Log in
Sign up
Gouache illustration of a heavy stone legal seal carved with overlapping continental borders, symbolising the global compliance landscape for artificial intelligence laws

Sections

Leis sobre inteligência artificial em 2026: o mapa global de conformidade

O essencial

  • Os Estados Unidos não dispõem de uma lei federal abrangente sobre inteligência artificial em 2026. Um decreto presidencial de dezembro de 2025 reivindica a prevalencia federal sobre as leis estaduais que obrigariam os modelos a alterar resultados verídicos, e a lei-bandeira do Colorado SB 24-205 foi suspensa por um magistrado federal em abril de 2026.
  • O Regulamento europeu da IA torna-se a referência mundial a 2 de agosto de 2026, data em que se aplicam as obrigações dos sistemas de alto risco e em que começam as sancões da Comissão.
  • Três papeis, e não três bandeiras, determinam as suas obrigações: fornecedor, responsavel pela implantação e fornecedor de modelo de IA de finalidade geral. O mesmo papel traz deveres semelhantes quer se entregue na União, na Coreia ou no Brasil.
  • A norma ISO/IEC 42001 e o NIST AI Risk Management Framework formam o denominador operacional que cumpre a maior parte das jurisdicões num único movimento.
  • A AI Sigil traduz este mapa em controlos operacionais, evidências e inventário de IA, transformando o caminho do texto regulamentar até ao dossier pronto para auditoria num fluxo de trabalho, e não num projeto de pesquisa.

O mapa juridico da IA em 2026

O panorama mundial lê-se hoje em duas chaves. De um lado, regimes abrangentes baseados no risco estruturam as obrigações de IA em torno do uso do sistema: Regulamento europeu da IA, AI Basic Act coreano em vigor desde 22 de janeiro de 2026 e projeto brasileiro PL 2338/2023. Do outro, um mosaico sectorial e estadual apoia-se na proteção do consumidor, nos direitos civis e na regulamentação financeira existentes para cobrir os riscos da IA: Estados Unidos, Reino Unido e Canadá a nível federal. A consequencia prática é que as empresas presentes em vários mercados precisam de um modelo interno de conformidade único, capaz de encaixar em qualquer um dos dois tipos de regime. A geografia já não ditam o conteúdo dos deveres. É o papel desempenhado na cadeia de valor da IA que o faz. Por essa razão, importa atender ao decreto presidencial norte-americano de dezembro de 2025 sobre a política nacional de IA. Sinaliza que os Estados Unidos resistirão a uma fragmentação estado a estado e se apoiarão nas agencias federais sectoriais, principalmente FTC, EEOC, CFPB e HHS. O decreto incumbe o executivo de identificar as leis estaduais que obrigariam os modelos a alterar resultados verídicos e de agir judicialmente para as afastar.

O Regulamento europeu da IA, referência mundial

O Regulamento europeu da IA entrou em vigor a 1 de agosto de 2024 e aplica-se segundo um calendário escalonado. A sua estrutura assenta em quatro níveis de risco e num regime paralelo para os modelos de IA de finalidade geral.

Os níveis de risco

As práticas proibidas, enumeradas no artigo 5.º, vedam a IA manipuladora ou exploradora, a pontuação social por autoridades públicas, a recolha não direcionada de imagens faciais, a inferência de emoções no local de trabalho e na escola, bem como a quase totalidade da identificação biométrica em tempo real em espaços públicos. Estas proibições aplicam-se desde 2 de fevereiro de 2025. Os sistemas de alto risco constam do anexo III e abrangem, entre outros, a identificação biométrica, as infraestruturas críticas, a avaliação no ensino e na formação profissional, a seleção e gestão de pessoal, o acesso a serviços essenciais, a aplicação da lei, a migração e a administração da justiça e dos processos democráticos. As suas obrigações aplicam-se a partir de 2 de agosto de 2026. Os sistemas de risco limitado desencadeiam deveres de transparência nos termos do artigo 50.º: o utilizador tem de saber que interage com uma IA, e os conteúdos sintéticos devem apresentar marcações legíveis por máquina. O período de tolerancia para a marcação de conteúdos sintéticos encerra a 2 de dezembro de 2026. Os modelos de IA de finalidade geral, sejam ou não colocados no mercado da União, estão sujeitos desde 2 de agosto de 2025 a deveres de documentação e de transparência em matéria de direitos de autor. Os modelos classificados como de risco sistémico enfrentam, além disso, avaliações de modelo, exercícios de red-teaming e a notificação de incidentes graves.

