Quatro Meses para a Fiscalização Total do EU AI Act: O Que Todo CEO Precisa Saber

Thumbnail image

2 de agosto de 2026 é a data em que as provisões de fiscalização do EU AI Act para sistemas de AI de alto risco entram em pleno vigor. Se sua empresa opera na Europa, vende para clientes europeus ou usa ferramentas de AI que envolvem decisões de emprego, avaliações de crédito ou pontuação de clientes, esse prazo se aplica diretamente a você. O relógio está contando.

Segundo uma análise regulatória detalhada publicada pela LegalNodes, o EU AI Act entrou em vigor em agosto de 2024 e vem sendo implementado em etapas. Proibições de práticas de AI banidas e requisitos de literacia em AI entraram em vigor em fevereiro de 2025. Obrigações de governança para modelos de AI de propósito geral foram ativadas em agosto de 2025. O marco de agosto de 2026 é quando começa a fiscalização total para sistemas de AI de alto risco — a classificação que alcança a maioria dos casos de uso corporativo de AI que as empresas não pensavam como "produtos de AI."

A estrutura de penalidades não é teórica. O não cumprimento das obrigações de AI de alto risco pode resultar em multas de até €35 milhões ou 7% da receita anual global, o que for maior. Para uma empresa com US$ 500 milhões em receita, isso representa uma exposição potencial de US$ 35 milhões por ferramentas de AI que você não construiu, apenas implantou.

O Equívoco que Está Colocando Empresas em Apuros

O equívoco mais comum sobre o EU AI Act é que ele se aplica principalmente a desenvolvedores de AI: os OpenAIs, Anthropics e Mistral AIs do mundo. Esse pressuposto está errado, e é o que cria maior risco de compliance para empresas B2B no momento.

O framework regulatório de AI da UE estende obrigações aos implementadores de sistemas de AI, não apenas aos desenvolvedores. Se você é uma empresa que comprou um ATS com AI para recrutamento, uma plataforma de gestão de desempenho com AI para avaliações de funcionários, ou uma ferramenta de decisão de crédito embutida no seu fluxo de trabalho financeiro, você é um implementador. As obrigações de compliance não recaem inteiramente sobre o fornecedor. Elas também recaem sobre você.

Isso importa mais do que a maioria das equipes executivas percebe atualmente. O pressuposto padrão de procurement em B2B é que os fornecedores SaaS lidam com seu próprio compliance. Sob o EU AI Act, isso é parcialmente verdade, mas as obrigações do implementador sobre supervisão humana, documentação e gestão de riscos são suas, independentemente de seu fornecedor estar em conformidade. Seu framework de governança de AI precisará abordar explicitamente essa responsabilidade de implementador — compliance do fornecedor e compliance interno são duas trilhas de auditoria separadas.

O Que "Alto Risco" Significa na Prática

A classificação de alto risco do EU AI Act não é baseada na sofisticação da AI. É baseada em quais decisões o sistema de AI informa ou toma. Uma ferramenta de AI simples que triagem currículos para uma equipe de RH é de alto risco. Um sistema de AI complexo que sugere tópicos para posts de blog não é.

Segundo a análise da LegalNodes, as categorias de alto risco mais relevantes para empresas B2B incluem:

Emprego e gestão de força de trabalho. Ferramentas de AI usadas para recrutamento (incluindo triagem de currículos, classificação de candidatos e pontuação de entrevistas), monitoramento de desempenho, decisões de promoção e processos de demissão se enquadram nessa categoria. Se o seu ATS ou plataforma de gestão de desempenho tem uma camada de pontuação de AI (e a maioria dos modernos tem), você está operando um sistema de AI de alto risco. As considerações de segurança e compliance de AI para essas ferramentas vão além da política de privacidade do fornecedor — elas incluem sua própria documentação operacional.

Crédito e decisões financeiras. AI que informa avaliações de crédito, originação de empréstimos ou pontuação de risco para produtos financeiros é de alto risco. Isso se estende além do setor bancário para contextos de vendas B2B onde ferramentas de AI apoiam decisões de linha de crédito ou condições de pagamento.

Educação e formação profissional. Sistemas de AI usados para avaliar estudantes, recomendar trilhas de aprendizado ou tomar decisões sobre acesso a programas educacionais se enquadram na classificação de alto risco.

Aplicação da lei e controle de fronteiras. Menos relevante para a maioria das empresas B2B, mas incluído para completeza.

O teste prático é este: sua ferramenta de AI toma ou informa fortemente uma decisão consequente sobre uma pessoa? Se sim, trate-a como potencialmente de alto risco até que sua equipe jurídica confirme o contrário.

O Que o Compliance Realmente Exige

Cumprir as obrigações de AI de alto risco do EU AI Act não é apenas ter uma política de privacidade que menciona AI. Requer processos documentados que possam ser demonstrados aos reguladores. Segundo orientações de compliance da SecurePrivacy, os requisitos centrais para implementadores de sistemas de AI de alto risco incluem:

Inventário e classificação de sistemas. Você precisa saber quais sistemas de AI sua organização usa, quais decisões eles informam e se tocam as categorias de alto risco acima. A maioria das empresas ainda não tem esse inventário, e é mais difícil de produzir do que parece, porque funcionalidades de AI estão incorporadas em dezenas de ferramentas SaaS que não foram adquiridas como "sistemas de AI."

