Em 29 de junho de 2026, o Conselho da União Europeia deu a aprovação final ao Digital Omnibus on AI, adiando as obrigações de alto risco do EU AI Act de 2 de agosto de 2026 para 2 de dezembro de 2027, no caso de sistemas autónomos, e para 2 de agosto de 2028 para a IA incorporada em produtos regulamentados. A votação ocorreu cinco semanas antes do limite original, após o fracasso de dois trílogos em abril e maio de 2026, que deixaram as equipas de conformidade a preparar-se para um prazo que poderia ou não sobreviver.

O atraso não representa um recuo na aplicação da lei. No mesmo período de 2026, a Comissão Europeia aplicou uma coima de 200 milhões de euros à Temu ao abrigo do Digital Services Act, o Supremo Tribunal da Irlanda confirmou uma coima de 530 milhões de euros aplicada ao TikTok ao abrigo do RGPD e os supervisores nacionais passaram do "modo de observação" para inspeções ativas ao abrigo do DORA nos setores bancário e dos seguros. O quadro regulamentar da Europa em matéria de IA, dados e plataformas está a ser reescrito e aplicado em simultâneo, em ritmos diferentes que raramente coincidem.

Para os líderes de governação de IA, DPO e responsáveis pela conformidade digital que cobrem a UE, o Reino Unido e a Suíça, esta combinação de prazos variáveis e coimas ativas constitui o verdadeiro ambiente de atuação para o resto de 2026.

O prazo para os sistemas de alto risco do EU AI Act continua a ser 2 de agosto de 2026?

Não após a publicação do Digital Omnibus on AI no Jornal Oficial, o que se prevê para julho de 2026, entrando em vigor três dias depois. O Regulamento (UE) 2024/1689 estabeleceu originalmente o dia 2 de agosto de 2026 para os sistemas de alto risco do Anexo III, abrangendo casos de uso em recrutamento, avaliação de crédito, identificação biométrica, educação, migração e aplicação da lei, e 2 de agosto de 2027 para os sistemas integrados em produtos do Anexo I. O Parlamento Europeu aprovou o texto do Omnibus em 16 de junho de 2026 com 423 votos a favor, e a aprovação do Conselho em 29 de junho de 2026 fixou as novas datas em 2 de dezembro de 2027 e 2 de agosto de 2028, respetivamente.

Duas obrigações movem-se na direção oposta. O período de carência para a marcação de água e rotulagem de conteúdos gerados por IA ao abrigo do Artigo 50 foi reduzido de seis para três meses, antecipando o novo prazo para 2 de dezembro de 2026, no caso de sistemas já no mercado. Além disso, o Omnibus acrescenta uma proibição total de gerar conteúdos sexuais ou íntimos não consensuais e material de abuso sexual de menores gerado por IA, uma disposição sem qualquer atraso associado. Até que o texto seja publicado no Jornal Oficial, a data original de 2 de agosto de 2026 permanece legalmente vinculativa, pelo que as organizações que classificam os seus sistemas no âmbito do Anexo III não podem simplesmente interromper os seus esforços.

Com que agressividade está a Comissão Europeia a aplicar o Digital Services Act?

Com agressividade suficiente para ter emitido duas coimas de nove dígitos num espaço de seis meses. Em 5 de dezembro de 2025, a Comissão multou o X em 120 milhões de euros, a sua primeira decisão de incumprimento do DSA, devido ao design enganador do símbolo de verificação azul, a um repositório de publicidade que não cumpria as regras de divulgação do Artigo 39 e a barreiras no acesso a investigadores que violavam o Artigo 40(12). O X recebeu 60 dias úteis para resolver o problema do símbolo de verificação e 90 dias para apresentar um plano completo de remediação, tendo recorrido da decisão para o Tribunal Geral da União Europeia em fevereiro de 2026, o que constitui o primeiro teste judicial à aplicação do DSA.

Em 28 de maio de 2026, a Comissão multou a Temu em 200 milhões de euros, 0.38% do seu volume de negócios global de 53 mil milhões de euros, por não ter efetuado uma avaliação de risco adequada e capaz de identificar produtos ilegais e perigosos no seu mercado. A Temu tem até 28 de agosto de 2026 para apresentar um plano de ação corretiva, e a investigação mais ampla da Comissão aos sistemas de recomendação e moderação de conteúdos da Temu permanece aberta. Ambos os casos basearam-se nas obrigações de risco sistémico dos Artigos 34 e 35, as mesmas disposições que mantêm todas as plataformas online e motores de pesquisa de muito grande dimensão sob o escrutínio contínuo da Comissão, uma área onde a monitorização regulamentar por plataforma deteta uma nova investigação no dia em que é aberta, em vez de o fazer no dia em que é notícia.

