Lei de IA da UE e Proteção de Dados: A Interseção com o GDPR Explicada

O Regulamento (UE) 2024/1689, a Lei de IA da UE, é a primeira lei horizontal abrangente do mundo a regular a inteligência artificial. Entrou em vigor em 1º de agosto de 2024 e aplica-se em fases até 2027. Ele não substitui o GDPR. Todo sistema de IA que trate dados pessoais ainda precisa de sua própria base legal sob o GDPR, e as organizações enfrentam dois regimes de conformidade sobrepostos simultaneamente.
Para uma base sobre as regras de proteção de dados anteriores à Lei de IA, consulte nosso guia sobre leis de privacidade de dados da UE e o texto explicativo o que é o GDPR.
O Que É a Lei de IA da UE?
O Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho é um regulamento horizontal: aplica-se a sistemas de IA colocados no mercado ou postos em funcionamento na UE, independentemente de onde o desenvolvedor esteja sediado. Adota uma abordagem baseada em risco e escalonada, que classifica os casos de uso de IA em quatro categorias: risco inaceitável (proibido integralmente), alto risco (obrigações detalhadas antes da implantação), risco limitado (apenas obrigações de transparência) e risco mínimo ou nulo (sem obrigações). O regulamento foi publicado no Jornal Oficial em 12 de julho de 2024 e entrou em vigor vinte dias depois, em 1º de agosto de 2024, nos termos do Artigo 113. A aplicação ocorre em quatro fases ao longo dos três anos seguintes.
O Cronograma de Aplicação Faseada
Compreender quais obrigações já são vinculantes e quais ainda estão por vir é essencial para o planejamento da conformidade. Em junho de 2026, o panorama é o seguinte:
2 de fevereiro de 2025 (EM VIGOR): tornaram-se aplicáveis as práticas de IA proibidas do Artigo 5 e as obrigações de literacia em IA para fornecedores e implementadores. Qualquer sistema de IA enquadrado em uma categoria proibida deveria ter sido retirado de uso até essa data.
2 de agosto de 2025 (EM VIGOR): tornaram-se aplicáveis as obrigações de IA de Finalidade Geral (GPAI) previstas nos Artigos 51 a 55. Fornecedores de grandes modelos de fundação, incluindo modelos de linguagem de grande porte e modelos multimodais, estão agora sujeitos a requisitos de transparência sobre dados de treinamento e política de direitos autorais. Modelos avaliados como apresentando risco sistêmico (geralmente aqueles treinados com mais de 10^25 operações de ponto flutuante) enfrentam avaliações adicionais de segurança.
2 de agosto de 2026 (PREVISTO): tornam-se aplicáveis as principais obrigações para sistemas de IA de alto risco autônomos listados no Anexo III. Isso inclui os requisitos de governança de dados do Artigo 10, as obrigações dos implementadores do Artigo 26, as Avaliações de Impacto nos Direitos Fundamentais do Artigo 27, documentação técnica, registro de eventos (logging), avaliações de conformidade e requisitos de registro.
2 de agosto de 2027 (PREVISTO): sistemas de IA de alto risco incorporados em produtos regulados já abrangidos por legislação setorial da UE listada no Anexo I (como dispositivos médicos, maquinário e equipamentos de aviação civil) recebem um período de transição estendido. Suas obrigações previstas na Lei de IA aplicam-se a partir dessa data posterior.
Para as equipes de conformidade, a prioridade prática em meados de 2026 é ter atendido às proibições do Artigo 5 e às obrigações de GPAI, e estar se preparando ativamente para a transição de alto risco de agosto de 2026.
A Lei de IA Não Substitui o RGPD (GDPR)
Este é o ponto estrutural mais importante sobre a relação entre a Lei de IA e a proteção de dados. O Considerando 10 do Regulamento (UE) 2024/1689 afirma explicitamente que o regulamento "não pretende afetar a aplicação do direito da União em vigor que rege o tratamento de dados pessoais", incluindo o GDPR (Regulamento (UE) 2016/679), a Diretiva de Aplicação da Lei 2016/680, e o Regulamento 2018/1725, que rege as instituições da UE.
