IBGIA - Instituto Brasileiro de Governança em Inteligência Artificial
Artigos

EU AI Act: lições da Europa para a regulação brasileira

O EU AI Act é o primeiro marco regulatório abrangente para inteligência artificial no mundo. Analisamos suas principais disposições e extraímos lições relevantes para o debate regulatório brasileiro.

Por Thiago Almeida18 de fevereiro de 20269 min de leitura

EU AI Act: lições da Europa para a regulação brasileira

Em 1º de agosto de 2024, entrou em vigor o Regulamento (UE) 2024/1689, conhecido como EU AI Act — o primeiro marco regulatório abrangente do mundo dedicado exclusivamente à Inteligência Artificial. Resultado de mais de três anos de negociações complexas entre Comissão Europeia, Parlamento Europeu e Conselho da União Europeia, o AI Act representa um marco histórico na regulação tecnológica global e, inevitavelmente, influenciará o debate regulatório em todos os continentes.

Para o Brasil, que tramita seu próprio Projeto de Lei para IA (PL 2338/2023), a experiência europeia oferece lições valiosas — tanto sobre acertos a replicar quanto sobre desafios a evitar.

Anatomia do EU AI Act

A abordagem baseada em risco

O pilar central do AI Act é a classificação de sistemas de IA em quatro categorias de risco:

Risco inaceitável. Sistemas de IA cujos riscos são considerados intoleráveis em uma sociedade democrática são proibidos. Isso inclui: sistemas de pontuação social (social scoring) por autoridades públicas; exploração de vulnerabilidades de pessoas por idade, deficiência ou situação socioeconômica; reconhecimento facial em tempo real em espaços públicos para fins de aplicação da lei (com exceções restritas); e sistemas de categorização biométrica baseados em características sensíveis.

Alto risco. Sistemas utilizados em áreas sensíveis — como recrutamento e seleção, avaliação de crédito, acesso a serviços essenciais, aplicação da lei, migração, administração da justiça e infraestrutura crítica — estão sujeitos a um conjunto rigoroso de requisitos. Esses requisitos incluem: gestão de riscos, governança de dados, documentação técnica, registros e rastreabilidade, transparência para os implantadores, supervisão humana, precisão, robustez e cibersegurança.

Risco limitado. Sistemas que interagem diretamente com pessoas (como chatbots) ou que geram conteúdo sintético (deepfakes) estão sujeitos a obrigações de transparência — os usuários devem ser informados de que estão interagindo com um sistema de IA ou de que o conteúdo foi gerado artificialmente.

Risco mínimo. A grande maioria dos sistemas de IA — como filtros de spam, jogos eletrônicos e sistemas de recomendação de conteúdo — pode operar livremente, sem obrigações regulatórias específicas, embora a Comissão Europeia incentive a adoção voluntária de códigos de conduta.

Obrigações para modelos de uso geral (GPAI)

Uma inovação significativa do AI Act é a regulação de modelos de IA de uso geral (General-Purpose AI Models), como os grandes modelos de linguagem (LLMs). Os provedores desses modelos devem manter documentação técnica detalhada, estabelecer políticas de conformidade com a legislação de direitos autorais e publicar sumários sobre os dados de treinamento utilizados.

Modelos de uso geral classificados como de "risco sistêmico" — categoria determinada com base em métricas de capacidade computacional — estão sujeitos a obrigações adicionais, incluindo avaliações de modelo, mitigação de riscos sistêmicos, testes de segurança (red teaming) e relato de incidentes graves.

Governança e fiscalização

O AI Act estabelece uma estrutura de governança multinível. No plano europeu, foi criado o European AI Office, vinculado à Comissão Europeia, com competência para supervisionar modelos de IA de uso geral e coordenar a aplicação do regulamento. No plano nacional, cada Estado-Membro deve designar pelo menos uma autoridade competente para supervisão do mercado e fiscalização.

O regulamento prevê sanções significativas: até 35 milhões de euros ou 7% do faturamento global anual para violações envolvendo práticas proibidas; até 15 milhões de euros ou 3% do faturamento para violação de outras obrigações; e até 7,5 milhões de euros ou 1% do faturamento para o fornecimento de informações incorretas.

Lições para o Brasil

Lição 1: A abordagem baseada em risco é o caminho certo

O modelo de classificação por risco adotado pelo AI Act é amplamente reconhecido como a abordagem regulatória mais adequada para IA, e já está sendo replicada em diversas jurisdições. O PL 2338/2023 brasileiro também adota essa abordagem, o que é positivo.

