A implementação do AI Act segue um cronograma escalonado que vai de 2 de fevereiro de 2025 até o final de 2027. Essa progressividade busca dar tempo para que os agentes econômicos se adequem, ao mesmo tempo em que ativa rapidamente as proteções mais urgentes.
Previstas no capítulo V do regulamento, as obrigações GPAI são o núcleo da regulação dos foundation models. Todo fornecedor de um modelo de IA de uso geral colocado no mercado europeu - incluindo em open source, com algumas isenções parciais - deve:
Para os modelos de risco sistêmico, identificados por um cálculo de treinamento superior a 10²⁵ FLOPS ou designados pela Comissão, somam-se: avaliação contínua dos riscos, testes adversariais (red-teaming) padronizados, medidas de cibersegurança, notificação de incidentes graves ao Bureau de IA e publicação de um relatório sobre desempenho energético. No momento da entrada em vigor, em agosto de 2025, GPT-4, Gemini Ultra, Claude 3 Opus e Llama 3.1 405B estavam no escopo. O limiar poderá ser revisado pela Comissão para refletir a evolução do estado da arte.
Para facilitar a conformidade com os artigos 53 e 55 antes da adoção dos padrões harmonizados, a Comissão Europeia lançou em julho de 2024 a elaboração de um Código de boas práticas para modelos de IA de uso geral. Coordenado pelo Bureau de IA e envolvendo treze especialistas independentes e cerca de cem organizações consultadas, o código passou por várias versões intermediárias antes da publicação final em 10 de julho de 2025.
O código se estrutura em três pilares: transparência (publicação de informações técnicas para implementadores e público), direitos autorais (procedimentos operacionais para respeitar os opt-out) e segurança/fiabilidade para modelos de risco sistêmico. Sua adoção é voluntária, mas oferece presunção de conformidade: um fornecedor que o segue é considerado em conformidade com os requisitos correspondentes. Os principais laboratórios americanos e europeus concordaram em aderir às suas disposições, com exceção notável da Meta, que se recusou a assinar em julho de 2025, alegando incompatibilidade do framework com suas práticas no Llama. Google e Anthropic assinaram com reservas, enquanto OpenAI, Mistral AI e Microsoft deram apoio total.
O artigo 53 tornou-se o ponto central do debate sobre a coexistência entre IA generativa e indústrias criativas. Seu §1(c) exige que os fornecedores de GPAI implementem uma política de respeito aos direitos autorais, e o §1(d) obriga a publicação de um resumo suficientemente detalhado dos conteúdos de treinamento, conforme modelo fornecido pelo Bureau de IA.
Na prática, o mecanismo se baseia no binômio exceção TDM (text and data mining, artigo 4 da diretiva 2019/790) e opt-out machine-readable. Os titulares de direitos que desejam se opor ao uso de suas obras para o treinamento de modelos de IA devem expressar essa reserva em formato legível por máquina - tipicamente via um arquivo robots.txt, um cabeçalho HTTP ou uma metadada inserida na obra. Diversas iniciativas - TDM Reservation Protocol do W3C, ai.txt, C2PA - propõem padrões concorrentes, sem que nenhum tenha se imposto até 2026.
Os titulares de direitos franceses contestam a efetividade do dispositivo. SACEM, SCAM, SACD e SDRM denunciam a assimetria de informação e a ausência de sanção efetiva em caso de descumprimento dos opt-out. Em maio de 2026, o arquivamento na Assembleia Nacional da proposta de lei Darcos, que visava introduzir um mecanismo probatório invertido (presunção de uso das obras na ausência de transparência) via o artigo L. 331-4-1 do Code de la propriété intellectuelle, deixou os titulares de direitos sem respaldo legislativo nacional, remetendo-os à aplicação estrita do artigo 53 pela Comissão Europeia.
O AI Act cria duas instâncias europeias centrais. O Bureau europeu de IA (European AI Office), instituído por decisão da Comissão em maio de 2024 e vinculado à DG CONNECT, supervisiona a implementação do regulamento para GPAI e modelos de risco sistêmico. Ele edita o código de boas práticas, monitora fornecedores, instrui reclamações e pode impor sanções. No momento de sua criação, contava com cerca de cem agentes e era dirigido por Lucilla Sioli.
O Comitê Europeu de Inteligência Artificial (European AI Board) reúne representantes das autoridades nacionais de supervisão dos 27 Estados-membros. Sua primeira reunião oficial ocorreu em setembro de 2024. O comitê garante a coordenação entre os Estados-membros, harmoniza a interpretação do regulamento e assessora a Comissão. Um Fórum consultivo que reúne indústria, sociedade civil, academia e PMEs completa o dispositivo.