A consequência é que as organizações enfrentam dois regimes de conformidade independentes e sobrepostos. Um sistema de IA que trate dados pessoais deve satisfazer todos os requisitos aplicáveis do GDPR: precisa de uma base legal válida nos termos do Artigo 6 do GDPR para dados pessoais comuns, e de uma condição separada nos termos do Artigo 9 do GDPR para dados de categoria especial. Deve cumprir o princípio da minimização de dados (Artigo 5(1)(c) do GDPR), a limitação de finalidade (Artigo 5(1)(b) do GDPR) e todos os direitos dos titulares de dados. A Lei de IA não oferece nenhum atalho em relação a esses requisitos.
Ao mesmo tempo, atender aos requisitos do GDPR não satisfaz a Lei de IA. Um sistema pode ter uma base legal perfeitamente válida sob o GDPR, ser totalmente transparente com os titulares de dados, e ainda assim ser categoricamente proibido nos termos do Artigo 5 da Lei de IA. Os dois regimes operam em eixos diferentes: o GDPR rege o tratamento de dados pessoais, enquanto a Lei de IA rege o risco que o próprio sistema de IA representa, tanto para os indivíduos quanto para a sociedade.
As autoridades nacionais de proteção de dados mantêm todos os seus poderes de fiscalização já existentes sob o GDPR. Elas também assumem novos papéis nos termos da Lei de IA, discutidos na seção sobre fiscalização, mais adiante. As organizações devem esperar que sua autoridade de proteção de dados analise ambos os marcos regulatórios simultaneamente ao avaliar uma implantação de IA.
Práticas de IA Proibidas com Impacto na Privacidade: Artigo 5
O Artigo 5 da Lei de IA lista oito práticas totalmente proibidas, porque seus riscos são considerados inaceitáveis independentemente de qualquer benefício potencial. Sete das oito práticas proibidas estão diretamente relacionadas a preocupações de proteção de dados e vigilância. Todas estão em vigor desde 2 de fevereiro de 2025.
Pontuação social por autoridades públicas (Art. 5(1)(c)): são proibidos os sistemas de IA que avaliam ou classificam pessoas físicas com base em seu comportamento social ou características em múltiplos contextos, quando a pontuação social resultante leva a tratamento prejudicial ou desfavorável em contextos não relacionados. Isso tem como alvo sistemas governamentais de pontuação de estilo autoritário. A proibição é absoluta; não há exceção para fins de interesse público.
Avaliação de risco criminal baseada em perfilamento (Art. 5(1)(d)): são proibidos os sistemas de IA utilizados para avaliar ou prever o risco de uma pessoa física cometer uma infração penal, quando essa avaliação de risco se baseia exclusivamente no perfilamento da pessoa ou na avaliação de traços e características de personalidade. A proibição possui uma exceção restrita: não é abrangida a IA que apoia a avaliação humana de envolvimento criminal com base em fatos objetivos e verificáveis diretamente ligados a uma atividade criminosa. A disposição tem como alvo sistemas que tratam um perfil estatístico ou uma personalidade inferida como base suficiente para atribuir uma pontuação de risco criminal a um indivíduo, sem ancorar essa avaliação em uma conduta concreta observada.
Coleta indiscriminada de imagens faciais (Art. 5(1)(e)): é proibida a criação ou expansão de bases de dados de reconhecimento facial por meio da coleta indiscriminada de imagens faciais extraídas da internet ou de gravações de CFTV. Isso se relaciona diretamente com o Artigo 9 do GDPR, que trata os dados biométricos usados para identificação como categoria especial, exigindo consentimento explícito ou outra condição prevista no Artigo 9. Diversos fornecedores comercializavam exatamente essa prática antes da entrada em vigor da proibição.
Reconhecimento de emoções no trabalho e na educação (Art. 5(1)(f)): são proibidos os sistemas de IA que inferem estados emocionais de pessoas físicas em contextos de local de trabalho ou instituições de ensino. A única exceção é por motivos de segurança, como o monitoramento do estado de alerta de motoristas. É fundamental notar que essa proibição se aplica independentemente de a organização conseguir, de outra forma, estabelecer uma base legal sob o GDPR, como legítimo interesse ou consentimento. A Lei de IA torna a prática inadmissível em um nível superior ao que a análise de base legal do GDPR pode alcançar.
