EU AI Act: o que muda na prática para quem lidera Data, IA e Produto

O AI Act é um Regulamento - especificamente, o Regulation (EU) 2024/1689. Isso significa que ele é diretamente aplicável em todos os Estados-Membros. Não é uma diretriz "para adaptar depois". Não é recomendação. É lei.

O ponto central é simples: regulação baseada em risco. Quanto maior o potencial de dano (segurança, saúde, direitos fundamentais), maior a obrigação de governança e evidência.

O que eu vejo muita empresa errando aqui é tratar o AI Act como "checklist jurídico". Na prática, ele vai separar quem faz IA virar sistema de trabalho - com controle, adoção e confiança - de quem fica preso em POCs e "shadow AI".

O que muda na vida real

Em linguagem de liderança, sem juridiquês:

Você precisa saber onde já usa IA. Não só "o projeto oficial". Inclui ferramentas compradas por times, automações, copilots, conteúdo gerado por IA e plugins integrados a ferramentas de produtividade.
Classificar por risco vira parte da operação. A pergunta deixa de ser "a gente usa IA?" e vira "qual o risco e qual evidência eu tenho que manter?"
Transparência não é detalhe. Especialmente para conteúdos sintéticos (deepfakes, imagens geradas) e interações onde a pessoa precisa saber que está falando com um sistema - Artigo 50 do Regulamento.
GPAI / foundation models entram no radar de governança. A UE está colocando obrigações específicas para modelos de propósito geral - incluindo documentação técnica, testes de segurança e transparência sobre dados de treino.

Timeline: o que já está valendo

O AI Act entrou em vigor em 1 de agosto de 2024, mas as obrigações são progressivas. Aqui está o que importa:

02 Fev 2025 — Práticas proibidas + AI Literacy

Proibições de usos inaceitáveis de IA (manipulação subliminar, social scoring, policiamento preditivo individual) já se aplicam. Obrigação de AI literacy (Artigo 4): fornecedores e deployers devem garantir que suas equipes têm conhecimento suficiente sobre IA. Fonte: Artigo 113, § (a)

02 Ago 2025 — Governança + GPAI

Regras de governança (Capítulos I-V do Título VII) e obrigações para modelos de propósito geral (GPAI) passam a valer. Isso inclui documentação técnica obrigatória e políticas de direitos autorais para provedores de foundation models. Fonte: Artigo 113, § (b)

02 Ago 2026 — Maioria das obrigações

Entram em vigor as obrigações para sistemas de IA de alto risco (Anexo III), incluindo gestão de riscos, governança de dados, documentação técnica, supervisão humana e robustez. Fonte: Artigo 113, § (c)

02 Ago 2027 — Transição estendida

Sistemas de IA de alto risco que também são componentes de segurança sob legislação setorial da UE (Anexo I - maquinária, dispositivos médicos, aviação, etc.) têm prazo estendido. Fonte: Artigo 113, § (d)

Na prática: o que muda por área

Aqui é onde a maioria dos artigos para. Eles explicam o regulamento, mas não dizem o que muda no dia a dia de quem lidera. Vou tentar ser mais útil que isso.

Finance — Alto risco

Credit scoring e avaliação de risco de crédito são classificados como alto risco pelo Anexo III, § 5(b) do AI Act. Isso significa: gestão de riscos documentada, dataset governance, auditoria de viés, supervisão humana e explainability.

Na prática: se você tem um modelo de ML que aprova ou nega crédito, você precisa documentar como ele foi treinado, com quais dados, qual o viés medido e ter um humano com poder real de revisão. O mesmo vale para detecção de fraude quando ela gera ações automáticas (bloquear conta, negar transação).

Ação: revisar todos os modelos de scoring/risco e montar trilha de documentação antes de agosto de 2026.

Marketing — Risco limitado + transparência

Conteúdo gerado por IA (textos, imagens, vídeos) precisa ser claramente identificado como sintético. O Artigo 50 é direto: se você gera conteúdo com IA que possa ser confundido com conteúdo humano, você precisa rotular.

Na prática: aquele post de LinkedIn gerado pelo ChatGPT? A campanha com imagem criada por Midjourney? O roteiro de vídeo escrito por IA? Tudo precisa de marcação. Isso não é "nice to have" - é obrigação legal.

A personalização de conteúdo (recomendações, targeting) geralmente é risco mínimo ou limitado, mas atenção: se suas recomendações afetam acesso a serviços essenciais ou usam perfil comportamental profundo, o risco sobe.