Avaliações de risco. Para cada sistema de AI de alto risco em uso, você precisa de avaliações de risco documentadas cobrindo o propósito pretendido do sistema, potencial para viés ou resultados discriminatórios e controles de qualidade de dados.

Mecanismos de supervisão humana. Os sistemas de AI de alto risco devem ser projetados para permitir revisão humana significativa antes que as decisões finais sejam tomadas. "A AI recomendou" não é um processo suficiente para decisões de emprego ou crédito sob o Ato.

Documentação de governança de dados. Você precisa demonstrar que os dados usados para treinar ou operar sistemas de AI são precisos, completos e não sistematicamente tendenciosos. Isso é frequentemente a parte mais difícil porque os dados relevantes podem estar com seu fornecedor SaaS, não com você. Para equipes de RevOps que usam ferramentas de pontuação de leads e previsão com AI, o checklist de compliance do RevOps cobre as etapas específicas de documentação para esses fluxos de trabalho.

Verificação de compliance do fornecedor. Você precisa confirmar que seus fornecedores de ferramentas de AI (as empresas que construíram as ferramentas que você está implantando) estão em conformidade com as obrigações do Ato para desenvolvedores e provedores de AI. Não assuma. Solicite, por escrito, sua documentação de compliance.

A Lacuna que a Maioria das Equipes de Liderança Ainda Não Abordou

Há uma lacuna específica que aparece repetidamente em conversas sobre prontidão para o EU AI Act: a desconexão entre equipes jurídicas/de compliance e as funções operacionais que realmente implantam ferramentas de AI.

A maioria das equipes jurídicas corporativas sabe que o EU AI Act existe. Mas as pessoas que sabem quais ferramentas de AI estão realmente rodando dentro do negócio (em RH, operações de vendas, finanças e customer success) nem sempre estão nessas conversas jurídicas. O líder de RH que atualizou o ATS no ano passado pode não saber que a funcionalidade de pontuação de AI se qualifica como sistema de alto risco. O diretor de RevOps que configurou o sistema de pontuação de leads de AI pode não perceber que toca decisões relacionadas a crédito que exigem documentação do implementador.

Fechar essa lacuna requer um processo de inventário interfuncional, não uma revisão jurídica conduzida em isolamento. As empresas que estarão bem posicionadas em agosto de 2026 são as que iniciam essa conversa interfuncional agora.

Um Framework de Ação para Compliance

Isso não é aconselhamento jurídico. Trabalhe com advogados qualificados sobre suas obrigações específicas. Do ponto de vista de conscientização executiva, aqui está a sequência que faz sentido nos próximos quatro meses:

  1. Encomende um inventário de sistemas de AI. Nas próximas duas a três semanas, peça a cada chefe de departamento que liste todas as ferramentas de AI ou funcionalidades habilitadas por AI que sua equipe usa, incluindo ferramentas incorporadas em plataformas SaaS existentes. O resultado vai te surpreender.

  2. Aplique o teste de classificação de alto risco. Execute cada ferramenta identificada contra as categorias de alto risco do EU AI Act. Emprego, crédito, educação e contextos de aplicação da lei são os filtros primários. Sua equipe jurídica deve fazer essa revisão, mas não pode fazê-la sem o inventário primeiro.

  3. Solicite documentação de compliance dos fornecedores. Para qualquer ferramenta que possa se qualificar como de alto risco, contate o fornecedor e peça sua documentação de status de compliance do EU AI Act. Se não puderem fornecer, escale para sua equipe de procurement. O compliance do fornecedor agora é um critério de procurement, não apenas uma caixa de verificação de segurança.

  4. Mapeie seus processos de supervisão humana. Para os sistemas de AI de alto risco em uso, documente como a revisão humana realmente acontece antes que as decisões consequentes sejam finalizadas. Se a resposta honesta for "não acontece", isso é uma lacuna de processo que você precisa corrigir.

  5. Engaje advogados para a avaliação formal. Com o inventário em mãos e a classificação preliminar de alto risco feita, você tem o que precisa para ter uma conversa substantiva com sua equipe jurídica ou advogado externo. Eles podem orientar sobre requisitos específicos de documentação e sua exposição a riscos.

O Que Fazer Esta Semana

Uma ação concreta: inicie o inventário de sistemas de AI.

Envie uma mensagem curta para sua equipe de liderança (RH, RevOps, Finanças, Produto, Customer Success) pedindo uma lista de cada ferramenta de AI ou funcionalidade habilitada por AI em uso ativo em suas funções, incluindo funcionalidades incorporadas em ferramentas que já possuem. Dê uma semana para responderem. Compile as respostas centralmente.

Essa única etapa coloca você à frente da maioria das empresas que ainda estarão descobrindo o que estão rodando quando agosto de 2026 chegar. O prazo de compliance é fixo. Seu prazo de preparação não é, mas é mais curto do que a maioria dos executivos assume atualmente.

Fontes: Atualizações do EU AI Act 2026 (LegalNodes), Framework regulatório da Estratégia Digital da UE e guia de compliance da SecurePrivacy. Este artigo é um briefing de conscientização executiva, não aconselhamento jurídico. Consulte advogados qualificados para orientação específica à situação da sua empresa.