Obrigações do fornecedor e do responsavel pela implantação

Um fornecedor de um sistema de alto risco na União tem de operar um processo de gestão do risco, manter documentação técnica alinhada com o anexo IV, assegurar a qualidade e a governança dos dados, integrar transparência e supervisão humana, conduzir uma avaliação da conformidade, registar o sistema na base de dados da União quando aplicável e operar uma vigilância pós-comercialização. Um responsavel pela implantação tem de garantir a supervisão humana em operação, respeitar as instruções de utilização do fornecedor, realizar uma avaliação de impacto sobre os direitos fundamentais quando o artigo 27.º o exija e registar as operações automatizadas. O Conselho e o Parlamento europeus chegaram a acordo a 7 de maio de 2026 sobre um pacote de simplificação, destinado a reduzir sobreposições com o direito sectorial da segurança dos produtos e a clarificar a documentação GPAI. A estrutura baseada no risco, as datas de agosto de 2026 e as categorias de papel permanecem inalteradas.

Sanções

As sanções administrativas máximas atingem 35 milhões de euros ou 7 por cento do volume de negócios mundial anual, consoante o que for mais elevado, para as práticas proibidas. As demais infrações expoem até 15 milhões de euros ou 3 por cento. Informações enganosas prestadas às autoridades acarretam até 7,5 milhões ou 1 por cento. Os poderes executivos da Comissão sobre os fornecedores GPAI produzem efeitos a 2 de agosto de 2026.

Os Estados Unidos: prevalencia federal e aplicação sectorial

Não existe lei federal abrangente sobre IA em 2026. O Congressional Research Service descreve o panorama federal como uma estratificação de decretos, regulamentos de agencias e leis sectoriais.

Ação federal

O decreto presidencial 14110, assinado em 2023, foi revogado no início de 2025. O decreto de dezembro de 2025 sobre o quadro nacional de política de IA tomou o seu lugar. O decreto incumbe o Procurador-Geral de avaliar as leis estaduais que interfiram com os interesses federais, em especial as que obrigariam os modelos a alterar resultados verídicos. Esse decreto é a causa direta da suspensão federal da lei do Colorado SB 24-205 a 27 de abril de 2026. A aplicação no plano federal passa por autoridades de competencia geral. A Federal Trade Commission recorre à secção 5 do FTC Act para sancionar práticas de IA desleais ou enganosas. A Equal Employment Opportunity Commission aplica o Título VII e o Americans with Disabilities Act às decisões de emprego assistidas por IA. O Consumer Financial Protection Bureau supervisiona a IA no crédito e na subscrição. O Department of Health and Human Services aplica o HIPAA e a secção 1557 ao apoio à decisão clínica.

Leis estaduais e municipais

A atividade estadual atingiu o auge em 2024 e 2025 e abrandou desde então sob pressão federal. As medidas mais citadas são:

  • Colorado SB 24-205, primeira lei estadual abrangente de IA. A sua entrada em vigor estava prevista para 1 de fevereiro de 2026, foi adiada para 30 de junho de 2026 pela SB 25B-004 e suspensa por um magistrado federal a 27 de abril de 2026. A legislatura do Colorado aprovou um texto substituto, SB 189, entre 7 e 9 de maio de 2026.
  • Local Law 144 da cidade de Nova Iorque, que impõe uma auditoria anual de enviesamento e a notificação do candidato para ferramentas automatizadas de decisão laboral.
  • Illinois Artificial Intelligence Video Interview Act, que exige consentimento para a análise por IA de entrevistas.
  • California SB 53, que impõe a divulgação por programadores de grandes modelos de IA.
  • Tennessee ELVIS Act, que protege a voz e a parecênca contra a clonagem por IA.
  • Utah Artificial Intelligence Policy Act, que acrescenta deveres de divulgação para a IA generativa em profissões reguladas.

