facilita.etcBlogEU AI Act

Compliance

EU AI Act começa a fiscalizar em 2026: por que sua empresa BR está no escopo (mesmo sem operação na UE)

Klaus Fuchs· 8 mai 2026· 7 min de leitura

Erro mais comum que ouço sobre o EU AI Act em empresa brasileira: "isso é coisa pra empresa europeia, não me afeta".

Erro caro. O EU AI Act tem alcance extraterritorial explícito. Se sua empresa oferece sistema de IA a cliente na UE - mesmo sendo PME paranaense vendendo SaaS pra startup alemã - você está no escopo. E a fiscalização efetiva começa em 2026.

Quem está no escopo

O regulamento (Article 2) atinge:

  • Provedores que colocam IA no mercado UE - independentemente de onde estão sediados.
  • Implementadores (deployers) de IA em território UE - mesmo que o sistema seja desenvolvido fora.
  • Provedores não-UE cuja saída do sistema é usada na UE - se um candidato europeu é avaliado pelo seu modelo, você entra.
  • Importadores e distribuidores que colocam IA no mercado UE.

O critério não é "onde está a empresa" - é "onde está sendo usado o sistema ou o resultado dele". Mesmo lógica do GDPR. Quem implementou LGPD se preocupando com cliente UE já entendeu o padrão.

Cronograma efetivo de aplicação

DataO que entra em vigor
02/02/2025Proibições de práticas inaceitáveis (manipulação subliminar, social scoring, etc.)
02/08/2025Regras gerais de governança + obrigações pra modelos de uso geral (GPAI)
02/08/2026Regras pra sistemas de alto risco em uso (Anexo III) - fiscalização efetiva
02/08/2027Sistemas embarcados em produto regulado (Anexo I) entram totalmente

O que conta como "alto risco" (Anexo III)

Sistemas de alto risco são onde a fiscalização aperta primeiro. Lista tem:

  • Recrutamento e seleção: triagem de CV, classificação de candidato, decisão de contratação.
  • Avaliação de empregado: monitoramento, decisão sobre promoção, demissão, acesso a treinamento.
  • Educação: classificação de aluno, detecção de fraude, alocação em escola.
  • Crédito e seguros: scoring, fraude, decisão financeira.
  • Saúde: triagem, diagnóstico de apoio, alocação de recurso.
  • Aplicação da lei e migração: identificação biométrica, predição.

Recrutamento, avaliação de pessoas, educação e saúde têm grande presença de empresas brasileiras servindo cliente europeu via SaaS. É exatamente onde você está vulnerável sem perceber.

O que sistema de alto risco precisa ter

  1. Sistema de gestão de risco documentado e atualizado durante todo o ciclo de vida.
  2. Governança de dados: dataset de treino, validação e teste com qualidade demonstrável.
  3. Documentação técnica exaustiva: arquitetura, propósito, métricas, limitação.
  4. Registro automático (logging) de eventos durante operação.
  5. Transparência e instruções claras pro implementador.
  6. Supervisão humana efetiva em pontos de decisão.
  7. Robustez, acurácia e cibersegurança apropriadas.
  8. Sistema de gestão de qualidade formal cobrindo todo o ciclo.

Item 8 (sistema de gestão de qualidade formal) é onde ISO 42001 vira instrumento de defesa - implementar a primeira norma global de governança de IA cumpre boa parte dos requisitos com framework reconhecido.

O custo de não fazer

Multa pode chegar a:

  • € 35 milhões ou 7% do faturamento global anual (o maior dos dois) por violação de práticas proibidas.
  • € 15 milhões ou 3% do faturamento global por descumprimento de outras obrigações.
  • € 7,5 milhões ou 1% do faturamento global por informação falsa ou enganosa.

Multa máxima do GDPR é 4%. EU AI Act, no caso pior, é quase o dobro. Pra empresa BR de R$ 50 milhões/ano, exposição máxima é da ordem de R$ 17 milhões. Não é número que se ignora.

Como começar a se preparar

  1. Mapeamento de exposição: que sistemas de IA sua empresa oferece? Algum chega a cliente UE? Qual é o uso?
  2. Classificação de risco: o sistema cai em Anexo III? É de uso geral?
  3. Gap analysis vs ISO 42001: o que já existe na sua governança vs o que falta.
  4. Documentação técnica e logging - geralmente é o mais ausente em PME tech.
  5. Política de governança de IA aprovada por board, com revisão anual.
  6. Treinamento de equipe: dev, produto, comercial - todos precisam entender o que muda.

Conexão com regulação brasileira

O Marco Legal da IA brasileiro (PL 2.338/2023, em tramitação) está sendo desenhado em diálogo direto com o EU AI Act. Categorias de risco, obrigações de governança e supervisão humana têm estrutura similar. Quem se prepara pra UE prepara-se também pro Brasil - não há retrabalho.

O que diferenciará empresa preparada de empresa atropelada

Em 2026, três tipos de empresa vão coexistir:

  • Tipo A: tem ISO 42001 ou equivalente, documentação completa, governança formal. Vende pra UE como diferencial.
  • Tipo B: tem alguma coisa, mas faltam elementos. Conserta correndo após primeira notificação ou primeira solicitação de cliente sério.
  • Tipo C: não tem nada. Perde cliente UE, ou paga multa, ou dois.

Não é alarmismo - é cronograma público.

Sua empresa usa ou oferece IA com cliente na UE?

Diagnóstico em 5 min mapeia exposição ao EU AI Act e gaps de governança.

  Diagnóstico em 5 min   Solução ISO 42001
Klaus Fuchs
Klaus Fuchs Founder da facilita.etc. 15+ anos liderando gestão estratégica em saúde, educação e organizações sociais. Escreve sobre o que pratica.

Soluções relacionadas

Compliance

ISO 42001 - Governança de IA
Tecnologia

ISO 27001
Compliance

LGPD
Setor

Hub Tecnologia