Opinião | Extraterritorialidade da IA: o novo campo de batalha regulatório global |
A regulação da inteligência artificial está a criar um fenómeno jurídico sem precedentes: múltiplas jurisdições a projetarem simultaneamente as suas normas para além das suas fronteiras, gerando uma teia regulatória complexa em que empresas globais precisam de navegar por regras potencialmente conflituantes de Bruxelas, Pequim, Washington e São Paulo em simultâneo. Não se trata apenas da Europa a tentar impor os seus padrões ao mundo — trata-se de um movimento global de afirmação regulatória em que cada grande economia procura estender o seu alcance jurisdicional sobre uma tecnologia que, por natureza, ignora limites territoriais.
A Lei da Inteligência Artificial da União Europeia, em vigor desde agosto de 2024, com aplicação faseada até 2027, estabeleceu o tom ao determinar que empresas de qualquer parte do mundo devem cumprir as suas regras se colocarem sistemas de IA no mercado europeu ou se esses sistemas produzirem efeitos relevantes no território da União.
Uma startup brasileira, por exemplo, que desenvolva algoritmos de recomendação para uma aplicação utilizada em Lisboa, mesmo sem qualquer presença física na Europa, pode ser obrigada a nomear representantes locais, submeter-se a auditorias e cumprir requisitos europeus de transparência. As coimas reforçam a seriedade do regime: até 35 milhões de euros ou 7% do volume de negócios anual global para práticas proibidas — valores que já não são mera retórica regulatória, mas risco económico concreto.
Mas a China não ficou para trás. As alterações à Lei de Cibersegurança chinesa, em vigor desde janeiro de 2026, ampliaram significativamente o alcance extraterritorial das autoridades de Pequim, permitindo atingir organizações e indivíduos estrangeiros cujas atividades, ainda que ocorridas fora do território, sejam consideradas ameaça à segurança de rede da China, incluindo medidas como bloqueio de acesso e congelamento de ativos.
Em paralelo, a legislação chinesa sobre IA generativa — as Medidas Interinas para Serviços de IA Generativa, em vigor desde agosto de 2023 — aplica-se a serviços prestados ao público na China, independentemente de onde a empresa prestadora esteja sediada. Uma empresa americana que desenvolva modelos de linguagem precisa de adequar-se às regras chinesas de ética algorítmica e supervisão de conteúdos se quiser oferecer os seus serviços em Xangai.
Nos Estados Unidos, a batalha regulatória assume contornos diferentes, mas igualmente extraterritoriais. A Califórnia, sede de muitas das maiores empresas de IA do mundo, aprovou em 2025 a SB-53, primeira lei estadual americana focada em modelos de IA de fronteira, sancionada no final de Setembro desse ano. A lei foi concebida para se aplicar a qualquer desenvolvedor que disponibilize modelos abrangidos para utilização na Califórnia, independentemente de onde a empresa esteja sediada ou onde o modelo tenha sido treinado. Empresas europeias ou asiáticas que pretendam que os seus modelos sejam utilizados no Vale do Silício precisam de se submeter às exigências californianas de avaliação de risco, mitigação de cenários catastróficos e transparência técnica.
A ordem executiva do presidente Trump, emitida em dezembro de 2025, complica ainda mais o cenário ao procurar estabelecer padrões federais que sirvam de base para contestar e eventualmente impedir leis estaduais consideradas excessivamente onerosas, criando incerteza sobre qual camada regulatória prevalecerá em última instância.
Portugal tem vindo a atualizar a sua estratégia e agenda de políticas públicas para IA, alinhando-as progressivamente com o modelo europeu consolidado pelo AI Act, num movimento de convergência regulatória dentro do próprio bloco.