As leis estaduais sobrevivem em âmbitos mais restritos: auditorias de enviesamento, divulgação de deepfakes e proteção da voz e da parecênca. Os regimes estaduais abrangentes enfrentam, em contrapartida, um vento contrário federal mais forte.

O resto do mundo: comparável mas não idêntico

Uma vista de olhos confirma que as obrigações por papel viajam bem. O Reino Unido segue um regime baseado em princípios, sem lei geral de IA. Os reguladores existentes, a Competition and Markets Authority, a Financial Conduct Authority, o Information Commissioner’s Office e a Ofcom, aplicam cinco princípios comuns à IA nos seus sectores. O ICO mantém a maior força sancionatória, com coimas até 17,5 milhões de libras ou 4 por cento do volume de negócios mundial ao abrigo do UK GDPR. A China dispõe do conjunto mais denso de regras específicas de IA. As regras de gestão de algoritmos de recomendação (2022), as disposições sobre síntese profunda (2023) e as medidas provisórias sobre serviços de IA generativa (2023) impõem rotulagem, registo e moderação de conteúdos. Os fornecedores registam os algoritmos junto da Cyberspace Administration of China e aplicam verificação de identidade real. O Japão passou de uma estratégia de soft law ao AI Promotion Act de 2025. O regime privilegia a inovação e o cumprimento voluntário das orientações do Ministério da Economia, do Comércio e da Indústria. Os deveres vinculativos incidem sobre a transparência da IA generativa e a contratação pública. O Brasil discute o PL 2338/2023, um texto baseado no risco que reproduz a estrutura europeia com limiares adaptados. Espera-se a sua aprovação em 2026, acompanhada de um período transitório. A Coreia do Sul adotou a AI Basic Act, tornada a primeira lei asiática abrangente a 22 de janeiro de 2026. Introduz uma categoria de IA de alto impacto largamente alinhada com a categoria europeia de alto risco e exige gestão do risco, transparência e avaliação de impacto. O Canadá pausou a ação federal: o Artificial Intelligence and Data Act incluído no Bill C-27 caducou com a prorrogação parlamentar. A Lei 25 do Quebeque continua a regular as decisões automatizadas que afetem de forma significativa os indivíduos. Em Portugal, a CNPD permanece a autoridade sectorial de referência para a aplicação do Regulamento europeu, em articulação com o Centro Nacional de Cibersegurança.

Mapa de obrigações: fornecedor, responsavel pela implantação e fornecedor GPAI

A leitura multijurisdicional mostra com clareza que as obrigações se agrupam por papel. Os fornecedores de sistemas de IA suportam a carga documental mais pesada. Através do Regulamento europeu, da AI Basic Act coreana e do espírito da aplicação sectorial norte-americana, têm de:

  • Operar um processo de gestão do risco ao longo de todo o ciclo de vida do sistema.
  • Manter documentação técnica que torne rastreáveis as opções de conceção, a governança dos dados de treino, os resultados de avaliação e os limites conhecidos.
  • Aplicar uma governança de dados centrada em proveniencia, representatividade e controlo de enviesamentos.
  • Conceber para a transparência perante o responsavel pela implantação, com instruções de utilização, finalidade prevista e restrições conhecidas.
  • Realizar uma avaliação de conformidade ou de impacto antes da colocação no mercado.
  • Operar vigilância pós-comercialização e notificar os incidentes graves às autoridades.

Os responsaveis pela implantação assumem os deveres operacionais:

  • Utilizar o sistema apenas dentro da finalidade definida pelo fornecedor.
  • Manter uma supervisão humana proporcional ao risco.
  • Realizar uma avaliação de impacto sobre os direitos fundamentais quando exigido, por exemplo nos termos do artigo 27.º do Regulamento para organismos públicos e certos responsaveis privados de sistemas de alto risco.
  • Registar as saídas automatizadas para permitir auditoria e resposta a incidentes.
  • Informar as pessoas em causa quando a IA participe de forma determinante numa decisão que lhes diga respeito, se a lei nacional o exigir.

