A extraterritorialidade regulatória da inteligência artificial: quando múltiplas jurisdições projetam leis para além de suas fronteiras

O fenômeno da extraterritorialidade regulatória e por que ele mudou o jogo

A regulação da inteligência artificial está gerando um fenômeno jurídico sem precedentes na história do direito internacional: múltiplas jurisdições projetando simultaneamente suas normas para além de suas fronteiras físicas, criando uma teia regulatória emaranhada que empresas globais precisam navegar sob risco de sanções severas. Não se trata apenas de a Europa tentar impor seus padrões ao mundo — trata-se de um movimento global de afirmação regulatória em que cada grande economia busca estender seu alcance jurisdicional sobre uma tecnologia que, por natureza, ignora limites territoriais.

Para empresas brasileiras de tecnologia com ambições globais, essa nova realidade exige uma mudança de mentalidade: conformidade regulatória não pode mais ser tratada como etapa posterior ao desenvolvimento do produto, mas precisa estar embutida na arquitetura desde o primeiro dia. A pergunta relevante não é mais "qual lei devo cumprir?", mas "como construo um sistema capaz de operar em múltiplas jurisdições conflitantes sem ser refeito do zero a cada fronteira?".

A União Europeia: o AI Act como modelo global

A Lei de Inteligência Artificial da União Europeia, o Regulamento (UE) 2024/1689, entrado em vigor em agosto de 2024 com aplicação faseada até 2027, estabeleceu o tom desse movimento ao determinar que empresas de qualquer lugar do mundo devem seguir suas regras se colocarem sistemas de IA no mercado europeu ou se seus sistemas produzirem efeitos relevantes no território da União. Trata-se de uma abordagem de extraterritorialidade de efeitos: o que importa não é onde a empresa está sediada, mas onde seus serviços são oferecidos ou onde seus impactos se manifestam.

Os exemplos concretos dessa extraterritorialidade já são visíveis. Uma startup brasileira que desenvolvesse algoritmos de recomendação para um aplicativo usado em Lisboa, mesmo sem qualquer presença física na Europa, pode ser obrigada a nomear representantes locais, submeter-se a auditorias e cumprir requisitos de transparência europeus. As multas são particularmente severas: até 35 milhões de euros ou 7% do faturamento global anual para práticas proibidas — valores que configuram risco econômico real para empresas de qualquer porte.

O modelo europeu também serve como referência direta para outros países. A experiência do GDPR europeu com a proteção de dados — primeiro regulamento de peso a aplicar-se extraterritorialmente — precedeu e influenciou a Lei Geral de Proteção de Dados brasileira, assim como legislações de dezenas de outros países. O AI Act busca repetir esse efeito no campo da inteligência artificial: ser o padrão que outras jurisdições tendem a adotar, voluntariamente ou não, como preço de acesso ao mercado europeu.

China e Estados Unidos: duas formas concorrentes de projetar poder regulatório

A China respondeu ao movimento europeu com as emendas à Lei de Cibersegurança chinesa, em vigor desde janeiro de 2026, que ampliaram de forma significativa o alcance extraterritorial das autoridades de Pequim. As novas regras permitem atingir organizações e indivíduos estrangeiros cujas atividades, ainda que ocorridas fora do território chinês, sejam consideradas ameaça à segurança de rede da China — incluindo medidas como bloqueio de acesso e congelamento de ativos. É uma forma diferente de extraterritorialidade: não baseada em efeitos, mas em objetivos de soberania digital.

Em paralelo, as Medidas Interinas para Serviços de IA Generativa, vigentes desde agosto de 2023, aplicam-se a serviços prestados ao público na China, independentemente de onde a empresa provedora está sediada. Uma empresa americana que desenvolvesse modelos de linguagem e quisesse oferecer seus serviços em Xangai precisaria se adequar às regras chinesas de ética algorítmica e supervisão de conteúdo — obrigações que podem conflitar com exigências americanas de transparência ou com a proteção constitucional americana à liberdade de expressão.

