California Promulga a Lei de Transparência em Inteligência Artificial de Fronteira (SB 53)
No dia 29 de setembro de 2025, o Governador Gavin Newsom assinou a Lei de Transparência em Inteligência Artificial de Fronteira (TFAIA), tornando a Califórnia o primeiro estado a exigir divulgações públicas e padronizadas de segurança dos desenvolvedores de modelos avançados de inteligência artificial (IA) “de fronteira”. Na ausência de uma legislação federal abrangente, a Califórnia se junta a Colorado e Texas na promoção da governança de IA em nível estadual. Ao contrário de propostas mais amplas consideradas em 2024, que incluíam disposições controversas como auditorias de terceiros obrigatórias e requisitos de “kill-switch”, a SB 53 foca na transparência e na responsabilidade para os desenvolvedores dos modelos de fundação de propósito geral mais capazes, abordando danos que se elevam ao nível de “risco catastrófico”. A maioria dos requisitos entrará em vigor em 1º de janeiro de 2026.
Por que a TFAIA é importante?
A TFAIA exige divulgações públicas antes do lançamento, relatórios oportunos ao Estado quando problemas de segurança graves surgirem e proteções internas robustas para denunciantes nos desenvolvedores qualificados. A legislação é calibrada em torno de um limite de computação que acompanha de perto as linhas emergentes federais e internacionais, sinalizando um padrão de transparência de segurança nos EUA. As empresas que treinam ou modificam substancialmente modelos em larga escala, ou que fazem parceria com esses desenvolvedores, devem tratar a SB 53 como uma prioridade de conformidade a curto prazo e alinhar as divulgações com outras medidas relacionadas na Califórnia.
Quem deve cumprir a TFAIA?
A TFAIA se aplica aos desenvolvedores de “modelos de IA de fronteira”, que são definidos como modelos de fundação treinados usando mais de 10²⁶ operações de ponto flutuante ou inteiras (“FLOPs”), incluindo computação usada para ajustes subsequentes, aprendizado por reforço ou outras modificações materiais. Em 2025, analistas independentes estimam que apenas um pequeno número de modelos atingiu ou superou o limite de 10²⁶ FLOPs. Uma análise de previsão da EPOCH AI projeta cerca de ~10 modelos no ou acima do limite de 10²⁶ até 2026, crescendo rapidamente à medida que os orçamentos de treinamento e clusters se expandem.
A lei impõe requisitos adicionais de transparência e responsabilidade aos “grandes desenvolvedores de fronteira” cuja receita anual, incluindo afiliados, ultrapassou $500.000.000 no ano calendário anterior. A cobertura não se limita a entidades baseadas na Califórnia se os modelos forem disponibilizados para usuários na Califórnia.
O que os desenvolvedores de fronteira precisam fazer?
Estrutura de IA de fronteira (grandes desenvolvedores de fronteira). Os grandes desenvolvedores de fronteira devem publicar, manter e seguir uma estrutura de IA de fronteira escrita que explique como a organização incorpora padrões nacionais e internacionais e práticas consensuais da indústria; estabelece e avalia limites para capacidades que podem representar risco catastrófico; aplica mitigação e testa sua eficácia (incluindo por meio de avaliações de terceiros); e atribui responsabilidades de governança e tomada de decisão. A estrutura também deve descrever as medidas de cibersegurança para proteger pesos de modelo não divulgados, critérios e gatilhos para atualizações, e o processo para identificar e responder a incidentes críticos de segurança. A estrutura deve ser revisada pelo menos anualmente, e qualquer modificação material deve ser publicada dentro de 30 dias juntamente com uma breve justificativa.
Relatórios de transparência na hora da implantação (todos os desenvolvedores de fronteira). Antes ou simultaneamente à implantação de um novo modelo de fronteira — ou de uma versão substancialmente modificada — os desenvolvedores devem publicar um relatório de transparência (que pode ser apresentado como um cartão de sistema ou modelo) que identifique a data de lançamento do modelo, idiomas e modalidades suportados, usos pretendidos, restrições ou condições gerais de uso, e forneça o site do desenvolvedor e um mecanismo de contato. Os grandes desenvolvedores de fronteira também devem resumir suas avaliações de risco catastrófico, divulgar resultados, descrever o papel de avaliadores de terceiros e explicar outras etapas tomadas sob a estrutura.
Relato de incidentes críticos de segurança (todos os desenvolvedores de fronteira). Os desenvolvedores devem relatar incidentes críticos de segurança qualificáveis ao Escritório de Serviços de Emergência da Califórnia (OES) dentro de 15 dias após a descoberta. Se um incidente representar risco iminente de morte ou lesão física grave, o desenvolvedor deve relatar dentro de 24 horas a uma autoridade pública de segurança apropriada. O OES manterá canais públicos e confidenciais para submissões e publicará resumos anuais anonimizados a partir de 1º de janeiro de 2027. Relatórios de incidentes e resumos de avaliações de risco internas estão isentos da Lei de Registros Públicos da Califórnia.
Sumários de risco de uso interno (grandes desenvolvedores de fronteira). Os grandes desenvolvedores de fronteira devem transmitir sumários periódicos ao OES sobre avaliações de risco catastrófico do uso interno de modelos de fronteira (trimestralmente por padrão ou em outra programação razoável por escrito).