Categorização biométrica para características protegidas (Art. 5(1)(g)): são proibidos os sistemas de IA que categorizam pessoas físicas individualmente com base em seus dados biométricos, a fim de deduzir ou inferir raça ou origem étnica, opiniões políticas, filiação sindical, convicções religiosas ou filosóficas, vida sexual ou orientação sexual. Isso se aplica mesmo quando a categorização é probabilística, e não definitiva. A sobreposição com as categorias especiais do Artigo 9 do GDPR é extensa e intencional.
Identificação biométrica remota em tempo real em espaços públicos (Art. 5(1)(h)): é proibido o uso de sistemas de identificação biométrica remota (IBR) em tempo real em espaços acessíveis ao público para fins de aplicação da lei, sujeito a três exceções restritas: buscas direcionadas a vítimas específicas de sequestro, tráfico de pessoas ou exploração sexual; prevenção de uma ameaça terrorista específica e iminente; e identificação de pessoas suspeitas de infrações penais graves listadas no Artigo 5(2). Cada uso exige autorização judicial ou administrativa independente prévia. A restrição se apoia, em parte, no Artigo 16 do TFUE, a mesma base jurídica do tratado usada pelo GDPR, confirmando que as proibições biométricas e o GDPR compartilham um fundamento constitucional comum.
Manipulação comportamental cognitiva (Art. 5(1)(a)-(b)): também são proibidos os sistemas de IA que empregam técnicas subliminares além da consciência da pessoa, ou que exploram vulnerabilidades de grupos específicos, para distorcer materialmente o comportamento de maneiras que causem dano significativo, com atenção especial a crianças e pessoas com deficiência.
IA de Alto Risco: Governança de Dados nos Termos do Artigo 10 (Aplicável a partir de 2 de Agosto de 2026)
O Artigo 10 é a disposição mais detalhada da Lei de IA especificamente voltada a dados. Ele impõe obrigações de governança e gestão de dados aos fornecedores de sistemas de IA de alto risco, abrangendo os conjuntos de dados usados para treinar, validar e testar esses sistemas.
As obrigações do Artigo 10 exigem que os fornecedores estabeleçam práticas que regulem: os critérios de seleção e as metodologias de coleta dos dados de treinamento, validação e teste; as finalidades pretendidas desses conjuntos de dados; o exame dos dados quanto a possíveis vieses que possam causar dano ou violar direitos fundamentais; a identificação de eventuais lacunas ou deficiências relevantes nos dados; e a consideração de características ou especificidades que tornem o conjunto de dados adequado à finalidade pretendida do sistema. Os conjuntos de dados de treinamento devem estar livres de erros e ser completos, na medida do possível, considerando o estado da técnica. Artigo 10(2) a (4).
A relação com o GDPR é estrutural, e não redundante. O Artigo 5(1)(b) do GDPR exige que os dados pessoais sejam coletados para finalidades específicas, explícitas e legítimas, e não sejam posteriormente tratados de maneira incompatível com essas finalidades. O Artigo 5(1)(c) do GDPR exige a minimização de dados: os dados devem ser adequados, pertinentes e limitados ao necessário em relação às finalidades. O Artigo 10 da Lei de IA acrescenta uma camada distinta, específica para IA: além de limitar os dados coletados, os fornecedores devem documentar afirmativamente que os dados de treinamento são adequados à finalidade e estão livres de vieses que possam produzir resultados discriminatórios ou prejudiciais.
O Artigo 10(5) cria uma exceção restrita para fornecedores de sistemas de IA de alto risco, sendo um dos poucos pontos em que a Lei de IA alcança expressamente o regime de categorias especiais do GDPR. Ele permite o tratamento de dados pessoais de categoria especial em conjuntos de dados de treinamento, do contrário proibido nos termos do Artigo 9 do GDPR sem uma condição específica, estritamente na medida necessária para detectar e corrigir vieses que possam levar à discriminação. Essa exceção está sujeita a salvaguardas adequadas e limita-se à finalidade de detecção de vieses. Não se trata de uma licença geral para tratar dados sensíveis no treinamento de IA.