Nos Estados Unidos, a batalha regulatória assume contornos distintos. A Califórnia aprovou em 2025 a SB-53, primeira lei estadual americana focada em modelos de IA de fronteira, desenhada para aplicar-se a qualquer desenvolvedor que disponibilize modelos cobertos para uso na Califórnia, independentemente de onde a empresa está baseada. Empresas europeias ou asiáticas que queiram que seus modelos sejam utilizados no Vale do Silício precisam submeter-se às exigências californianas de avaliação de risco, mitigação de cenários catastróficos e transparência técnica.

A ordem executiva do presidente Donald Trump, emitida em dezembro de 2025, complica ainda mais o cenário ao buscar estabelecer padrões federais que sirvam de base para contestar e eventualmente impedir leis estaduais consideradas excessivamente onerosas. Essa dinâmica federal versus estadual gera incerteza sobre qual camada regulatória prevalecerá em última instância — e empresas que tentam antecipar requisitos precisam monitorar simultaneamente múltiplas instâncias de governo.

O Brasil no labirinto: LGPD, PL 2.338/2023 e o vício de iniciativa

O Brasil discute seu próprio marco regulatório para inteligência artificial enquanto empresas nacionais já precisam lidar, ao mesmo tempo, com a Lei Geral de Proteção de Dados, com interpretações e reformas do Estatuto da Criança e do Adolescente voltadas à proteção de crianças no ambiente digital — o chamado "ECA digital" — e com normas setoriais dispersas. Cada novo instrumento normativo adiciona uma camada de complexidade para sistemas de IA que, por design, operam globalmente.

O Projeto de Lei nº 2.338/2023, aprovado pelo Senado em dezembro de 2024 e remetido à Câmara dos Deputados em março de 2025, propõe um sistema de classificação por nível de risco inspirado no AI Act europeu. O texto estabelece princípios como transparência, explicabilidade, não discriminação, privacidade e responsabilização, com obrigações diferenciadas conforme o risco do sistema. Contudo, a tramitação na Câmara foi adiada para 2026, e um complicador adicional surgiu: o Poder Executivo identificou vício de iniciativa no texto aprovado pelo Senado, ao atribuir competências normativas à Autoridade Nacional de Proteção de Dados sem a devida iniciativa privativa do Executivo.

Para sanar o problema, o governo encaminhhou, em dezembro de 2025, projeto de lei complementar que cria o Sistema Nacional para Desenvolvimento, Regulação e Governança de Inteligência Artificial (SIA) e formaliza o papel da ANPD como coordenador do sistema. Esse projeto deverá ser apensado ao PL 2.338/2023, adicionando mais uma camada de complexidade a uma tramitação que já se arrastava por mais de cinco anos. Enquanto isso, a ANPD já atua no espaço com base na LGPD: publicou em dezembro de 2025 o Mapa de Temas Prioritários para o biênio 2026-2027, incluindo inteligência artificial como um dos quatro eixos centrais de fiscalização.

Conflitos práticos: quando normas diferentes exigem coisas incompatíveis

O resultado prático dessa multiplicação de jurisdições extraterritoriais é que um único sistema de IA pode estar simultaneamente sujeito a regras europeias de transparência, controles chineses de conteúdo, requisitos californianos de avaliação de risco e normas brasileiras de proteção de dados. Quando essas regras conflitam — e elas inevitavelmente conflitam em pontos críticos, como requisitos de reporte às autoridades, níveis de transparência técnica e limites de uso de dados —, as empresas enfrentam escolhas quase impossíveis: duplicar processos, manter arquiteturas paralelas ou simplesmente abandonar certos mercados.

