Beancount.io LogoBeancount.io

A Lei de IA da UE Chega às Empresas SaaS dos EUA em Agosto: Um Guia Prático de Conformidade

17 min para lerMike ThriftMike Thrift
A Lei de IA da UE Chega às Empresas SaaS dos EUA em Agosto: Um Guia Prático de Conformidade

Se você fornece software para um cliente em Berlim, Paris ou Amsterdã — e seu produto envolve IA de quase qualquer forma — 2 de agosto de 2026 é a data que deve ser circulada em seu calendário de conformidade. Esse é o dia em que o Regulamento (UE) 2024/1689, mais conhecido como a Lei de IA da UE, torna-se totalmente aplicável para obrigações de transparência, e os poderes de fiscalização da Comissão sobre modelos de IA de finalidade geral entram em vigor. As multas podem chegar a 7% do volume de negócios anual global. E não, não importa que sua sede esteja em San Francisco, seus servidores na Virgínia e sua equipe nunca tenha colocado os pés em Bruxelas.

A maioria dos fundadores dos EUA com quem conversamos tem um modelo mental da Lei de IA da UE emprestado do GDPR: alguns banners de cookies, uma atualização na política de privacidade, talvez um Adendo de Processamento de Dados (DPA). A Lei de IA é diferente. Ela regula o produto, não apenas os dados. Ela atribui obrigações por função — provedor, implantador, distribuidor, importador, representante autorizado — e impõe avaliações de conformidade pré-comercialização, documentação técnica, monitoramento pós-comercialização e registro em um banco de dados em toda a UE antes que um sistema de alto risco possa chegar legalmente a um usuário europeu. As penalidades são maiores que as do GDPR. O raio de alcance dos questionários de aquisição é mais amplo. E a lei tem alcance extraterritorial consolidado no Artigo 2.

Este guia percorre o que as empresas de SaaS dos EUA, provedores de modelos fundamentais e desenvolvedores de agentes de IA realmente precisam fazer entre agora e o próximo conjunto de prazos, aproximadamente na ordem em que você deve fazê-lo.

Passo Um: Descubra se a Lei se Aplica a Você

O escopo da Lei é mais amplo do que a maioria dos fundadores dos EUA espera. O Artigo 2 abrange:

  • Provedores que colocam sistemas de IA no mercado da UE ou os colocam em serviço na UE, independentemente de onde o provedor esteja estabelecido
  • Implantadores (seus clientes) localizados na UE
  • Provedores e implantadores localizados fora da UE quando o resultado (output) do sistema de IA é usado na UE

Esse último ponto é a armadilha. Se o seu sistema de IA baseado nos EUA processa uma transcrição, gera um e-mail de marketing, pontua um currículo ou resume um contrato, e o resultado resultante é usado por um destinatário baseado na UE, você está no escopo, mesmo que nenhum europeu toque diretamente na sua API. Um fornecedor de tecnologia jurídica dos EUA cujos resumos terminam no arquivo de um caso de um escritório de advocacia holandês está no escopo. Uma ferramenta de recrutamento dos EUA cujas classificações de candidatos são revisadas por um gerente de contratação em Munique está no escopo. Um chatbot dos EUA incorporado em um aplicativo SaaS vendido a um cliente francês está no escopo.

O filtro prático para a maioria das empresas de SaaS B2B é mais simples: se algum de seus clientes pagantes, ou os usuários finais de seus clientes, estiver na UE, assuma que a Lei se aplica e trabalhe a partir daí.

Passo Dois: Classifique sua Função e o Nível de Risco do seu Sistema

A Lei atribui obrigações com base no que você faz, não no que você se autodenomina. A maioria das empresas de SaaS se enquadra em uma ou mais dessas categorias simultaneamente:

  • Provedor — você coloca um sistema de IA no mercado sob seu próprio nome ou marca. Este é quase todo fornecedor de SaaS que lança recursos de IA.
  • Implantador — você usa um sistema de IA sob sua autoridade (por exemplo, você usa um modelo de terceiros dentro do seu produto). Os implantadores têm obrigações mais leves que os provedores, mas elas são reais.
  • Provedor de modelo de IA de finalidade geral — você desenvolve ou ajusta um modelo fundamental capaz de ser usado em muitas tarefas. A maioria das empresas de SaaS dos EUA não são provedoras de GPAI; você está consumindo modelos de GPAI de terceiros. Mas se você fizer o ajuste fino (fine-tuning) do Llama ou construir seu próprio modelo fundamental, poderá ter cruzado a linha.
  • Representante autorizado — necessário para provedores não pertencentes à UE de sistemas de alto risco e modelos de GPAI (mais sobre isso abaixo).