As categorias do Anexo III relativas a sistemas autônomos de alto risco que devem cumprir o Artigo 10 a partir de agosto de 2026 incluem: sistemas de identificação e categorização biométrica; IA para gestão de infraestrutura crítica; sistemas usados em decisões de acesso à educação e à formação profissional; sistemas relacionados ao emprego, incluindo recrutamento, avaliação de desempenho e alocação de tarefas; sistemas usados no acesso a serviços essenciais privados e públicos, incluindo pontuação de crédito e administração de benefícios; sistemas de aplicação da lei; sistemas de migração, asilo e controle de fronteiras; e sistemas usados na administração da justiça. Fornecedores que desenvolvem soluções para qualquer uma dessas categorias devem iniciar agora a implementação da governança de dados, para estarem prontos para a transição de agosto de 2026.
A Avaliação de Impacto nos Direitos Fundamentais (FRIA): Artigo 27 (Aplicável a partir de 2 de Agosto de 2026)
O Artigo 27 introduz um novo tipo de avaliação de impacto específico da Lei de IA: a Avaliação de Impacto nos Direitos Fundamentais (FRIA). Ela é distinta da Avaliação de Impacto sobre a Proteção de Dados (DPIA) exigida pelo Artigo 35 do GDPR, e as organizações que implantam IA de alto risco podem precisar realizar ambas.
A obrigação da FRIA recai sobre os implementadores, não sobre os fornecedores. Especificamente, aplica-se a implementadores que sejam organismos regidos pelo direito público, ou operadores privados que prestem serviços de natureza suficientemente próxima à dos serviços públicos, como bancos, seguros, abastecimento de água, gás, eletricidade e acesso à internet. Artigo 27(1).
A FRIA deve avaliar o risco que o sistema de IA de alto risco representa para os direitos fundamentais protegidos pela Carta dos Direitos Fundamentais da UE. Isso inclui, entre outros, o direito à privacidade nos termos do Artigo 7 da Carta, o direito à proteção de dados pessoais nos termos do Artigo 8 da Carta, o direito à não discriminação nos termos do Artigo 21, os direitos da criança nos termos do Artigo 24, o direito a um recurso efetivo nos termos do Artigo 47, e a presunção de inocência nos termos do Artigo 48. A FRIA deve ser registrada na base de dados da UE para sistemas de IA de alto risco, mantida nos termos do Artigo 71 da Lei de IA. Artigo 27(2).
A DPIA do GDPR e a FRIA da Lei de IA cumprem funções diferentes. Uma DPIA nos termos do Artigo 35 do GDPR avalia os riscos aos direitos e liberdades dos titulares de dados decorrentes do tratamento de dados pessoais. Ela é acionada quando o tratamento é suscetível de resultar em alto risco, em particular quando são utilizadas novas tecnologias. Uma FRIA nos termos do Artigo 27 da Lei de IA avalia o leque mais amplo de direitos fundamentais que podem ser afetados por um sistema de IA, envolvam ou não diretamente dados pessoais. Um sistema que toma decisões automatizadas sobre o acesso a benefícios sociais afeta ambos: trata dados pessoais (exigindo uma DPIA) e afeta direitos sociais fundamentais (exigindo uma FRIA). Ambas as avaliações devem ser realizadas antes da implantação, e a documentação de cada uma é separada.
IA de Finalidade Geral: Obrigações em Vigor desde Agosto de 2025
A Lei de IA criou uma nova categoria de entidade regulada: os fornecedores de modelos de IA de Finalidade Geral (GPAI). Modelos GPAI são modelos de IA treinados com dados amplos e em larga escala, capazes de realizar de forma competente uma ampla variedade de tarefas distintas. Modelos de linguagem de grande porte, modelos multimodais capazes de processar texto, imagens e áudio, e modelos de fundação semelhantes se enquadram nessa definição. Os Artigos 51 a 55 da Lei de IA estabelecem as obrigações, que se tornaram aplicáveis em 2 de agosto de 2025.
