§1 Biometria
Intersetorial- Identificação biométrica remota (não proibida pelo Artigo 5)
- Categorização biométrica (atributos sensíveis excluídos)
- Reconhecimento de emoções em contextos não proibidos
A Lei de IA da UE (Regulamento (UE) 2024/1689) classifica os sistemas de IA em quatro níveis de risco: proibido, alto risco, risco limitado e risco mínimo. A categoria de alto risco — definida no Artigo 6 e nas listas dos Anexos I e III — é onde se concentra a maioria das obrigações empresariais relativas à IA.
O Anexo III contém oito categorias de casos de uso de alto risco: biometria, infraestrutura crítica, educação, emprego, serviços essenciais, aplicação da lei, migração e justiça/democracia. Se a sua IA se enquadra em alguma delas, você enfrenta toda a estrutura de avaliação de conformidade, documentação técnica, supervisão humana e monitoramento pós-comercialização — além de penalidades de até €15 milhões ou 3% do faturamento global.
As obrigações de alto risco aplicam-se a partir de 2 de agosto de 2026. O Artigo 6(3) prevê uma derrogação restrita se a IA realiza apenas uma "tarefa procedimental restrita", aprimora uma atividade humana previamente concluída, detecta desvios de um padrão de decisão sem substituí-lo, ou realiza uma tarefa preparatória.
A Lei de IA da UE é a primeira regulamentação horizontal abrangente de IA no mundo. Aplica-se a provedores que colocam sistemas de IA no mercado da UE e a implementadores que utilizam sistemas de IA na UE — incluindo empresas de fora da UE cujos resultados sejam usados na UE (Artigo 2).
Assim como o GDPR, a Lei de IA é extraterritorial. Assim como o GDPR, sua violação acarreta penalidades baseadas em percentual do faturamento. Ao contrário do GDPR, possui categorias explícitas de casos de uso proibidos e um volume muito maior de requisitos pré-comercialização para sistemas de alto risco.
A maior parte da IA empresarial se enquadra em alto risco (devido a casos de uso de RH, crédito ou biometria) ou risco limitado (devido a implementações de chatbots).
O Artigo 6 classifica um sistema de IA como de alto risco se satisfizer qualquer um dos critérios:
Muitos sistemas satisfazem ambos os testes; a via do Anexo III é a que a maioria das equipes de produto precisa compreender.
O Artigo 6(3) estabelece uma isenção restrita. Um sistema de IA listado no Anexo III não é de alto risco se não representar risco significativo de dano à saúde, à segurança ou aos direitos fundamentais das pessoas físicas, inclusive por não influenciar materialmente o resultado da tomada de decisão. As condições do Artigo 6(3) são:
A derrogação não se aplica se o sistema de IA realizar a criação de perfis de pessoas físicas. Quando um provedor conclui que um sistema do Anexo III não é de alto risco, deve documentar a avaliação (Artigo 6(4)) e registrar o sistema na base de dados da UE (Artigo 49).
As obrigações de alto risco são extensas. Os provedores devem:
Os implementadores — as pessoas físicas ou jurídicas que utilizam um sistema de IA sob sua autoridade — têm obrigações mais leves, porém reais:
Geralmente não. Um chatbot genérico é de risco limitado nos termos do Artigo 50 — você deve informar que os usuários estão interagindo com IA. Mas um chatbot que avalia candidatos a emprego, pedidos de crédito ou pedidos de asilo seria de alto risco nos termos do Anexo III §4, §5 ou §7.
Os modelos de IA de uso geral têm seu próprio conjunto de regras nos termos dos Artigos 51–55 (documentação técnica, política de direitos autorais, resumo dos dados de treinamento e regras mais rígidas para GPAI com risco sistêmico). As obrigações de GPAI aplicam-se desde 2 de agosto de 2025.
Parcialmente. O Artigo 2(12) exclui a IA livre e de código aberto de muitos requisitos — exceto quando o sistema é de alto risco, proibido ou sujeito aos deveres de transparência do Artigo 50. Efeito prático: modelos de código aberto podem ser usados livremente, mas os implementadores em contextos de alto risco ainda assumem as obrigações de alto risco.
Aplicam-se em paralelo. A IA que processa dados pessoais deve satisfazer tanto o GDPR (base legal, DPIA, decisão automatizada nos termos do Artigo 22) quanto a Lei de IA (avaliação de conformidade, AIDF, monitoramento pós-comercialização). Provedores de IA de alto risco normalmente precisam tanto de um DPIA quanto de um dossiê de documentação técnica da Lei de IA.
Não exatamente. O Artigo 2(1) abrange provedores que colocam sistemas de IA no mercado da UE, provedores em países terceiros cujos resultados são usados na UE e implementadores na UE. A maioria dos fornecedores relevantes de IA está dentro do escopo.
A RegulatoryBridge conduz a avaliação de conformidade, a AIDF, a documentação técnica e o monitoramento pós-comercialização de sistemas de IA de alto risco — para que sua equipe de produto se concentre no modelo, não na burocracia.