A Lacuna da Deriva: Duas Leis de IA Mudaram e a Sua Postura Não

O que o atraso do Ato de IA da UE e a reformulação do Ato de IA do Colorado significam para entidades regulamentadas

por Sam Rogers
9 min de leitura
video
governance
legal
regulated-industries
policy

Tradução para Português (Brasil)

Nas últimas duas semanas, duas das leis de IA mais citadas do mundo mudaram. Em sete de maio, a Comissão Europeia chegou a um acordo político sobre o "Pacote Digital sobre IA", adiando a maioria das obrigações de alto risco do Ato de IA da UE de agosto de 2026 para dezembro de 2027. Na mesma semana, o projeto de lei substituto do Ato de IA do Colorado, antes tão importante, chegou à mesa do governador — e o patrocinador original o chama de "mais um aviso do que um projeto de lei".

A boa notícia é que, no geral, ambas as mudanças são mais amenas para as entidades regulamentadas. Mais tempo. Menos a fazer. Se sua equipe de compliance estava se preparando para um impacto, o impacto foi menor.

A notícia complicada é que sua postura de compliance de trinta dias atrás ainda está errada. Melhor errada. Mas errada.

Assista ao Vídeo

Assista em YouTube →

O Que Realmente Mudou

Os números principais são importantes, então aqui estão eles concretamente.

Ato de IA da UE — Pacote Digital sobre IA (acordo político, 7 de maio de 2026):

  • Obrigações de alto risco sob o Anexo III (triagem de emprego, pontuação de crédito, serviços essenciais e as outras grandes) foram adiadas de 2 de agosto de 2026 para 2 de dezembro de 2027 — cerca de mais dezesseis meses para provedores e implementadores estruturarem avaliações de conformidade, gerenciamento de riscos, registro e supervisão humana.
  • Obrigações de alto risco para IA incorporada em produtos regulamentados sob o Anexo I foram adiadas ainda mais para 2 de agosto de 2028.
  • Obrigações de marca d'água para conteúdo gerado por IA foram movidas de agosto para dezembro deste ano. Outras obrigações de transparência do Artigo 50 (divulgação ao usuário, rotulagem de deepfake) ainda entram em vigor em agosto de 2026.
  • Novas proibições sobre material íntimo não consensual gerado por IA e material de abuso sexual infantil gerado por IA entram em vigor em dezembro de 2026.
  • O Escritório de IA da UE ganha autoridade de supervisão centralizada sobre modelos de IA de propósito geral e sistemas de IA incorporados em plataformas online muito grandes designadas pelo DSA.
  • Os prazos dos sandboxes nacionais foram estendidos em um ano; um novo sandbox no nível da UE será operado pelo Escritório de IA.

Ato de IA do Colorado — Projeto de lei substituto SB 26-189:

  • Dever de cuidado razoável para prevenir discriminação algorítmica — removido.
  • Responsabilidade do desenvolvedor — removido.
  • Requisito de avaliação de impacto — removido.
  • Discriminação algorítmica como conceito definido — removido.
  • Cobertura de sistema de alto risco — removido.
  • O que resta: uma obrigação de aviso ao consumidor, um requisito de manutenção de registros e uma data efetiva adiada para janeiro de 2027.

Ambos os movimentos são, em termos de direção, mais favoráveis às entidades regulamentadas. O abismo de agosto de 2026, em torno do qual a maioria dos roteiros de compliance da UE foi construída, não é mais agosto de 2026. A lei estadual mais exigente dos EUA não é mais particularmente exigente.

Por Que "Melhor Errado" Ainda Está Errado

A maior parte do trabalho de compliance é calibrada para suposições específicas: provisões específicas, prazos específicos, definições específicas, requisitos de evidência específicos. Quando essas suposições mudam, a calibração muda com elas, quer alguém perceba ou não.

A mudança da UE é o caso fácil. Se sua equipe trabalhou em direção a um prazo de agosto de 2026, você tem mais dezesseis meses para refinar, simplificar ou redefinir. Isso é genuinamente útil. É também inútil se sua equipe não souber que a data mudou. O roteiro, a alocação orçamentária, a seleção de fornecedores, o calendário de treinamento — todos esses foram sincronizados com a data antiga. Cada um precisa ser reexaminado.

A mudança do Colorado é o caso mais difícil. Se sua organização investiu em controles operacionais para satisfazer o dever de cuidado razoável, o requisito de avaliação de impacto ou o quadro de responsabilidade do desenvolvedor, muito desse investimento agora é operacionalmente desnecessário. Você pode continuar fazendo isso — às vezes, práticas voluntárias acima do exigido são a decisão certa — mas você deve saber que está fazendo isso voluntariamente, e não porque a lei do Colorado ainda exige. Caso contrário, você está absorvendo custos contra um dever que não existe mais.

Em ambos os casos, a lacuna é a mesma. Sua postura de compliance foi construída em um modelo da lei. A lei mudou. A postura não.

Este é o drift gap (lacuna de deriva).

