← News
ANNOUNCEMENT · 2026-05-07
EU AI Act: poderes de enforcement de GPAI entram em vigor em agosto de 2026
Em 2 de agosto de 2026, o AI Office da Comissão Europeia ganha plenos poderes de enforcement sobre provedores de modelos de AI de propósito geral (GPAI), incluindo multas de até 3% do faturamento global ou EUR 15 milhões. Modelos anteriores a 2025 têm até 2 de agosto de 2027 para se adequar.
O que o marco de 2 de agosto de 2026 de fato destrava
As obrigações de GPAI em si entraram em aplicação em **2 de agosto de 2025**, mas provedores ganharam uma janela de ajuste de um ano antes de a Comissão Europeia poder começar a exercer supervisão e enforcement. Essa janela fecha em **2 de agosto de 2026**, quando os poderes de enforcement do AI Office sob o Chapter V passam a vigorar.
*Este artigo é orientação geral, não aconselhamento jurídico. Consulte advogados qualificados em direito da UE para decisões de compliance.*
A partir dessa data, o AI Office pode requisitar formalmente documentação e informação, conduzir avaliações de modelo, exigir medidas de compliance (incluindo mitigação de risco, restrição de mercado, recall ou retirada) e impor multas sob o **Artigo 101** da Regulação. As penalidades máximas para provedores GPAI são **de até 3% do faturamento global anual ou EUR 15 milhões, o que for maior**, para infrações intencionais ou negligentes. O tier mais estreito do Artigo 99, de até EUR 35 milhões ou 7% do faturamento, aplica-se a práticas de AI proibidas, não a obrigações de GPAI. 2 de agosto de 2026 não é, portanto, uma nova data de obrigação; é a data em que as obrigações existentes se tornam diretamente exigíveis pela Comissão.
Quem conta como provedor GPAI (e o threshold de risco sistêmico)
Um modelo de AI de propósito geral é definido como um modelo treinado em dados amplos, exibindo generalidade significativa e capaz de executar competentemente uma ampla gama de tarefas distintas, independente de como é colocado no mercado. O provedor é a entidade que desenvolve ou manda desenvolver o modelo e o coloca no mercado da UE sob seu próprio nome ou marca.
Uma segunda categoria, mais estreita, **GPAI com risco sistêmico**, dispara as obrigações mais pesadas dos Artigos 55 e 56. Sob o **Artigo 51**, presume-se que um modelo tem capacidades de alto impacto quando o compute cumulativo usado para treinamento excede **10^25 floating-point operations (FLOPs)**. Essa é uma presunção refutável: sob o Artigo 52(2), um provedor acima do threshold pode submeter argumentos fundamentados de que o modelo de fato não apresenta risco sistêmico, e a Comissão também pode designar modelos abaixo do threshold com base em outros critérios. A Comissão pode atualizar o threshold por ato delegado.
Criticamente, as diretrizes da Comissão de julho de 2025 esclareceram que um **ator downstream se torna o novo provedor GPAI quando o compute de treinamento usado para modificação excede um terço do compute de treinamento original**. Fine-tuning leve não vira o papel; pretraining continuado em larga escala pode.
Deveres de transparência, copyright e documentação downstream
Todos os provedores GPAI, independente de status de risco sistêmico, têm quatro deveres-base sob o **Artigo 53**:
1. **Documentação técnica (Annex XI)** descrevendo o design do modelo, processo de treinamento, datasets, consumo energético, tarefas pretendidas, arquitetura e licenciamento, mantida e disponibilizada ao AI Office mediante requisição.
2. **Documentação downstream (Annex XII)** fornecendo aos integradores a informação necessária para entender capacidades e limitações do modelo, usos pretendidos e restrições de integração.
3. **Política de copyright** consistente com a lei de copyright da UE, incluindo opt-outs de text-and-data-mining da Diretiva 2019/790. Isso significa respeitar reservas de direitos legíveis por máquina (como robots.txt) durante crawling web e evitar fontes legalmente inacessíveis.
