Obrigações de Dados da Lei de IA da UE em vigor desde maio de 2026 – O que as empresas que implantam sistemas de IA precisam fazer agora
O que mudou em 2 de maio de 2026
O cronograma de implementação escalonada da Lei de IA da UE atingiu seu marco mais importante em 2 de maio de 2026: os requisitos para sistemas de IA de alto risco se tornaram legalmente aplicáveis. As disposições sobre usos proibidos (score social, vigilância biométrica em tempo real em espaços públicos) já estavam em vigor desde agosto de 2024. Os requisitos para modelos de IA de uso geral entraram em vigor em agosto de 2025. Mas a categoria de alto risco – IA usada em emprego, educação, crédito, aplicação da lei, controle de fronteiras e infraestrutura crítica – é onde a maior parte da implantação corporativa de IA está, e é isso que agora está sujeito a multas de até 3% do faturamento global anual.
A regulamentação não proíbe IA nessas categorias. Ela exige um conjunto específico de medidas de governança de dados, transparência e supervisão humana. Entender exatamente o que é exigido é essencial porque o texto da lei é específico em locais onde a maioria das estruturas de conformidade tem sido vaga, e vago em locais onde os profissionais precisam de especificidades.
As seis obrigações principais de dados para IA de alto risco
1. Documentação dos dados de treinamento
O Artigo 10 da Lei de IA exige que os conjuntos de dados de treinamento, validação e teste para sistemas de IA de alto risco sejam submetidos a práticas documentadas de governança de dados. Especificamente, os operadores devem documentar a metodologia de coleta de dados, os critérios de seleção usados para incluir ou excluir dados, o escopo geográfico e temporal dos dados, as operações de pré-processamento e limpeza realizadas e – o mais crítico – as possíveis limitações e vieses que os dados podem conter e como foram avaliados.
Isso é mais exigente do que parece. A maioria das equipes de Machine Learning consegue descrever seu pipeline de pré-processamento. Muito menos têm documentação formal sobre por que fontes de dados específicas foram excluídas ou uma avaliação escrita sobre quais vieses demográficos ou contextuais seus dados de treinamento podem carregar. A orientação do Comitê Europeu de Proteção de Dados de abril de 2026 esclarece que essa documentação deve ser atualizada quando o modelo for retreinado, não apenas na implantação inicial.
2. Avaliação de Impacto sobre Direitos Fundamentais
Os implantadores (organizações que usam um sistema de IA de alto risco, distintas dos provedores que o constroem) devem concluir uma Avaliação de Impacto sobre Direitos Fundamentais (FRIA) antes da implantação. Isso é análogo a uma Avaliação de Impacto sobre Proteção de Dados (DPIA) sob o GDPR, mas vai além da proteção de dados para abranger o impacto potencial do sistema de IA sobre igualdade, não discriminação, acesso a serviços e direitos processuais.
A avaliação deve identificar quais grupos de pessoas interagem com o sistema, quais decisões ou recomendações ele informa, quais seriam as consequências de erros sistemáticos para populações específicas e qual mecanismo de supervisão humana está em vigor. A avaliação deve ser documentada, revisada quando o sistema for significativamente atualizado e disponibilizada às autoridades nacionais de vigilância de mercado mediante solicitação.
3. Mecanismos de supervisão humana
O Artigo 14 exige que sistemas de IA de alto risco sejam projetados e implantados com medidas de supervisão humana que permitam à pessoa responsável entender as capacidades e limitações do sistema, monitorar as operações e ser capaz de anular, interromper ou desconsiderar a saída do sistema. Isso não é satisfeito apenas por ter um humano tecnicamente no loop que carimba as decisões de IA – a lei exige que o humano seja realmente capaz de entender e revisar significativamente a saída.
Na prática, isso cria um requisito de documentação e treinamento. As organizações devem ser capazes de demonstrar que as pessoas que revisam as recomendações geradas por IA receberam informações sobre as taxas de erro do sistema, limitações conhecidas e os tipos de casos em que ele é menos confiável. Um gerente de contratação que aprova uma lista de candidatos gerada por IA sem conhecer as taxas de falso positivo demográficas por gênero ou etnia do sistema não satisfaz o Artigo 14.
4. Precisão, robustez e segurança cibernética
Sistemas de IA de alto risco devem atingir níveis consistentes de precisão apropriados para sua finalidade pretendida, e os provedores devem divulgar as métricas de precisão esperadas nas instruções de uso. Isso cria uma obrigação que a maioria das implantações de IA corporativa não está atualmente estruturada para cumprir: monitoramento contínuo de desempenho com limites definidos que acionam revisão ou suspensão do sistema. Sistemas que eram precisos na implantação podem sofrer drift à medida que as distribuições de dados subjacentes mudam – a lei exige detectar e agir sobre esse drift.
