O essencial
- Não existe uma lei mundial única sobre IA. Cumprir implica acompanhar um mosaico de normas regionais e nacionais, cujo ritmo é marcado pelo regulamento europeu.
- O regulamento europeu da IA (
EU AI Act) continua a ser o regime de referência mundial: classificação por nível de risco, alcance extraterritorial e coimas até 35 milhões de euros ou 7 por cento do volume de negócios mundial. - Os Estados Unidos não dispõem de uma lei federal abrangente. Funcionam através de um mosaico de estados em rápida evolução, com o Colorado e o Texas à frente.
- As normas voluntárias,
ISO/IEC 42001e oNIST AI RMF, formam a espinha dorsal que permite a um único conjunto de controlos responder a várias leis. - A resposta duradoura não é mais um rastreador jurídico, mas sim um único modelo operacional: inventariar os sistemas de IA, classificá-los, ligar as obrigações a controlos e conservar as provas.

O que abrangem as leis de IA em 2026
Por trás da procura de informação sobre as leis de IA escondem-se, na verdade, três camadas de regras que hoje se sobrepõem. A primeira camada é o direito vinculativo: os textos que preveem sanções, como o regulamento europeu da IA, as leis dos estados dos EUA ou as medidas chinesas sobre algoritmos e conteúdos. A segunda camada reúne as normas certificáveis, encabeçadas pela norma ISO/IEC 42001, referência internacional de um sistema de gestão da IA que um organismo acreditado pode auditar. A terceira camada abrange os quadros voluntários, como o NIST AI RMF e os princípios da OCDE, que não são leis, mas moldam cada vez mais o que reguladores e clientes esperam. A dimensão do fenómeno explica o que está em jogo. No início de 2026, mais de 72 países tinham lançado mais de 1.000 iniciativas de política pública sobre IA, segundo uma análise regulatória comparada. Apenas duas jurisdições, a União Europeia e a Coreia do Sul, adotaram uma lei horizontal abrangente. Em todos os outros casos, a IA rege-se por uma mistura de regras setoriais, pelo direito da proteção de dados e por textos mais restritos, dirigidos aos hiperfalsos, ao recrutamento ou às eleições. Em Portugal, a CNPD acompanha esta evolução com orientações próprias. Para uma equipa de governação, a consequência prática é clara: as leis de IA nunca se leem texto a texto. Um mesmo sistema de IA utilizado em vários mercados pode acionar ao mesmo tempo o regulamento europeu, uma lei estadual norte-americana e um regulador setorial. O resto deste guia passa, por isso, do mapa das regras para uma forma de operar capaz de resistir perante todas. Para as organizações que partem do zero, a plataforma AI Sigil transforma este panorama num único registo de obrigações.
O mapa mundial das leis de IA
A regulação da IA em 2026 agrupa-se em quatro grandes modelos. Cada um trata a mesma tecnologia de forma diferente, pelo que o modelo aplicável depende do local onde os sistemas são concebidos, colocados no mercado e utilizados.
União Europeia: o regulamento da IA
O regulamento europeu da IA é a lei mais completa em vigor. Classifica os sistemas em quatro níveis de risco: inaceitável (proibido), elevado (fortemente regulado), limitado (obrigações de transparência) e mínimo (praticamente livre). As obrigações entram em aplicação por fases. As proibições e o dever de literacia em IA aplicaram-se primeiro, as obrigações relativas à IA de fins gerais (GPAI) vigoram desde 2 de agosto de 2025 e os deveres para os sistemas de risco elevado seguem-se mais tarde. Por força do acordo provisório denominado Digital Omnibus, de 7 de maio de 2026, as obrigações para os sistemas autónomos de risco elevado do anexo III foram adiadas de 2 de agosto de 2026 para 2 de dezembro de 2027, seguindo-se a IA integrada em produtos em 2027, como indica o calendário oficial de aplicação. O texto ultrapassa as fronteiras da União: um prestador ou um responsável pela implantação estabelecido fora da UE fica abrangido quando o resultado do sistema é utilizado na União. As coimas atingem até 35 milhões de euros ou 7 por cento do volume de negócios mundial para as práticas proibidas, e até 15 milhões de euros ou 3 por cento para as infrações de risco elevado, como expõe o resumo de alto nível.
Estados Unidos: vazio federal e mosaico de estados
Os Estados Unidos não têm uma lei federal abrangente sobre IA. São os estados que legislam. Em dezembro de 2025, a Casa Branca emitiu uma ordem sobre um quadro nacional de política de IA destinada a limitar os obstáculos colocados pelas leis estaduais, o que acrescenta uma questão de prevalência sem eliminar o mosaico. Enquanto o ponto não for resolvido, quem opera em vários estados terá de cumprir cada um deles.