4. **Resumo público de conteúdo de treinamento** seguindo o template obrigatório do AI Office, amplo o suficiente para que rights-holders e o público entendam quais categorias de conteúdo foram usadas.
Modelos totalmente free e open-source que não apresentam risco sistêmico ficam isentos dos deveres 1 e 2, mas **não** da política de copyright nem do resumo público de treinamento.
Prazos de carência para modelos pré-2025
A Regulação distingue entre modelos colocados no mercado após 2 de agosto de 2025 (que precisavam estar compliant desde o dia um) e **modelos legados colocados no mercado antes de 2 de agosto de 2025**, que têm até **2 de agosto de 2027** para trazer documentação e políticas em linha.
Esse período de carência é estreito em duas dimensões. Primeiro, não atrasa enforcement contra modelos pós-agosto de 2025, que o AI Office pode perseguir imediatamente assim que seus poderes ativarem em agosto de 2026. Segundo, aplica-se ao *modelo* tal como existia antes do cutover. Modificação substancial pós-cutover, especialmente qualquer retraining excedendo o gatilho de um terço do compute descrito acima, pode puxar um modelo legado para o regime pós-2025 e resetar o relógio.
Provedores que se apoiam na janela de legacy ainda devem esperar engajamento informal do AI Office durante 2025-2027. A Comissão sinalizou que colaboração de boa fé durante o período de ajuste é um fator em como a discrição de enforcement será exercida assim que o Artigo 101 estiver disponível.
GPAI Code of Practice: benefícios e riscos do opt-in
O **General-Purpose AI Code of Practice**, publicado em **10 de julho de 2025**, é um instrumento voluntário elaborado por especialistas independentes em um processo multi-stakeholder. Tem três capítulos: **Transparência** e **Copyright** se aplicam a todos os provedores GPAI; **Safety and Security** se aplica somente a provedores de risco sistêmico.
Assinar o Code concede uma **presunção de conformidade** com as obrigações correspondentes do AI Act: signatários se beneficiam de carga administrativa menor em avaliações e maior segurança jurídica. Em meados de 2025, **26 organizações** haviam assinado, incluindo Amazon, Anthropic, Cohere, Google, IBM, Microsoft, Mistral AI e OpenAI. **Meta recusou assinar.** xAI assinou apenas o capítulo de Safety and Security, o que significa que precisa demonstrar compliance com transparência e copyright por meios alternativos sujeitos a avaliação do AI Office.
O lado do risco é real. Signatários aceitam compromissos estruturados como o Model Documentation Form padronizado, pontos de contato de copyright designados e cadência contínua de reporting. Não-signatários não carregam obrigações extras, mas também perdem a presunção de conformidade e podem enfrentar escrutínio mais próximo quando a Comissão começar a exercer poderes do Artigo 101 em agosto de 2026.
Checklist prático de compliance para deployers downstream
Usar um modelo GPAI compliant **não** descarrega obrigações downstream. Provedores de *sistemas* de AI construídos sobre um modelo GPAI carregam seus próprios deveres, especialmente se o sistema resultante for de alto risco sob Anexo I ou III, ou se obrigações de transparência do Artigo 50 se aplicarem (por exemplo, a chatbots, deepfakes ou sistemas de reconhecimento de emoção).
Uma checklist realista para deployers:
- **Requisite e arquive o pacote de informação do Annex XII** de todo modelo GPAI que você integrar; verifique a posição de compliance do provedor upstream com o Chapter V.
- **Mapeie casos de uso pretendidos contra o Anexo III** para determinar se seu sistema é de alto risco; em caso afirmativo, prepare evidências de avaliação de conformidade sob o Chapter III.
- **Incorpore o model card upstream e suas limitações na sua própria documentação técnica**, análise de risco e plano de monitoramento pós-mercado.
- **Implemente os avisos de transparência do Artigo 50** onde saídas generativas ou interativas são visíveis ao usuário.
- **Mantenha logs de auditoria e controles de human oversight** proporcionais ao risco do sistema; as obrigações de literacia em AI sob o Artigo 4 vigoram desde fevereiro de 2025.
