2 de agosto de 2026: O prazo de alto risco da Lei de IA da UE que as empresas não podem ignorar

NewsPals · Jun 12, 2026

Os artigos 9 a 17 são aplicáveis em semanas, não em anos. Veja o que as obrigações de documentação realmente exigem e por que a proposta de adiamento da Comissão não muda nada.

A Comissão Europeia apresentou uma proposta em novembro de 2025 para adiar determinados prazos do AI Act da UE para o final de 2027. Essa proposta não foi convertida em lei. As empresas que a arquivaram como "possível alívio regulatório" devem resgatá-la, marcá-la como "não aprovada" e abrir o texto do regulamento em seu lugar. 2 de agosto de 2026 continua sendo a data de aplicação vinculante para as obrigações relativas a sistemas de IA de alto risco, e a janela de conformidade não está se estreitando em algum sentido abstrato e futuro: ela está se estreitando agora.

O Que o Prazo Realmente Abrange

A data de 2 de agosto de 2026 aciona um conjunto estratificado de obrigações, não uma única caixa de verificação. De acordo com a nota de pesquisa de março de 2026 da Iniciativa de Segurança em IA da Cloud Security Alliance, a data ativa os Artigos 9 a 17 para provedores e o Artigo 26 para implementadores. O Artigo 9 exige um sistema de gestão de riscos mantido ao longo de todo o ciclo de vida do sistema de IA. Os Artigos 10 a 17 cobrem, em sequência: governança de dados, documentação técnica, manutenção de registros, transparência perante os implementadores, mecanismos de supervisão humana, precisão, robustez e cibersegurança. O Artigo 26 impõe obrigações correspondentes às organizações que implementam esses sistemas, e não apenas às que os constroem.

A abrangência é justamente o ponto central. Não se trata de uma caixa de divulgação ou de um banner de cookies. É um regime de documentação que alcança a forma como os dados de treinamento foram obtidos, triados e governados antes mesmo de qualquer inferência ter sido realizada.

A classificação como alto risco decorre do Artigo 6 e do Anexo III do AI Act, conforme estabelecido no texto oficial da Lei de Inteligência Artificial da UE. Sistemas que operam nas áreas de emprego, pontuação de crédito, aplicação da lei, biometria e serviços privados essenciais estão enumerados como categorias dentro do escopo, de acordo com a pesquisa da Cloud Security Alliance. A Baker Botts observou, em sua atualização para clientes de março de 2026, que as penalidades por não conformidade podem chegar a 15 milhões de euros ou até 3% do faturamento anual global, o que for maior. Essa aritmética importa para qualquer empresa que utilize IA em um setor regulado, independentemente de seus advogados já terem emitido ou não um parecer formal.

O Problema do Pipeline de Dados de Treinamento

De todas as obrigações previstas nos Artigos 9 a 17, o Artigo 10 é o que mais frequentemente pega as empresas desprevenidas. Ele exige que os conjuntos de dados de treinamento, validação e teste atendam a critérios de qualidade definidos, sejam examinados quanto a possíveis vieses e sejam relevantes, suficientemente representativos e livres de erros para os fins a que se destinam.

A McKenna Consultants, escrevendo especificamente sobre prontidão técnica para o prazo de agosto de 2026, enquadra isso como uma exigência de que as empresas auditem não apenas o modelo, mas todo o pipeline de dados upstream: a origem dos dados, a triagem recebida e se essa governança foi documentada de forma contemporânea ou reconstituída após o fato. Documentação reconstituída não é o mesmo que documentação mantida, e os auditores conhecem a diferença.

A dificuldade prática é que muitas empresas adquiriram dados de treinamento por meio de fornecedores terceirizados ou herdaram pipelines de iterações anteriores de produtos. Nenhuma dessas circunstâncias isenta o provedor das obrigações do Artigo 10. A McKenna Consultants observa que os provedores precisam ser capazes de demonstrar as decisões de governança de dados em cada etapa do pipeline, o que significa que a auditoria não é um evento único, mas um registro contínuo que já deveria existir. Para as organizações que ainda não iniciaram esse trabalho, a avaliação honesta é que estão atrasadas.

A Obrigação do Implementador Que Passa Despercebida

A maior parte dos comentários sobre conformidade foca nos provedores: as organizações que constroem e colocam sistemas de IA de alto risco no mercado. As obrigações do Artigo 26 para os implementadores recebem menos atenção e são rotineiramente subestimadas.

A nota de pesquisa da Cloud Security Alliance é explícita ao afirmar que o Artigo 26 vincula as organizações que utilizam esses sistemas, não apenas os fornecedores que os disponibilizam. Os implementadores devem garantir que os sistemas sejam utilizados de acordo com as instruções do provedor, designar supervisão humana, monitorar riscos não identificados na documentação original e manter registros de operação sempre que tecnicamente viável.

Uma empresa que adquire um sistema de IA de alto risco de um fornecedor e se considera um consumidor passivo desse produto está interpretando o regulamento de forma equivocada. A obrigação do implementador é substantiva e não pode ser transferida ao fornecedor por meio de um contrato de software padrão.

É aqui que a revisão dos contratos com fornecedores se torna urgente. Qualquer acordo que não contenha alocação explícita das responsabilidades do Artigo 26, compromissos de registro e obrigações de notificação de incidentes precisará ser renegociado ou complementado antes de 2 de agosto de 2026. As equipes jurídicas que têm aguardado orientações adicionais das autoridades nacionais competentes antes de agir estão, neste momento, esperando por algo que não chegará antes do início da aplicação.

O Que Fazer com o Tempo Restante

A pesquisa de março de 2026 da Iniciativa de Segurança em IA da Cloud Security Alliance caracteriza os programas de conformidade em muitas empresas como "incipientes" — uma forma diplomática de dizer que a maioria das organizações não está pronta. Os passos que ainda precisam ser dados são concretos, não filosóficos.

Os provedores precisam de um sistema de gestão de riscos concluído nos termos do Artigo 9, de governança documentada dos dados de treinamento nos termos do Artigo 10 e de documentação técnica que satisfaça os Artigos 11 a 17. Os implementadores precisam revisar cada sistema dentro do escopo em relação à lista de verificação do Artigo 26, atualizar os contratos com fornecedores e designar por escrito as responsabilidades de supervisão humana.

Nenhum conjunto de obrigações é satisfeito por um documento de política que descreve intenções. O AI Act exige evidências operacionais.

Para quem está construindo ou implementando IA em setores regulados e lê isso como um estímulo para começar: a janela é estreita, mas não está fechada. A proposta de adiamento da Comissão que não foi aprovada não é totalmente irrelevante; ela sinaliza que a postura de aplicação nos primeiros meses poderá admitir alguma tolerância para conformidade em andamento, embora nenhuma orientação oficial nesse sentido tenha sido publicada. Planejar tendo 2 de agosto de 2026 como uma data rígida e tratar qualquer flexibilidade posterior como um bônus é a única postura defensável.

Acompanhe o Escritório Europeu de IA para obter orientações sobre aplicação à medida que a data se aproxima, e acompanhe as autoridades nacionais competentes para interpretações setoriais, especialmente nas áreas de emprego e serviços financeiros, onde as questões de escopo do Anexo III permanecem em aberto.

Fontes