O EU AI Act é a regulação da União Europeia baseada em risco para sistemas de inteligência artificial, em vigor desde agosto de 2024, com aplicação gradual até 2027. Para equipes jurídicas que operam ou atendem a UE, ele cria duas camadas de obrigações: (a) conformidade com os sistemas de IA que a própria equipe jurídica usa (sua política interna de IA) e (b) trabalho de assessoria para clientes que implantam IA em domínios de maior risco. O EU AI Act coexiste com o GDPR — sem substituí-lo —, que continua a reger o processamento de dados pessoais, incluindo treinamento e inferência de IA.
Os quatro níveis de risco
| Nível | Exemplos relevantes para a prática jurídica | Obrigações |
|---|---|---|
| Inaceitável | Pontuação social, reconhecimento de emoções no ambiente de trabalho, IA manipuladora | Proibido integralmente |
| Alto risco | IA usada na administração da justiça (apoio a decisões judiciais), emprego (triagem de currículos, avaliação de desempenho), acesso a infraestrutura crítica | Avaliação de conformidade, registro, monitoramento contínuo, supervisão humana |
| Risco limitado | A maioria das ferramentas de IA jurídica (assistentes de redação, revisão de contratos, pesquisa) quando interagem com pessoas | Transparência: divulgar o uso de IA para as partes que interagem |
| Risco mínimo | Filtros de spam, jogos de vídeo habilitados por IA | Nenhuma obrigação específica |
Para a maioria das equipes jurídicas in-house que usam IA para revisão e redação interna de contratos, o nível relevante é risco limitado — as obrigações de transparência se aplicam, mas não a avaliação de conformidade.
Quando o uso de IA pela equipe jurídica se torna de alto risco
O uso de IA por uma equipe jurídica raramente cruza para alto risco por si só. Pode cruzar quando:
- A IA é usada em decisões de emprego (avaliações de desempenho, decisões de contratação, demissões) sobre funcionários do escritório ou clientes
- A IA é usada para apoiar a tomada de decisão judicial (ex.: ferramentas de IA usadas por tribunais que o escritório fornece ou opera)
- A IA é usada para avaliar a solvência de crédito ou elegibilidade para seguros de pessoas físicas
Para a maioria dos trabalhos de revisão de contratos, pesquisa e redação, a IA é de risco limitado e as obrigações são principalmente de transparência.
Obrigações de transparência
Sistemas de IA de risco limitado devem:
- Divulgar para as pessoas que interagem. Quando a IA está interagindo com humanos (chatbot, comunicação redigida por IA), o sistema deve divulgar a natureza da IA a menos que seja claramente evidente pelo contexto.
- Marcar conteúdo gerado por IA. Algumas categorias de conteúdo gerado por IA (deepfakes, mídia sintética) exigem rotulagem.
- Documentar para usuários downstream. Provedores de modelos de IA de propósito geral devem publicar documentação que permita aos implantadores downstream cumprir suas próprias obrigações.
Para a prática jurídica: comunicações a clientes redigidas por IA, briefs gerados por IA e resumos criados por IA devem ser divulgados ao destinatário quando materiais.
Aplicação gradual
| Data | O que se aplica |
|---|---|
| Fev 2025 | Práticas proibidas banidas; obrigações de letramento em IA começam |
| Ago 2025 | Regras de governança; obrigações de modelos de IA de propósito geral |
| Ago 2026 | Requisitos para sistemas de alto risco (maioria das categorias) |
| Ago 2027 | Requisitos para sistemas de alto risco (categorias restantes) |
Equipes jurídicas que assessoram clientes sobre conformidade com IA devem acompanhar atentamente as datas graduais — obrigações diferentes entram em vigor em momentos diferentes.
Interação com o GDPR
O EU AI Act não substitui o GDPR. Ambos se aplicam quando a IA processa dados pessoais:
- O GDPR rege o processamento de dados pessoais. Base legal, minimização de dados, direitos dos titulares de dados, requisitos de DPA com fornecedores de IA.
- O EU AI Act rege o próprio sistema de IA. Transparência, classificação de risco, conformidade para sistemas de alto risco.
Para um fornecedor de IA que processa dados pessoais, ambas as regulações se aplicam. Equipes jurídicas que revisam contratos com fornecedores de IA devem verificar ambos os regimes de conformidade.
Como operacionalizar para equipes jurídicas in-house
- Fazer inventário das ferramentas de IA usadas. Todo sistema de IA em uso pela equipe jurídica e funções adjacentes, com classificação de nível de risco sob o EU AI Act.
- Incorporar conformidade à due diligence de fornecedores. Fornecedores de IA recebem um adendo do EU AI Act durante a due diligence: confirmação do nível de risco, divulgações de transparência, conformidade com o GDPR, proveniência dos dados de treinamento.
- Atualizar a política de IA para transparência. O uso interno de IA para trabalho com clientes deve divulgar o envolvimento da IA quando apropriado; o uso externo (chatbots, comunicações redigidas por IA) exige divulgação explícita.
- Treinar em letramento de IA. O EU AI Act cria uma obrigação de letramento — a equipe que usa IA deve ter treinamento adequado. Integre aos ciclos de treinamento de política de IA existentes.
- Acompanhar desenvolvimentos regulatórios. O EU AI Office está publicando orientações até 2027; as classificações de risco e as listas de alto risco evoluirão.
Armadilhas comuns
- Assumir que IA jurídica é de alto risco por padrão. A maioria dos usos de IA jurídica é de risco limitado; superclassificar cria overhead de conformidade desnecessário.
- Tratar EU AI Act e GDPR como um único regime. São distintos; cumprir um não completa o outro.
- Ignorar o alcance extraterritorial. Escritórios americanos com clientes ou operações na UE podem estar sujeitos aos requisitos do EU AI Act mesmo sem estabelecimento na UE.
- Avaliação de conformidade estática. A classificação de risco é por implantação, não por fornecedor; a mesma ferramenta de IA usada em contextos diferentes pode ter obrigações diferentes.
Relacionados
- Política de IA para equipes jurídicas — o framework de política interna mais amplo
- GDPR para equipes jurídicas — a camada de proteção de dados que se intersecta com a IA
- Checklist de DPA — termos de proteção de dados de fornecedores relevantes para fornecedores de IA
- O que é Legal Ops? — função que coordena a conformidade com o EU AI Act internamente