A lição, porém, vai além da adoção genérica do modelo. A definição precisa das categorias de risco, dos critérios de classificação e das obrigações correspondentes é o ponto mais crítico e politicamente sensível da regulação. Na Europa, a definição de "alto risco" foi objeto de intensa negociação e seu resultado final foi criticado tanto por ser excessivamente abrangente (pela indústria) quanto por conter exceções amplas demais (pela sociedade civil).

Para o Brasil, é fundamental que a classificação de risco reflita as especificidades nacionais. Sistemas de IA aplicados a áreas como Bolsa Família, sistemas de saúde pública (SUS), policiamento preditivo em comunidades periféricas ou análise de crédito para populações sub-bancarizadas apresentam riscos específicos que o framework europeu não foi desenhado para contemplar.

Lição 2: A regulação de modelos fundacionais é necessária e complexa

A inclusão de obrigações para modelos de IA de uso geral foi uma das adições mais controversas e tardias ao AI Act. Inicialmente, a proposta da Comissão Europeia não abordava esse tema. Foi o Parlamento Europeu que, impulsionado pela popularização do ChatGPT em 2023, pressionou pela inclusão dessas disposições.

A lição para o Brasil é dupla. Primeiro, qualquer marco regulatório que ignore os modelos fundacionais estará incompleto, dada sua capacidade de serem aplicados em contextos de alto risco por implantadores que podem não ter controle sobre o comportamento do modelo. Segundo, a regulação desses modelos precisa equilibrar a proteção contra riscos sistêmicos com a viabilidade de conformidade, especialmente para desenvolvedores menores e para o ecossistema de pesquisa e inovação.

Lição 3: A implementação é tão importante quanto a legislação

O AI Act foi publicado em agosto de 2024, mas sua implementação total só se completará em agosto de 2027, com prazos intermediários para diferentes categorias de disposições. Esse cronograma reflete o reconhecimento de que organizações e reguladores precisam de tempo para se preparar.

O Brasil deve evitar o erro de aprovar uma legislação ambiciosa sem investir proporcionalmente na capacidade de implementação e fiscalização. A ANPD, que provavelmente será encarregada de competências relacionadas à IA, já enfrenta limitações de recursos e pessoal para suas atribuições em matéria de proteção de dados. A ampliação de seu mandato exigirá investimento substancial em capacidade institucional.

Lição 4: Cuidado com a extraterritorialidade unilateral

O AI Act se aplica a qualquer organização que coloque no mercado europeu ou operem sistemas de IA cujos outputs sejam utilizados na UE, independentemente de onde estejam estabelecidas. Esse efeito extraterritorial — similar ao do GDPR — tende a criar um "efeito Bruxelas", pelo qual padrões europeus se tornam referência global de facto.

Para o Brasil, isso tem duas implicações. Em primeiro lugar, empresas brasileiras que operam no mercado europeu já precisam se adequar ao AI Act, o que cria um incentivo prático para que a regulação brasileira mantenha coerência com o modelo europeu. Em segundo lugar, o Brasil deve buscar construir sua própria capacidade regulatória autônoma, evitando uma posição de mera recepção passiva de padrões estrangeiros.

Lição 5: A participação da sociedade civil é essencial

O processo legislativo do AI Act foi significativamente influenciado pela atuação de organizações da sociedade civil europeia, como AccessNow, AlgorithmWatch, European Digital Rights (EDRi) e diversas outras. Essas organizações contribuíram com análises técnicas, mobilização pública e pressão por maiores salvaguardas para direitos fundamentais.

No Brasil, a participação da sociedade civil no debate sobre regulação de IA ainda é relativamente limitada em comparação com a experiência europeia. Fortalecer a capacidade técnica e a articulação das organizações brasileiras de sociedade civil é fundamental para garantir que o marco regulatório reflita o interesse público e não apenas os interesses setoriais.

Lição 6: Sandboxes regulatórias podem facilitar a transição

O AI Act prevê a criação de sandboxes regulatórias — ambientes controlados nos quais empresas podem testar sistemas de IA inovadores sob supervisão regulatória, com flexibilização temporária de determinadas exigências. Essa previsão reconhece que a regulação deve acomodar a experimentação e a inovação.

O Brasil deveria considerar a inclusão de mecanismos semelhantes em seu marco regulatório, especialmente para startups e pequenas empresas que podem ter dificuldade em arcar com os custos de conformidade integral desde o início.

Diferenças estruturais a considerar

Ao extrair lições da experiência europeia, é essencial considerar as diferenças estruturais entre o contexto da UE e o brasileiro.

