EU AI Act: o que muda na prática para quem lidera Data, IA e Produto
Guia pragmático sobre o Regulamento (EU) 2024/1689 - sem business-bingo, com exemplos reais por área.
O AI Act é um Regulamento - especificamente, o Regulation (EU) 2024/1689. Isso significa que ele é diretamente aplicável em todos os Estados-Membros. Não é uma diretriz "para adaptar depois". Não é recomendação. É lei.
O que eu vejo muita empresa errando aqui é tratar o AI Act como "checklist jurídico". Na prática, ele vai separar quem faz IA virar sistema de trabalho - com controle, adoção e confiança - de quem fica preso em POCs e "shadow AI".
O que muda na vida real
Em linguagem de liderança, sem juridicês:
- Você precisa saber onde já usa IA. Não só "o projeto oficial". Inclui ferramentas compradas por times, automações, copilots, conteúdo gerado por IA e plugins integrados a ferramentas de produtividade.
- Classificar por risco vira parte da operação. A pergunta deixa de ser "a gente usa IA?" e vira "qual o risco e qual evidência eu tenho que manter?"
- Transparência não é detalhe. Especialmente para conteúdos sintéticos (deepfakes, imagens geradas) e interações onde a pessoa precisa saber que está falando com um sistema - Artigo 50 do Regulamento.
- GPAI / foundation models entram no radar de governança. A UE está colocando obrigações específicas para modelos de propósito geral - incluindo documentação técnica, testes de segurança e transparência sobre dados de treino.
Timeline: o que já está valendo
O AI Act entrou em vigor em 1 de agosto de 2024, mas as obrigações são progressivas. Aqui está o que importa:
Na prática: o que muda por área
Aqui é onde a maioria dos artigos para. Eles explicam o regulamento, mas não dizem o que muda no dia a dia de quem lidera. Vou tentar ser mais útil que isso.
Credit scoring e avaliação de risco de crédito são classificados como alto risco pelo Anexo III, § 5(b) do AI Act. Isso significa: gestão de riscos documentada, dataset governance, auditoria de viés, supervisão humana e explainability.
Na prática: se você tem um modelo de ML que aprova ou nega crédito, você precisa documentar como ele foi treinado, com quais dados, qual o viés medido e ter um humano com poder real de revisão. O mesmo vale para detecção de fraude quando ela gera ações automáticas (bloquear conta, negar transação).
Ação: revisar todos os modelos de scoring/risco e montar trilha de documentação antes de agosto de 2026.
Conteúdo gerado por IA (textos, imagens, vídeos) precisa ser claramente identificado como sintético. O Artigo 50 é direto: se você gera conteúdo com IA que possa ser confundido com conteúdo humano, você precisa rotular.
Na prática: aquele post de LinkedIn gerado pelo ChatGPT? A campanha com imagem criada por Midjourney? O roteiro de vídeo escrito por IA? Tudo precisa de marcação. Isso não é "nice to have" - é obrigação legal.
A personalização de conteúdo (recomendações, targeting) geralmente é risco mínimo ou limitado, mas atenção: se suas recomendações afetam acesso a serviços essenciais ou usam perfil comportamental profundo, o risco sobe.
Ação: criar uma política interna de labeling para conteúdo sintético e revisar o pipeline de conteúdo.
Recrutamento, triagem de CVs, avaliação de desempenho e decisões sobre promoção com IA são alto risco (Anexo III, § 4). Isso é provavelmente a área com mais impacto direto no dia a dia.
Na prática: aquela ferramenta de triagem de CVs que o time de recrutamento usa? O scoring de candidatos? A análise de sentiment em entrevistas por vídeo? Tudo entra como alto risco. Você precisa de: - Documentação de como o sistema funciona - Auditoria de viés (gênero, idade, etnia, deficiência) - Supervisão humana real (não rubber-stamping) - Informação ao candidato de que IA está sendo usada
E aqui vai um ponto que pouca gente fala: monitoramento de produtividade com IA (como ferramentas de tracking de atividade) também pode entrar no escopo de alto risco, dependendo de como é usado e que decisões influencia.
Ação: mapear toda ferramenta de "people analytics" e IA em RH. Conversar com jurídico e fornecedores.
Chatbots, assistentes virtuais e sistemas de recomendação têm obrigação de transparência: o usuário precisa saber que está interagindo com um sistema de IA (Artigo 50). Simples, mas muita empresa ignora.
Sistemas de recomendação para e-commerce geralmente são risco mínimo. Mas se o seu produto usa IA para saúde, educação, acesso a serviços públicos ou justiça, você provavelmente está em alto risco.
Para product managers, o impacto principal é no processo: toda feature com IA precisa de uma avaliação de risco antes de ir para produção. Isso não é burocracia - é due diligence que protege o produto e os usuários.
Ação: incluir "risk classification" no framework de discovery/delivery de features com IA.
Se você usa modelos de propósito geral (GPT, Claude, Gemini, Llama) internamente ou como parte do produto, as novas regras de GPAI (Capítulo V, aplicáveis a partir de agosto 2025) impactam diretamente.
Para provedores: documentação técnica, testes de segurança, política de direitos autorais sobre dados de treino. Para quem deploya esses modelos: você precisa entender o que entra e o que sai e ser capaz de responder auditorias.
Na prática: o time de engenharia precisa manter logs de inferência, ter controle sobre prompt templates e documentar como os modelos são usados em cada contexto.
Ação: criar um registro de todos os modelos de IA em uso (comprados, open-source, APIs), com classificação de risco e responsável técnico.
Para Risk e Compliance, o AI Act não é "mais um regulamento". É uma mudança de paradigma: pela primeira vez, você precisa ter governança específica para sistemas de IA, não só para dados.
Isso significa: - Inventário de IA: saber o que existe, quem é dono, qual o risco - Vendor governance: exigir documentação dos fornecedores de IA (e não aceitar "caixa preta") - Incident response: ter um processo claro para quando algo der errado com um sistema de IA - Audit trail: manter evidências de conformidade prontas para supervisão
O AI Act cria as autoridades nacionais de supervisão e o European AI Office, que vai monitorar GPAI. Mul-tas podem chegar a 35 milhões de euros ou 7% do faturamento global para violações de práticas proibidas.
Ação: iniciar o inventário de IA agora. Definir ownership. Alinhar com DPO (GDPR) e começar a construir a ponte entre proteção de dados e governança de IA.
Meu take
O AI Act não é só sobre compliance. Ele força uma pergunta madura: como garantir que IA aumente capacidade humana sem aumentar risco, desigualdade ou desconfiança?
Se você lidera Data/AI, Produto, RH, Risco/Compliance ou Operações, o playbook inicial que eu recomendo é:
- Inventário: mapear usos de IA (incluindo shadow AI - aquele GPT que alguém usa no Chrome)
- Classificação de risco: o que é minimal/limited/high-risk e por quê
- AI literacy por função: liderança, produto, jurídico, RH, engenharia - cada um precisa saber o básico
- Vendor governance: o que exigir de fornecedores e como documentar (especialmente para GPAI)
- Evidências + incident response: trilhas mínimas para auditoria e correção
Fontes oficiais
Precisa de ajuda com governança de IA?
Ajudo empresas a transformar o AI Act de obrigação regulatória em vantagem competitiva - com clareza, sem burocracia desnecessária.
Agendar conversa