Ásia-Pacífico: modelos abrangentes e centrados no conteúdo
A lei-quadro sul-coreana da IA entrou em vigor a 22 de janeiro de 2026, tornando a Coreia do Sul a segunda jurisdição depois da UE com uma lei abrangente. A China aplica um modelo diferente, assente em medidas vinculativas: registo dos algoritmos junto da administração do ciberespaço, rotulagem obrigatória dos conteúdos gerados por IA e autoavaliações de segurança. Singapura e o Japão preferem quadros e ferramentas de teste em vez de leis rígidas.
Reino Unido e regimes assentes em princípios
O Reino Unido optou por uma abordagem assente em princípios, conduzida pelos reguladores, sem uma lei dedicada à IA, apoiando-se no direito existente, segundo uma comparação de 2026 dos principais regimes. Várias outras economias seguem o mesmo padrão adaptativo, que mantém regras flexíveis, mas deixa mais interpretação à organização.
Que regras se aplicam a si
Antes de ler qualquer texto, responda a duas perguntas: qual é o seu papel e onde é utilizado o resultado. Estes dois eixos determinam a maior parte das suas obrigações. O papel é o primeiro eixo. O regulamento europeu, e a maioria das leis que nele se inspiram, distinguem o prestador, que desenvolve ou coloca no mercado um sistema, do responsável pela implantação, que o utiliza sob a sua própria autoridade. O prestador suporta o encargo maior: documentação técnica, avaliação de conformidade e registo. O responsável pela implantação assume deveres mais ligeiros, mas reais. Nos termos do artigo 26.º, um responsável pela implantação deve utilizar um sistema de risco elevado em conformidade com as instruções do prestador, confiar a supervisão humana a pessoas competentes, vigiar o funcionamento e suspender a utilização perante um risco, e conservar os registos gerados automaticamente durante pelo menos seis meses, como recorda o resumo do regulamento. Muitas organizações são, ao mesmo tempo, responsáveis pela implantação de ferramentas de terceiros e prestadores dos seus próprios sistemas, acumulando assim ambas as séries de deveres. O território é o segundo eixo. O alcance extraterritorial significa que a questão não é onde está sediado, mas onde aterra o resultado do sistema. Se esse resultado for utilizado na UE, o regulamento europeu pode aplicar-se. Se uma decisão afetar um residente do Colorado ou do Texas, pode aplicar-se a lei desse estado. As camadas setoriais acrescentam um terceiro nível: a finança, a saúde e o emprego têm regras próprias relevantes para a IA, independentemente da lei horizontal. Uma breve lista de verificação de aplicabilidade: enumere cada sistema de IA, indique se o fornece ou o implanta, anote todos os mercados onde o seu resultado é utilizado e assinale qualquer setor regulado envolvido. Essa única tabela diz-lhe quais das regras deste guia estão ativas para si e torna-se o esqueleto do modelo operacional descrito adiante. Um registo estruturado de gestão de riscos de IA torna o exercício repetível em vez de pontual.
Leis dos estados dos EUA: a frente mais móvel
A pergunta mais frequente por trás das leis de IA é norte-americana: que estados regulam a IA. O ritmo é intenso. Os estados aprovaram 145 textos sobre IA em 2025, segundo o resumo legislativo da NCSL, e 29 estados legislaram em 2026, com mais de 38 estados a deter agora pelo menos uma lei mais restrita, muitas vezes dirigida aos hiperfalsos ou aos conteúdos eleitorais, como mostra um balanço de meados de 2026. Dois estados mostram a rapidez com que o terreno se desloca. O Colorado tinha aprovado a lei SB 24-205, um amplo texto de proteção do consumidor, com efeito a 30 de junho de 2026 após um adiamento de 1 de fevereiro de 2026. Em maio de 2026, o estado revogou-a e substituiu-a pela lei SB 26-189, mais restrita, sobre tecnologias de decisão automatizada, com efeito a 1 de janeiro de 2027, conforme acompanha a sociedade Cooley. O Texas seguiu outra via com o Texas Responsible AI Governance Act (TRAIGA, HB 149), assinado a 22 de junho de 2025 e com efeito a 1 de janeiro de 2026, centrado numa curta lista de utilizações proibidas e em regras para a IA das administrações, segundo um guia estado a estado. A lição para as equipas de conformidade é que as leis estaduais são alvos móveis. As datas de efeito deslizam, os âmbitos estreitam-se e as definições mudam de uma sessão para a outra. Acompanhar o texto é necessário, mas insuficiente. O que perdura é uma camada de controlos capaz de absorver uma nova lei estadual sem reconstruir tudo, objeto da secção seguinte.