A classificação de risco é o segundo eixo. A Lei cria quatro níveis:

NívelExemplosO que significa
Inaceitável (Artigo 5)Pontuação social, reconhecimento de emoções no local de trabalho, raspagem facial não direcionadaBanido sumariamente a partir de 2 de fevereiro de 2025
Alto risco (Anexo III)IA usada em contratações, pontuação de crédito, admissões educacionais, identificação biométrica, infraestrutura crítica, aplicação da leiAvaliação de conformidade completa, marcação CE, registro no banco de dados da UE
Risco limitado (Artigo 50)Chatbots, geradores de deepfake, reconhecimento de emoções (fora do local de trabalho)Apenas divulgações de transparência
Risco mínimoFiltros de spam, IA em videogames, classificação de busca aprimorada por IASem obrigações específicas

A maioria dos produtos SaaS B2B dos EUA que adicionaram um recurso de IA aos fluxos de trabalho existentes enquadra-se na categoria de risco limitado e deve cumprir os deveres de transparência do Artigo 50. As exceções são importantes: qualquer coisa que toque em decisões de emprego, admissões educacionais, solvabilidade, biometria ou serviços públicos essenciais salta para o alto risco e representa um esforço significativamente maior.

Passo Três: Agende os Prazos que se Aplicam a Você

As obrigações da Lei estão sendo implementadas gradualmente ao longo de três anos. Aqui está o cronograma detalhado como se encontra atualmente:

  • 2 de fevereiro de 2025 — As práticas de IA proibidas (Artigo 5) e as obrigações de literacia em IA (Artigo 4) tornaram-se aplicáveis. Se o seu produto implementa qualquer uma das práticas proibidas do Artigo 5, pare. Hoje.
  • 2 de agosto de 2025 — As disposições de governança e as obrigações para modelos de IA de finalidade geral (IAFG) entraram em vigor. Novos modelos de IAFG lançados após esta data devem cumprir as normas imediatamente. Modelos que já existiam antes desta data têm até 2 de agosto de 2027.
  • 2 de agosto de 2026 — O prazo mais importante. As obrigações de transparência do Artigo 50 tornam-se exigíveis. As obrigações para sistemas de alto risco previstas no Anexo III tornam-se exigíveis. Os poderes de fiscalização da Comissão sobre modelos de IAFG, incluindo a capacidade de aplicar multas, são ativados. O requisito de representante autorizado do Artigo 22 para fornecedores de alto risco de fora da UE torna-se operativo.
  • 2 de agosto de 2027 — Modelos de IAFG pré-existentes devem atingir conformidade total. Sistemas de alto risco incorporados em produtos já regulamentados (brinquedos, dispositivos médicos, máquinas) passam a integrar o quadro da Lei.
  • 2 de dezembro de 2027 — Sistemas de alto risco que já estão em serviço em categorias específicas do Anexo III (biometria, infraestrutura crítica, educação, emprego, migração, asilo, controle de fronteiras) devem atingir conformidade.
  • 2 de agosto de 2028 — Sistemas de alto risco incorporados em produtos regulamentados (elevadores, brinquedos, etc.) atingem a aplicação plena.

Para uma empresa típica de SaaS dos EUA que fornece um chatbot ou assistente de IA para clientes da UE, o prazo prático de curto prazo é 2 de agosto de 2026 para a transparência do Artigo 50. Para fornecedores de modelos de fundação e plataformas de agentes de IA, a janela de fiscalização de IAFG abre no mesmo dia.