Considere a cadeia de valor típica de um sistema de IA moderno: o treinamento do modelo acontece no Brasil, utilizando infraestrutura de nuvem localizada em data centers nos Estados Unidos, alimentado por dados coletados de múltiplas fontes internacionais; a integração e o desenvolvimento de aplicações ocorrem em uma equipe na Índia; e os usuários finais estão espalhados pela Europa, Ásia e América Latina. Cada elo dessa cadeia pode estar sujeito a uma jurisdição diferente projetando suas regras extraterritorialmente.

O fornecedor de dados em São Paulo pode precisar adequar-se simultaneamente à LGPD brasileira, ao GDPR europeu e à Personal Information Protection Law (PIPL) chinesa, dependendo de onde estão os titulares de dados e para onde os serviços são oferecidos. Quando a LGPD exige consentimento específico para cada finalidade de tratamento, o GDPR exige base legal específica e a PIPL impõe restrições à transferência transfronteiriça de dados, o resultado pode ser um conflito operacional que nenhuma equipe de compliance consegue resolver sem reformular fundamentalmente a arquitetura do sistema.

Contrapontos, críticas e os limites da fragmentação regulatória

Essa fragmentação regulatória é, no mínimo, seriamente questionável em termos de sustentabilidade de longo prazo. Os custos de conformidade múltipla — técnicos, jurídicos, operacionais — tendem a forçar algum grau de convergência, não necessariamente por meio de tratados internacionais formais, mas por pura necessidade econômica. Empresas menores tendem a ser excluídas de mercados internacionais por não conseguirem arcar com os custos de compliance multinormativo, o que concentra o mercado em players globais de grande porte que podem manter equipes jurídicas e técnicas dedicadas à conformidade regulatória.

Iniciativas como os Princípios de IA da OCDE e o Hiroshima AI Process do G7 buscam criar um terreno comum mínimo, definindo padrões técnicos compartilhados e princípios de governança responsável. Contudo, essas iniciativas são voluntárias e não vinculantes, o que limita sua eficácia real. A harmonização não surge como gesto político magnânimo, mas como resposta pragmática ao risco de um caos regulatório que inviabiliza inovação em escala global.

Há também o risco de que a extraterritorialidade regulatória se torne instrumento de proteçãoismo disfarçado. Quando a norma europeia ou americana impõe requisitos que empresas de outras jurisdições têm dificuldade de cumprir, a consequência prática é a exclusão de concorrentes estrangeiros do mercado — mesmo que a intenção declarada seja proteção de direitos fundamentais. Esse aspecto protecionista é raramente debatido abertamente nas discussões sobre governança de IA, mas está presente nas reações de países em desenvolvimento frente às normas propostas por economias avançadas.

Cenários e síntese: o que esperar da geopolítica regulatória da IA

O mundo ainda está longe de uma solução definitiva para o dilema da extraterritorialidade regulatória. A soberania territorial, conceito fundacional do direito internacional clássico, simplesmente não se ajusta a tecnologias que operam em tempo real através de fronteiras físicas. A resposta dos estados — projetar jurisdição para onde os efeitos ocorrem, e não apenas para onde a empresa existe formalmente — produz colisões regulatórias inevitáveis que gerarão conflitos jurídicos por décadas.

No cenário mais provável para os próximos anos, a coexistência de múltiplos regimes regulatórios deve se consolidar como realidade permanente, com empresas aprendendo a operar em ambientes de conformidade fragmentada. A tendência é que grandes empresas de tecnologia desenvolvam arquiteturas modulares, capazes de se adaptar a diferentes regimes normativos sem reformulação completa, enquanto startups em fase inicial precisam escolher mercados prioritários e aceitar limitações de escopo como custo de operação.

Para empresas brasileiras, a lição prática é clara: a pergunta relevante sobre conformidade regulatória mudou. Não é mais "qual lei devo cumprir?", mas "como construo um sistema capaz de operar em múltiplas jurisdições conflitantes sem ser refeito do zero a cada fronteira?". Empresas que ignoram essa nova geopolítica regulatória o fazem por sua conta e risco — e o risco não é pequeno, considerando que multas internacionais podem chegar a valores múltiplos do faturamento global.