Digital Omnibus da União Europeia propõe adiamento dos prazos de conformidade para a IA

A Comissão Europeia divulgou duas propostas importantes que podem mudar a forma como as organizações que operam na União Europeia lidarão com temas como governança da inteligência artificial, proteção de dados, comunicação de incidentes de segurança cibernética e consentimento a cookies. Essas duas propostas de regulamentação – Digital Omnibus e Digital Omnibus on AI – visam simplificar o livro de regras digital da Europa, ao mesmo tempo reforçando a proteção dos usuários e fortalecendo a confiança no mercado.

As propostas incluem mudanças reais que merecem atenção. Este artigo resume as propostas, o que está por vir e as possíveis implicações para as empresas e seus clientes.

Que mudanças o pacote Digital Omnibus da Comissão Europeia propõe?

A Comissão Europeia propôe atualizações legislativas abrangentes em cinco áreas principais:

• Requisitos para sistemas de alto risco na Lei de IA;
• Direitos do titular de dados;
• Avaliação de impacto sobre a proteção de dados (DPIA, data protection impact assessment);
• Relatórios de incidentes cibernéticos;
• Regras de consentimento para cookies.

A União Europeia propõe oficialmente adiar a aplicação dos requisitos para sistemas de IA de alto risco, adiando de 2026 para 2027 os principais prazos.

Para análises mais profundas sobre o escopo completo da proposta Digital Omnibus relativa à Lei de IA da UE, visite o portal DataGuidance.

Essa mudança não se trata de um enfraquecimento da Lei de IA. Em vez disso, a Comissão está reestruturando a implementação da lei, para alinhá-la ao grau de prontidão atual de todo um ecossistema que inclui normas, autoridades, orientações e ferramentas. O objetivo é que as organizações possam assegurar a conformidade de forma realista.

Por que a UE propõe estender o cronograma da Lei de IA? 

Quando a Lei da IA da União Europeia foi adotada, as obrigações referentes a casos de uso de alto risco foram planejadas para serem implementadas até 2 de agosto de 2026, com imposição e fiscalização totalmente em vigência em 2 de agosto de 2027. A infraestrutura necessária para viabilizar a conformidade com esses requisitos não chegou a tempo, no entanto.

Algumas das principais lacunas são:

• Ausência de normas técnicas harmonizadas;
• Falta de especificações e ferramentas de conformidade comuns;
• Inexistência de autoridades de supervisão operacionais em muitos estados-membros da UE;
• Falta de capacidade prática de cumprir as obrigações em 2026 por parte de muitas empresas;
• Constatação, por parte dos adotantes iniciais do Pacto de IA, de que as orientações e formas de avaliação disponíveis são insuficientes.

A avaliação é que o ecossistema de conformidade da União Europeia no campo da IA não está pronto, portanto, não seria viável impor prazos para 2026. A proposta Omnibus Digital inclui períodos ampliados de transição e uma aplicação condicionada à disponibilidade de normas e orientações oficiais.

Os prazos ampliados enfraquecerão a Lei da IA? 

Em vez de adiamentos amplos, a Comissão propõe extensões estruturadas e legalmente definidas, que transferem a maior parte das datas de aplicação dos requisitos para sistemas de alto risco para 2027, porém mantêm as proteções fundamentais da Lei da IA.

1. Execução vinculada às normas e orientações

As obrigações referentes ao alto risco não teriam início até que ferramentas essenciais para garantir conformidade, como normas harmonizadas e diretrizes da Comissão, estivessem disponíveis. Isso evitaria que as organizações tivessem que cumprir a regulamentação com base em suposições.

2. Tempo extra para categorias complexas de alto risco

Sistemas de alto risco definidos no Artigo 6(1) e Anexo I teriam janelas de transição mais longas, em reconhecimento à sua dependência de normas defasadas.

3. Extensão de seis meses para a sinalização de IA generativa

A implementação de mecanismos legíveis por máquina para a detecção de conteúdo gerado por IA (Artigo 50(2)) seria adiada para fevereiro de 2027 no caso de sistemas já lançados no mercado.

4. Obrigações simplificadas para pequenas e médias empresas

As diretrizes relativas a documentação, sistemas de gestão de qualidade, monitoramento pós-comercialização e supervisão humana seriam dimensionadas adequadamente, dando às pequenas empresas mais tempo para cumpri-las.

O detalhamento quanto ao tamanho das empresas prevê:

• Pequeno porte: menos de 50 funcionários e faturamento de até € 10 milhões. 
• Médio porte: menos de 250 funcionários e até € 50 milhões. 
• Midcap pequeno: menos de 750 funcionários e até € 150 milhões.