Verdade e redacções restritas. A legislação proíbe declarações materialmente falsas ou enganosas sobre risco catastrófico e, para os grandes desenvolvedores de fronteira, sobre a implementação ou conformidade com a estrutura de IA de fronteira. As divulgações públicas podem ser redigidas apenas na medida necessária para proteger segredos comerciais, cibersegurança, segurança pública ou segurança nacional dos EUA, ou para cumprir a lei; os desenvolvedores devem descrever o caráter e a justificativa de quaisquer redacções e reter materiais não redigidos por cinco anos.
Proteções para denunciantes e canais internos. A lei também adiciona novas disposições ao Código do Trabalho que proíbem retaliação e o uso de cláusulas de silêncio contra funcionários cobertos que levantam preocupações sobre risco catastrófico ou violações da SB 53 com o Procurador Geral, autoridades federais ou destinatários internos apropriados. Os grandes desenvolvedores de fronteira devem fornecer um canal de denúncia anônima com atualizações mensais de status para o denunciante e breves relatórios trimestrais para diretores ou oficiais (com uma exceção quando um diretor ou oficial é acusado). Os tribunais podem conceder honorários advocatícios a autores de ações bem-sucedidas, e o alívio por injunção está disponível e não é suspenso em recurso.
Execução e penalidades. Somente o Procurador Geral da Califórnia pode mover ações civis. As penalidades podem chegar a $1.000.000 por violação, escalonadas pela gravidade. A perda de valor patrimonial não constitui dano à propriedade para fins de penalidade.
Infraestrutura estatal e preempção local.
A SB 53 estabelece um consórcio para projetar o CalCompute, um cluster de nuvem pública apoiado pelo estado destinado a apoiar pesquisas de IA seguras, equitativas e sustentáveis. Um relatório para a Legislatura é devido em 1º de janeiro de 2027, sujeito à apropriação orçamentária. A legislação também preempte medidas locais adotadas em ou após 1º de janeiro de 2025 que regulamentam especificamente a gestão de risco catastrófico por desenvolvedores de fronteira.
Quando isso entra em vigor?
As obrigações principais de publicação, relato, veracidade e proteção a denunciantes se aplicam a partir de 1º de janeiro de 2026. O OES e o Procurador Geral iniciarão relatórios anonimizados e revisões anuais a partir de 1º de janeiro de 2027.
Outras regulamentações de IA da Califórnia que entrarão em vigor em 1º de janeiro de 2026
A Lei AB 2013 (transparência dos dados de treinamento) exige que desenvolvedores de sistemas de IA generativa disponibilizados para californianos publiquem documentação sobre dados de treinamento no site do desenvolvedor para sistemas lançados em ou após 1º de janeiro de 2022. A conformidade é obrigatória até 1º de janeiro de 2026, e novamente após qualquer modificação substancial.
A Lei SB 942 (transparência de conteúdo de IA) exige que provedores de IA generativa implementem medidas de transparência de conteúdo, incluindo disponibilizar uma ferramenta de detecção gratuita e acessível ao público que permita aos usuários avaliar se o conteúdo de áudio, imagem ou vídeo foi criado ou alterado pelo sistema do provedor. A lei também contempla sinais de proveniência duráveis (por exemplo, metadados) para apoiar a divulgação posterior. A SB 942 entra em vigor em 1º de janeiro de 2026.
Propostas legislativas pendentes na Califórnia
A Lei AB 412 (documentação de direitos autorais para dados de treinamento) exigiria que os desenvolvedores documentassem materiais protegidos por direitos autorais que utilizam intencionalmente em treinamento e fornecessem um mecanismo para que os detentores de direitos autorais verificassem se suas obras aparecem em conjuntos de dados de treinamento.
A Lei SB 243 (chatbots companheiros) já passou por ambas as casas e aguarda ação do Governador. Ela exigiria divulgações claras de que os usuários estão interagindo com IA, lembretes periódicos e salvaguardas projetadas para restringir o acesso de menores a conteúdo sexual.
Conclusão
Os desenvolvedores de fronteira devem rapidamente determinar a cobertura, reconstruindo o treinamento e a computação pós-treinamento (incluindo ajustes e aprendizado por reforço) e confirmando o estado da receita consolidada. Se algum modelo atender ao limite de 10²⁶ FLOPs, o desenvolvedor de fronteira deve: (1) redigir, adotar e publicar uma estrutura de IA de fronteira alinhada a padrões que defina limites de capacidade, portas de mitigação, critérios de avaliação de terceiros e controles de segurança de pesos de modelo; (2) operacionalizar um fluxo de trabalho de transparência de implantação e um manual de incidentes críticos que satisfaçam os prazos de relato de 15 dias e 24 horas; e (3) implementar canais para denunciantes, avisos aos funcionários e salvaguardas contra retaliações de acordo com as novas disposições do Código do Trabalho. O foco da TFAIA na gestão de riscos catastróficos e sua conformidade com os limites computacionais federais posicionam-na para se tornar a norma de fato para a transparência de segurança em IA nos Estados Unidos.