Todos os fornecedores de GPAI devem: publicar um resumo dos dados de treinamento com detalhamento suficiente para permitir que usuários e implementadores a jusante avaliem a qualidade dos dados, a conformidade com direitos autorais e possíveis vieses; implementar uma política de conformidade com o direito autoral da UE, incluindo as regras de exceção para mineração de textos e dados previstas na Diretiva 2019/790; e publicar documentação técnica que abranja as capacidades do modelo, suas limitações e os contextos de implantação pretendidos. O Anexo XIII especifica os requisitos de documentação técnica.
Modelos GPAI avaliados como apresentando risco sistêmico enfrentam obrigações adicionais. O limiar de risco sistêmico é definido como poder computacional de treinamento superior a 10^25 operações de ponto flutuante, nos termos do Artigo 51(1)(b), embora a Comissão Europeia possa ajustar esse limiar por meio de ato delegado. Fornecedores de GPAI com risco sistêmico devem realizar testes adversariais e exercícios de red-teaming, reportar incidentes graves ao Gabinete Europeu para a IA, implementar salvaguardas de cibersegurança e reportar seu consumo de energia. Esses requisitos reconhecem que os maiores modelos de fundação, em razão de sua ampla implantação e escala, podem produzir danos em nível social, e não apenas individual.
A preocupação específica de privacidade em relação aos modelos GPAI é a escala de dados pessoais tipicamente envolvida no pré-treinamento. Conjuntos de treinamento com centenas de bilhões de tokens coletados da web podem incluir dados pessoais de indivíduos vivos. Os fornecedores de GPAI não podem se eximir do GDPR simplesmente por estarem agora regulados pela Lei de IA. Quando os dados de treinamento contêm dados pessoais, ainda é necessária uma base legal sob o GDPR para esse tratamento, mais comumente o legítimo interesse (Artigo 6(1)(f) do GDPR), sujeito a um teste de ponderação, embora essa base já tenha sido contestada em processos de fiscalização em diversos Estados-membros.
Quem Fiscaliza Isso? O Papel das Autoridades de Proteção de Dados, do EDPB, da EDPS e do Gabinete para a IA
A Lei de IA cria uma arquitetura de fiscalização em camadas, que coloca as autoridades de proteção de dados em posição central para os setores mais sensíveis em termos de privacidade.
O Artigo 74(8) da Lei de IA designa as autoridades nacionais de proteção de dados como as autoridades de fiscalização de mercado competentes para sistemas de IA de alto risco utilizados nas áreas de aplicação da lei, controle migratório, processamento de asilo e administração da justiça. Essa é uma escolha deliberada de design: esses são os setores com maior probabilidade de envolver tratamento em larga escala de dados pessoais sensíveis e de afetar direitos fundamentais. As autoridades de proteção de dados já possuem experiência em equilibrar as necessidades de aplicação da lei com os direitos à privacidade sob o GDPR e a Diretiva de Aplicação da Lei, o que as torna o regulador técnico adequado para esses contextos.
Para outros setores de IA de alto risco, os Estados-membros são obrigados a designar autoridades nacionais competentes separadas como autoridades de fiscalização de mercado, nos termos do Artigo 70.
No nível da UE, o Comitê Europeu para a Proteção de Dados (EDPB) e a Autoridade Europeia para a Proteção de Dados (EDPS) desempenham papéis consultivos. O EDPB emite diretrizes e pareceres sobre a interseção entre a Lei de IA e o GDPR, especialmente quanto à identificação e categorização biométrica. A EDPS supervisiona o uso de sistemas de IA pelas instituições da UE e publicou orientações específicas sobre a supervisão da inteligência artificial. Em fevereiro de 2026, a EDPS aderiu a uma declaração conjunta coordenada pela Global Privacy Assembly, assinada por 61 autoridades de proteção de dados, manifestando preocupação com sistemas de IA que geram imagens e vídeos realistas retratando indivíduos identificáveis sem seu conhecimento ou consentimento, com atenção específica à proteção infantil.
