AOS Journal
Tecnologia

Governança de IA: 352 dias até o primeiro prazo, multa de até 7% do faturamento global e a maior parte das empresas ainda sem plano.

O EU AI Act entra em vigor parcial em fevereiro de 2025 e atinge o marco crítico para sistemas de alto risco em agosto de 2026. Multa máxima: EUR 35 milhões ou 7% do faturamento global. A maior parte das empresas médias ainda trata governança de IA como exercício de checklist. Esta é uma investigação sobre o que realmente precisa estar pronto — e sobre o que já virou passivo silencioso.

P
Paulo Vasconcelos
13 abr 2026 · 14 min de leitura

Em 2 de fevereiro de 2025, entraram em vigor as primeiras proibições do EU AI Act — a primeira regulamentação abrangente de inteligência artificial do mundo. Em 2 de agosto de 2026, vão entrar em vigor as obrigações para sistemas de alto risco (Anexo III), que cobrem categorias onde boa parte das empresas corporativas opera: emprego, crédito, educação, aplicação da lei. A multa máxima, para as violações mais graves, chega a EUR 35 milhões ou 7% do faturamento global anual, o que for maior.

Para empresa brasileira que vende, atende ou processa dado de cliente europeu — a categoria quase completa do mercado corporativo médio — isso não é tema distante. É tema de calendário. E o calendário, para quem ainda não começou, é apertado: pouco mais de um ano até a aplicação total.

Esta matéria é sobre o que governança de IA significa operacionalmente, não no PDF de política. O que precisa estar rodando, ser auditável, ser provável em caso de questionamento. A maior parte das empresas médias, em pesquisas de 2025, está fazendo pouco — o que virou, sem eufemismo, passivo regulatório silencioso.

O relógio que já começou

Governança de IA em 2026 não é tema voluntário. O arranjo regulatório tem três vetores simultâneos. Primeiro, o EU AI Act, com cronograma firme até 2027. Segundo, exigências de clientes enterprise — já é prática de contratos B2B de grandes portes exigir evidência formal de governança de IA em fornecedores. Terceiro, seguros de responsabilidade civil (E&O) começando a precificar risco de IA diferentemente em 2026.

Os três vetores se reforçam. Empresa que não consegue demonstrar governança perde contrato, paga mais caro em seguro, e corre risco direto de multa. O custo agregado de não ter governança cresce de forma não-linear exatamente no momento em que o tempo de preparação encolhe.

“Governança de IA deixou de ser tema de compliance anual. Virou disciplina operacional contínua — que a empresa sem cultura nenhuma de compliance vai ter que aprender a toque de caixa.”

Os prazos que realmente importam

Vale conhecer o cronograma com precisão, já que o cumprimento é sensível a datas específicas.

2 de fevereiro de 2025 — já em vigor

Proibições para sistemas de IA que apresentam riscos inaceitáveis. Categorias proibidas incluem manipulação cognitiva, scoring social de uso geral, identificação biométrica remota em tempo real em espaço público. Multa máxima (mais severa): EUR 35 milhões ou 7% do faturamento global, qual for maior.

2 de agosto de 2025 — já em vigor

Infraestrutura de governança operacional: notified bodies, sistema de avaliação de conformidade. Obrigações para provedores de modelos de IA de uso geral (GPAI). Multa máxima para infração: EUR 15 milhões ou 3% do faturamento global.

2 de agosto de 2026 — data crítica

O marco mais importante para a empresa corporativa média. Entram em vigor as exigências para sistemas de alto risco (Anexo III), que incluem IA usada em emprego (triagem, avaliação, demissão), crédito, educação, acesso a serviços essenciais. Até essa data, os sistemas dessas categorias precisam ter: avaliação de conformidade completa, documentação técnica finalizada, marcação CE afixada, registro em banco de dados europeu.

2 de agosto de 2027 — grace period final

Modelos legados (que já estavam em uso antes de agosto de 2025) têm até esta data para entrar em conformidade plena. Reconhece que atualizar sistemas em produção leva tempo, mas estabelece o teto.

O cálculo incômodo: em abril de 2026, faltam pouco mais de 100 dias para a data crítica de agosto de 2026. Empresas que não começaram processo de conformidade até o segundo semestre de 2025 têm, na prática, janela muito apertada. Modulos AI contou: 352 dias, no começo do ano. Agora, metade disso.

As multas — ordem de magnitude real

As multas do EU AI Act estão na faixa superior da regulamentação digital europeia, comparáveis ao GDPR em severidade. Em três camadas:

  1. Práticas proibidas: até EUR 35 milhões ou 7% do faturamento global.
  2. Não-conformidade de sistemas de alto risco: até EUR 15 milhões ou 3% do faturamento.
  3. Informações incorretas a autoridades: até EUR 7,5 milhões ou 1% do faturamento.