No âmbito nacional, cada Estado-membro designa uma ou mais autoridades competentes. Na França, a CNIL coordena a aplicação das disposições relativas a dados pessoais, enquanto a DGCCRF e a DGE atuam nos aspectos de produtos e mercado interno. Um grupo de coordenação interministerial foi anunciado em 2025, mas ainda não havia sido formalizado quando as regras GPAI entraram em vigor.
O AI Act prevê uma escala de sanções proporcional à gravidade da infração:
PMEs e start-ups contam com um teto proporcional: aplica-se o menor valor entre os dois. Os primeiros procedimentos formais devem ser abertos pelo Bureau de IA no final de 2026, após a fase de adequação progressiva.
O AI Act remodelou profundamente o ecossistema europeu de IA. Para as grandes empresas usuárias (bancos, seguros, saúde, RH), trata-se agora de integrar a conformidade desde a concepção dos sistemas - abordagem chamada compliance by design -, o que implica mapeamento dos usos de IA, análises de impacto, documentação técnica e governança interna. Escritórios como Wavestone, France Digitale e Gide publicaram já em fevereiro de 2024 guias práticos para apoiar esse desenvolvimento de competências.
Para os fornecedores de modelos open source, o regulamento prevê isenções parciais nas obrigações GPAI quando os parâmetros, a arquitetura e as informações de uso são tornados públicos - exceto para modelos de risco sistêmico. Uma coalizão de atores do open source europeu (Hugging Face, GitHub, Mistral, La Quadrature du Net) solicitou em julho de 2023 um quadro mais flexível para preservar a inovação colaborativa. O compromisso final manteve essas isenções, mas impôs a publicação do resumo dos dados de treinamento e da política de direitos autorais, o que dificulta a escalabilidade de modelos com grandes corpora.
Para os campeões europeus - Mistral AI, LightOn, Aleph Alpha, Black Forest Labs - o AI Act representa um duplo desafio: adequar-se em prazos curtos e, ao mesmo tempo, continuar treinando modelos competitivos frente a OpenAI, Anthropic ou Google. Diversas vozes, como a de Arthur Mensch (Mistral AI), alertaram para o risco de desindustrialização europeia caso as exigências regulatórias se tornem desproporcionais em relação às impostas fora da UE. Por outro lado, Yoshua Bengio, Raja Chatila e Nicolas Miailhe consideram que uma regulação rigorosa é crucial para preservar a autonomia estratégica europeia e a confiança do público.
O AI Act se insere em um cenário internacional fragmentado. Nos Estados Unidos, a Executive Order de Biden de outubro de 2023 foi em grande parte revogada pela administração Trump em janeiro de 2025, deixando as agências federais e os estados (notadamente a Califórnia com a SB 1047) construírem abordagens setoriais ou locais. A China, desde agosto de 2023, impôs um sistema de autorização prévia para modelos de IA generativa para o público geral, tendo aprovado mais de 190 LLMs ao custo de um controle político sobre o conteúdo gerado.
O Reino Unido optou por uma abordagem baseada em princípios implementados por reguladores setoriais existentes, sem lei específica até o momento. Brasil, Canadá, Japão e Coreia do Sul avançam em seus próprios marcos, muitas vezes inspirando-se na abordagem europeia baseada em riscos. O efeito Bruxelles - extraterritorialidade de fato dos regulamentos europeus quando fornecedores internacionais optam por alinhar suas operações globalmente em vez de gerenciar múltiplos regimes - deve se repetir como ocorreu com o RGPD, embora ainda não seja mensurável em 2026.
Diversas cúpulas internacionais marcaram essa construção: AI Safety Summit de Bletchley Park (novembro de 2023), Seoul AI Safety Summit (maio de 2024), AI Action Summit de Paris (fevereiro de 2025). Todas confirmaram a ausência de consenso global sobre regulação, ao mesmo tempo em que destacaram a responsabilidade particular da UE como primeiro regulador a adotar uma legislação vinculante.
Os desafios críticos dos próximos 18 meses concentram-se em:
O AI Act não é um ponto final, mas um quadro dinâmico. Sua revisão está prevista a cada quatro anos, sendo a primeira esperada para 2028. Seu sucesso será medido menos pela letra da lei e mais por sua capacidade de articular proteção dos direitos fundamentais, inovação industrial e soberania tecnológica europeia.
O regulamento entrou em vigor em 1º de agosto de 2024, vinte dias após sua publicação no Jornal Oficial da União Europeia em 12 de julho de 2024. Sua aplicação será gradual até agosto de 2027, conforme a natureza dos sistemas envolvidos: proibições em vigor desde 2 de fevereiro de 2025, obrigações GPAI a partir de 2 de agosto de 2025, sistemas de alto risco a partir de agosto de 2026.