O Gabinete Europeu para a IA, criado no âmbito da Comissão Europeia, detém a responsabilidade geral de coordenação da supervisão de modelos GPAI e da fiscalização transfronteiriça. É o principal ponto de contato para fornecedores de GPAI. Espera-se que as autoridades nacionais de proteção de dados e o Gabinete para a IA desenvolvam protocolos de coordenação para evitar lacunas regulatórias e a escolha estratégica de foro (forum shopping) à medida que a fiscalização amadurece.
Penalidades: Até 35 Milhões de Euros ou 7% do Faturamento Global
O Artigo 99 da Lei de IA estabelece três níveis de multas administrativas, todos já em vigor, uma vez que as próprias disposições sancionatórias se aplicam desde 2 de agosto de 2025, juntamente com as obrigações de GPAI.
O nível mais alto aplica-se a violações das práticas proibidas do Artigo 5. As multas podem chegar a 35.000.000 de euros ou 7% do faturamento anual mundial total do exercício financeiro anterior, o que for maior. Trata-se do teto máximo, não de uma multa padrão, e os órgãos fiscalizadores devem observar a proporcionalidade. Artigo 99(3).
O nível intermediário aplica-se a violações de qualquer outra obrigação imposta a fornecedores, implementadores, importadores, distribuidores ou representantes autorizados na cadeia de valor da Lei de IA, incluindo as obrigações de alto risco previstas nos Capítulos III e IV e as obrigações de GPAI. As multas podem chegar a 15.000.000 de euros ou 3% do faturamento anual mundial total. Artigo 99(4).
O nível mais baixo aplica-se ao fornecimento de informações incorretas, incompletas ou enganosas a organismos notificados ou autoridades nacionais competentes. As multas podem chegar a 7.500.000 de euros ou 1% do faturamento anual mundial total. Artigo 99(5).
Para pequenas e médias empresas e startups, a Lei de IA limita as multas ao menor valor entre o percentual e o montante absoluto, oferecendo certo alívio de proporcionalidade em comparação com o tratamento dado às grandes empresas.
Para efeito de comparação, o Artigo 83(5) do GDPR limita o nível mais alto de multas a 20.000.000 de euros ou 4% do faturamento anual global. O nível de práticas proibidas da Lei de IA da UE estabelece um teto mais alto em ambas as medidas, refletindo o entendimento do legislador de que os riscos mais graves de IA são, em certos aspectos, mais perigosos do que as violações mais graves de proteção de dados. Na prática, organizações que violem as proibições do Artigo 5 quase certamente também enfrentarão fiscalização concorrente sob o GDPR, uma vez que essas proibições normalmente envolvem tratamento em larga escala de dados biométricos ou comportamentais.
Passos Práticos para a Conformidade
As organizações que operam na UE ou que têm como alvo residentes da UE devem trabalhar desde já nos seguintes passos:
Mapear todos os sistemas de IA em uso em relação ao regime de níveis de risco. Identificar qualquer sistema que possa se enquadrar nas categorias proibidas do Artigo 5 e avaliar se ele foi retirado de uso conforme exigido desde 2 de fevereiro de 2025.
Para fornecedores de GPAI: verificar se os resumos de dados de treinamento, as políticas de conformidade com direitos autorais e a documentação técnica estão em vigor e atendem aos requisitos dos Artigos 53 a 55. Se o modelo foi treinado com mais de 10^25 FLOPs, confirmar se as obrigações de risco sistêmico previstas no Artigo 55 se aplicam.
Para fornecedores e implementadores de sistemas de alto risco: iniciar desde já a documentação de governança de dados do Artigo 10, antes da data de aplicação de 2 de agosto de 2026. Isso inclui os critérios de seleção de dados de treinamento, os registros de exame de vieses e a documentação de qualquer uso da exceção de categoria especial do Artigo 10(5) para correção de vieses.
Para implementadores que sejam organismos públicos ou operadores de serviços equivalentes a públicos: planejar o processo de FRIA previsto no Artigo 27 para ocorrer em paralelo ao processo já existente de DPIA sob o GDPR. As duas avaliações tratam de marcos jurídicos diferentes, mas frequentemente se apoiarão na mesma documentação técnica.