Para empresa brasileira de médio porte com faturamento de R$ 200 milhões e operação em alguns clientes europeus, 7% do faturamento são R$ 14 milhões. Não é pequeno. Não está em linha alguma do balanço atual.

Três camadas que definem governança séria

A maior parte das empresas médias trata governança como PDF — política escrita uma vez, raramente revista, nunca auditada. Isso é declaração, não governança. Governança funcional existe em três camadas que se reforçam.

Camada 1 — técnica

É a camada de captura bruta. Sem ela, nada em cima se sustenta. O que precisa estar registrado a cada interação com IA, por princípio arquitetural:

  1. Modelo e versão utilizada. Incluindo a versão específica — GPT-5-turbo-0425, não apenas “GPT”.
  2. Prompt enviado e system prompt ativo. Literal, para permitir reconstrução.
  3. Documentos acessados (por ID, não por conteúdo, para respeitar privacidade).
  4. Saída gerada e confiança estimada.
  5. Humano responsável (se houver — operador, aprovador, testemunha).
  6. Timestamp e identificação de sessão.
  7. Política vigente no momento. Se a política muda em junho e o caso é de maio, a auditoria precisa saber qual versão estava ativa.

O ponto crítico: o registro precisa resistir a adulteração. Log que o operador pode editar não é auditoria — é relato. Em empresas maduras, logs vão para sistema de append-only (acrescentar-apenas), com hash encadeado e replicação. Não é complicado tecnicamente; é questão de arquitetar certo desde o início.

O erro mais comum: começar a capturar governança depois do sistema já estar em produção. Retrofit de logs é tecnicamente possível mas praticamente ineficaz — você só captura o que vem a partir de então. Histórico anterior fica lacuna permanente, e essa lacuna é exatamente o que o auditor vai perguntar.

Camada 2 — política

Política é onde a empresa declara o que pode, o que não pode, e o que é condicional. Três tipos em ordem de sofisticação:

Política baseada em dados

Que dados o agente pode acessar. Exemplo: “o agente de atendimento pode ler histórico de pedido e status de conta, mas não dados confidenciais de RH do próprio cliente corporativo”. Este é o mais fácil de implementar — respeita estrutura de permissão que já existe para humanos.

Política baseada em ação

O que o agente pode executar. Exemplo: “pode sugerir reembolso; só humano executa acima de R$ 500”. Esta camada define alçada. É onde a maioria dos projetos falha quando tenta ser vaga — “use bom julgamento” não é política, é omissão.

Política baseada em contexto

A mais sofisticada. “O agente de venda pode oferecer desconto de até 8% em volume acima de X, para cliente classificado como A, em canal de venda consultiva”. Combina múltiplas dimensões. Exige infraestrutura técnica para avaliar contexto em tempo real — mas é a que permite operação realmente útil em casos complexos.

“Política que não é codificável em regra executável não é política. É princípio aspirativo — e agente não segue aspiração, segue regra.”

Camada 3 — auditoria

Auditoria é o cruzamento contínuo das duas camadas anteriores. Três perguntas que a camada precisa responder em tempo curto a qualquer momento:

Pergunta 1 — o agente fez o que fez sob qual política?

Dada uma decisão específica, qual política estava vigente, que parâmetros foram consultados, qual foi a saída. Resposta rápida é pré-requisito para reagir a incidente antes que vire passivo formal.

Pergunta 2 — quantos casos violariam política atual nos últimos 90 dias?

Quando política muda, a empresa saudável consegue rastrear retroativamente quais decisões estariam fora do padrão novo. Isso não pune nada — mas informa necessidade de revisão ou correção proativa.

Pergunta 3 — qual o efeito mensurável quando política muda?

Se alçada foi ampliada em março, dá para medir em abril/maio/junho o efeito — mais decisões feitas com autonomia, taxa de erro, satisfação interna. Governança madura usa auditoria não só para proteger, mas para evoluir.

Teste de maturidade: se sua empresa não consegue responder as três perguntas acima em menos de 24 horas, a governança é declaratória. Funciona até o dia em que alguém de fora pergunta — e nesse dia, o custo de improvisar resposta é alto. Auditores, reguladores e clientes corporativos sérios têm zero paciência para “vamos investigar e volto”.

O contexto brasileiro e a LGPD

No Brasil, dois movimentos regulatórios afetam empresas de médio porte nas próximas 24 meses. Primeiro, a ANPD (Autoridade Nacional de Proteção de Dados) já sinalizou em múltiplos comunicados de 2025 que automatização de decisão com impacto ao titular entra no escopo da LGPD vigente — não precisou esperar lei específica. Empresas que tomam decisões automáticas sobre cliente (aprovação de crédito, triagem, cobrança) já têm obrigação de transparência e revisão humana conforme artigo 20 da LGPD.