Que regulador decide efetivamente um caso RGPD quando os dados cruzam fronteiras?

Ao abrigo do mecanismo de balcão único, é a autoridade de proteção de dados do local onde a empresa tem o seu principal estabelecimento na UE e, para a maioria das plataformas globais, isso significa a Irlanda. A decisão da Comissão de Proteção de Dados da Irlanda (DPC) de 2 de maio de 2025 multou o TikTok em 530 milhões de euros, 45 milhões por não informar adequadamente os utilizadores ao abrigo do Artigo 13(1)(f) e 485 milhões por transferências ilegais de dados de utilizadores do EEE para a China ao abrigo do Artigo 46(1), após concluir que o TikTok não conseguia verificar se as suas Cláusulas Contratuais Tipo ofereciam à proteção de dados do EEE uma equivalência essencial ao exigido pelo RGPD. Em 3 de junho de 2026, o Supremo Tribunal da Irlanda confirmou tanto a determinação de responsabilidade como o valor da coima, embora tenha devolvido a ordem de suspensão de transferências futuras ao regulador para reapreciação, permitindo que o TikTok continue a transferir dados europeus para a China enquanto esse ponto específico é revisto.

As coimas cumulativas da DPC irlandesa totalizam agora 4.04 mil milhões de euros desde 2018, ainda lideradas pela decisão de 1.2 mil milhões de euros contra a Meta em 2023. Em todas as autoridades de supervisão da UE, o inquérito da DLA Piper de janeiro de 2026 coloca a aplicação da lei em 2025 em aproximadamente 1.2 mil milhões de euros, igualando 2024 e elevando o total do bloco desde a entrada em vigor do RGPD em 2018 para 7.1 mil milhões de euros. Para um responsável de conformidade, a lição prática é que a seleção da autoridade principal não é uma mera tarefa administrativa, pois determina qual a postura de aplicação, o calendário e a propensão do regulador para aplicar coimas transfronteiriças que efetivamente regem o processo.

O próprio RGPD está a ser reescrito em paralelo com o EU AI Act?

Sim, através do mesmo pacote Digital Omnibus, proposto pela Comissão em 19 de novembro de 2025 como COM(2025) 837. A proposta redefiniria os dados pessoais para que os dados pseudonimizados não sejam considerados pessoais para uma entidade que não tenha os meios para reidentificar o indivíduo, permitiria que as empresas se baseassem no interesse legítimo do RGPD para treinar ou operar modelos de IA sujeitos a salvaguardas, transferiria as regras de consentimento de cookies da Diretiva ePrivacy para o RGPD com um consentimento de um clique válido por seis meses e criaria um ponto de reporte único para violações de dados e incidentes de cibersegurança.

O Comité Europeu para a Proteção de Dados e a Autoridade Europeia para a Proteção de Dados emitiram um parecer conjunto em fevereiro de 2026, apoiando as medidas de simplificação administrativa, mas instando explicitamente os colegisladores a não adotarem a redefinição de dados pessoais, alertando que tal reduziria o direito fundamental à proteção de dados além do que uma alteração técnica deveria fazer. A meio de 2026, o dossiê permanece no processo legislativo ordinário, com as comissões da Indústria e das Liberdades Cívicas conjuntamente responsáveis no Parlamento, o que significa que o texto do RGPD que uma empresa cumpre hoje pode não ser o texto em vigor quando um programa de treino de IA que está a desenhar agora for lançado.

O que acrescentam o Digital Markets Act, o Data Act e o DORA ao EU AI Act e ao RGPD?

O Digital Markets Act fornece o seu próprio processo de aplicação da lei contra os mesmos controladores de acesso. Em 22 de abril de 2025, a Comissão aplicou coimas de 500 milhões de euros à Apple por violações relacionadas com o anti-steering ao abrigo do Artigo 5(4) e de 200 milhões de euros à Meta devido ao seu modelo de publicidade pagar-ou-consentir ao abrigo do Artigo 5(2), as primeiras coimas por incumprimento emitidas no âmbito do DMA. A primeira revisão trienal da Comissão, apresentada a 3 de maio de 2026 como COM(2026) 178, considerou o regime adequado ao seu propósito, não sendo necessária qualquer alteração legislativa, enquanto os processos de especificação abertos contra o Google Play e o Google Search em janeiro de 2026 permanecem ativos.