5. Documentação técnica e logs
Os provedores devem manter documentação técnica demonstrando a conformidade do sistema com a Lei, e o sistema deve manter logs de sua operação automaticamente por um período adequado à finalidade. Para IA de emprego, a orientação sugere que os logs devem cobrir, no mínimo, as entradas consideradas, a saída produzida e o timestamp para cada decisão relevante, retidos por todo o período de qualquer contestação legal – tipicamente de 3 a 5 anos, dependendo da legislação trabalhista do estado-membro.
6. Transparência para as pessoas afetadas
Pessoas sujeitas a decisões tomadas ou significativamente influenciadas por IA de alto risco têm direito a uma explicação. Esse direito não é acionado apenas por tomada de decisão automatizada (coberta pelo Artigo 22 do GDPR), mas por qualquer influência significativa de um sistema de IA de alto risco sobre uma decisão humana. A explicação deve cobrir os principais parâmetros considerados pelo sistema e como eles influenciaram o resultado – não uma descrição genérica de como o modelo funciona, mas uma explicação específica da decisão.
Onde a maioria das organizações está errando agora
O Escritório Europeu de IA iniciou auditorias sombra de implantações de IA de alto risco nos setores de serviços financeiros e tecnologia de RH, e os primeiros sinais de advogados do setor que viram os questionários indicam três lacunas consistentes:
Lacuna 1: A FRIA não está sendo feita ou é delegada inteiramente ao fornecedor de IA. O implantador é responsável pela avaliação, não o provedor. Os fornecedores podem fornecer documentação para ajudar, mas a FRIA deve refletir o contexto específico da implantação, não apenas o modelo em abstrato. Um modelo de pontuação de crédito implantado pelo Banco A na Alemanha para empréstimos ao consumidor em 2026 deve ter uma FRIA diferente do mesmo modelo implantado pelo Banco B para empréstimos a PMEs na França.
Lacuna 2: Mecanismos de supervisão humana existem no papel, mas não na prática. Muitas organizações documentaram que um humano revisa as recomendações de IA, mas não garantiram que os humanos recebam as informações necessárias para anular significativamente a IA. Um estudo da AlgorithmWatch publicado em abril de 2026 constatou que, em 78% das implantações de IA de RH pesquisadas, o revisor humano não tinha acesso à pontuação de confiança do modelo ou às taxas de erro conhecidas no momento da revisão.
Lacuna 3: A documentação dos dados de treinamento é anterior à Lei e não atende ao Artigo 10. Sistemas construídos antes de 2024 geralmente têm registros inadequados das decisões de seleção de fontes de dados e avaliações de viés. Reconstruir retroativamente essa documentação é difícil e, em muitos casos, impossível para sistemas onde os dados originais não existem mais. A resposta pragmática é tratar o retreinamento ou uma atualização significativa do modelo como um gatilho de conformidade para produzir documentação compatível daqui para frente.
Passos práticos para conformidade agora
- Mapeie seu inventário de IA para as categorias de alto risco. O Artigo 6 e o Anexo III listam as categorias com precisão. Se você usa IA em triagem de emprego, avaliação de crédito, elegibilidade para benefícios ou suporte à aplicação da lei, você está no escopo. Não presuma que usar um fornecedor externo significa que você não é o implantador para fins da lei.
- Priorize a conclusão da FRIA para sistemas já implantados. A lei não oferece período de carência para sistemas já em uso. Se seu sistema foi implantado antes de 2 de maio de 2026, você está em violação se não tiver uma FRIA compatível. Conclua-a agora, com uma data de implantação precisa, e documente quaisquer ações corretivas.
- Audite sua documentação de supervisão humana. Você pode demonstrar que os revisores humanos das saídas de IA foram treinados nas limitações do sistema? Seus fluxos de trabalho registram que um humano realmente revisou a decisão, ou apenas que o sistema produziu uma recomendação?
- Implemente monitoramento de drift de desempenho do modelo. Defina seus limites de precisão, estabeleça uma cadência de monitoramento e documente o que aciona uma revisão ou suspensão do sistema. Isso não requer ferramentas sofisticadas – uma auditoria trimestral de precisão contra um conjunto de dados de avaliação retido é melhor do que nada.
- Envolva seus fornecedores de IA em obrigações de documentação compartilhadas. Provedores de sistemas de IA de alto risco têm suas próprias obrigações sob a Lei. Solicite sua documentação técnica e avaliações de conformidade e verifique se eles têm a marcação CE quando aplicável. Usar um sistema de IA de um fornecedor que não pode fornecer essa documentação é, por si só, uma exposição de conformidade.
O regime de execução da Lei de IA tem mais dentes do que o GDPR tinha no lançamento. O Escritório Europeu de IA é um órgão dedicado com equipe técnica, e as multas escalam com o faturamento, em vez de serem limitadas a um valor fixo. Organizações que trataram 2 de maio de 2026 como um momento de marcar caixa em vez de uma mudança operacional genuína estão assumindo um risco legal mensurável.