A Extraterritorialidade da Regulação de IA: O Novo Campo de Batalha Jurídico Global

Introdução

A regulação da inteligência artificial está criando um fenómeno jurídico sem precedentes: múltiplas jurisdições projectam simultaneamente os seus efeitos para além das fronteiras territoriais. Este fenómeno, conhecido como extraterritorialidade regulatória, está a transformar a governança tecnológica contemporânea e expõe uma verdade desconfortável sobre a soberania estatal no século XXI.

Enquanto empresas brasileiras desenvolveram as suas estratégias de IA com base na legislação nacional, descobrem agora que o EU AI Act, a Lei de Cibersegurança da China e даже projectos legislativos americanos могут применяться às suas operações — ainda que nunca tenham estabelecido filial na Europa ou na Ásia.

O EU AI Act e a Projeção Extraterritorial

O Regulamento Europeu sobre Inteligência Artificial (EU AI Act), que entrou em vigor de forma progressiva desde 2024, representa o mais avançado e abrangente framework regulatório de IA do mundo. O seu Título X estabelece que o regulamento é aplicável:

• A fornecedores que coloquem no mercado da UE sistemas de IA, independentemente da localização geográfica do fornecedor;
• A implantadores (deployers) de sistemas de IA locatedos dentro da União;
• A fornecedores e implantadores de sistemas de IA locatedos em países terceiros, quando os resultados produzidos pelo sistema sejam utilizados dentro da União.

Esta última hipótese é particularmente significativa. Uma empresa brasileira que utilize um sistema de IA para analisar currículos de candidatos a uma vaga em subsidiária europeia está, tecnicamente, sujeita ao AI Act — mesmo não tendo presença corporativa na Europa.

Classificação de Risco e Obrigações

O regulamento europeu classifica os sistemas de IA em categorias de risco:

• Risco inaceitável: Proibidos, incluindo manipulação subliminar, exploração de vulnerabilidades e categorização biométrica por种族 ou religião.
• Risco elevado: Requerem avaliação de conformidade pré-mercado, documentação técnica, sistemas de gestão de risco, transparência e supervisão humana.
• Risco limitado: Obrigações de transparência (como chatbots que devem revelar a sua natureza artificial).
• Risco mínimo: Praticamente sem restrições.

Para empresas brasileiras, o impacto mais significativo está na categoria de alto risco, que abrange sistemas de IA utilizados em decisões de emprego, avaliação de crédito, serviços essenciais e acesso a serviços públicos.

A China e a Expansão do Alcance da Lei de Cibersegurança

Em Janeiro de 2026, a China implementou alterações significativas à sua Lei de Cibersegurança que ampliaram exponencialmente o seu alcance extraterritorial. As novas regras abrangem:

• Qualquer empresa que preste serviços a utilizadores chineses, mesmo através de meios digitais;
• Plataformas que processem dados de cidadãos chineses, independentemente da jurisdição do servidor;
• Sistemas de IA que Gerem conteúdo relevante para a estabilidade social ou segurança nacional chinese.

Esta expansão regulatória tem implicações directas para empresas de tecnologia ocidentais que operam na China ou que possuam utilizadores chineses, e cria um precedente perigoso para a fragmentação global da internet.

A Abordagem Fragmentada dos Estados Unidos

Enquanto a Europa e a China avançam com regulamentos abrangentes, os Estados Unidos permanecem num modelo descentralizado. O President's Executive Order on AI de 2023, juntamente com directivas sectoriais da FTC e do NIST, estabelecem diretrizes, mas não um marco legal unificado.

Esta ausência de federal legislation cria um vácuo que está a ser preenchido por leis estaduais. O Colorado AI Act, em vigor desde Fevereiro de 2026, representa a primeira lei estadual americana a establecer obrigações específicas para sistemas de IA de alto risco, incluindo:

• Obrigações de gestão de risco;
• Divulgações aos consumidores;
• Avaliações de impacto algorítmico;
• Proibição de profiling discriminatório.

