A Estrutura do AI Act em 2026

O AI Act é o primeiro regulamento horizontal abrangente do mundo sobre inteligência artificial. Sua arquitetura em camadas de risco é a chave para entender quais obrigações se aplicam a quais sistemas.

As Camadas de Risco

A Lei classifica os sistemas de AI em quatro camadas com base no risco que representam:

• Sistemas proibidos — práticas que são totalmente banidas, incluindo técnicas subliminares manipulativas, exploração de vulnerabilidades, pontuação social por autoridades públicas e certas formas de categorização biométrica e reconhecimento de emoções
• Sistemas de alto risco — sistemas usados em contextos especificados de alto risco, sujeitos à maior parte das obrigações substantivas da Lei, incluindo gestão de risco, governança de dados, transparência, supervisão humana e requisitos de precisão
• Sistemas de risco limitado — sistemas com obrigações específicas de transparência, incluindo a maioria dos recomendadores de conteúdo baseados em AI e chatbots que interagem diretamente com usuários
• Sistemas de risco mínimo — todo o resto, sujeitos apenas a códigos voluntários gerais de conduta

Onde se Encaixam a Publicidade e os Sistemas de Recomendação

A maior parte da AI voltada para publicidade — pontuação de audiência, otimização de lances programáticos, recomendadores de conteúdo, mecanismos de personalização — fica na camada de risco limitado, em vez da camada de alto risco. Isso soa como um alívio, mas a camada de risco limitado ainda carrega obrigações significativas de transparência, e vários casos extremos empurram sistemas específicos para camadas superiores. Criticamente, as regras de práticas proibidas podem alcançar sistemas de publicidade se cruzarem para o território de manipulação ou exploração, e o EDPB sinalizou disposição para interpretar essas disposições de forma ampla.

O Faseamento

O calendário de 2026 importa: as obrigações de alto risco para novos sistemas entram em vigor em agosto de 2026, as obrigações de alto risco para sistemas já no mercado entram em vigor em 2027, e as obrigações do fornecedor de AI de uso geral já estão em vigor. Editores e anunciantes devem mapear seu inventário de AI em relação a este calendário para saber quais obrigações se aplicam e quando.

Como o AI Act se Sobrepõe ao GDPR

O AI Act não substitui o GDPR. Ele se sobrepõe a ele. Um sistema que processa dados pessoais para produzir saídas baseadas em AI precisa satisfazer ambos os regimes, e as obrigações são aditivas em vez de alternativas.

A Camada GDPR

O GDPR continua a governar a legalidade do processamento de dados pessoais. Consentimento para perfilagem publicitária, base legal para medição, o conjunto de direitos do titular dos dados, as obrigações de transferência transfronteiriça — tudo isso continua a se aplicar inalterado.

A Camada AI Act

Além do GDPR, o AI Act adiciona obrigações especificamente sobre o próprio sistema de AI: como foi treinado, quais dados entraram no treinamento, como suas saídas são documentadas, quais mecanismos de supervisão existem, qual transparência o usuário recebe. Essas obrigações vinculam-se ao sistema de AI, independentemente de o processamento de dados subjacente ser baseado em consentimento, baseado em contrato ou em alguma outra base legal.

A Implicação Prática

Um editor executando um recomendador de conteúdo em dados pessoais precisa de uma base legal GDPR válida para o processamento de dados e de uma divulgação de transparência em conformidade com o AI Act. Qualquer uma sozinha é insuficiente. A superfície de conformidade agora é genuinamente bidimensional, e a cadeia de documentação precisa cobrir ambos os eixos.

Práticas Proibidas e Publicidade

A lista de práticas proibidas da Lei é curta, mas consequente, e várias entradas têm implicações para o design de publicidade.