Do texto jurídico aos controlos operacionais
É aqui que a maioria dos rastreadores jurídicos para e é aqui que uma equipa de governação deve começar. As leis descrevem resultados esperados, não se executam dentro da sua empresa. Para transformar as leis de IA em prática diária, adote um modelo operacional de quatro passos. O primeiro passo é o inventário. Não se governa o que não se vê. Construa um único registo de cada sistema de IA, incluindo as ferramentas de terceiros e as adotadas de forma informal, para que a IA na sombra não fique fora do perímetro. Cada entrada anota a finalidade, os dados utilizados, o responsável e os mercados onde o resultado é usado. O registo da AI Sigil foi concebido para ser essa fonte de verdade. O segundo passo é a classificação. Com base nesse registo, classifique cada sistema por risco e por papel. Ligue-o aos níveis do regulamento europeu, indique se é prestador ou responsável pela implantação e assinale as jurisdições envolvidas. A classificação converte a tabela de aplicabilidade da secção anterior numa carga de trabalho priorizada. O terceiro passo é o mapeamento dos controlos. É o ponto que muda a economia da conformidade. A maioria das regras pede os mesmos comportamentos de fundo: avaliação do risco, governação dos dados, supervisão humana, registo de atividade, transparência e gestão de incidentes. Em vez de escrever um conjunto de controlos por lei, defina uma única biblioteca de controlos e ligue cada controlo às obrigações que satisfaz em vários textos. Um só controlo de supervisão humana pode responder ao regulamento europeu, a uma lei estadual norte-americana e a uma política interna ao mesmo tempo. O quarto passo é a prova. Os reguladores e os auditores não aceitam intenções, mas rastos. Cada controlo precisa de um responsável, de uma cadência e de provas conservadas: avaliações, aprovações, registos e autorizações. Quando a prova é recolhida à medida que o trabalho decorre, uma auditoria torna-se uma consulta em vez de uma corrida contra o tempo. Trata-se aqui de cobertura e completude dos controlos, não de uma única pontuação ponderada.
As normas como espinha dorsal da conformidade: ISO 42001 e NIST AI RMF
A biblioteca de controlos do terceiro passo não precisa de ser inventada. Duas normas já a fornecem, e é o seu uso que permite a um só programa responder a muitas leis. A norma ISO/IEC 42001 é a referência internacional de um sistema de gestão da IA. É certificável: um organismo acreditado pode auditar o seu programa e emitir um certificado reconhecido por clientes e reguladores. Fornece a estrutura de governação: política, papéis, processo de risco, controlos e melhoria contínua. O NIST AI RMF é um quadro norte-americano voluntário organizado em torno de quatro funções, governar, mapear, medir e gerir, mais concreto quanto ao modo de conduzir o trabalho de risco. Os dois encaixam: ISO/IEC 42001 fornece o sistema de gestão auditável e o NIST AI RMF o método de risco que o anima, como descreve uma comparação em linguagem clara dos três regimes. O benefício é a reutilização de uma jurisdição para outra. O NIST publica tabelas de correspondência do seu quadro para a recomendação da OCDE e para ISO/IEC 42001, e ambas as normas se alinham estreitamente com as expectativas do regulamento europeu em matéria de gestão do risco, documentação e supervisão. Construa a sua biblioteca de controlos em torno destas normas e grande parte das suas obrigações, ao abrigo do regulamento europeu, das leis estaduais norte-americanas e dos regimes da Ásia-Pacífico, ficará coberta pelas mesmas provas. Mantém um só programa, não um por lei. A AI Sigil entrega a sua biblioteca de controlos já ligada a ISO/IEC 42001 e ao NIST AI RMF precisamente por esta razão.
Construir um modelo operacional de conformidade de IA
Juntar as peças produz um método que sobrevive às novas leis. Comece pelo registo como fonte única de verdade para cada sistema de IA em uso. Sobreponha níveis de risco para que os sistemas de risco elevado recebam a maior atenção. Separe os seus controlos em dois grupos: os controlos fundamentais que valem para toda a organização, como uma política de IA ou um programa de literacia, e os controlos de sistema próprios de um caso de uso, como o teste de vieses ou a supervisão humana de um modelo de recrutamento. A governação precisa de um ancoradouro. Confie a um comité ou a um responsável identificado uma autoridade real para aprovar as utilizações de risco elevado, examinar os incidentes e validar as provas. Defina uma cadência de vigilância para que os controlos sejam reatestados segundo um calendário, e não verificados uma vez e depois esquecidos, porque tanto as leis de IA como os seus próprios sistemas evoluem entre uma revisão e outra. A vantagem deste modelo é que uma nova lei se torna uma atualização, não um projeto. Quando chega a próxima lei estadual ou o próximo ato delegado, liga os seus requisitos a controlos já em funcionamento, colmata as lacunas e prossegue. É a diferença entre correr atrás do texto jurídico e operar um programa de governação. A plataforma AI Sigil foi concebida para fazer girar este ciclo de ponta a ponta, do registo à prova.