Passo Quatro: Realize o Trabalho de Transparência do Artigo 50

Se o seu produto estiver no nível de risco limitado, esta é a seção que mais importa. O Artigo 50 exige quatro divulgações específicas:

  1. Divulgação de chatbot: Se uma pessoa interage com um sistema de IA, ela deve ser informada de que está interagindo com IA — a menos que isso seja óbvio pelo contexto. "Óbvio" é uma palavra que carrega muita responsabilidade nessa frase. A leitura conservadora é adicionar uma divulgação explícita na primeira interação.
  2. Marcação de conteúdo sintético: Imagens, áudios, vídeos ou textos gerados ou manipulados por IA devem ser marcados em um formato legível por máquina e detectável como artificial. Isso significa, na prática, marca d'água ou metadados de proveniência (pense no padrão C2PA).
  3. Rotulagem de deepfake: Conteúdos que constituam um deepfake devem ser rotulados como gerados ou manipulados artificialmente.
  4. Rotulagem de textos de interesse público: Textos gerados por IA publicados para informar o público sobre questões de interesse público devem ser divulgados como gerados por IA, a menos que tenham passado por revisão humana com responsabilidade editorial.

Construir essa camada de divulgação não é tecnicamente difícil, mas exige coordenação entre produto, design e jurídico. Alguns padrões que vimos funcionar:

  • Um pequeno selo de "assistido por IA" em interfaces de chat, com uma dica de ferramenta (tooltip) vinculada a uma página de divulgação mais detalhada.
  • Metadados de proveniência incorporados no momento da geração, via padrão C2PA, para qualquer saída de mídia.
  • Uma biblioteca de strings de divulgação aprovadas, localizadas em todos os idiomas da UE que seu produto atende.
  • Uma política interna de que qualquer conteúdo de "interesse público" (resumos de notícias, tópicos políticos, informações de saúde) passe por revisão editorial humana e seja registrado.

Passo Cinco: Nomeie um Representante Autorizado na UE (Se Necessário)

O Artigo 22 exige que os fornecedores estabelecidos em países terceiros — o que inclui os EUA — nomeiem um representante autorizado com mandato por escrito na UE antes de colocar um sistema de IA de alto risco no mercado da União. O Artigo 54 impõe uma obrigação semelhante aos fornecedores de modelos de IAFG.

Se você estiver fornecendo apenas sistemas de risco limitado com obrigações de transparência do Artigo 50, não precisa de um representante do Artigo 22. Se estiver fornecendo sistemas de alto risco ou modelos de IAFG, você precisa — e procurar um leva tempo. Os deveres do representante incluem:

  • Verificar se a Declaração UE de Conformidade e a documentação técnica estão em ordem.
  • Manter a documentação disponível para as autoridades nacionais competentes por dez anos.
  • Cooperar com as autoridades em ações corretivas, retiradas ou recalls.
  • Encaminhar reclamações, relatórios de incidentes e notificações de incidentes graves para você.
  • Rescindir o mandato (e notificar as autoridades) caso você não cumpra suas obrigações.

O representante não pode assumir suas obrigações principais de fornecedor sob os Artigos 9 a 17 — essa responsabilidade permanece com você. Eles são, essencialmente, sua presença responsável na UE e seu ponto de contato para o Escritório de IA e as autoridades nacionais de fiscalização do mercado.

Os preços para serviços de representante autorizado estabilizaram-se na faixa de € 5.000 a € 25.000 por ano para fornecedores menores, dependendo da complexidade do sistema, do número de estados-membros da UE atendidos e do escopo da revisão da documentação. Reserve orçamento para isso da mesma forma que faria para um agente registrado em Delaware.

Passo Seis: Construa a Estrutura de Documentação

Quer você esteja fornecendo um sistema de alto risco ou um modelo de IAFG, você deve um rastro de papel. A Lei enumera vários documentos que precisam existir e ser mantidos atualizados:

  • Documentação técnica (Anexo IV para sistemas de alto risco, Anexo XI para modelos de IAFG) — arquitetura do sistema, práticas de governança de dados, metodologia de treinamento, resultados de avaliação, limitações conhecidas.
  • Documentação do sistema de gestão de riscos (Artigo 9) — identificação de riscos previsíveis, medidas de mitigação, critérios de aceitação de risco residual.
  • Documentação de governança de dados (Artigo 10) — fontes de dados de treinamento, validação e teste, critérios de qualidade de dados, exame de vieses.
  • Registros de log (Artigo 12) — logs de eventos automáticos com detalhes suficientes para permitir o monitoramento pós-comercialização.
  • Design de supervisão humana (Artigo 14) — como os operadores humanos podem interpretar as saídas, intervir, anular ou desligar o sistema.
  • Plano de monitoramento pós-comercialização (Artigo 72) — como você coletará, analisará e responderá a dados de desempenho e incidentes do mundo real.
  • Declaração UE de Conformidade (Artigo 47) — o atestado jurídico de que seu sistema atende aos requisitos da Lei.
  • Marcação CE — afixada ao produto, indicando a conformidade.

Para fornecedores de IAFG, o Código de Prática publicado pelo Escritório de IA em julho de 2025 tornou-se a base de conformidade de fato. É voluntário, mas a adesão demonstra boa-fé e garante tratamento favorável em qualquer avaliação de fiscalização subsequente. Os três capítulos do Código — Transparência, Direitos Autorais e Segurança — alinham-se estreitamente com o que o Escritório de IA procurará quando começar a exercer seus poderes de fiscalização em agosto de 2026.

Passo Sete: Prepare-se para a Onda de Questionários de Aquisição

Para a maioria das empresas SaaS dos EUA, a primeira manifestação prática do Regulamento da IA da UE (EU AI Act) não será uma batida à porta por parte do Gabinete da IA. Será um questionário de aquisição da equipa jurídica de um cliente da UE a perguntar quais os modelos que utiliza, em que dados de treino foram baseados, que controlos tem para evitar utilizações proibidas, como são os seus arranjos de residência de dados e se tem um representante do Artigo 22.

Estes questionários estão a chegar agora — muito antes da data de aplicação em agosto de 2026 — porque os compradores da UE querem garantir fornecedores em conformidade antes do aperto do prazo final. Os ciclos de vendas estão a tornar-se mais longos em indústrias regulamentadas (finanças, saúde, governo, educação), à medida que os compradores adicionam diligências específicas do Regulamento da IA. Os fundadores que conseguirem responder ao questionário com confiança na primeira semana de um ciclo de vendas fecharão negócios que os seus concorrentes menos preparados perderão.

Construa agora um conjunto de informações permanente sobre o Regulamento da IA. Este deve incluir:

  • Um resumo de uma página da sua função (fornecedor/implementador/ambos), nível de risco e obrigações aplicáveis
  • Uma lista dos modelos subjacentes que utiliza, com informações sobre subprocessadores e ao estilo DPA (Acordo de Processamento de Dados)
  • As suas divulgações de transparência (Artigo 50)
  • A sua documentação de governança de dados e de dados de treino, redigida conforme necessário
  • O seu procedimento de resposta a incidentes e de reporte de incidentes graves
  • Uma cópia do mandato do seu representante autorizado, se aplicável

Como o RGPD, o Regulamento de Dados e o DSA se Encaixam

O Regulamento da IA não substitui a legislação existente da UE. Ele sobrepõe-se a ela. Um sistema de alto risco que processe dados pessoais é regulado tanto pelo Regulamento da IA quanto pelo RGPD, e as obrigações acumulam-se. O Artigo 26(8) do Regulamento da IA preserva explicitamente o requisito de avaliação de impacto sobre a proteção de dados (AIPD) do RGPD para implementadores de alto risco. As obrigações de partilha de dados e de mudança do Regulamento de Dados (Data Act) aplicam-se juntamente com a conformidade do Regulamento da IA. As regras de transparência dos sistemas de recomendação do Regulamento dos Serviços Digitais (DSA) aplicam-se para além do Artigo 50.

Praticamente, isto significa que o seu programa de conformidade necessita de um registo integrado. Uma única funcionalidade de IA pode acionar uma AIPD do RGPD, uma avaliação de risco do Regulamento da IA, uma divulgação do Artigo 50, um relatório de transparência de sistemas de recomendação do DSA e um compromisso de portabilidade do Regulamento de Dados. Tratar estes como fluxos de trabalho separados é a forma como os erros acontecem. Tratá-los como um único programa com documentação partilhada é como se mantém a sanidade.

