Checklist de governança de IA para sistemas LLM em produção em 2026
A aplicação completa do EU AI Act começa em agosto de 2026. Esta checklist prática cobre as cinco camadas de governança que todo sistema LLM em produção precisa, com mapeamentos para ISO 42001 e EU AI Act.
Seção 01 · Por que agora
O que muda em agosto de 2026 e por que isso importa
O EU AI Act está em fase de implementação desde agosto de 2024. Agosto de 2026 é quando as exigências restantes — incluindo todas as obrigações para sistemas de IA de alto risco — passam a ser plenamente exigíveis.
Resposta rápida
A resposta curta: Agosto de 2026 é o prazo para conformidade plena com o EU AI Act. Sistemas de IA de alto risco enfrentam exigências rigorosas de documentação, supervisão humana e auditoria. A maioria dos LLMs corporativos é de risco limitado, mas qualquer sistema usado em contratação, crédito, saúde ou decisões legais é de alto risco.
A implementação faseada do EU AI Act deu tempo às organizações para se prepararem, mas o prazo de agosto de 2026 é real. A aplicação fica a cargo das autoridades nacionais de fiscalização de mercado dos Estados-Membros da UE e do Escritório Europeu de IA para modelos de IA de uso geral. As penalidades são substanciais: até 35 milhões de euros ou 7% do faturamento anual global para as violações mais graves, até 15 milhões de euros ou 3% para outras violações.
O regulamento também tem alcance extraterritorial. Se o seu sistema de IA for implantado na UE — se afetar residentes da UE, independentemente de onde a sua empresa esteja sediada — ele está sujeito ao regulamento. Isso significa que sistemas de IA construídos por empresas no Paquistão, nos EUA ou em qualquer outro lugar que processem ou afetem usuários da UE estão sujeitos à conformidade.
Seção 02 · Classificação de risco
Em que faixa o seu sistema se enquadra?
| Faixa de risco | Exemplos | Obrigações principais |
|---|---|---|
| Inaceitável (proibido) | Pontuação social, vigilância biométrica em tempo real, manipulação subliminar | Banido — não é possível implantar na UE |
| Alto risco | Ferramentas de contratação, scoring de crédito, diagnóstico médico, avaliação educacional, segurança pública | Documentação completa, supervisão humana, requisitos de precisão, trilha de auditoria, avaliação de conformidade |
| Risco limitado (GPAI) | Chatbots de uso geral, assistentes de código, sumarização de documentos | Obrigações de transparência, divulgação de direitos autorais, rotulagem de conteúdo gerado por IA |
| Risco mínimo | Filtros de spam, sistemas simples de recomendação, IA em jogos | Sem requisitos obrigatórios |
Modelos de IA de uso geral — incluindo GPT-5.4, Claude Sonnet 4.6 e Gemini 2.5 — se enquadram nas disposições GPAI (General Purpose AI), que exigem transparência e divulgação de direitos autorais, mas são menos onerosas que os requisitos de alto risco. Se você construir uma aplicação sobre um modelo GPAI e essa aplicação for usada para uma finalidade de alto risco, as obrigações de alto risco se aplicam à sua aplicação.
Seção 03 · Checklist de governança
Cinco camadas de governança que todo sistema LLM em produção precisa
Política de uso aceitável
Uma política escrita que define o que o sistema de IA está autorizado a fazer, quais casos de uso são proibidos e quais dados ele tem permissão para processar. Essa é a base. Sem ela, você não consegue demonstrar a um regulador ou auditor que pensou na superfície de risco do sistema. Documente antes de agosto de 2026.
Arquitetura de contenção de dados
Sistemas LLM em produção não devem passar dados pessoais ou informações sensíveis para o contexto do modelo a menos que necessário. Implemente detecção de PII antes da construção do contexto, controles de residência de dados para dados de residentes da UE e documentação clara de quais dados o modelo vê e por quê. Arquiteturas RAG, em que documentos são recuperados seletivamente, são mais auditáveis do que sistemas que passam bases inteiras.
Pontos de revisão humana para decisões de alto impacto
Para qualquer decisão assistida por IA que afete a vida de uma pessoa — contratação, crédito, saúde, educação — implemente uma etapa de revisão humana antes da execução da decisão. A revisão humana não precisa ser exaustiva. Ela precisa ser documentada, registrada e capaz, de fato, de sobrepor a recomendação da IA.
Registro de incidentes
Todo incidente em que o sistema de IA produz uma saída errada, prejudicial ou inesperada deve ser registrado com a data, a entrada, a saída, o contexto e a resolução. Esse log é exigido pela ISO 42001 e é a base de evidências primária para auditorias de conformidade com o EU AI Act. Comece a registrar agora, antes de agosto.
Trilha de auditoria para ações de IA
Para sistemas agênticos que executam ações — enviar mensagens, atualizar registros, disparar workflows — toda ação deve ser registrada com o trace de raciocínio do agente, a ferramenta chamada, os parâmetros passados e as aprovações humanas (se exigidas). Esse é o controle que separa um agente governável de um agente ingovernável.