Os fornecedores de modelos GPAI situam-se sobre ambas as camadas:

  • Documentar a conceção do modelo, uma vista de conjunto dos dados de treino e a postura em matéria de direitos de autor.
  • Apoiar os fornecedores a jusante com fichas de modelo e sínteses de capacidades.
  • Para modelos de risco sistémico, realizar avaliações de modelo, exercícios de red-teaming, avaliações de cibersegurança e notificação de incidentes graves.

A mesma empresa pode assumir vários papeis simultaneamente. Um editor SaaS que afina um modelo aberto e o integra numa ferramenta de recrutamento é simultaneamente fornecedor, responsavel pela implantação e integrador GPAI a jusante. Cada dever aplica-se na sua própria coluna.

Sanções lado a lado

Quantificar a exposição esclarece a priorização:

  • Regulamento europeu da IA: até 35 milhões de euros ou 7 por cento do volume de negócios mundial anual por práticas proibidas; até 15 milhões de euros ou 3 por cento para infrações de alto risco e GPAI; até 7,5 milhões de euros ou 1 por cento para informações enganosas às autoridades.
  • Estados Unidos, aplicação sectorial federal: as coimas da FTC somam-se por infração e podem ser combinadas com disgorgement; os remedios da EEOC incluem retroativos salariais, reintegração e danos compensatórios; as consent orders da CFPB ultrapassam frequentemente 10 milhões de dólares nos serviços financeiros.
  • Reino Unido, ICO: até 17,5 milhões de libras ou 4 por cento do volume de negócios mundial.
  • China, CAC: ordens de cessação, censura pública, coimas proporcionais ao rendimento e responsabilidade pessoal dos representantes legais.
  • Coreia, AI Basic Act: coimas até 30 milhões de won por incumprimentos processuais e coimas proporcionais para incumprimentos materiais, com sanções reputacionais através de um registo público.

Os valores variam, mas o custo operacional domina o quadro: cada regime obriga à mesma pilha de evidências, e a empresa que conseguir apresentá-la a pedido vence auditorias em todo o lado.

Porque ISO/IEC 42001 e NIST AI RMF são os denominadores operacionais

A convergência entre regimes não é acidental. Os reguladores dos dois lados do Atlântico recorreram à mesma literatura técnica ao redigir as suas regras, e essa literatura cristalizou-se em duas normas. A norma ISO/IEC 42001:2023 especifica um sistema de gestão da IA, estruturalmente identico à ISO/IEC 27001 para a segurança da informação e à ISO 9001 para a qualidade. Uma organização que opera um AIMS conforme à ISO/IEC 42001 dispoe já de uma política de IA, de um âmbito definido, de um processo de avaliação do risco e do impacto, de um catálogo de controlos do anexo A, de supervisão de fornecedores e de um ciclo de auditoria interna. As análises independentes estimam que isto cobre cerca de 70 por cento das obrigações documentais de alto risco do Regulamento europeu. O NIST AI Risk Management Framework versão 1.0, publicado em janeiro de 2023, organiza a fiabilidade da IA em torno de quatro funções: Govern, Map, Measure, Manage. O Generative AI Profile (NIST AI 600-1) de julho de 2024 sobrepõe 12 categorias de risco próprias da IA generativa e mais de 400 ações de mitigação. Os reguladores coreano e singapuriano citam o NIST AI RMF nas suas próprias linhas de orientação. Os reguladores sectoriais norte-americanos referem-no como parâmetro razoável de boa prática. Duas normas harmonizadas europeias em preparação completam o quadro. CEN-CENELEC prEN 18228 versa sobre a gestão de riscos da IA, e prEN 18282 sobre cibersegurança da IA. Uma vez publicadas, conferirão aos fornecedores europeus de sistemas de alto risco uma presunção de conformidade com os artigos correspondentes do Regulamento. A consequência operacional é que uma organização que opera com seriedade um AIMS ISO/IEC 42001, mapeado sobre as funções do NIST AI RMF e cujos controlos estão evidenciados num inventário de IA único, fez 80 por cento do trabalho de que precisa para cumprir na União, sob a aplicação sectorial norte-americana, na Coreia, no Reino Unido e sob os regimes brasileiro e japonês em preparação. Os restantes 20 por cento dizem respeito a documentação, registos e notificações específicos de cada jurisdição.