Revisar todas as implantações de sistemas de IA em relação à Lei de IA e ao GDPR de forma independente. A conformidade com um não garante a conformidade com o outro. Sistemas que possuem uma base legal sob o GDPR ainda podem se enquadrar em uma categoria proibida; sistemas abaixo do limiar de alto risco ainda podem envolver tratamento de dados pessoais de alto risco que exija DPIAs sob o GDPR.
Designar um contato responsável por consultas regulatórias relacionadas à Lei de IA e registrar os sistemas de alto risco na base de dados da UE, nos termos do Artigo 71, quando esta se tornar operacional.
Guias Relacionados
- Transferências Internacionais de Dados sob o GDPR: Regras do Capítulo V (2026)
- Direito ao Esquecimento no GDPR (Artigo 17) Explicado
- O GDPR se Aplica a Empresas dos EUA? Um Guia de Conformidade
- Leis de Privacidade de Dados da UE: GDPR, Lei de IA e as Reformas Digitais de 2025-2026
- O Que É o GDPR? Guia Completo sobre a Proteção de Dados na UE (2026)
Frequently Asked Questions
A Lei de IA da UE substitui o GDPR para sistemas de IA?
Não. O Considerando 10 do Regulamento (UE) 2024/1689 afirma expressamente que a Lei de IA não afeta a aplicação do [direito de proteção de dados](/us-laws/data-privacy-laws) da UE já em vigor, incluindo o GDPR. Os sistemas de IA que tratam dados pessoais devem cumprir, de forma independente, tanto a Lei de IA quanto o GDPR. São regimes separados e sobrepostos: o GDPR rege a forma como os dados pessoais são tratados; a Lei de IA rege os riscos representados pelo próprio sistema de IA.
Quais práticas proibidas do Artigo 5 já estão em vigor?
Todas as oito práticas proibidas nos termos do Artigo 5 estão em vigor desde 2 de fevereiro de 2025. São elas: (a) técnicas subliminares ou manipulativas que distorcem materialmente o comportamento causando dano significativo; (b) IA que explora vulnerabilidades de grupos específicos, como crianças ou pessoas com deficiência; (c) pontuação social por atores públicos ou privados que leve a tratamento prejudicial em contextos não relacionados; (d) avaliação de risco criminal baseada exclusivamente em perfilamento ou traços de personalidade, sem embasamento factual objetivo; (e) coleta indiscriminada de imagens faciais para criar ou expandir bases de dados de reconhecimento; (f) reconhecimento de emoções em locais de trabalho e instituições de ensino, exceto para fins médicos ou de segurança; (g) categorização biométrica para inferir características protegidas, como raça, religião ou orientação sexual; e (h) identificação biométrica remota em tempo real em espaços públicos para fins de aplicação da lei, com exceções restritas mediante autorização judicial para crimes graves, terrorismo iminente ou busca de vítimas.
O que é uma Avaliação de Impacto nos Direitos Fundamentais (FRIA) e como ela difere de uma DPIA do GDPR?
Uma FRIA nos termos do Artigo 27 da Lei de IA avalia os riscos que um sistema de IA de alto risco representa para todo o conjunto de direitos fundamentais protegidos pela Carta da UE, incluindo privacidade, proteção de dados, não discriminação e direitos em processos judiciais. Uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) nos termos do Artigo 35 do GDPR concentra-se especificamente nos riscos aos titulares de dados decorrentes do tratamento de dados pessoais. Ambas são acionadas por implantações de IA de alto risco que envolvam dados pessoais, mas são documentos separados, com bases legais e conteúdos exigidos diferentes. Implementadores que sejam organismos públicos ou operadores privados equivalentes podem precisar concluir ambas antes de implantar um sistema de IA de alto risco.
Quando as obrigações relativas à IA de alto risco realmente entram em vigor?
A maioria das obrigações relativas à IA de alto risco, incluindo a governança de dados do Artigo 10, os deveres dos implementadores do Artigo 26 e as FRIAs do Artigo 27, aplica-se a partir de 2 de agosto de 2026 para sistemas de alto risco autônomos listados no Anexo III. Sistemas de IA de alto risco incorporados em produtos regulados abrangidos pela legislação setorial do Anexo I (dispositivos médicos, maquinário etc.) têm um período de transição estendido até 2 de agosto de 2027. Em junho de 2026, essas regras ainda não estavam em vigor, mas as organizações devem estar se preparando ativamente.
