O AI Act europeu já se aplica em fases, e 2026 é um prazo real, não futuro. As obrigações para sistemas de alto risco começam em agosto de 2026. Se a sua empresa constrói, vende ou apenas usa IA cuja saída chega à UE, a lei pode se aplicar a você, inclusive empresas sem escritório na Europa. Esse alcance extraterritorial é a parte que a maioria dos times fora da UE subestima.
O sistema de camadas decide a sua carga de trabalho. Práticas inaceitáveis já estão proibidas. Sistemas de risco limitado devem transparência. Sistemas de alto risco, as categorias do Anexo III como contratação, crédito, educação e infraestrutura crítica, carregam as obrigações pesadas: gestão de risco, supervisão humana, registro de logs, documentação. Então a primeira tarefa é a classificação, porque tudo a jusante depende de em qual camada cada sistema cai.
As penalidades tornam isso assunto de conselho, não nota de rodapé jurídica. Uso proibido pode custar até 35 milhões de euros ou 7% do faturamento global, o que for maior. Outras infrações chegam a 15 milhões ou 3%. Para uma exportadora de médio porte que vende para a Europa, isso não é uma linha que você absorve em silêncio.
As obrigações são operacionais, não só jurídicas. Supervisão humana significa que uma pessoa nomeada pode intervir e sobrepor, e você consegue provar que ela estava no circuito. Registro de logs significa que as decisões do sistema são gravadas e recuperáveis. Transparência significa que as pessoas afetadas são de fato avisadas. Nada disso vive num parágrafo de política. Vive nas etapas que um workflow obriga.
“Supervisão humana é workflow, não parágrafo.”
Rode como mudança regulatória controlada. Avalie quais sistemas estão no escopo, classifique cada um, atribua aos de alto risco um gate de supervisão e uma exigência de log, e coloque uma revisão no calendário antes de cada data de obrigação. O histórico do run vira a sua evidência de conformidade quando uma autoridade de fiscalização ou um cliente corporativo perguntar.
Comece pelo escopo. Liste cada sistema de IA que toca um usuário, cliente ou decisão na UE. Empresas de fora da UE são as mais propensas a achar que a lei não as alcança, e as mais propensas a estar erradas. Mapeie a superfície primeiro, depois classifique, depois coloque os gates onde o risco realmente está.