Código de Conduta da UE sobre IA Generativa: O que Muda para o Brasil

Em 3 de março de 2026, a Comissão Europeia publicou o segundo rascunho do Código de Conduta sobre Rotulagem e Marcação de Conteúdo Gerado por IA, documento que operacionaliza o Artigo 50 do EU AI Act. Com a aplicação plena da lei marcada para 2 de agosto de 2026, o relógio regulatório europeu está correndo — e o Brasil, com o PL 2338 parado na Câmara, precisa prestar atenção.

Contexto: o EU AI Act em 2026

O Regulamento Europeu de Inteligência Artificial (EU AI Act), aprovado em março de 2024 pelo Parlamento Europeu, é a legislação mais abrangente do mundo sobre IA. Sua implementação segue um cronograma escalonado que já está em andamento:

• Fevereiro de 2025: proibições de práticas de risco inaceitável entraram em vigor (scoring social, manipulação subliminar, identificação biométrica em tempo real)
• Agosto de 2025: obrigações para modelos de IA de propósito geral (GPAI) começaram a valer, incluindo o Código de Conduta para GPAI publicado em julho de 2025
• Agosto de 2026: obrigações de transparência do Artigo 50, aplicação plena da lei e poderes de enforcement da Comissão, incluindo multas de até 15 milhões de euros ou 3% do faturamento global
• Agosto de 2027: prazo final para adequação de sistemas de IA de alto risco já existentes no mercado

O segundo rascunho do Código de Conduta sobre rotulagem, publicado em 3 de março de 2026, é uma peça central nesse cronograma. Embora voluntário, ele funcionará como referência prática para reguladores e tribunais avaliarem a conformidade com o Artigo 50 — na prática, quem não aderir precisará demonstrar conformidade por outros meios, com maior carga probatória e menos segurança jurídica.

O que diz o Código de Conduta sobre rotulagem

O Artigo 50 do EU AI Act estabelece dois tipos de obrigações de transparência para conteúdo gerado por IA:

Obrigações para provedores (Article 50(2))

Provedores de sistemas de IA generativa — empresas que desenvolvem modelos capazes de gerar texto, imagem, áudio ou vídeo — devem:

• Marcar todos os outputs em formato legível por máquina, de modo que sejam identificáveis como gerados ou manipulados artificialmente
• Implementar soluções técnicas que sejam "eficazes, interoperáveis, robustas e confiáveis, na medida do tecnicamente viável"
• Estabelecer frameworks internos de teste e monitoramento para verificar a robustez das marcações
• Disponibilizar ferramentas de verificação (detectores, APIs) para a cadeia de valor
• Documentar as limitações e vulnerabilidades conhecidas dos mecanismos de marcação

O Código rejeita explicitamente abordagens de solução única, promovendo em vez disso técnicas multicamadas que combinem divulgações visíveis (rótulos, ícones) com métodos legíveis por máquina (watermarking, metadados). A ideia é criar resiliência: se uma camada de marcação for removida ou manipulada, outras permanecem.

Obrigações para deployers (Article 50(4))

Deployers — organizações que utilizam sistemas de IA generativa para fins profissionais — devem:

• Rotular deepfakes (áudio, imagem ou vídeo gerado por IA que simule pessoas reais de forma que pareça autêntico) no momento da primeira interação com o usuário
• Rotular textos gerados por IA que tratem de assuntos de interesse público, exceto quando o conteúdo passe por revisão editorial humana
• Utilizar ícones padronizados — o rascunho prevê códigos interinos de duas letras ("AI") até a adoção de um ícone europeu unificado

Escopo amplo: online e offline

Um aspecto frequentemente subestimado do Código é seu escopo: as obrigações se aplicam a conteúdo em formatos online e offline. Isso significa que material impresso, transmissões de rádio e televisão, e conteúdo exibido em telas físicas também estão cobertos, desde que gerados ou substancialmente modificados por IA.