O Data Act tornou-se aplicável a 12 de setembro de 2025, dando aos utilizadores de produtos e serviços conectados o direito de aceder aos dados que esses produtos geram e, sempre que viável, de os partilhar com terceiros em tempo real. As obrigações de conceção que exigem que os produtos conectados tornem os dados acessíveis por defeito entram em vigor a 12 de setembro de 2026, e condições contratuais justas, razoáveis e não discriminatórias aplicam-se a todos os acordos de partilha de dados B2B assinados após setembro de 2025, estendendo-se a determinados contratos legados de longa duração a partir de setembro de 2027. Quando estão envolvidos dados pessoais, as penalizações do Data Act acompanham os níveis do RGPD, podendo atingir 20 milhões de euros ou 4% do volume de negócios global.

Para as entidades financeiras em específico, o período de carência do DORA terminou no final de 2025. Desde o primeiro trimestre de 2026, o BCE, o BaFin, a AMF, a CSSF e outras autoridades nacionais competentes passaram das avaliações de prontidão para avaliações formais de supervisão da gestão de riscos de TIC, dos contratos com terceiros e do reporte de incidentes, apoiadas por coimas de até 2% do volume de negócios mundial para as instituições e de até 1 milhão de euros a título pessoal para os membros do órgão de administração que não atuem em resposta aos relatórios de risco de TIC.

InstrumentoEstado (julho de 2026)Data-chave a acompanhar
EU AI Act, Anexo III alto riscoOmnibus adotado, a aguardar publicação no Jornal Oficial2 de dezembro de 2027 (era 2 de agosto de 2026)
EU AI Act, Artigo 50 transparênciaPeríodo de carência reduzido pelo Omnibus2 de dezembro de 2026
DSA aplicação de risco sistémicoAtiva, duas coimas emitidas, uma em recurso28 de agosto de 2026 (Plano de remediação da Temu)
RGPD (caso de transferência do TikTok)Responsabilidade e coima confirmadas, remediação reabertaReapreciação da DPC irlandesa pendente
Reforma do RGPD (Digital Omnibus)Em processo legislativo ordinárioNenhuma data de adoção definida
DMA obrigações dos controladores de acessoDuas coimas emitidas, revisão concluída, sem alteraçõesProcessos de especificação da Google em curso
Data Act obrigações de conceçãoRegras centrais aplicáveis desde set. de 202512 de setembro de 2026
DORA aplicação de supervisãoPeríodo de carência terminado, avaliações ativasEm curso, por autoridade nacional competente

Oito instrumentos, oito cronogramas e pelo menos três deles sofreram alterações materiais apenas no primeiro semestre de 2026. Uma função de conformidade que acompanhe isto através de uma folha de cálculo está a um comunicado de imprensa do Conselho de distância de construir um programa em torno de um prazo que já não se aplica, sendo exatamente essa a lacuna que o companheiro de IA da Obsidian foi concebido para preencher: não é um substituto do julgamento legal, mas um companheiro regulamentar verificado que sinaliza o momento em que um ato delegado passa o escrutínio ou uma coima se torna definitiva.

O que deve uma equipa de conformidade fazer a seguir?

Comece por separar o texto vinculativo do EU AI Act das suas alterações pendentes: continue o trabalho de classificação do Anexo III no pressuposto de que o dia 2 de agosto de 2026 poderá ainda ser aplicável, enquanto acompanha o Omnibus em direção à publicação no Jornal Oficial, para que a nova data de 2 de dezembro de 2027 seja confirmada e não presumida. Em paralelo, trate a aplicação do DSA e do DMA como prova do que os reguladores realmente priorizam, como avaliações de risco sistémico e restrições de direcionamento, em vez de se basear apenas no texto dos regulamentos.

Para equipas que gerem a exposição ao RGPD em vários estabelecimentos na UE, confirmem qual a autoridade de supervisão que detém o estatuto de liderança em cada atividade de processamento e monitorizem as negociações do Digital Omnibus quanto a alterações à definição de dados pessoais que possam afetar os programas de treino de IA já em curso. O MCP para assistentes de IA da Obsidian permite que esse acompanhamento decorra dentro das ferramentas que as equipas de conformidade já utilizam, e os atuais planos mostram como a monitorização por jurisdição acompanha o ritmo de um quadro regulamentar que mudou três vezes no primeiro semestre de 2026.