Os níveis de risco da Lei de IA da UE, explicados para quem não é advogado
A Lei de IA da UE não trata toda a inteligência artificial da mesma forma, e é essa a parte que a maioria dos artigos explicativos ignora. Não se trata de um único conjunto de regras aplicado uniformemente a todos os sistemas de IA — é um mecanismo de classificação. Todo sistema de IA usado na UE, ou que afete a UE, é enquadrado em um de quatro níveis de risco, e o nível em que você cai determina se você enfrenta uma proibição total, uma montanha de burocracia de conformidade, uma simples obrigação de divulgação, ou absolutamente nada. Um artigo anterior aqui abordou em detalhe as regras de rotulagem e divulgação do Artigo 50 — a obrigação específica de “avisar que é IA”. Este artigo trata da estrutura maior em que essas regras se inserem: o próprio sistema de níveis, e onde as ferramentas que os criadores comuns realmente usam tendem a se enquadrar.
Os quatro níveis, em termos simples
Risco inaceitável significa proibido, ponto final — não regulado, não taxado, não rotulado, simplesmente ilegal construir ou implantar na UE, não importa quem você seja ou o quanto seja cuidadoso. Risco alto significa legal, mas fortemente supervisionado — avaliações de conformidade, documentação técnica, supervisão humana, registro em um banco de dados da UE, tudo isso. Risco limitado significa legal com uma pegadinha de transparência — você precisa divulgar o que está acontecendo, mas não precisa de aprovação prévia ao mercado nem de um departamento de conformidade. Risco mínimo significa nenhuma obrigação específica de IA — você ainda está sujeito à lei comum, como o GDPR e a proteção ao consumidor, mas a Lei em si não tem nada a lhe dizer. A maior parte do uso cotidiano de IA generativa por criadores individuais está nos dois níveis inferiores. Os níveis que realmente deveriam preocupar você são os dois superiores, e principalmente por motivos específicos e identificáveis, e não por “IA em geral”.
Risco inaceitável: a lista curta do que é simplesmente proibido
O Artigo 5 lista oito categorias de práticas de IA que a UE considera incompatíveis com direitos fundamentais, sem exceção — nenhuma versão de “mas nós divulgamos” torna essas práticas legais. Elas incluem: IA que manipula pessoas de forma subliminar ou exploradora, causando dano real; IA que explora vulnerabilidades de crianças, pessoas com deficiência ou pessoas em dificuldades econômicas; sistemas de pontuação social que classificam pessoas por comportamento e depois as penalizam por isso; ferramentas de policiamento preditivo que apontam alguém como um provável criminoso futuro com base apenas em perfilamento, e não em evidências de um ato real; raspagem da internet ou de imagens de CFTV para construir bancos de dados de reconhecimento facial não direcionados; inferir as emoções de pessoas em ambientes de trabalho ou escolas; categorizar pessoas por características biométricas sensíveis, como raça ou orientação sexual; e identificação biométrica em tempo real de pessoas em locais públicos por autoridades policiais, com exceções restritas. Essas proibições são aplicáveis desde 2 de fevereiro de 2025, e não há cláusula de tolerância para sistemas anteriores — não importa se o seu sistema é anterior à lei.
Uma adição mais recente, relevante para criadores, chegou por meio do pacote de simplificação “Digital Omnibus” da UE, finalizado entre junho e julho de 2026: sistemas de IA criados especificamente para gerar ou alterar imagens íntimas não consensuais de uma pessoa real e identificável — os chamados aplicativos “nudifier” e ferramentas similares de troca de rosto voltadas à produção de conteúdo sexual de alguém sem seu consentimento — agora são explicitamente proibidos por completo, com a proibição entrando em vigor em 2 de dezembro de 2026. Isso se enquadra no mesmo nível das práticas acima, e não no nível de rotulagem e divulgação: nenhuma divulgação, marca d’água, verificação de idade ou fluxo de consentimento torna isso legal. Se o propósito inteiro de uma ferramenta é gerar esse tipo de conteúdo não autorizado, não importa como o resultado seja marcado — construir ou operar a ferramenta já é a violação. As penalidades por violar o Artigo 5 são as mais severas da Lei: até 35 milhões de euros ou 7% do faturamento anual global, o que for maior.
Risco alto: legal, mas o peso da conformidade é real
O status de alto risco se aplica a sistemas de IA usados em domínios sensíveis específicos, listados no Anexo III — emprego e gestão de trabalhadores, avaliação em educação e formação profissional, acesso a serviços essenciais como pontuação de crédito, migração e controle de fronteiras, aplicação da lei, administração da justiça, e identificação ou categorização biométrica fora dos usos já totalmente proibidos acima. Se você é um criador ou um pequeno estúdio, dificilmente estará construindo esses sistemas — mas pode ser um usuário deles sem perceber. Uma ferramenta de IA que seleciona candidatos a emprego analisando entrevistas em vídeo, uma plataforma de ad-tech que lê imagens de webcam para inferir a reação emocional do público a um conteúdo, ou um sistema biométrico que classifica pessoas por características protegidas para um projeto de cliente — todos se enquadrariam aqui. Esses sistemas exigem avaliações de conformidade antes de serem colocados no mercado, documentação técnica, mecanismos de supervisão humana e registro em um banco de dados de abrangência europeia — uma carga de conformidade pensada para empresas com equipes jurídicas e de engenharia, não para o projeto de fim de semana de um criador solo.