Cronograma: de rascunho a lei aplicável

O desenvolvimento do Código de Conduta sobre rotulagem segue um calendário apertado:

• Novembro de 2025: sessão plenária inaugural e primeiras reuniões dos grupos de trabalho
• Dezembro de 2025: publicação do primeiro rascunho, com período de consulta até 23 de janeiro de 2026
• Março de 2026: publicação do segundo rascunho (o documento que motivou esta análise)
• Junho de 2026: publicação da versão final do Código
• 2 de agosto de 2026: entrada em vigor das obrigações do Artigo 50 e dos poderes de enforcement da Comissão

Dois grupos de trabalho conduzem a elaboração: o Grupo 1 (Provedores), focado em marcação e detecção, e o Grupo 2 (Deployers), focado em divulgação e rotulagem. Ambos incluem representantes da indústria de IA, sociedade civil, academia e organizações de plataformas.

O Código de Conduta para GPAI: a outra peça do quebra-cabeça

Além do Código de rotulagem, o EU AI Act conta com outro instrumento fundamental: o Código de Conduta para modelos de IA de propósito geral (GPAI), cuja versão final foi publicada em julho de 2025. Esse código aborda três eixos:

1. Transparência: documentação técnica, informações sobre dados de treinamento, capacidades e limitações do modelo
2. Direitos autorais: conformidade com legislação de copyright, incluindo identificação de material protegido nos dados de treinamento
3. Segurança: para modelos com risco sistêmico (aqueles com capacidade computacional acima de 10^25 FLOPS ou impacto comparável), obrigações adicionais de avaliação de riscos, testes adversariais, monitoramento de incidentes e compartilhamento de informações com o AI Office europeu

O Código GPAI já está em vigor e é especialmente relevante para empresas como OpenAI, Google, Anthropic e Meta, cujos modelos fundamentais (GPT-4, Gemini, Claude, Llama) se enquadram na categoria de GPAI com risco sistêmico. A partir de agosto de 2026, o descumprimento poderá gerar multas de até 15 milhões de euros ou 3% do faturamento global.

O que isso significa para o Brasil

A distância geográfica entre Bruxelas e Brasília não impede que o EU AI Act produza efeitos concretos no Brasil. Três vetores de impacto merecem atenção:

1. O efeito Bruxelas: padrão global de facto

Assim como ocorreu com o GDPR (que inspirou a LGPD brasileira), o EU AI Act tende a se tornar um padrão regulatório global de facto. Empresas multinacionais que operam na UE adotarão os requisitos europeus como baseline, o que significa que filiais brasileiras de multinacionais já estarão implementando marcação de conteúdo, avaliações de risco e mecanismos de transparência — independentemente do que a legislação brasileira exigir.

Para empresas brasileiras que exportam serviços de IA ou que tenham usuários na UE, a conformidade com o EU AI Act será uma obrigação direta, não uma opção. O princípio de extraterritorialidade do regulamento abrange qualquer sistema de IA cujos outputs sejam utilizados na União Europeia.

2. Implicações para o PL 2338

O PL 2338/2023, que tramita na Câmara dos Deputados sob relatoria do deputado Aguinaldo Ribeiro, é explicitamente inspirado no EU AI Act. O projeto adota o mesmo sistema de classificação por níveis de risco e inclui obrigações semelhantes de transparência e rotulagem. No entanto, o PL brasileiro está significativamente atrasado em relação ao cronograma europeu:

• O EU AI Act foi aprovado em março de 2024 e já tem obrigações em vigor desde fevereiro de 2025. O PL 2338 sequer foi votado na Câmara
• A UE já publicou dois códigos de conduta detalhados (GPAI e rotulagem). O Brasil não tem nenhum instrumento de autorregulação equivalente
• A Comissão Europeia conta com o AI Office, com equipe dedicada e orçamento próprio. A ANPD brasileira acumula a função de futura autoridade de IA com a já sobrecarregada fiscalização da LGPD

Em dezembro de 2025, o governo brasileiro apresentou um PL complementar propondo a criação do Sistema Nacional de Regulação e Governança de IA, que incluiria um Comitê de Regulação e Inovação (CRIA), um Comitê de Especialistas (CECIA) e um Conselho Brasileiro de IA (CBIA). Embora positivo, o projeto soma mais uma camada de complexidade legislativa a uma pauta já congestionada em ano pré-eleitoral.

A ANPD, por sua vez, tem atuado dentro de suas possibilidades. Em fevereiro de 2026, lançou seu sandbox regulatório para IA, uma iniciativa que permite testar abordagens de governança em ambiente controlado. É um passo importante, mas limitado em escopo e em capacidade de influenciar o mercado de forma abrangente sem o respaldo de uma lei aprovada.