O Brasil discute o seu próprio quadro regulatório para a inteligência artificial, enquanto empresas nacionais já precisam de lidar, em simultâneo, com a Lei Geral de Proteção de Dados, com interpretações e reformas do Estatuto da Criança e do Adolescente voltadas para a proteção de menores no ambiente digital — o chamado “ECA digital” — e com normas sectoriais dispersas. Cada novo instrumento normativo acrescenta uma camada de complexidade a sistemas de IA que, por conceção, operam globalmente.
O resultado prático desta multiplicação de jurisdições extraterritoriais é que um único sistema de IA pode estar simultaneamente sujeito a regras europeias de transparência, controlos chineses de conteúdos, requisitos californianos de avaliação de risco e normas brasileiras de proteção de dados. Quando estas regras entram em conflito — e inevitavelmente entram em pontos críticos, como obrigações de reporte às autoridades, níveis de transparência técnica e limites de utilização de dados — as empresas enfrentam escolhas quase impossíveis: duplicar processos, manter arquiteturas paralelas ou simplesmente abandonar determinados mercados.
Considere-se a cadeia de valor típica de um sistema moderno de IA: o treino do modelo ocorre no Brasil, utilizando infra-estruturas de computação em nuvem localizadas em centros de dados nos Estados Unidos, alimentado por dados recolhidos de múltiplas fontes internacionais; a integração e o desenvolvimento de aplicações ocorrem por uma equipa na Índia; e os utilizadores finais estão distribuídos pela Europa, Ásia e América Latina. Cada elo desta cadeia pode estar sujeito a uma jurisdição distinta que projecta as suas regras extraterritorialmente.
O fornecedor de dados em São Paulo pode precisar de cumprir simultaneamente a Lei Geral de Proteção de Dados brasileira, o RGPD europeu e a Personal Information Protection Law (PIPL) chinesa, dependendo de onde se encontram os titulares dos dados e para onde os serviços são disponibilizados.
Esta fragmentação regulatória é, no mínimo, seriamente questionável em termos de sustentabilidade a longo prazo. Os custos de conformidade múltipla — técnicos, jurídicos e operacionais — tendem a forçar algum grau de convergência, não necessariamente por meio de tratados internacionais formais, mas por pura necessidade económica.
Iniciativas como os Princípios de IA da OCDE e o Hiroshima AI Process do G7 procuram criar um terreno comum mínimo, definindo padrões técnicos partilhados, princípios de governação responsável e bases de interoperabilidade entre diferentes regimes. A harmonização não surge como gesto político magnânimo, mas como resposta pragmática ao risco de um caos regulatório que inviabiliza a inovação em escala global.
Para empresas brasileiras de tecnologia com ambições globais, a lição é clara: a conformidade regulatória precisa de estar incorporada na arquitetura do produto desde o primeiro dia. A pergunta relevante já não é “que lei devo cumprir?”, mas “como conceber um sistema capaz de operar em múltiplas jurisdições potencialmente conflituantes sem ter de ser reconstruído de raiz a cada fronteira?”. Startups que tratam a adequação regulatória como uma lista de verificação de última hora descobrem, demasiado tarde, que os seus modelos de negócio são estruturalmente inviáveis fora do próprio país — ou mesmo dentro dele, quando dependem de cadeias globais de dados e infra-estrutura.
A extraterritorialidade regulatória da IA expõe uma verdade desconfortável sobre a governação tecnológica contemporânea: a soberania territorial, conceito fundacional do direito internacional clássico, simplesmente não se ajusta a tecnologias que operam em tempo real através de fronteiras físicas.
A resposta dos Estados — projetar jurisdição para onde os efeitos ocorrem, e não apenas para onde a empresa existe formalmente — produz colisões regulatórias inevitáveis. O mundo ainda está longe de uma solução definitiva para este dilema, mas uma coisa permanece estável em meio à volatilidade normativa: empresas que ignoram esta nova geopolítica regulatória fazem-no por sua conta e risco.
Os textos nesta secção refletem a opinião pessoal dos autores. Não representam a VISÃO nem espelham o seu posicionamento editorial.