Como São Realmente as Multas

A estrutura de penalidades do Regulamento ao abrigo do Artigo 99 tem três níveis:

  • Práticas proibidas (violações do Artigo 5): Até 35 milhões de euros ou 7% do volume de negócios anual mundial, o que for mais elevado
  • A maioria das outras obrigações (Artigos 8-15, Artigo 50, obrigações de IA de uso geral (GPAI) ao abrigo do Artigo 101): Até 15 milhões de euros ou 3% do volume de negócios anual mundial, o que for mais elevado
  • Informações enganosas às autoridades: Até 7,5 milhões de euros ou 1% do volume de negócios anual mundial, o que for mais elevado

Para as PMEs, incluindo as startups, as multas são limitadas ao menor dos dois valores, em vez de ao maior. Essa é uma concessão real, mas 1% da receita ainda é um número significativo para uma empresa SaaS de Série B, e "PME" sob as definições da UE vai até 50 milhões de euros em volume de negócios — a maioria das empresas SaaS dos EUA em fase de crescimento está acima dessa linha.

A primeira onda de ações de fiscalização no final de 2026 e em 2027 visará provavelmente os maiores e mais visíveis fornecedores — laboratórios de modelos de fundação e grandes produtos de IA de consumo. Mas as autoridades nacionais de fiscalização do mercado têm ampla discrição, e as investigações baseadas em queixas podem visar qualquer fornecedor. Planeie para o caso médio, não para o pior caso: provavelmente não será o primeiro a ser multado, mas não quer ser o fundador a explicar a um conselho de administração por que razão a receita da empresa na UE está agora bloqueada a aguardar um plano de ação corretiva.

Integre a Conformidade na Engenharia, Não em Torno Dela

As equipas de conformidade que mais lutam com o Regulamento da IA são as que o tratam como um exercício jurídico anexado a um produto acabado. As equipas que lidam com isso de forma limpa tratam-no como uma restrição de design do sistema: governança de dados integrada na camada de dados, registo (logging) integrado na camada de inferência, supervisão humana integrada na UX, divulgações de transparência integradas na biblioteca de componentes. Os requisitos do Regulamento são, na sua maioria, coisas que um produto de IA bem concebido já deveria estar a fazer — avaliação robusta, documentação clara, resposta a incidentes estruturada, UX transparente. O Regulamento apenas os torna legalmente obrigatórios.

Para os fundadores dos EUA especificamente, a mudança de mentalidade é reconhecer que a UE não é um mercado opcional que se pode adiar para "mais tarde". O alcance extraterritorial do Regulamento através do "resultado na UE" significa que mesmo pequenos contratos B2B podem colocá-lo no âmbito de aplicação. E a dinâmica do questionário de aquisição significa que a preparação é uma vantagem competitiva agora, não apenas um item de conformidade.

Mantenha os Seus Registos Financeiros Prontos para Auditoria Também

Se está a expandir uma empresa SaaS para a UE, a conformidade com o Regulamento da IA é uma peça de um desafio de documentação maior. Também precisará de registos financeiros limpos, reconhecimento de receita defensável para subscrições em várias jurisdições, documentação de preços de transferência e declarações IVA-MOSS. O mesmo instinto de engenharia que impulsiona a documentação de conformidade limpa e com controlo de versões deve impulsionar a sua contabilidade financeira: texto simples, auditável e revisável por um humano ou por um auditor de IA.

Mantenha as suas finanças tão transparentes quanto a sua IA

A lição mais profunda da Lei da IA — de que a documentação, a auditabilidade e a transparência são agora vantagens competitivas — aplica-se igualmente à sua contabilidade. O Beancount.io oferece contabilidade em texto simples que proporciona total transparência e controle de versão sobre os seus registros financeiros, com a mesma estrutura legível por humanos e processável por máquinas que a conformidade moderna exige. Sem caixas pretas, sem dependência de fornecedor e com um diário que um auditor (ou o seu próprio agente de IA) pode ler diretamente. Comece gratuitamente e veja por que desenvolvedores e profissionais de finanças que constroem empresas focadas em IA estão mudando para a contabilidade em texto simples.