Técnicas Manipulativas

A Lei proíbe sistemas de AI que implantam técnicas subliminares, práticas manipulativas ou exploram vulnerabilidades de grupos específicos de maneiras susceptíveis de causar danos significativos. A maior parte do design de publicidade não se aproxima desta linha — mas a publicidade que visa vulnerabilidades identificadas (dificuldades financeiras, estados de saúde mental, padrões de dependência) usando perfilagem baseada em AI poderia cruzá-la. O EDPB sinalizou isso em orientações iniciais.

Categorização Biométrica

A Lei proíbe a categorização biométrica que infere atributos sensíveis, como raça, opinião política, filiação sindical, crença religiosa, vida sexual ou orientação sexual. Segmentos de audiência construídos a partir de dados biométricos que inferem esses atributos estão agora em território proibido.

Reconhecimento de Emoções em Contextos Específicos

O reconhecimento de emoções é proibido em contextos de trabalho e educacionais. Casos de uso de detecção de emoções em publicidade fora desses contextos ainda podem ser permissíveis, mas enfrentam escrutínio aumentado.

Obrigações de Transparência de Risco Limitado

É aqui que fica a maior parte do trabalho de conformidade do AI Act de editores e anunciantes em 2026.

A Divulgação do Sistema de Recomendação

Recomendadores de conteúdo que personalizam o que os usuários veem — seja na página inicial de um editor, em um feed dentro de um aplicativo ou em uma colocação de anúncio programático — enquadram-se na camada de risco limitado. Os usuários devem ser informados de que estão interagindo com um sistema de AI, e o sistema deve ser projetado de forma que a natureza de AI da interação seja clara.

A Divulgação do Chatbot

Qualquer sistema de AI que interaja diretamente com usuários em forma conversacional deve divulgar sua natureza de AI. Editores e anunciantes executando interfaces de chat de AI — para suporte ao cliente, descoberta de conteúdo ou qualquer outro propósito — precisam satisfazer este requisito básico.

A Divulgação de Conteúdo Sintético

Imagens, áudio, vídeo e conteúdo de texto gerados por AI devem ser marcados como tal. Editores que usam visuais ou texto gerados por AI em conteúdo editorial, criativo publicitário ou imagens de produtos precisam aplicar as obrigações de marcação. A orientação de implementação de 2026 esclareceu as especificações técnicas para marcação, incluindo padrões de marca d'água para conteúdo visual.

A Superfície de Consentimento Combinada em 2026

O CMP e o aviso de privacidade agora precisam trabalhar para ambos os regimes. O CMP do editor de 2026 parece significativamente mais elaborado do que seu predecessor de 2024.

Propósitos de Consentimento Granulares

O CMP expõe propósitos de consentimento que distinguem entre publicidade geral, perfilagem para publicidade, tomada de decisão automatizada e personalização de recomendação. Cada um mapeia para um limite específico do AI Act e do GDPR, e cada um requer seu próprio consentimento afirmativo.

Divulgações do Sistema de AI

O aviso de privacidade ou um documento complementar de divulgação de AI descreve os sistemas de AI em uso, seus propósitos, as categorias de dados de entrada, a lógica ampla das saídas e os mecanismos de supervisão humana em vigor. Isso é mais do que a divulgação de decisão automatizada do Artigo 22 do GDPR — é uma história de transparência de AI mais completa.

O Direito de Objeção

O direito do GDPR de se opor à perfilagem continua a se aplicar, e o AI Act adiciona outros direitos do usuário em torno da personalização de recomendação baseada em AI. Os usuários podem optar por não participar da personalização de recomendação sem perder o acesso ao serviço subjacente, e a opção de exclusão deve ser pelo menos tão fácil quanto a opção de inclusão.

Padrões Operacionais que Funcionam em 2026

Editores e anunciantes executando programas maduros de 2026 estão convergindo para alguns padrões operacionais.

O Inventário de AI

Manter um inventário ao vivo de cada sistema de AI em uso na pilha do editor ou anunciante: o sistema, sua camada de risco sob a Lei, os dados pessoais que processa, sua base legal sob o GDPR, as divulgações de transparência aplicadas a ele e a supervisão humana em vigor. Este é o artefato de conformidade fundamental e é o que os reguladores pedirão para ver primeiro.