Como as penalidades da Lei de IA se comparam às multas do GDPR?
O nível mais alto de penalidades da Lei de IA, para violações das práticas proibidas do Artigo 5, chega a 35.000.000 de euros ou 7% do faturamento anual global. O nível mais alto do GDPR chega a 20.000.000 de euros ou 4% do faturamento anual global. Ambos utilizam o maior valor entre o montante absoluto e o percentual. A Lei de IA também possui um nível intermediário de 15.000.000 de euros ou 3% para o descumprimento relativo a sistemas de alto risco, e um nível inferior de 7.500.000 de euros ou 1% para informações enganosas prestadas às autoridades. Organizações que violem as proibições do Artigo 5 normalmente também enfrentarão fiscalização concorrente sob o GDPR, uma vez que essas práticas quase sempre envolvem tratamento em larga escala de dados biométricos ou comportamentais.
O que o Artigo 10 da Lei de IA exige em relação aos dados de treinamento?
O Artigo 10 exige que os fornecedores de sistemas de IA de alto risco documentem e governem seus conjuntos de dados de treinamento, validação e teste. Isso inclui registrar os critérios de seleção e as metodologias de coleta, examinar os dados quanto a possíveis vieses, identificar lacunas nos dados e garantir que estejam livres de erros e sejam completos, na medida do possível. O Artigo 10(5) cria uma exceção restrita que permite o tratamento de dados pessoais de categoria especial do GDPR em conjuntos de treinamento estritamente para detectar e corrigir vieses. Essas obrigações aplicam-se a partir de 2 de agosto de 2026 e complementam, sem substituir, os princípios de minimização de dados e limitação de finalidade do GDPR.
Quem fiscaliza a Lei de IA para sistemas de IA usados em aplicação da lei e na justiça?
O Artigo 74(8) da Lei de IA designa as autoridades nacionais de proteção de dados como as autoridades de fiscalização de mercado competentes para sistemas de IA de alto risco usados em aplicação da lei, processamento de migração e asilo, e administração da justiça. Para outros setores de alto risco, os Estados-membros designam autoridades nacionais competentes separadas. No nível da UE, o Gabinete para a IA supervisiona os modelos GPAI, enquanto o EDPB e a EDPS fornecem orientação consultiva sobre a interseção entre a Lei de IA e o direito de proteção de dados.
Os fornecedores de IA de Finalidade Geral, como desenvolvedores de modelos de linguagem de grande porte, já precisam cumprir a lei agora?
Sim. As obrigações de GPAI previstas nos Artigos 51 a 55 da Lei de IA estão em vigor desde 2 de agosto de 2025. Todos os fornecedores de GPAI devem publicar resumos de dados de treinamento, implementar uma política de conformidade com direitos autorais e publicar documentação técnica. Fornecedores de modelos avaliados como apresentando risco sistêmico (aqueles treinados com mais de 10^25 FLOPs) enfrentam requisitos adicionais de avaliação de segurança, notificação de incidentes e cibersegurança. As obrigações do GDPR relativas ao tratamento de dados de treinamento continuam a se aplicar em conjunto com essas exigências da Lei de IA.
Sources and References
- Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho (Lei de IA da UE): Texto Oficial, EUR-Lex(eur-lex.europa.eu)
- Regulamento (UE) 2016/679 (GDPR): Texto Oficial, EUR-Lex(eur-lex.europa.eu)
- Comissão Europeia: Visão Geral do Marco Regulatório da Lei de IA (digital-strategy.ec.europa.eu)(digital-strategy.ec.europa.eu)
- Comitê Europeu para a Proteção de Dados (EDPB): Diretrizes e Pareceres sobre IA e Biometria(edpb.europa.eu)
- Autoridade Europeia para a Proteção de Dados (EDPS): Página sobre Supervisão da Inteligência Artificial(edps.europa.eu)
- Gabinete Europeu para a IA: Portal Oficial (digital-strategy.ec.europa.eu)(digital-strategy.ec.europa.eu)