EU AI Act: Faltam 4 Meses — O Guia Prático para o Tech Lead

Em 2 de agosto de 2026 — daqui a pouco mais de quatro meses — o EU AI Act entra em vigor para sistemas de IA de alto risco. Multas de até €35 milhões ou 7% do faturamento global anual, o que for maior.

Você provavelmente já leu uma headline sobre isso. Mas o que eu vejo no mercado brasileiro de tech é uma combinação estranha de dois extremos: ou o time acha que "não se aplica a nós porque somos brasileiros", ou alguém no C-level mandou um e-mail alarmante sobre compliance sem nenhuma orientação concreta do que fazer.

Esse post é para o tech lead que está no meio: sabe que precisa entender o tema, mas não quer ler 150 páginas de regulação europeia para descobrir se o sistema que está construindo está no escopo ou não.

Vai ser direto ao ponto.

Por Que Você Está no Escopo Mesmo Sendo uma Empresa Brasileira

O EU AI Act tem alcance extraterritorial. A regra é simples: se o sistema de IA é colocado em uso na União Europeia, a regulação se aplica — independente de onde a empresa está registrada.

Na prática, isso inclui você se:

• Seu produto tem usuários na Europa (mesmo que seja uma parcela pequena da base)
• Você processa dados de cidadãos europeus em qualquer etapa
• Seu sistema é usado por parceiros ou clientes que operam na Europa
• Você usa sistemas de terceiros que processam dados europeus em nome da sua empresa

A maioria das startups e scale-ups tech brasileiras com qualquer presença internacional está, tecnicamente, dentro do escopo. A questão não é "esse regulamento me afeta?" — é "quão diretamente ele me afeta?"

Os 4 Níveis de Risco (e Onde Você Provavelmente Se Encaixa)

O EU AI Act classifica sistemas de IA em quatro níveis. A classificação determina suas obrigações.

Nível 1: Risco Inaceitável — Proibido

Sistemas que são simplesmente banidos. Pontuação social por governos, manipulação subliminar de comportamento, exploração de vulnerabilidades de grupos específicos. Se você está construindo isso, o problema não é o EU AI Act.

Nível 2: Alto Risco — Obrigações Completas

Aqui fica a maior parte das empresas tech que precisam se preocupar seriamente. São sistemas em áreas como:

• RH e emprego: sistemas que triagem currículos, avaliam candidatos, definem promoções ou monitora performance de trabalhadores
• Crédito e serviços financeiros: sistemas de scoring de crédito, avaliação de risco, decisões de concessão de crédito
• Saúde: sistemas que auxiliam diagnósticos ou tomam decisões sobre tratamentos
• Educação: sistemas que avaliam desempenho de estudantes ou definem acesso a recursos educacionais
• Infraestrutura crítica: sistemas de gestão de energia, água, transporte

Para esses sistemas, as obrigações são substanciais: documentação técnica completa, avaliação de conformidade antes de colocar em uso, registro em banco de dados europeu, monitoramento pós-implantação.

Nível 3: Risco Limitado — Transparência

Chatbots e sistemas de geração de conteúdo. A obrigação principal é transparência: o usuário precisa saber que está interagindo com IA. Se você tem um chatbot de suporte ou um gerador de conteúdo voltado para usuários europeus, você está nesse nível.

Nível 4: Risco Mínimo — Sem Obrigações Específicas

Filtros de spam, recomendações de playlists, maioria dos sistemas de IA em aplicações B2B internas. Sem obrigações específicas além das já existentes (GDPR, etc.).

O Que "Obrigações de Alto Risco" Significa na Prática

Se você cai no Nível 2, aqui estão as obrigações concretas que entram em vigor em agosto:

Documentação técnica. Você precisa ser capaz de explicar como o sistema funciona, quais dados de treinamento foram usados, quais métricas de performance foram validadas e quais limitações conhecidas o sistema tem. Não uma explicação vaga — documentação estruturada suficiente para uma auditoria regulatória.

Avaliação de conformidade antes do deployment. Para alguns domínios (RH, saúde), o EU AI Act exige certificação por terceiro antes de colocar em uso. Para outros, autodeclaração de conformidade. De qualquer forma: alguma evidência formal de que o sistema foi avaliado.

Registro no EU AI Act Database. Sistemas de alto risco precisam ser registrados em um banco de dados europeu antes de entrar em uso. O processo está sendo definido, mas a infraestrutura já existe.

Monitoramento pós-implantação. Você precisa monitorar o sistema depois que está em produção, detectar desvios de performance e reportar incidentes sérios. Logs não são opcionais — são parte da conformidade.

Transparência com usuários. Usuários que interagem com um sistema de alto risco precisam saber que estão fazendo isso e entender as capacidades e limitações.

Human oversight. Decisões de alto impacto não podem ser inteiramente automatizadas sem possibilidade de revisão humana. O sistema precisa ser desenhado para que um humano consiga intervir.

Como o SDD Vira Sua Camada de Evidência de Compliance

Aqui está o ponto que a maioria dos guias de EU AI Act para devs não menciona: se você já pratica Spec-Driven Development, você tem uma vantagem significativa de compliance.

As specs executáveis que o SDD produz são, literalmente, o que os reguladores europeus vão pedir.

Pense no que uma spec SDD documenta:

# Spec: Sistema de Triagem de Candidatos

## Contexto e Objetivo
Automatizar a primeira etapa de triagem de CVs para posições de engenharia,
reduzindo de 500 para ~50 candidatos por posição para revisão humana.