Um modelo é presumido de risco sistêmico quando ultrapassa o limiar de 10²⁵ FLOPS de cálculo acumulado durante o treinamento. No início da obrigação em agosto de 2025, GPT-4, Gemini Ultra, Claude 3 Opus e Llama 3.1 405B estavam incluídos. A Comissão também pode designar outros modelos com base em critérios qualitativos (número de usuários, modalidades, capacidades avaliadas).
Todo fornecedor de modelo de uso geral colocado no mercado europeu deve manter uma documentação técnica, publicar um resumo detalhado dos dados de treinamento, implementar uma política de respeito aos direitos autorais e cooperar com o Escritório de IA. Os modelos de risco sistêmico possuem obrigações adicionais de avaliação contínua, testes adversariais, cibersegurança e notificação de incidentes.
O artigo 53 obriga os fornecedores de GPAI a respeitar os opt-out manifestados pelos titulares de direitos com base na diretiva 2019/790. Esse opt-out deve ser machine-readable (robots.txt, cabeçalhos HTTP, metadados). Os titulares de direitos na França contestam a efetividade do mecanismo, já que a revogação da lei Darcos em maio de 2026 deixou os titulares sem respaldo legislativo nacional.
As sanções chegam a 35 milhões de euros ou 7% do faturamento mundial anual para práticas proibidas, 15 milhões ou 3% para descumprimento das obrigações aplicáveis a sistemas de alto risco e GPAI, e 7,5 milhões ou 1% para fornecimento de informações incorretas. O valor mais alto se aplica para grandes empresas, o mais baixo para PME.
É um documento de referência publicado em 10 de julho de 2025 pela Comissão Europeia, elaborado por treze especialistas independentes e cerca de cem organizações consultadas. Sua adoção voluntária confere presunção de conformidade com os artigos 53 e 55. OpenAI, Mistral AI, Microsoft, Anthropic e Google assinaram, Meta recusou.
O Escritório Europeu de IA, ligado à Comissão Europeia (DG CONNECT), supervisiona os fornecedores de GPAI e os modelos de risco sistêmico. O Comitê Europeu de IA reúne as autoridades nacionais dos 27 Estados-membros. Em Portugal, a CNPD, a ASAE e a DGE são as autoridades competentes conforme os temas envolvidos.
Sim, modelos cujos parâmetros, arquitetura e informações de uso são publicados sob licença livre têm isenções parciais das obrigações GPAI - exceto se o modelo for de risco sistêmico. No entanto, a publicação do resumo dos dados de treinamento e a política de direitos autorais continuam obrigatórias para todos os modelos open source.
Em julho de 2025, mais de 150 dirigentes de empresas europeias - incluindo Carrefour, BNP Paribas, Airbus e TotalEnergies - assinaram uma carta aberta pedindo uma moratória de dois anos na aplicação do AI Act. Alegavam risco de desvantagem competitiva em relação a atores norte-americanos e chineses. A Comissão Europeia rejeitou o pedido, mantendo o calendário original.
O RGPD regula o tratamento de dados pessoais, enquanto o AI Act regula a colocação no mercado e o uso de sistemas de IA, independentemente de tratarem dados pessoais. Ambos os textos aplicam-se cumulativamente: um sistema de IA de alto risco que trate dados pessoais deve cumprir tanto as obrigações do AI Act quanto os princípios do RGPD (licitude, minimização, direitos dos titulares).
A primeira revisão quadrienal do regulamento está prevista para 2028. A Comissão deverá avaliar a eficácia do mecanismo, a evolução do estado da arte tecnológica e a possibilidade de modificar os limiares, as listas de usos de alto risco e os mecanismos de governança.
5 articles liés à ce sujet
A proposta de lei Darcos sobre direitos autorais e IA foi rejeitada na Assembleia Nacional. Os titulares de direitos enfrentam o artigo 53 do AI Act,...
O AI Act, regulamentação europeia sobre inteligência artificial (IA), está em vigor desde fevereiro de 2024, apesar da oposição de algumas empresas. E...
A Comissão Europeia apresentou a versão final do código de boas práticas para modelos de IA de uso geral, que visa ajudar fornecedores a cumprirem as...
Empresas europeias, incluindo Carrefour, BNP Paribas, Airbus e TotalEnergies, solicitaram uma pausa de dois anos na aplicação da regulamentação europe...
O Escritório de IA da Comissão Europeia apresentou o terceiro rascunho do Código de boas práticas para modelos de IA de uso geral, visando transparênc...