Segundo, projetos de lei específicos sobre IA tramitam no Congresso — com possibilidade real de aprovação em 2026. A direção sinalizada é similar ao EU AI Act, com classes de risco e obrigações proporcionais. Para empresa brasileira, a estratégia conservadora é preparar infraestrutura que atenda o padrão europeu — provavelmente vai servir para o padrão brasileiro futuro, e já atende parceiros europeus atuais.

A lição aprendida com a LGPD: empresas que se prepararam com antecedência pagaram menos (auditoria, consultoria, adaptação) do que empresas que correram no último mês. O custo de fazer sob pressão é entre 3x e 8x o custo de fazer com método, segundo pesquisa da Deloitte Brasil de 2024 sobre compliance LGPD.

O padrão das empresas que estão prontas

As empresas que, em abril de 2026, estão em posição confortável diante do cronograma têm em comum cinco características:

1. Começaram a documentar em 2024

Começaram antes da obrigação. Trataram governança como infraestrutura em vez de reação a prazo. Em abril de 2026, têm dois anos de rastro auditável — o que é não só conforme mas reputacionalmente forte.

2. Têm inventário vivo de sistemas de IA em uso

Não “temos política que cobre todos”. “Temos tabela com 17 sistemas de IA específicos, cada um com owner, risco classificado, avaliação de conformidade documentada”. A diferença entre “cobre todos” (genérico) e “tabela de 17 sistemas” (específico) é a diferença entre política e governança.

3. Testaram a capacidade de resposta a incidente

Simularam pelo menos um cenário de questionamento externo — “por que seu agente decidiu X em 14 de março?” — e cronometraram o tempo para resposta completa, com provas. Se o teste demorou mais de 4 horas, vão trabalhar para reduzir.

4. Treinaram o conselho

Não significa virar conselheiro em especialista técnico. Significa que o board sabe identificar quando uma decisão envolve risco de IA relevante, sabe fazer as perguntas certas para o gestor, e sabe quando escalar para apoio externo. Empresas maduras têm pelo menos um conselheiro com responsabilidade formal sobre o tema.

5. Contratualizaram com fornecedores

Contratos com fornecedores de IA (OpenAI, Anthropic, Google, fornecedor brasileiro) incluem cláusulas explícitas sobre dados, processos de auditoria, direito de inspeção. Empresa que assina termo padrão sem adaptação fica dependente do que o fornecedor decidir escrever.

“Governança não é o que você declara em política. É o que seu sistema consegue provar em 4 horas quando alguém de fora perguntar.”

A empresa que ainda está começando em abril de 2026 tem janela apertada mas viável — se tratar como prioridade séria, seis a nove meses chegam. A empresa que ainda considera como “vamos ver no começo do ano que vem” está, efetivamente, escolhendo absorver risco regulatório sem compensação. O risco pode não materializar no próximo trimestre; materializa em algum trimestre, e o custo é severo.

Governança de IA é o novo GDPR. Em 2019, quem tinha estruturado LGPD em 2017–2018 pagou menos e dormia melhor. Em 2027, será a mesma história para governança de IA. A diferença agora é que o calendário é mais apertado, a multa é mais severa, e a exigência é estrutural — não dá para terceirizar em consultoria de 30 dias.

Fontes consultadas: AI Act Service Desk (Comissão Europeia), Timeline for the Implementation of the EU AI Act; Legal Nodes, EU AI Act 2026 Updates: Compliance Requirements and Business Risks; Kennedys Law, The EU AI Act Implementation Timeline; DLA Piper, Latest Wave of Obligations Under the EU AI Act Take Effect (agosto/2025); Modulos AI, 352 Days to Compliance (2025); Autoridade Nacional de Proteção de Dados (Brasil), comunicados públicos de 2025 sobre automatização de decisão; Deloitte Brasil, Estudo de Custo de Compliance LGPD (2024); DataGuard, EU AI Act Timeline: Key Compliance Dates & Deadlines Explained.

P
Escrito por
Paulo Vasconcelos
Estrategista de governança corporativa há 18 anos. Ex-advisor na PwC, hoje consultor independente para conselhos e diretorias.
Leia também
IA Operacional

O fim do SaaS fragmentado: por que o stack de onze ferramentas não vai sobreviver a 2027.

A empresa média paga US$ 21 milhões por ano em licenças que ninguém usa, perde 23 minutos a cada troca de tela e ainda a…

23 abr 202614 min
IA Operacional

A economia do contexto: o recurso mais caro do trabalho corporativo e o mais mal gerenciado.

Quando uma funcionária sênior sai de uma média empresa, a organização perde em média US$ 47 mil em conhecimento tácito q…

22 abr 202613 min
IA Operacional

O paradoxo do SaaS: mais ferramentas, menos produtividade — o que os dados realmente mostram.

O trabalhador digital médio alterna entre 1.200 aplicativos e sites por dia, perde 59 minutos procurando informação e so…

21 abr 202612 min