Outros estados, incluindo Califórnia, Nova Iorque e Illinois, têm legislation semelhante em advanced estágios de aprovação, criando um mosaico regulatório que complica significativamente o cumprimento por empresas que operam em múltiplas jurisdições americanas.

O Conflito de Jurisdições e o Direito Internacional Privado

A simultaneidade de jurisdições projectando os seus efeitos para os mesmos territórios cria uma série de conflitos jurídicos que o Direito Internacional Privado ainda não está preparado para resolver.

Conflito de Legislações

Quando o EU AI Act, a Lei de Cibersegurança chinese e o Colorado AI Act são aplicáveis simultaneamente a uma mesma empresa, surge o problema da aplicação coordenada de múltiplos regimes regulatórios com obrigações potencialmente contraditórias.

Responsabilidade Civil Transfronteiriça

O artigo "Responsabilidade civil e conflito de leis na inteligência artificial" (Migalhas, Fevereiro 2026) propõe critérios funcionais para resolver esta questão, sugerindo que:

• A lei do país onde o dano se manifesta deveria prevalecer em casos de responsabilidade civil;
• Para obrigações contratuais, a lei da residência habitual do fornecedor debería ser aplicável;
• Para questões de segurança nacional, a lei do país de destino do sistema teria prevalência.

O Brasil no Contexto da Extraterritorialidade

O Brasil ainda não possui uma legislação específica para IA. O Projeto de Lei nº 2.338/2023 (PL da IA) tramita no Congresso Nacional com o objectivo de estabelecer um marco regulatório, mas as suas disposições sobre extraterritorialidade são ainda incipientes.

Enquanto isso, empresas brasileiras já estão sujeitas:

• Ao GDPR português, na medida em que prestam serviços a cidadãos da União Europeia;
• Ao EU AI Act, quando os resultados dos seus sistemas de IA são utilizados na Europa;
• Às leis de protecção de dados de outros países onde possuem clientes ou subsidiárias.

Lacunas do PL 2.338

O PL 2.338, tal como actualmente redactado, não enfrenta adequadamente o desafio da extraterritorialidade. Destacam-se lacunas como:

• Ausência de regras claras sobre qual legislação se aplica quando múltiplas jurisdições são competentes;
• Falta de mecanismos de coordenação com regulamentos estrangeiros;
• Indeterminação quanto à responsabilidade de fornecedores estrangeiros por danos causados a utilizadores brasileiros.

A Necessidade de Cooperação Internacional

Perante este cenário, a criação de mecanismos de cooperação internacional torna-se imperativa. Beberapa iniciativas merecem destaque:

• A Convenção de Haia sobre Inteligência Artificial, em negociação, poderia estabelecer regras mínimas de coordenação entre jurisdições;
• O G7 e a OCDE têm promovidos frameworks de governança de IA que poderiam servir de base para acordos bilaterais;
• No âmbito da ONU, a UNESCO adoptou em 2021 uma recomendação sobre a ética da IA que, embora não vinculante, estabelece princípios orientadores.

Conclusão

A extraterritorialidade da regulação de IA representa um dos maiores desafios jurídicos da actualidade. Empresas que operam em múltiplas jurisdições enfrentam um labirinto regulatório que exige não apenas compliance teams robustos, mas também uma rethinking fundamental da arquitectura jurídica corporativa.

Para o Brasil, a questão é dupla: por um lado, empresas brasileiras precisam de compreender rapidamente as suas obrigações sob legislações estrangeiras; por outro, o país precisa de desenvolver o seu próprio marco regulatório com dispositions sobre extraterritorialidade que protejam os interesses nacionais sem crear barreiras desnecessárias ao desenvolvimento tecnológico.

O futuro da governança de IA depende, em grande medida, da capacidade da comunidade internacional de construir bridges jurídicos que permitam a inovação enquanto protegem os direitos fundamentais. Esse equilíbrio nunca foi tão difícil de alcançar.