Capacidade regulatória. A UE possui uma infraestrutura regulatória madura e bem financiada. O Brasil enfrenta desafios de capacidade institucional que exigem um modelo de implementação gradual e proporcionado.

Desigualdade digital. O Brasil apresenta desigualdades de acesso digital significativamente maiores do que a média europeia. A regulação de IA brasileira deve considerar os impactos sobre populações digitalmente excluídas ou vulneráveis.

Ecossistema de IA. A UE é predominantemente implantadora, e não desenvolvedora, dos maiores sistemas de IA do mundo. O Brasil se encontra em posição semelhante, o que sugere que a regulação deve enfatizar as obrigações dos implantadores (deployers) tanto quanto as dos desenvolvedores.

Tradição jurídica. Embora ambos os sistemas se inscrevam na tradição civil law, o Brasil possui tradições específicas em matéria de proteção ao consumidor (CDC), proteção de dados (LGPD) e responsabilidade civil que devem ser harmonizadas com o novo marco regulatório de IA.

Considerações finais

O EU AI Act é uma peça legislativa imperfeita, como toda legislação pioneira. Sofre críticas por ser excessivamente complexo, por criar encargos desproporcionais para PMEs, por exceções amplas em matéria de segurança nacional e por potenciais lacunas na proteção de direitos fundamentais. Essas críticas são legítimas e devem ser consideradas pelo legislador brasileiro.

Não obstante, o AI Act representa o esforço regulatório mais ambicioso e abrangente do mundo em matéria de IA, e seu processo de elaboração oferece lições inestimáveis sobre como — e como não — regular a Inteligência Artificial. O Brasil tem a oportunidade de aprender com esses precedentes e construir um marco regulatório que seja ao mesmo tempo robusto e adaptado à nossa realidade.

O caminho não é copiar a Europa. É aprender com ela para construir algo genuinamente brasileiro.

Referências

  • EUROPEAN COMMISSION. Regulation (EU) 2024/1689 of the European Parliament and of the Council laying down harmonised rules on Artificial Intelligence (AI Act). Official Journal of the European Union, 2024.
  • EUROPEAN COMMISSION. AI Act — Regulatory Impact Assessment. SWD(2021) 84 final.
  • BRASIL. Projeto de Lei nº 2338/2023. Dispõe sobre o uso da Inteligência Artificial. Senado Federal, 2023.
  • BRADFORD, A. The Brussels Effect: How the European Union Rules the World. Oxford University Press, 2020.
  • ACCESS NOW. EU AI Act: A Civil Society Analysis. AccessNow, 2024.
  • ALGORITHMWATCH. Automated Decision-Making Systems in the EU: Mapping the Landscape. AlgorithmWatch, 2024.
  • VEALE, M.; ZUIDERVEEN BORGESIUS, F. Demystifying the Draft EU Artificial Intelligence Act. Computer Law Review International, v. 22, n. 4, 2021.
  • OECD. Recommendation of the Council on Artificial Intelligence. OECD/LEGAL/0449, 2019 (atualizada em 2024).

Thiago Almeida é pesquisador associado do IBGIA — Instituto Brasileiro de Governança em Inteligência Artificial, com foco em regulação comparada de tecnologias emergentes.

EU AI ActregulaçãoUnião EuropeiaBrasilmarco legal de IA
CompartilharLinkedInWhatsApp
Newsletter

Receba nossas publicações no seu e-mail

Assine a newsletter do IBGIA e seja o primeiro a receber artigos, relatórios e notas técnicas sobre governança de IA no Brasil.

100% gratuitoSem spam, cancele quando quiser

Leia Tambem

ArtigosO Futuro da Regulação de IA na América LatinaUma análise comparativa dos marcos regulatórios de Inteligência Artificial em desenvolvimento no Brasil, México, Chile, ...Ler artigoArtigosIA Generativa e Governança Corporativa: Desafios e OportunidadesA adoção acelerada de ferramentas de IA generativa nas organizações traz benefícios significativos de produtividade, mas...Ler artigoArtigosComo implementar governança de IA na sua organização: guia práticoUm roteiro prático em seis etapas para organizações que desejam implementar governança de inteligência artificial, desde...Ler artigo
Veja nas NotíciasAcompanhe lançamentos de publicações e novidades do IBGIA
Voltar para publicações

Receba nossas publicações

Assine nossa newsletter para receber artigos, relatórios e notas técnicas diretamente no seu e-mail.

Análises exclusivas sobre governança de IA

Receba análises, alertas regulatórios e frameworks práticos sobre IA no Brasil. Toda semana no seu email — gratuito.