O Aviso de Privacidade Combinado

Um único aviso combinado de privacidade e transparência de AI — português, alemão, francês, ou qualquer idioma apropriado para o público — que aborde as obrigações do GDPR e do AI Act em uma narrativa coerente. Tentar manter duas divulgações separadas convida a contradições e confusão do leitor.

A Auditoria de AI do Fornecedor

Para cada fornecedor de publicidade ou análise que processa saídas baseadas em AI em nome do editor, o contrato deve abordar a alocação de obrigações do AI Act, o acesso à documentação técnica e a notificação de incidentes. Os acordos padrão de processamento de dados de 2023 não abordam o AI Act e precisam ser atualizados.

Sanções e Postura de Aplicação

O AI Act introduz um regime de sanções em camadas com multas administrativas que podem exceder os máximos do GDPR.

As Camadas de Sanção

• Até EUR 35 milhões ou 7 por cento do faturamento global anual para violações de práticas proibidas
• Até EUR 15 milhões ou 3 por cento para a maioria das outras violações substantivas
• Até EUR 7,5 milhões ou 1 por cento por fornecer informações incorretas

A Arquitetura de Aplicação

Cada Estado-Membro designa autoridades nacionais competentes para a aplicação do AI Act, e o Escritório Europeu de AI coordena a supervisão de modelos de AI de uso geral. A aplicação contra editores e anunciantes funcionará principalmente através das autoridades nacionais, muitas vezes em estreita coordenação com as autoridades de proteção de dados existentes. As primeiras ações significativas de aplicação do AI Act são esperadas ao longo de 2026, à medida que as obrigações de alto risco entram plenamente em vigor.

Lista de Verificação de Auditoria para Publicidade Baseada em AI em 2026

• Inventário ao vivo de cada sistema de AI na pilha com classificação de camada de risco
• Base legal do GDPR documentada para cada sistema de AI que processa dados pessoais
• Divulgações de transparência do AI Act aplicadas a cada sistema de risco limitado, incluindo personalização de recomendação e chatbots
• Marcação de conteúdo sintético aplicada a criativos, imagens, áudio e vídeo gerados por AI
• Aviso combinado de privacidade e transparência de AI no idioma local relevante
• O CMP expõe perfilagem, tomada de decisão automatizada e personalização de recomendação como propósitos consentíveis separadamente
• Segmentos de audiência são revisados contra a lista de categorização biométrica proibida
• Contratos de fornecedores atualizados para abordar a alocação de obrigações do AI Act
• Mecanismos de supervisão humana documentados para qualquer sistema que se aproxime do limite de alto risco
• O fluxo de trabalho de direitos do titular dos dados e do usuário do AI-Act pode responder a solicitações de opt-out, explicação e revisão humana dentro das janelas de resposta aplicáveis

A Perspectiva para 2026

O AI Act não substitui o GDPR — ele se sobrepõe a ele, e a superfície combinada é significativamente mais elaborada do que qualquer um dos regimes isoladamente. Para editores e anunciantes executando personalização, perfilagem, sistemas de recomendação ou conteúdo generativo baseados em AI, 2026 é o ano em que a arquitetura de conformidade precisa amadurecer além de uma postura puramente GDPR. Aqueles que tratam o AI Act como uma preocupação de estado futuro descobrirão que o futuro chega mais rápido do que o esperado, com autoridades nacionais emitindo suas primeiras ações de aplicação ao longo de 2026 e em 2027. Aqueles que constroem conformidade combinada desde o início descobrirão que a arquitetura compensa: as obrigações de transparência do AI Act, bem implementadas, também fortalecem a história de consentimento e confiança do GDPR, e a disciplina operacional de manter um inventário de AI ao vivo acaba sendo útil muito além da conformidade regulatória.