Perguntas frequentes
Quais são as leis que regulam a IA? As leis que regulam a IA são os textos vinculativos que regem o seu desenvolvimento e uso, completados por normas e quadros que moldam as expectativas. O texto vinculativo mais claro é o regulamento europeu da IA. A ele juntam-se as leis estaduais norte-americanas, as medidas chinesas sobre algoritmos e conteúdos e a lei-quadro sul-coreana. A par figuram normas certificáveis como ISO/IEC 42001 e quadros voluntários como o NIST AI RMF, que não são leis, mas muitas vezes decidem o que reguladores e clientes aceitam. Que estados dos EUA têm leis de IA? Mais de 38 estados dos EUA detêm pelo menos uma lei de IA, e 29 estados legislaram em 2026. Muitos destes textos dirigem-se a temas restritos, como os hiperfalsos ou os conteúdos eleitorais. Um grupo mais reduzido dispõe de regras amplas e transversais, com o Colorado e o Texas como exemplos mais conhecidos. Como as datas de efeito e os âmbitos mudam com frequência, a contagem deve ler-se como um valor móvel e não como uma lista fixa. Existe uma lei mundial de IA? Não. Não existe uma lei mundial única de IA nem um regulador planetário. O ponto de referência mais próximo é o regulamento europeu, porque o seu alcance extraterritorial obriga muitas organizações não europeias a cumpri-lo e porque outros governos retomam a sua estrutura por níveis de risco. Normas globais como ISO/IEC 42001 também criam uma base comum, mas são voluntárias e não vinculativas. O que é o regulamento europeu da IA e a quem se aplica? O regulamento europeu da IA é a lei abrangente da União. Ordena os sistemas por nível de risco e impõe os deveres mais exigentes às utilizações de risco elevado. Aplica-se aos prestadores e aos responsáveis pela implantação, mesmo fora da UE quando o resultado do sistema é utilizado na União. As coimas atingem até 35 milhões de euros ou 7 por cento do volume de negócios mundial para as práticas proibidas. Quais são as novas leis de IA em 2026? Em 2026 entrou em vigor a lei-quadro sul-coreana, a TRAIGA do Texas passou a ter efeito a 1 de janeiro e o Colorado substituiu a sua lei inicial por um texto mais restrito sobre decisão automatizada previsto para 2027. A UE, além disso, adiou parte do calendário de risco elevado para dezembro de 2027. Ao mesmo tempo, dezenas de estados norte-americanos aprovaram medidas mais restritas, mantendo o panorama em movimento constante. Como se cumprem as leis de IA em vários países? A via eficiente é um único modelo operacional em vez de um projeto por lei. Inventarie cada sistema de IA, classifique-o por risco e por papel, ligue as obrigações a uma biblioteca de controlos construída sobre ISO/IEC 42001 e o NIST AI RMF, e conserve a prova de cada controlo. Como estas normas se alinham com a maioria das leis, os mesmos controlos e os mesmos rastos satisfazem vários regimes ao mesmo tempo, de modo que uma nova lei se torna uma atualização e não uma reconstrução.
Conclusão
O traço definidor das leis de IA em 2026 é a fragmentação. Nenhum corpo normativo mundial único, um regulamento europeu que lidera a marcha enquanto vê deslocar-se o seu próprio calendário, e um mosaico de estados norte-americanos que muda de sessão em sessão. Querer acompanhar lei a lei é uma corrida perdida à partida. As organizações que se mantêm conformes tratam o mosaico como uma condição duradoura e respondem-lhe com estrutura: um único registo de IA, uma classificação clara dos riscos, uma biblioteca de controlos ligada a ISO/IEC 42001 e ao NIST AI RMF, e provas recolhidas à medida que o trabalho decorre. Esse modelo operacional transforma cada novo texto numa atualização gerível em vez de uma emergência. Para o construir numa única plataforma, do registo à prova pronta para auditoria, comece com AI Sigil.