A UE também propõe remover a exigência de que provedores e implementadores garantam o conhecimento em IA da equipe, transferindo essa responsabilidade à Comissão e aos estados-membros. Uma emenda ao GDPR permitiria o interesse legítimo como base legal para treinar modelos de IA, sob condições específicas. Combinadas, as extensões resultariam efetivamente em um atraso de um ano na aplicação dos requisitos para sistemas de alto risco.

Impacto em outras áreas

Comunicação de incidentes

As regras de diferentes leis e normas, como NIS2, DORA, eIDAS, CRA e GDPR, dão complexidade à geração de relatórios sobre incidentes. O pacote Digital Omnibus propõe uma grande simplificação:

• Um único ponto de entrada para a comunicação de incidentes no âmbito de todas as principais leis digitais.
• A notificação de violação de dados determinada pelo GDPR seria necessária apenas quando o alto risco fosse provável.
• Extensão do prazo para notificação de 72 para 96 horas.
• Um modelo padronizado único para toda a União Europeia para a notificação de violações de dados.

As organizações também seriam obrigadas a usar o mesmo ponto de entrada único para notificações referentes ao GDPR.

Regras de consentimento para cookies

Para combater o “desgaste” dos banners de cookies, as normas referentes a esses rastreadores passariam da diretiva ePrivacy para o GDPR.

As principais atualizações incluiriam:

• Uma lista de cenários em que o consentimento não seria necessário;
• Oção de rejeitar cookies com um só clique;
• Não repetição de avisos de consentimento por pelo menos seis meses após a recusa;
• Regulamentação para sinais de privacidade legíveis por máquina emitidos pelos navegadores de internet, os quais teriam que ser respeitados pelos sites conforme as normas aplicáveis.

Isso mudaria significativamente a coleta de dados para análise, a medição do engajamento e construção da experiência do usuário em relação ao consentimento.

Direitos do titular de dados

Os controladores poderiam recusar ou cobrar taxas por solicitações:

• Manifestamente infundadas;
• Excessivas;
• Repetitivas;
• Abusivas;
• Feitas indevidamente, para fins não relacionados à proteção de dados.

Isso reduziria a carga administrativa e o abuso dos direitos de acesso.

Avaliação de impacto sobre a proteção de dados (DPIA, data protection impact assessment)

A proposta Omnibus propõe substituir 27 listas nacionais referentes à DPIA por uma única lista para toda a UE.  Isso unificaria os critérios e reduziria a complexidade da conformidade entre países.

Como a Comissão chegou a esta proposta

Três temas principais estão na origem dos questionamentos reunidos pelo órgão:

1. A incerteza se tornou um obstáculo inicial

Sem normas e autoridades nacionais, as organizações não podem se planejar de forma realista.

2. As empresas preferem adiamentos direcionados do que reabrir os debates sobre a lei.

Isso arriscaria a estabilidade jurídica. Uma extensão limitada é vista como mais segura.

3. A fragmentação se tornou uma preocupação séria

Os diferentes níveis de prontidão nos estados-membros da União Europeia podem resultar em uma aplicação desigual, contrariando a meta da Lei de IA da UE de criar um mercado unificado.

O caminho à frente

As propostas devem ser aprovadas pelo Conselho Europeu, pelo Parlamento da UE e pela Comissão Europeia, o que significa que as mudanças finais poderão ser diferentes do que está sendo apresentado. Como estão agora, as mudanças introduzem uma estratégia mais flexível para a aplicação e fiscalização da lei:

• Os requisitos para sistemas de IA de alto risco não seriam aplicados em 2026.
• A maioria das obrigações passaria a 2027, de forma vinculada ao grau de prontidão.
• A aplicação da lei seguiria marcos temporais como:
  • Seis meses após a aprovação das normas relevantes do Anexo III;
  • Doze meses após a aprovação das normas do Anexo I.
• Em caso de atraso nesses marcos, prazos fixos se aplicariam:
  • 2 de dezembro de 2027 para sistemas do Anexo III;
  • 2 de agosto de 2028 para sistemas do Anexo I.

A UE propõe ainda eliminar a exigência de que provedores e implementadores assegurem o conhecimento em IA de suas equipes, transferindo essa responsabilidade à Comissão e aos estados-membros.

Além disso, uma emenda ao GDPR permitiria o interesse legítimo como base legal para treinar modelos de IA, de acordo com condições específicas.

Com base em demandas de dentro da UE e do exterior, a Comissão percebeu a incerteza e a falta de prontidão que envolvem a legislação atual. Regulamentos só podem ser aplicados quando os ecossistemas representam um suporte realista à conformidade. A proposta não é um enfraquecimento, e sim uma calibração estrutural. 

Saiba mais sobre a proposta Omnibus Digital e o que ela significa para sua empresa neste webinar.