Diretrizes de Conformidade para IA sob a Lei da UE

AI Compliance-by-Design: Um Guia para CTOs sobre Inventário de Modelos, Fontes RAG e Registro de Decisões sob a Lei de IA da UE

A Lei de IA da UE já está em vigor e sendo implementada em fases; várias obrigações surgem antes da aplicação total em 2026–2027. O Escritório de IA da Comissão Europeia supervisionará os provedores — com foco especial em IA de propósito geral (GPAI) — e pode solicitar informações ou avaliar modelos. Para GPAI em particular, a Comissão publicou páginas de obrigações e um Código de Práticas GPAI voluntário para reduzir ambiguidades enquanto as obrigações dos Artigos 53/55 são implementadas.

Comece com o escopo: você é um provedor ou um implantador, e é GPAI?

A Lei diferencia entre provedores (que colocam no mercado ou colocam em serviço) e implantadores (que usam sistemas de IA). Se você fornece ou ajusta modelos GPAI, enfrenta deveres específicos, como documentação técnica, política de direitos autorais e um resumo do conteúdo de treinamento. Para modelos GPAI de “risco sistêmico” (os modelos mais capazes), adicione avaliação/mitigação de risco, relato de incidentes e cibersegurança robusta.

Prática da Pynest: Mantemos um registro ativo que marca cada integração de modelo por função (provedor/implantador), categoria (GPAI vs. específico de tarefa) e exposição à jurisdição. Essa visão única orienta quais obrigações e controles se aplicam.

Inventário primeiro: modelos, conjuntos de dados, prompts e fontes RAG

O caminho mais rápido para a não conformidade é não saber o que você executa. Tratamos o inventário como um produto:

• Catálogo de Modelos: Versão, provedor, status de ajuste, pontuações de avaliação, uso pretendido e proprietário de contato.
• Contratos de Dados: para cada fonte RAG: linhagem, atualidade, regras de completude, retenção e usos permitidos.
• Registro de Prompts e Ferramentas: Prompts aprovados, escopos de chamadas de ferramentas e ações de alto risco que requerem verificações manuais.
• Registros de Decisão: “Quem-o-que-quando-porquê” para mudanças, recusa e sobreposições.

Isso se alinha com o Quadro de Gestão de Risco de IA do NIST (Governar/Mapear/Medir/Gerenciar).

Prática da Pynest: Nosso assistente de conhecimento de RH opera apenas em fontes com contratos de dados assinados; quando a atualidade ou linhagem falham, a interface bloqueia respostas e direciona uma tarefa ao proprietário dos dados.

Construa a documentação técnica uma vez — e mantenha-a viva

O Artigo 53 espera que os provedores de GPAI “elaborem documentação técnica” e compartilhem o que os usuários downstream precisam sem divulgar propriedade intelectual. O Código de Práticas GPAI da Comissão envia um formulário de documentação de modelo que você pode adotar agora.

Prática da Pynest: Mantemos um único pacote de documentação por integração de modelo:

• Modelo: capacidades, limites, avaliações, escopo de segurança.
• Folha de Dados / Cartão RAG: fontes, contratos, política de direitos autorais, resumo do conteúdo de treinamento, quando aplicável.
• Caso de Segurança: política de recusa, caminhos de escalonamento, canais de abuso.
• Manual Operacional: SLAs, rollback, aprovações de mudanças, guias de incidentes.

Como é o mesmo pacote para revisão legal, de segurança e de produto, as atualizações não se bifurcam entre equipes.

Trate direitos autorais e transparência de dados de treinamento como requisitos de produção

A Lei espera uma política de direitos autorais e — para GPAI — um resumo dos dados de treinamento. O Código de Práticas GPAI fornece modelos; a página de fatos da Comissão esclarece os deveres de transparência do Artigo 53. Os implantadores downstream também se beneficiam: uma proveniência mais clara reduz o risco de remoção e o ônus de suporte.

Prática da Pynest: Para assistentes geradores de conteúdo, incorporamos dicas de citação e desautorizamos saídas que não podem ser rastreadas para fontes permitidas.

Registre decisões, não apenas previsões: auditabilidade por design

As obrigações de transparência se estendem além da divulgação ao usuário: você deve mostrar que humanos podem supervisionar e rastrear decisões do sistema. Registramos contexto de decisão (entradas, fontes recuperadas, ferramentas chamadas), portões de política acionados, aprovações humanas e razões para recusa.

Prática da Pynest: Em nosso “Answer Desk” de engenharia de vendas, cada resposta de segurança inclui fontes vinculadas e um registro de decisão de política. Durante revisões de RFP, essa trilha elimina idas e vindas com compliance e preserva a velocidade.

Controle acesso e risco como se fosse movimentação de dinheiro

A supervisão de GPAI está se tornando mais rigorosa; o Escritório de IA pode avaliar modelos e solicitar informações. Trate chamadas de ferramentas e acesso a dados como “transações financeiras”:

• Identidades de curto prazo para agentes; escopos de privilégio mínimo; elevação JIT para tarefas de alto risco.
• Gravação/log de sessões para ações destrutivas ou sensíveis.
• Visualizações de mudanças e rollbacks para operações em lote.
• Separação jurisdicional: para a UE e Oriente Médio, mantemos índices vetoriais regionais e armazenamento.

Prática da Pynest: Quando nosso assistente de RH toca em salário ou PII, o acesso expira automaticamente, a sessão é gravada e uma etapa de aprovação humana é aplicada.

Use um ritmo de portão de estágio que o CFO e o CISO possam apoiar

Executamos iniciativas de GenAI em um ritmo de 15/45/90 dias com limites explícitos de custo e qualidade:

• 15 dias: um fluxo de trabalho, uma métrica, teto de custo (tokens/infra), lógica de recusa endurecida.
• 45 dias: linha de base versus depois, custos de erro capturados, qualidade acima do limite.
• 90 dias: ou integra (atende à taxa de obstáculo) ou desliga.

Isso espelha a transição de pilotos para produção no mercado; as obrigações para GPAI começam em 2 de agosto de 2025, com a aplicação mais ampla aumentando para 2026–2027.

Quando usar o Código de Práticas GPAI

Se você é um provedor de GPAI (ou ajusta GPAI) e deseja um caminho com menos atrito para demonstrar conformidade, o Código de Práticas GPAI da Comissão oferece uma rota voluntária agora — cobrindo Transparência e Direitos Autorais para todo GPAI, com um capítulo extra sobre Segurança e Proteção para modelos de risco sistêmico. Isso não substituirá sua governança interna, mas padroniza o que auditores e clientes perguntarão.

Prática da Pynest: Pegamos o formulário de documentação do Código para nosso pacote interno, para que se um dia mudarmos para uma postura de “provedor” em um modelo, nossa papelada já fale a linguagem do regulador.

O que informar ao conselho (em um slide)

• Escopo e função: Quais usos nos tornam um provedor (incluindo GPAI) vs. um implantador?
• Obrigações e cronograma: Quais deveres semelhantes aos Artigos 53/55 se aplicam neste trimestre vs. 2026–2027?
• Controles em vigor: Inventário, contratos de dados, registro de decisões, política de direitos autorais, separação jurisdicional.
• Portões de estágio: ritmo de 15/45/90 com limites de custo e qualidade.
• Garantia: Alinhamento com o NIST AI RMF para manter a linguagem consistente em auditorias globais.