Ação: criar uma política interna de labeling para conteúdo sintético e revisar o pipeline de conteúdo.

HR / Pessoas — Alto risco

Recrutamento, triagem de CVs, avaliação de desempenho e decisões sobre promoção com IA são alto risco (Anexo III, § 4). Isso é provavelmente a área com mais impacto direto no dia a dia.

Na prática: aquela ferramenta de triagem de CVs que o time de recrutamento usa? O scoring de candidatos? A análise de sentiment em entrevistas por vídeo? Tudo entra como alto risco. Você precisa de:

Documentação de como o sistema funciona
Auditoria de viés (gênero, idade, etnia, deficiência)
Supervisão humana real (não rubber-stamping)
Informação ao candidato de que IA está sendo usada

E aqui vai um ponto que pouca gente fala: monitoramento de produtividade com IA (como ferramentas de tracking de atividade) também pode entrar no escopo de alto risco, dependendo de como é usado e que decisões influencia.

Ação: mapear toda ferramenta de "people analytics" e IA em RH. Conversar com jurídico e fornecedores.

Product — Varia por contexto

Chatbots, assistentes virtuais e sistemas de recomendação têm obrigação de transparência: o usuário precisa saber que está interagindo com um sistema de IA (Artigo 50). Simples, mas muita empresa ignora.

Sistemas de recomendação para e-commerce geralmente são risco mínimo. Mas se o seu produto usa IA para saúde, educação, acesso a serviços públicos ou justiça, você provavelmente está em alto risco.

Para product managers, o impacto principal é no processo: toda feature com IA precisa de uma avaliação de risco antes de ir para produção. Isso não é burocracia - é due diligence que protege o produto e os usuários.

Ação: incluir "risk classification" no framework de discovery/delivery de features com IA.

IT / Engenharia — Operacional + GPAI

Se você usa modelos de propósito geral (GPT, Claude, Gemini, Llama) internamente ou como parte do produto, as novas regras de GPAI (Capítulo V, aplicáveis a partir de agosto 2025) impactam diretamente.

Para provedores: documentação técnica, testes de segurança, política de direitos autorais sobre dados de treino. Para quem deploya esses modelos: você precisa entender o que entra e o que sai e ser capaz de responder auditorias.

Na prática: o time de engenharia precisa manter logs de inferência, ter controle sobre prompt templates e documentar como os modelos são usados em cada contexto.

Ação: criar um registro de todos os modelos de IA em uso (comprados, open-source, APIs), com classificação de risco e responsável técnico.

Risk / Compliance — Transversal

Para Risk e Compliance, o AI Act não é "mais um regulamento". É uma mudança de paradigma: pela primeira vez, você precisa ter governança específica para sistemas de IA, não só para dados.

Isso significa:

Inventário de IA: saber o que existe, quem é dono, qual o risco
Vendor governance: exigir documentação dos fornecedores de IA (e não aceitar "caixa preta")
Incident response: ter um processo claro para quando algo der errado com um sistema de IA
Audit trail: manter evidências de conformidade prontas para supervisão

O AI Act cria as autoridades nacionais de supervisão e o European AI Office, que vai monitorar GPAI. Multas podem chegar a 35 milhões de euros ou 7% do faturamento global para violações de práticas proibidas.

Ação: iniciar o inventário de IA agora. Definir ownership. Alinhar com DPO (GDPR) e começar a construir a ponte entre proteção de dados e governança de IA.

Meu take

O AI Act não é só sobre compliance. Ele força uma pergunta madura: como garantir que IA aumente capacidade humana sem aumentar risco, desigualdade ou desconfiança?

Se você lidera Data/AI, Produto, RH, Risco/Compliance ou Operações, o playbook inicial que eu recomendo é:

Inventário: mapear usos de IA (incluindo shadow AI - aquele GPT que alguém usa no Chrome)
Classificação de risco: o que é minimal/limited/high-risk e por quê
AI literacy por função: liderança, produto, jurídico, RH, engenharia - cada um precisa saber o básico
Vendor governance: o que exigir de fornecedores e como documentar (especialmente para GPAI)
Evidências + incident response: trilhas mínimas para auditoria e correção

Se quiser, posso compartilhar um template simples (1 página) de "AI Act Readiness" para começar esse mapeamento sem virar burocracia. Entre em contato e mencione "AI Act template".