Checklist de conformidade 2026 para fornecedores e responsaveis pela implantação de IA

A 2 de agosto de 2026, qualquer sistema de IA colocado no mercado da União ou que afete utilizadores da União tem de cumprir o regime de alto risco, se cair no anexo III, e o regime GPAI, se aplicável. O movimento mínimo para chegar a tempo:

  1. Inventário. Construa um inventário único de IA que liste cada sistema, cada variante de modelo, cada contexto de implantação e cada conjunto de dados. O inventário é a coluna vertebral de toda auditoria futura.
  2. Classificar. Para cada entrada, determine o seu papel (fornecedor, responsavel pela implantação, fornecedor GPAI, importador, distribuidor) e o nível de risco nos termos do Regulamento (proibido, alto, limitado, mínimo, GPAI, GPAI de risco sistémico). Repita o exercício sob a AI Basic Act coreana e qualquer lei estadual norte-americana aplicável.
  3. Documentar. Para cada entrada de alto risco e GPAI, produza um dossier técnico alinhado com o anexo IV. Reutilize os controlos do anexo A da ISO/IEC 42001 como coluna vertebral e complete as secções específicas da União (finalidade prevista, métricas de exatidão, má utilização previsível).
  4. Avaliar. Realize uma avaliação de impacto sobre os direitos fundamentais para os sistemas de alto risco em contextos do artigo 27.º. Reutilize a avaliação para as auditorias de enviesamento de Local Law 144 de NYC, o dever de não discriminação algorítmica modelo Colorado e a avaliação de impacto coreana.
  5. Conformar. Conclua a via de avaliação da conformidade aplicável a cada sistema de alto risco. Para a maioria dos sistemas do anexo III, será a via do controlo interno; para identificação biométrica e certas infraestruturas críticas, será necessário um organismo notificado.
  6. Registar. Inscreva cada sistema de alto risco que o exija na base de dados da União. Inscreva os responsaveis pela implantação públicos na sub-base correspondente.
  7. Formar. Forme o pessoal até ao nível de literacia em IA exigido pelo artigo 4.º, aplicável desde 2 de fevereiro de 2025. Forme os responsaveis pela implantação nas instruções de utilização do fornecedor.
  8. Marcar. Implemente as marcações legíveis por máquina nos conteúdos sintéticos até 2 de dezembro de 2026, fim do período de tolerancia do artigo 50.º.
  9. Vigiar. Opere uma vigilância pós-comercialização sobre todo sistema de alto risco em produção. Canalize a notificação de incidentes graves para um ponto de entrada único.
  10. Auditar. Cadencie o ciclo de auditoria interna de modo a que cada controlo AIMS seja amostrado pelo menos uma vez por ano e a que as conclusões alimentem a revisão pela direção.

A maior parte destes passos é identica em Seul, Brasília ou Bruxelas. As diferenças residem nos registos, na redação dos modelos de avaliação de impacto e na língua das notificações destinadas aos utilizadores.