3. Vantagem competitiva ou barreira de entrada?

Para empresas brasileiras de tecnologia, a questão prática é: o EU AI Act é uma barreira de entrada no mercado europeu ou uma vantagem competitiva para quem se antecipar?

A experiência com o GDPR sugere que empresas que se adequaram cedo ganharam acesso preferencial a clientes europeus e construíram reputação de confiabilidade. O mesmo raciocínio se aplica à IA: startups brasileiras que já implementarem rotulagem de conteúdo, documentação de modelos e avaliações de risco estarão melhor posicionadas quando o PL 2338 for finalmente aprovado — e, antes disso, quando clientes europeus exigirem conformidade de seus fornecedores.

O que empresas brasileiras devem fazer agora

Mesmo sem a aprovação do PL 2338, organizações brasileiras que desenvolvem ou utilizam IA generativa podem — e devem — começar a se preparar. Recomendamos cinco ações imediatas:

1. Mapear sistemas de IA generativa em uso: identificar quais produtos, serviços ou processos internos utilizam IA generativa para criar conteúdo (texto, imagem, áudio, vídeo). Muitas organizações desconhecem a extensão do uso de IA por suas equipes
2. Avaliar exposição ao EU AI Act: verificar se algum sistema de IA tem outputs que alcançam usuários na União Europeia, direta ou indiretamente. Se sim, as obrigações do Artigo 50 já se aplicarão a partir de agosto de 2026
3. Implementar rotulagem proativa: adotar práticas de rotulagem de conteúdo gerado por IA, mesmo antes de obrigação legal. Isso inclui marcação visível para usuários e metadados legíveis por máquina. O custo de implementação é baixo quando feito desde o início; a adequação retroativa é significativamente mais cara
4. Estabelecer governança interna de IA: designar um responsável por IA na organização, criar processos de aprovação para uso de IA generativa e manter registros de decisões automatizadas. A Avaliação de Impacto Algorítmico (AIA), prevista no PL 2338, será obrigatória para sistemas de alto risco — começar agora é investir em capacidade, não em burocracia
5. Acompanhar a evolução regulatória: monitorar tanto a finalização do Código de Conduta europeu (versão final prevista para junho de 2026) quanto a tramitação do PL 2338 na Câmara. As regras europeias informarão diretamente a regulamentação brasileira

Posicionamento do IBGIA

Na avaliação do IBGIA, o segundo rascunho do Código de Conduta europeu sobre rotulagem de conteúdo gerado por IA reforça três tendências que vínhamos antecipando:

Primeiro, a abordagem multicamada para transparência — combinando rótulos visíveis, metadados e watermarking — está se consolidando como padrão global. O Brasil deveria adotar referência semelhante no PL 2338, em vez de reinventar a roda.

Segundo, a distinção entre obrigações de provedores e deployers é fundamental e bem desenhada no Código europeu. No contexto brasileiro, onde muitas organizações são simultaneamente provedoras e deployers (empresas que constroem chatbots usando APIs de terceiros, por exemplo), essa distinção precisa ser claramente regulamentada para evitar ambiguidades.

Terceiro, o prazo de agosto de 2026 para enforcement com multas não é uma ameaça distante — é uma realidade operacional para qualquer empresa brasileira com clientes ou usuários europeus. O tempo de preparação é agora.

O IBGIA defende que o Brasil não precisa esperar a aprovação do PL 2338 para agir. A ANPD, dentro de suas competências atuais via LGPD, poderia emitir orientações sobre transparência em sistemas de IA generativa — especialmente para setores de alto impacto como saúde, financeiro e governo. O sandbox regulatório lançado em fevereiro de 2026 é uma excelente oportunidade para testar essas abordagens.

Além disso, a sociedade civil e o setor privado podem criar mecanismos voluntários de autorregulação, inspirados nos códigos europeus. A experiência da UE mostra que códigos voluntários, quando bem elaborados e amplamente adotados, criam normas de mercado que eventualmente são incorporadas à legislação formal.

---

Recursos relacionados:

• Marco regulatório de IA no Brasil — análise completa do PL 2338
• Guia de governança de IA para organizações
• PL 2338/2023: o que muda para empresas e governo
• Mercado de governança de IA ultrapassa US$ 490 milhões em 2026

Acompanhe o IBGIA para análises aprofundadas sobre governança de IA e o impacto da regulação europeia no ecossistema brasileiro.