Seção 04 · ISO 42001
ISO 42001: o sistema de gestão que torna a governança auditável
A ISO 42001, publicada no fim de 2023, é a primeira norma internacional dedicada especificamente a sistemas de gestão de IA. Ela fornece um arcabouço estruturado de como organizações constroem, implantam e governam sistemas de IA de forma responsável. Os principais auditores — BSI, DNV, TÜV — já certificam segundo essa norma.
A relação prática entre a ISO 42001 e o EU AI Act: a ISO 42001 lhe dá o arcabouço documental e de processos que os requisitos de conformidade do EU AI Act presumem existir. Uma organização certificada na ISO 42001 está bem posicionada para auditorias do EU AI Act porque a infraestrutura de governança subjacente já está em pé.
| Obrigação EU AI Act | Cláusula ISO 42001 | Prioridade |
|---|---|---|
| Sistema de gestão de riscos | 6.1 — Avaliação de riscos | Alta |
| Documentação técnica | 9.1 — Monitoramento, medição, análise | Alta |
| Mecanismo de supervisão humana | 8.4 — Controles de design do sistema de IA | Alta |
| Testes de precisão e robustez | 9.1 — Avaliação de desempenho | Média |
| Governança de dados | 8.2 — Gestão de dados do sistema de IA | Alta |
| Registro de incidentes | 10.1 — Não conformidade e ação corretiva | Alta |
FAQ
Perguntas frequentes
Quando começa a aplicação plena do EU AI Act?
2 de agosto de 2026. É quando as exigências restantes entram em vigor, incluindo todas as obrigações para sistemas de IA de alto risco. O regulamento está em fase de implementação desde agosto de 2024: sistemas de IA proibidos foram banidos a partir de fevereiro de 2025, as obrigações para modelos GPAI passaram a valer em agosto de 2025 e o regime completo de alto risco aplica-se a partir de agosto de 2026.
O EU AI Act se aplica a empresas fora da UE?
Sim. O EU AI Act tem alcance extraterritorial: aplica-se a qualquer sistema de IA implantado na UE ou que afete residentes da UE, independentemente de onde o provedor esteja sediado. Uma empresa no Paquistão, nos EUA ou em qualquer outro lugar que opere sistemas de IA afetando usuários da UE precisa cumpri-lo.
O que é a ISO 42001 e como ela se relaciona com o EU AI Act?
A ISO 42001 é a norma internacional de sistema de gestão de IA publicada em 2023. Fornece o arcabouço documental e de processos que a conformidade com o EU AI Act exige. Uma organização certificada na ISO 42001 dispõe da infraestrutura de governança — registros de risco, logs de incidentes, procedimentos de supervisão humana — que as auditorias do EU AI Act buscam.
Qual é o mínimo que preciso implementar antes de agosto de 2026?
Uma política de uso aceitável, um log de incidentes e a documentação de quem é responsável pelas decisões de governança de IA. Esses três itens são exigidos para todos os sistemas acima do risco mínimo, levam dias para implementar e são as primeiras coisas que um regulador pede. Comece por aí e depois acrescente os controles técnicos.
Quais são as penalidades por não conformidade com o EU AI Act?
Até 35 milhões de euros ou 7% do faturamento anual global para violações envolvendo práticas de IA proibidas ou obrigações de modelos GPAI. Até 15 milhões de euros ou 3% do faturamento para outras violações. Até 7,5 milhões de euros ou 1,5% do faturamento por fornecer informações incorretas às autoridades de fiscalização.
Perguntas frequentes
- Quando começa a aplicação completa do EU AI Act?
- Em 2 de agosto de 2026. Nessa data entram em vigor as obrigações restantes, incluindo todo o regime de sistemas de IA de alto risco. A norma vem sendo aplicada em fases desde agosto de 2024: sistemas proibidos vetados desde fevereiro de 2025, obrigações de GPAI desde agosto de 2025, e regime completo de alto risco em agosto de 2026.
- O EU AI Act se aplica a empresas fora da União Europeia?
- Sim. O EU AI Act tem alcance extraterritorial: aplica-se a qualquer sistema de IA implantado na UE ou que afete residentes da UE, independentemente de onde o fornecedor esteja. Uma empresa no Paquistão, nos Estados Unidos ou em qualquer outro lugar que opere sistemas de IA atingindo usuários da UE precisa cumprir.
- O que é a ISO 42001 e qual a relação com o EU AI Act?
- ISO 42001 é a norma internacional de sistema de gestão de IA publicada em 2023. Ela fornece o framework de documentação e de processos exigido pela conformidade com o EU AI Act. Uma organização certificada em ISO 42001 já dispõe da infraestrutura de governança — registros de risco, logs de incidentes, procedimentos de supervisão humana — que as auditorias do EU AI Act buscam.
- Qual é o mínimo a implementar antes de agosto de 2026?
- Uma política de uso aceitável, um log de incidentes e a documentação de quem é responsável pelas decisões de governança de IA. Esses três itens são exigidos para todos os sistemas além do risco mínimo, levam dias para implementar e são as primeiras coisas que um regulador pede.
- Quais as penalidades por descumprir o EU AI Act?
- Até 35 milhões de euros ou 7 por cento do faturamento anual global por violações em práticas de IA proibidas ou obrigações de GPAI. Até 15 milhões de euros ou 3 por cento por outras violações. Até 7,5 milhões de euros ou 1,5 por cento por informações incorretas a autoridades supervisoras.