Perguntas frequentes

Existe uma lei de IA nos Estados Unidos em 2026? Não existe estatuto federal abrangente. A IA é regulada pela FTC, EEOC, CFPB, HHS e por outras agencias sectoriais, bem como por um mosaico em recuo de leis estaduais. O decreto federal de dezembro de 2025 sobre política nacional de IA reivindica a prevalencia sobre as leis estaduais que obrigariam os modelos a alterar resultados verídicos e desencadeou já a suspensão do Colorado SB 24-205. Qual é a lei de IA mais estrita em 2026? O Regulamento europeu da IA prevê as sanções administrativas mais elevadas, até 7 por cento do volume de negócios mundial por práticas proibidas, e aplica-se de forma extraterritorial quando a IA afeta pessoas na União. A AI Basic Act coreana é estruturalmente semelhante com montantes mais modestos. O regime chinês é o mais prescritivo nos conteúdos, mas limita o seu alcance transfronteiriço. Que lei se aplica se construir um modelo nos Estados Unidos e o vender na União Europeia? Ambas. O Regulamento europeu aplica-se de forma extraterritorial nos termos do artigo 2.º, n.º 1, alínea c) quando a saída do sistema é utilizada na União. Passa a ser fornecedor na União, independentemente do local de desenvolvimento do modelo. O direito sectorial norte-americano continua aplicável em paralelo. Quando começa o Regulamento europeu a sancionar? As coimas por práticas proibidas estão disponíveis desde 2 de agosto de 2025. Os poderes executivos da Comissão sobre os fornecedores GPAI produzem efeitos a 2 de agosto de 2026. A aplicação aos sistemas de alto risco arranca também a 2 de agosto de 2026. As PME têm de cumprir o Regulamento europeu da IA? Sim, sempre que coloquem ou operem um sistema de alto risco no mercado da União. O Regulamento inclui clausulas de proporcionalidade e isenções para componentes livres e abertos fora do alto risco, mas não isenta as PME das obrigações de alto risco. O pacote de simplificação de maio de 2026 acrescenta medidas suplementares de proporcionalidade. Qual a diferença entre fornecedor e responsavel pela implantação de IA? O fornecedor desenvolveu o sistema, ou mandou desenvolvê-lo, e coloca-o no mercado em seu nome. O responsavel pela implantação utiliza o sistema num contexto profissional. A mesma empresa pode acumular os dois papéis, caso em que se aplicam os dois conjuntos de deveres. A certificação ISO/IEC 42001 equivale a cumprir o Regulamento europeu da IA? Não, mas leva-o muito perto. A ISO/IEC 42001 cobre cerca de 70 por cento das obrigações documentais de alto risco. A avaliação da conformidade nos termos do Regulamento, o registo na base de dados da União e as obrigações de transparência do artigo 50.º permanecem tarefas próprias. As futuras normas harmonizadas prEN 18228 e prEN 18282 cobrirão uma parte do caminho que falta.

Conclusão

Ler as leis sobre IA país a país em 2026 é uma partida perdida à partida. Os mesmos deveres viajam entre jurisdicões e agrupam-se em torno de três papéis. As organizações que vencem as suas auditorias este ano são as que construíram um inventário único de IA, um processo único de avaliação do risco e do impacto, um único conjunto de controlos e uma única biblioteca de evidências, e projetaram sobre essa coluna vertebral o Regulamento europeu, a aplicação sectorial norte-americana, a AI Basic Act coreana, as regras chinesas e os princípios britânicos. A AI Sigil opera exatamente sobre essa coluna vertebral. A plataforma transforma o texto regulamentar em entradas de inventário de IA, classificação de papéis, controlos, evidências, registos de auditoria e dossiers documentais prontos para passar as avaliações de conformidade. Se os próximos doze meses forem medidos pelo que conseguir mostrar num dia de auditoria, o momento de tornar a conformidade de IA num fluxo de trabalho, e não num projeto de pesquisa, é agora.

Sofia Almeida

Leis sobre inteligência artificial em 2026: o mapa global de conformidade

Fornecedor, responsavel pela implantação ou modelo GPAI? Eis como Regulamento IA europeu, leis dos EUA, NIST AI RMF e ISO 42001 articulam em 2026.

Estrutura de governança da IA: o guia completo

Compare NIST AI RMF, ISO 42001, o Regulamento IA e os princípios OCDE. Descubra qual estrutura se adequa à sua organização e como implementá-las em conjunto.

Human-in-the-Loop vs Human-on-the-Loop: guia de supervisão da IA

Escolher entre human-in-the-loop e human-on-the-loop: 7 eixos de decisão, leitura do artigo 14.º do Regulamento IA e ancoragem na ISO/IEC 42001.

Enquadramentos de governança de IA: NIST AI RMF, ISO 42001, Regulamento da IA e princípios OCDE (2026)

NIST AI RMF, ISO/IEC 42001, Regulamento da IA e princípios OCDE comparados, com mapeamento de controlos e árvore de decisão para escolher o enquadramento certo.

ISO 42001 não cobre o AI Act: a pilha de normas de que realmente precisa

Uma certificação ISO 42001 não garante a sua conformidade com o AI Act. Estas são as normas harmonizadas que contam mesmo e como as pôr em prática.