Extraterritorialidade da Inteligência Artificial: O Conflito Regulatório Global que Atinge Empresas Brasileiras

Introdução: A Nova Geopolítica da Regulação Tecnológica

A regulação da inteligência artificial está criando um fenómeno jurídico sem precedentes na história do direito internacional: múltiplas jurisdições projetando simultaneamente suas normas para além de suas fronteiras territoriais, gerando uma teia regulatória de complexidade exponencial. Empresas globais passam a operar sob regras potencialmente conflitantesoriginadas em Bruxelas, Pequim, Washington e, gradualmente, também em Brasília.

O fenómeno da extraterritorialidade regulatória não é inteiramente novo no direito internacional. Regulamentos setoriais como os regulamentos de defesa da concorrência e as normas antibribery já projetavam efeitos além das fronteiras. Contudo, a natureza intrinsicamente transfronteiriça dos sistemas de inteligência artificial confere ao fenómeno uma dimensão qualitatively diferente: enquanto，一辆 caminhão ou um medicamento atravessam fronteiras de forma tangível, um algoritmo ou um modelo de linguagem opera em território múltiplo sem que exista momento-limpo de "exportação".

O EU AI Act e Seu Alcance Extraterritorial

A Lei de Inteligência Artificial da União Europeia, em vigor desde agosto de 2024 com aplicação faseada até 2027, estabeleceu o modelo paradigmático de extraterritorialidade regulatória. O artigo 2º do Regulamento (UE) 2024/1689 determina que o regulamento se aplica a operadores de sistemas de IA estabelecidos fora da União Europeia quando os sistemas forem colocados no mercado europeu ou quando seus produtos/serviços produzirem efeitos relevantes no território da União.

Para uma startup brasileira desenvolvendo algoritmos de recomendação para um aplicativo utilizado em Lisboa, mesmo sem qualquer presença física na Europa, as obrigações são concretas: designação de representante autorizado na UE, manutenção de documentação técnica em conformidade com os requisitos europeus, submissão a auditorias e cumprimento de obrigações de transparência algorítmica. As sanções são igualmente impressionantes: até 35 milhões de euros ou 7% do faturamento global anual para práticas proibidas, valores que configuram risco económico real e imediato.

A fase de aplicação progressiva do AI Act began em agosto de 2024 com proibições de sistemas de IA em aplicações específicas, expandindo-se em fevereiro de 2025 para sistemas de alto risco e, finalmente, atingindo todos os sistemas de IA em agosto de 2026. Este cronograma significa que empresas brasileiras com operações em IA enfrentam o prazo de conformidade iminente.

China: Ampliação do Alcance Extraterritorial em 2026

As emendas à Lei de Cibersegurança chinesa, em vigor desde janeiro de 2026, representam a mais significativa expansão do alcance extraterritorial das autoridades de Pequim. As novas disposições permitem que a Cyberspace Administration of China atinja organizações e indivíduos estrangeiros cujas atividades, ainda que ocorridas fora do território chinês, sejam consideradas ameaça à segurança de rede da China.

As medidas aplicáveis incluem bloqueio de acesso a serviços digitais no território chinês e congelamento de ativos vinculados a operações consideradas ameaçadoras. Uma empresa europeia com modelo de linguagem aplicado a serviços financeiros na China pode estar sujeita a essas medidas mesmo que seu servidor esteja fisicamente localizado em Frankfurt.

Adicionalmente, as Medidas Interinas para Serviços de IA Generativa, vigentes desde agosto de 2023, aplicam-se a serviços prestados ao público na China independentemente de onde a empresa provedora está sediada. Este critério de "prestação ao público" significa que empresas americanas, europeias ou sul-americanas que disponibilizam serviços de IA generativa a utilizadores na China devem cumprir requisitos de ética algorítmica, supervisão de conteúdos e armazenamento de dados nos termos exigidos pelas autoridades chinesas.

Califórnia: A Mão Regulatória dos Estados Unidos

A Califórnia, jurisdição que abriga algumas das maiores empresas de IA do mundo, aprovou em 2025 a SB-53, primeira lei estadual americana focada especificamente em modelos de IA de fronteira. A lei aplica-se a qualquer desenvolvedor que disponibilize modelos cobertos para uso na Califórnia, independentemente de onde a empresa está baseada ou onde o modelo foi treinado.

As obrigações incluem avaliação obrigatória de riscos catastróficos, planos de mitigação documentados e transparência técnica perante as autoridades californianas. Empresas europeias ou asiáticas que pretendam disponibilizar seus modelos no Vale do Silício precisam submeter-se às exigências da lei, o que efetivamente estende a jurisdição californiana a desenvolvedores globais.

A ordem executiva do presidente Donald Trump, emitida em dezembro de 2025, buscou estabelecer padrões federais que sirvam de base para contestar e eventualmente impedir leis estaduais consideradas excessivamente onerosas. Contudo, esta dinámica de sobreposição federal-estadual gera incerteza jurídica adicional, na medida em que não está claro qual camada regulatória prevalecerá em última instância.

O Desafio Brasileiro: PL 2.338/2023 e a Indefinição Doméstica

O Brasil discute seu próprio marco regulatório para inteligência artificial por meio do Projeto de Lei nº 2.338/2023, que apresenta critério extraterritorial similar ao do EU AI Act. A proposta determina que o projeto de lei aplica-se a sistemas de IA que interajam com pessoas no território brasileiro ou cujos efeitos impactem indivíduos no país, independentemente da localização do desenvolvedor.

Enquanto a norma brasileira não é aprovada, empresas nacionais enfrentam regime de pluralidade normativa dispersa: a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), eventuais reformas do Estatuto da Criança e do Adolescente voltadas à proteção de menores no ambiente digital ("ECA digital") e normas setoriais esparsas. Cada instrumento normativo adiciona camada de complexidade para sistemas de IA que, por design, operam globalmente.

Consequências Práticas para Empresas Brasileiras

O resultado prático desta multiplicação de jurisdições extraterritoriais é que um único sistema de IA pode estar simultaneamente sujeito a regras europeias de transparência, controles chineses de conteúdos, requisitos californianos de avaliação de risco e normas brasileiras de proteção de dados. Quando estas regras conflitam em pontos críticos requisitos de reporte às autoridades, níveis de transparência técnica, limites de uso de dados, obrigações de armazenamentolocal as empresas enfrentam escolhas de difícil solução.

As alternativas estratégicas são limitadas: duplicar processos e infraestrutura para cada jurisdição (custo proibitivo), permanecer apenas em mercados de menor risco regulatório (abandono de mercados relevantes) ou tentar harmonização mínima que satisfaça simultaneamente múltiplas jurisdições (solução imperfeita com riscos de compliance).

A ausência de tratados internacionais de harmonização em inteligência artificial transforma esta multiplicidade regulatória em problema estrutural, que provavelmente se agravará à medida que mais jurisdições aprovarem suas próprias leis de IA.