## Critérios de Aceite
- O sistema avalia apenas habilidades técnicas declaradas e verificáveis
- Campos de nome, gênero, idade e localização são removidos antes da análise
- Todo candidato triado recebe explicação dos critérios aplicados
- Uma revisora humana valida os top 50 antes de qualquer contato

## Limitações Conhecidas
- O modelo pode ter viés contra formatos não convencionais de CV
- Não avalia soft skills ou fit cultural
- Performance foi validada apenas para posições de engenharia de software

## Monitoramento
- Taxa de aceite por grupo demográfico monitorada mensalmente
- Audit log de todas as decisões com critérios aplicados

Isso é exatamente o que o EU AI Act pede em "documentação técnica" e "transparência". A spec descreve o objetivo, os critérios, as limitações e o processo de oversight humano. Se você está construindo specs antes de implementar, você está construindo compliance evidence antes de precisar dela.

O mesmo vale para o audit trail. Sistemas agênticos bem documentados têm logs de decisão por design — não porque alguém pensou em compliance, mas porque o SDD exige rastreabilidade de comportamento esperado vs. comportamento real.

// Log de decisão do sistema de triagem — gerado automaticamente pelo sistema
{
  "candidateId": "hash-anonimizado-123",
  "decision": "triaged_in",
  "criteriaApplied": ["experiência_golang: 3+ anos", "testes_automatizados: mencionado"],
  "humanReviewRequired": true,
  "timestamp": "2026-03-15T10:23:41Z",
  "modelVersion": "screener-v2.1",
  "specVersion": "v3.2"
}

Esse log não precisa de muito trabalho adicional para se tornar evidência de conformidade. Já está estruturado para isso.

Os 6 Passos Para Começar Agora

Faltam quatro meses. O que fazer nos próximos 30 dias:

1. Classifique seus sistemas. Faça um inventário de todos os sistemas de IA em uso ou desenvolvimento que tocam em usuários europeus. Para cada um, classifique nos quatro níveis. A classificação "alto risco" é o seu gatilho de ação.

2. Para sistemas de alto risco: audite a documentação existente. O que você já tem? Specs, ADRs, README técnicos, documentação de treinamento. Identifique os gaps.

3. Crie o registro de limitações conhecidas. O EU AI Act é explícito: você precisa documentar o que o sistema não faz bem. Isso parece contraintuitivo (por que documentar as fraquezas?), mas é um requisito formal. Crie esse documento agora, antes de uma auditoria.

4. Defina o processo de human oversight. Para sistemas de alto risco, alguém precisa ser responsável pela revisão. Não "o sistema decide, e se der errado abrimos ticket". Há um processo formal de como um humano revisa, intervém e registra a intervenção.

5. Configure o audit log estruturado. Cada decisão do sistema de alto risco precisa ser logada de forma que um auditor consiga reconstituir o que aconteceu. Estrutura mínima: o quê, quando, com quais critérios, qual foi a decisão.

6. Consulte um advogado especializado antes de agosto. Esse post é orientação técnica, não conselho jurídico. As obrigações específicas variam por domínio e tamanho de empresa. Para sistemas de alto risco, um parecer jurídico antes do deadline vai economizar muito mais do que custa.

O Que Acontece Depois de Agosto

Uma nota de calibração: o EU AI Act é uma lei de compliance, não uma operação policial. O enforcement nos primeiros meses vai ser focado em casos graves e em empresas que claramente ignoraram o regulamento.

Mas o mecanismo de enforcement existe e está sendo estruturado. Cada estado-membro europeu está criando sua Autoridade Nacional de Supervisão. As primeiras investigações formais vão começar. E quando um regulador europeu pede evidências de compliance, você quer ter as specs, os audit logs e a documentação técnica prontos — não começar a montar isso em pânico depois de receber a notificação.

A boa notícia é que compliance com o EU AI Act e boas práticas de engenharia são, em grande medida, a mesma coisa. Documentação técnica, audit logging, limitações conhecidas, human oversight — isso não é burocracia regulatória, é o que sistemas de qualidade têm de qualquer forma. O regulamento não está inventando exigências absurdas; está formalizando o que equipes de engenharia sérias já deveriam fazer.

Se você está praticando SDD e tem sistemas agênticos com governança, você provavelmente já tem 60-70% do que precisa. Os próximos quatro meses são para fechar os 30-40% restantes.

Quais dos seus sistemas você classificaria como alto risco sob o EU AI Act? Deixa nos comentários — estou curioso para ver quais domínios estão mais presentes no mercado brasileiro.

Principais Aprendizados

• O EU AI Act tem alcance extraterritorial — se você tem usuários na Europa, está potencialmente no escopo
• Alto risco inclui RH, crédito, saúde e educação — não é só para sistemas de vigilância
• As obrigações de alto risco incluem documentação técnica, audit log, human oversight e registro formal
• SDD é compliance evidence por design — specs executáveis são exatamente o que os reguladores pedem
• Os próximos 30 dias: classifique sistemas, audite documentação, defina processo de oversight, configure audit log

Referências Técnicas

EU AI Act — Documentação Oficial

• EU AI Act — Full Text — EUR-Lex
• EU AI Act — High-Risk AI Systems — AI Act Explorer
• EU AI Act Database — EU AI Office

Guias para Desenvolvedores

• EU AI Act Compliance 2026 — The Developer's Complete Guide — DEV Community
• The EU AI Act: 6 Steps to Take Before 2 August 2026 — Orrick

Posts Relacionados

• AI Governance: Como Controlar os Agentes que Você Criou — Governança e controle de agentes
• O Déficit de Confiança: Por Que 46% dos Devs Não Confiam na IA — SDD como resposta ao problema de confiança
• SDD em Produção: Cases Reais — Como empresas estão usando SDD

Série: Segurança em Sistemas Agênticos

Este post faz parte de uma série sobre segurança e governança de sistemas agênticos. Posts anteriores: MCP Security: 38% dos Servidores Sem Autenticação.