Obrigações de deployer são independentes do status do provedor do modelo, então um model card upstream incompleto ou vago é *seu* problema para escalar, não razão para atrasar sua própria documentação.
Por que caminhos self-hosted e BYOK simplificam a trilha de auditoria
Deveres de deployer pressupõem que você consegue responder a duas perguntas sob demanda: *qual modelo produziu este output, sob qual configuração e em infraestrutura de quem*, e *quais dados deixaram seu ambiente para chegar lá*. Endpoints de inferência multi-tenant compartilhados tornam as duas perguntas mais difíceis, porque a superfície de logging, retenção e roteamento pertence a um terceiro cujas disclosures podem ou não casar com seu pacote do Annex XII.
Inferência self-hosted e padrões de deploy bring-your-own-key (BYOK) estreitam a superfície de forma útil. Quando o modelo roda em infraestrutura que você controla, você é dono dos logs de inferência, da postura de residência de dados e da trilha de auditoria que um pedido de enforcement eventualmente vai pedir. Quando BYOK roteia chamadas direto do seu tenant para o provedor upstream sob seus termos contratuais, o caminho de metadados é auditável fim a fim. Plataformas desenhadas em torno desse padrão, como **osFoundry**, tratam logs de auditoria, controles de residência de dados e defaults privacy-first como parte da camada de orquestração, não como add-ons.
Nada disso substitui as obrigações substantivas do Artigo 53 sobre o provedor upstream, mas encurta materialmente a cadeia de evidência que você precisa montar quando reguladores perguntarem.
Frequently asked questions
- Quando as regras de GPAI do EU AI Act se tornam de fato exigíveis?
- As obrigações substantivas para provedores de modelos de AI de propósito geral sob o Chapter V do EU AI Act entraram em aplicação em 2 de agosto de 2025. No entanto, os poderes de enforcement da Comissão Europeia, incluindo a autoridade para requisitar informação, conduzir avaliações, ordenar medidas corretivas e impor multas sob o Artigo 101, só se tornam exercíveis em 2 de agosto de 2026. Provedores de modelos GPAI colocados no mercado antes de 2 de agosto de 2025 têm uma janela mais longa de compliance e devem estar em conformidade até 2 de agosto de 2027.
- Qual é o threshold de risco sistêmico para modelos GPAI?
- Sob o Artigo 51(2) do EU AI Act, um modelo de AI de propósito geral é presumido como tendo capacidades de alto impacto e, portanto, como representando risco sistêmico, quando o compute cumulativo usado para seu treinamento excede 10^25 floating-point operations (FLOPs). A presunção é refutável: um provedor acima do threshold pode submeter argumentos fundamentados sob o Artigo 52(2) de que o modelo de fato não representa risco sistêmico. A Comissão também pode designar modelos abaixo do threshold e pode atualizar o próprio threshold via ato delegado conforme o estado da arte evolui.
- Preciso assinar o GPAI Code of Practice?
- Não. O Code of Practice, publicado em 10 de julho de 2025, é voluntário. Assiná-lo concede presunção de conformidade com as obrigações relevantes do Artigo 53 e (para provedores de risco sistêmico) do Artigo 55, o que reduz fricção administrativa durante avaliações do AI Office. Em meados de 2025, 26 organizações haviam assinado, incluindo Anthropic, Google, Microsoft e OpenAI. Meta recusou assinar. Não-signatários precisam demonstrar conformidade por meios alternativos adequados e podem esperar escrutínio mais próximo quando o enforcement do Artigo 101 começar.
- Quais as multas máximas por não-compliance com GPAI?
- Sob o Artigo 101 do EU AI Act, a Comissão Europeia pode multar provedores de modelos GPAI em até 3% do faturamento global anual ou EUR 15 milhões, o que for maior, por infrações intencionais ou negligentes das obrigações de GPAI ou por falhas em prover a informação requisitada. Isso fica separado dos tiers mais amplos do Artigo 99, que incluem até EUR 35 milhões ou 7% do faturamento para práticas de AI proibidas. PMEs e startups têm tetos no menor entre o percentual e o valor absoluto.
Sources