Por Que a Maioria das Organizações Não Pode Fechar Essa Lacuna

A maioria das organizações acompanha as mudanças regulatórias por meio de alguma combinação de feeds de notícias, briefings trimestrais de consultores externos e resumos assistidos por IA. Cada um desses tem uma meia-vida mais curta do que o ciclo regulatório exige atualmente.

Um feed de notícias pega o título. Raramente pega a mudança estruturada — qual provisão mudou, qual definição foi alterada, qual é a nova data efetiva, quais obrigações foram removidas e quais permanecem.

Um briefing trimestral é, por construção, um instantâneo. Se a lei mudar entre os briefings — e no ritmo atual, isso acontecerá — o instantâneo está defasado antes que alguém leia.

Um resumo assistido por IA depende de o modelo ter lido o texto atual. Se o modelo estiver resumindo dados de treinamento anteriores à mudança, o resumo está confiantemente errado. O modelo não está mentindo. Ele está simplesmente representando o que sabe. O que ele sabe está desatualizado.

O problema estrutural não é que nenhum desses mecanismos seja ruim. É que nenhum deles produz uma representação da lei que sobreviva à mudança. Não há registro do que estava em vigor quando você verificou pela última vez, o que está em vigor agora e o que mudou entre esses dois momentos. A deriva não é medida porque nada no fluxo de trabalho é construído para medi-la.

Ontem anunciamos o ObligationFirst, a camada de esquema por baixo da peça de gráfico legal do portfólio PAICE. Junto com EveryAILaw.com, PubLedge.org e AIIncidentLaw.org, ele fornece uma representação estruturada, atualizada e consciente da jurisdição da lei de IA. Quando um estatuto é alterado, o registro é atualizado. Quando uma lei é suspensa, o campo de execução é atualizado. Quando um grupo de trabalho remove um dever, a cadeia de sucessão o captura.

O gráfico carrega a mudança, não apenas o texto. Isso é importante para a lacuna de deriva especificamente porque significa que a pergunta "o que esta lei exige agora" retorna uma resposta diferente da pergunta "o que esta lei exigia em 1º de março". Ambas são consultas válidas. Ambas podem ser respondidas em segundos. Nenhuma exige que você releia o estatuto.

O esquema é nativo para agentes. O copiloto de compliance na sua pilha pode lê-lo diretamente, com a cadeia de citação anexada. O auditor pode verificar a cadeia. O profissional pode se apoiar nela.

Se você administra um escritório de advocacia e precisa disso em um padrão profissional — cobertura jurisdicional atualizada, monitoramento e análise mais profunda — o EveryAILaw.com tem um nível Pro pronto para negócios hoje. O restante do gráfico legal é gratuito e de código aberto.

Sobre o Claude para Direito

Na mesma janela de duas semanas em que a UE e o Colorado fizeram seus movimentos, a Anthropic lançou o Claude para Direito: mais de vinte conectores MCP em software jurídico, doze plugins de área de prática, Claude no Microsoft Word e parcerias nomeadas no cenário de fornecedores de legal-tech. Este é um momento real para o trabalho jurídico agentivo, e um bom momento.

O Claude para Direito é complementar ao que estamos construindo, não competitivo. Uma plataforma como o Claude para Direito precisa de um substrato jurídico autoritário para consultar — caso contrário, todo copiloto jurídico brilhante ainda está esperando que o modelo tenha lido o estatuto corretamente. O Claude para Direito traz o fluxo de trabalho. Estamos construindo a cadeia de citação sobre a qual ele pode se apoiar.

O Que Fazer Esta Semana

Três passos concretos.

Primeiro, se sua atualização de compliance de IA tiver mais de duas semanas, execute-a novamente. Ambas as leis por baixo dela podem ter mudado. A versão mais amigável de "sua postura está errada" ainda é "sua postura está errada".

Segundo, identifique quais decisões em sua organização foram sincronizadas com as antigas obrigações do Colorado ou com o antigo prazo do Ato de IA da UE. Alocações orçamentárias, programas de treinamento, seleções de fornecedores, relatórios ao conselho. Cada um desses precisa de um reexame deliberado. Alguns ainda serão a decisão certa. Alguns não serão.

Terceiro, decida se você quer continuar acompanhando as mudanças regulatórias pelos mesmos mecanismos que usou nos últimos dezoito meses, ou se a velocidade do cenário conquistou uma infraestrutura diferente. A lacuna de deriva é solucionável. Ela também está se alargando a cada mês em que o acompanhamento existente permanece.

A lei acabou de mudar duas vezes em maio. Ela mudará mais. A postura de compliance que você constrói para ela deve absorver a mudança no ritmo em que a mudança acontece.

Quer avaliar a prontidão da colaboração de IA da sua equipe? Saiba mais sobre o PAICE para organizações ou faça uma avaliação individual para ver por si mesmo.

Participe:

Leitura Recomendada

📖 Série Lacuna:

📖 Gráfico e Portfólio Legal:

Curious but short on time?

Take the 3-minute PAICE Pulse — a quick confidence check that maps how you see your own AI collaboration posture. No login required.