto o AI Act regula sistemas de inteligência artificial em sentido amplo, incluindo casos em que não há necessariamente dados pessoais envolvidos. Na prática, as duas regulações se sobrepõem em situações que envolvem sistemas de IA alimentados por dados pessoais, o que é frequente. Do ponto de vista das obrigações, o AI Act vai além da LGPD ao exigir documentação técnica detalhada dos sistemas, avaliações de conformidade prévias ao lançamento e mecanismos de supervisão humana específicos para contextos de alto risco.
As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.