O cronograma prático mudou substancialmente em 2026. As obrigações de alto risco para esses sistemas do Anexo III deveriam originalmente entrar em vigor a partir de 2 de agosto de 2026, junto com tudo o mais — mas o acordo do Digital Omnibus, alcançado pelos negociadores da UE em 7 de maio de 2026 e formalmente endossado pelo Parlamento e pelo Conselho ao longo de junho, adiou essa data para 2 de dezembro de 2027. A IA de alto risco embutida em produtos já regulados, como componentes de segurança de IA em dispositivos médicos ou maquinário, ganha um prazo ainda maior, até 2 de agosto de 2028. Se o seu trabalho não toca nesses domínios sensíveis, esse adiamento é basicamente ruído de fundo — mas é a maior mudança prática de 2026 na implementação da Lei, e mostra a UE construindo uma folga real em vez de um precipício abrupto.
Risco limitado: onde a transparência é toda a obrigação
Este é o nível que toca mais diretamente os criadores de conteúdo comuns, e é onde vive o Artigo 50. Se você está gerando um chatbot, precisa deixar claro que o usuário está falando com uma máquina. Se você gera ou manipula conteúdo de imagem, áudio ou vídeo realista o suficiente para passar por real — uma demonstração sintética de produto, um clipe estilo notícia narrado por IA, uma gravação manipulada de um evento real —, precisa divulgar que aquilo foi gerado ou alterado artificialmente, de forma clara e no local onde a pessoa realmente encontra o conteúdo. Se você está implantando um sistema de reconhecimento de emoções ou categorização biométrica fora dos contextos proibidos e de alto risco descritos acima, deve avisar as pessoas de que isso está acontecendo. Nada disso exige aprovação prévia, avaliação de conformidade ou registro em banco de dados — exige dizer a verdade às pessoas sobre o que estão vendo, no momento em que estão vendo. Essas obrigações se tornaram exigíveis em toda a UE em 2 de agosto de 2026, junto com a Comissão ganhando poder formal para investigar e multar.
Risco mínimo: o nível em que a maior parte do uso criativo de IA realmente vive
Uma ilustração de fundo gerada por IA para um vídeo, uma narração com voz clonada, uma miniatura assistida por IA, uma imagem gerada a partir de texto usada em um moodboard, uma ferramenta de escrita com IA rascunhando o esboço de um roteiro — nada disso aciona uma obrigação específica da Lei de IA. Não é proibido, não é de alto risco, e a menos que o resultado seja realista o suficiente para ser confundido com filmagem real de um evento ou pessoa real, nem sequer aciona o dever de divulgação do Artigo 50. Você continua sujeito às regras comuns — direitos autorais, difamação, termos de plataforma, GDPR se estiver processando dados pessoais —, mas a Lei de IA em si é, em grande parte, silenciosa aqui. Essa é, genuinamente, a maior categoria em volume: a maior parte do uso de IA generativa para entretenimento, marketing e trabalho criativo é de risco mínimo, e a Lei foi deliberadamente construída para não retardar esse uso.
Um eixo separado: os próprios modelos de IA
Mais um ponto que vale a pena conhecer, porque explica por que uma ferramenta que você usa pode mencionar “conformidade com a Lei de IA da UE” em seus termos, mesmo que o seu próprio uso seja de risco mínimo: os modelos de IA de propósito geral — os grandes modelos de base que alimentam a maioria das ferramentas generativas voltadas ao consumidor — estão em uma trilha de conformidade separada, voltada às empresas que constroem os modelos, e não às pessoas que usam aplicativos construídos sobre eles. Essas obrigações se aplicam aos provedores de modelos desde 2 de agosto de 2025, e o poder da Comissão de efetivamente fiscalizar e multar essas empresas entrou em vigor em 2 de agosto de 2026. Modelos treinados com mais de aproximadamente 10^25 operações de ponto flutuante são presumidos como portadores de “risco sistêmico” e enfrentam obrigações extras — avaliação de risco, rastreamento de incidentes, requisitos de cibersegurança, notificação ao AI Office da UE em até duas semanas após atingir esse limiar. Esse é um peso para o punhado de empresas que constroem modelos de fronteira, essencialmente invisível para quem usa um produto já pronto.
Juntando as peças: onde realmente está o seu fluxo de trabalho?
Para a esmagadora maioria das pessoas que criam conteúdo com IA, o retrato honesto é o seguinte: o trabalho rotineiro de geração e edição é de risco mínimo e não é tocado pela Lei; conteúdo realista o suficiente para ser confundido com algo real aciona um dever de divulgação de risco limitado sob o Artigo 50, e não uma proibição ou um processo de conformidade; usar IA para contratação, crédito, classificação biométrica ou decisões semelhantes em domínios sensíveis o coloca em território de alto risco, com burocracia real, embora a fiscalização nesse nível só entre em vigor em dezembro de 2027; e a única coisa realmente proibida por completo é uma lista curta e específica — práticas manipuladoras e exploradoras, certos usos biométricos e de pontuação social, e, como acréscimo mais recente, ferramentas construídas especificamente para gerar imagens íntimas não consensuais de pessoas reais. O sistema não foi projetado para tornar difícil o uso criativo comum de IA. Foi projetado para tornar ilegal um pequeno número de danos específicos, responsabilizar um conjunto um pouco maior de usos sensíveis, e tornar tudo o mais transparente em vez de restrito.
O status regulatório muda rapidamente, e os detalhes acima refletem informações publicamente disponíveis em meados de julho de 2026 — verifique os requisitos atuais antes de tomar decisões que dependam deles. Este artigo é informação geral, não aconselhamento jurídico; para qualquer questão com implicações reais, consulte um advogado licenciado em sua jurisdição.