A regulação da inteligência artificial está criando um fenômeno jurídico sem precedentes: múltiplas jurisdições projetando simultaneamente suas normas para além de suas fronteiras, gerando uma teia regulatória complexa em que empresas globais precisam navegar por regras conflitantes de Bruxelas, Pequim, Washington e São Paulo ao mesmo tempo. Não se trata apenas da Europa tentando impor seus padrões ao mundo. Trata-se de um movimento global de afirmação regulatória em que cada grande economia busca estender seu alcance jurisdicional sobre uma tecnologia que, por natureza, ignora limites territoriais.
A Lei de Inteligência Artificial da União Europeia, em vigor desde agosto de 2024, com aplicação faseada até 2027, estabeleceu o tom ao determinar que empresas de qualquer lugar do mundo devem seguir suas regras se colocarem sistemas de IA no mercado europeu ou se seus sistemas produzirem efeitos relevantes no território da União.
Uma startup brasileira, por exemplo, desenvolvendo algoritmos de recomendação para um aplicativo usado em Lisboa, mesmo sem qualquer presença física na Europa, pode ser obrigada a nomear representantes locais, submeter-se a auditorias e cumprir requisitos de transparência europeus. As multas reforçam a seriedade: até €35 milhões ou 7% do faturamento global anual para práticas proibidas — valores que não são mais retórica regulatória, mas risco econômico concreto.
Lei chinesa
Mas a China não ficou para trás. As emendas à Lei de Cibersegurança chinesa, em vigor desde janeiro de 2026, ampliaram de forma significativa o alcance extraterritorial das autoridades de Pequim, permitindo atingir organizações e indivíduos estrangeiros cujas atividades, ainda que ocorridas fora do território, sejam consideradas ameaça à segurança de rede da China, inclusive com medidas como bloqueio de acesso e congelamento de ativos.
Em paralelo, a legislação chinesa sobre IA generativa — as Medidas Interinas para Serviços de IA Generativa, vigentes desde agosto de 2023 — aplica-se a serviços prestados ao público na China, independentemente de onde a empresa provedora está sediada. Uma empresa americana desenvolvendo modelos de linguagem precisa adequar-se às regras chinesas de ética algorítmica e supervisão de conteúdo se quiser oferecer seus serviços em Xangai.
Regulamentação nos EUA
Nos Estados Unidos, a batalha regulatória assume contornos diferentes, mas igualmente extraterritoriais. A Califórnia, lar de muitas das maiores empresas de IA do mundo, aprovou em 2025 a SB-53, primeira lei estadual americana focada em modelos de IA de fronteira, sancionada no fim de setembro daquele ano. A lei foi desenhada para aplicar-se a qualquer desenvolvedor que disponibilize modelos cobertos para uso na Califórnia, independentemente de onde a empresa está baseada ou onde o modelo foi treinado. Empresas europeias ou asiáticas que queiram que seus modelos sejam utilizados no Vale do Silício precisam submeter-se às exigências californianas de avaliação de risco, mitigação de cenários catastróficos e transparência técnica.
A ordem executiva do presidente Donald Trump, emitida em dezembro de 2025, complica ainda mais o cenário ao buscar estabelecer padrões federais que sirvam de base para contestar e eventualmente impedir leis estaduais consideradas excessivamente onerosas, criando incerteza sobre qual camada regulatória prevalecerá em última instância.
Portugal vem atualizando sua estratégia e sua agenda de políticas públicas para IA alinhando-a progressivamente ao modelo europeu consolidado pelo AI Act, num movimento de convergência regulatória dentro do próprio bloco.
Marco regulatório no Brasil
O Brasil discute seu próprio marco regulatório para inteligência artificial, enquanto empresas nacionais já precisam lidar, ao mesmo tempo, com a Lei Geral de Proteção de Dados, com interpretações e reformas do Estatuto da Criança e do Adolescente voltadas à proteção de crianças no ambiente digital — o chamado “ECA digital” — e com normas setoriais dispersas. Cada novo instrumento normativo adiciona uma camada de complexidade para sistemas de IA que, por design, operam globalmente.
O resultado prático dessa multiplicação de jurisdições extraterritoriais é que um único sistema de IA pode estar simultaneamente sujeito a regras europeias de transparência, controles chineses de conteúdo, requisitos californianos de avaliação de risco e normas brasileiras de proteção de dados. Quando essas regras conflitam — e elas inevitavelmente conflitam em pontos críticos, como requisitos de reporte às autoridades, níveis de transparência técnica e limites de uso de dados —, as empresas enfrentam escolhas quase impossíveis: duplicar processos, manter arquiteturas paralelas ou simplesmente abandonar certos mercados.
Considere a cadeia de valor típica de um sistema de IA moderno: o treinamento do modelo acontece no Brasil, utilizando infraestrutura de nuvem localizada em data centers nos Estados Unidos, alimentado por dados coletados de múltiplas fontes internacionais; a integração e o desenvolvimento de aplicações ocorrem em uma equipe na Índia; e os usuários finais estão espalhados pela Europa, Ásia e América Latina. Cada elo dessa cadeia pode estar sujeito a uma jurisdição diferente projetando suas regras extraterritorialmente. O fornecedor de dados em São Paulo pode precisar adequar-se simultaneamente à Lei Geral de Proteção de Dados brasileira, ao GDPR europeu e à Personal Information Protection Law (PIPL) chinesa, dependendo de onde estão os titulares de dados e para onde os serviços são oferecidos.
Fragmentação questionável a longo prazo
Essa fragmentação regulatória é, no mínimo, seriamente questionável em termos de sustentabilidade de longo prazo. Os custos de conformidade múltipla — técnicos, jurídicos, operacionais — tendem a forçar algum grau de convergência, não necessariamente por meio de tratados internacionais formais, mas por pura necessidade econômica.
Iniciativas como os Princípios de IA da OCDE e o Hiroshima AI Process do G7 buscam criar um terreno comum mínimo, definindo padrões técnicos compartilhados, princípios de governança responsável e bases de interoperabilidade entre diferentes regimes. A harmonização não surge como gesto político magnânimo, mas como resposta pragmática ao risco de um caos regulatório que inviabiliza inovação em escala global.
Para empresas brasileiras de tecnologia com ambições globais, a lição é clara: conformidade regulatória precisa estar embutida na arquitetura do produto desde o primeiro dia. A pergunta relevante não é mais “qual lei devo cumprir?”, mas “como construo um sistema capaz de operar em múltiplas jurisdições conflitantes sem ser refeito do zero a cada fronteira?”. Startups que tratam adequação regulatória como checklist de última hora descobrem, tarde demais, que seus modelos de negócio são estruturalmente inviáveis fora do próprio país — ou mesmo dentro dele, quando dependem de cadeias globais de dados e infraestrutura.
A extraterritorialidade regulatória da IA expõe uma verdade desconfortável sobre a governança tecnológica contemporânea: a soberania territorial, conceito fundacional do direito internacional clássico, simplesmente não se ajusta a tecnologias que operam em tempo real através de fronteiras físicas. A resposta dos estados — projetar jurisdição para onde os efeitos ocorrem, e não apenas para onde a empresa existe formalmente — produz colisões regulatórias inevitáveis. O mundo ainda está longe de uma solução definitiva para esse dilema, mas uma coisa permanece estável em meio à volatilidade normativa: empresas que ignoram essa nova geopolítica regulatória o fazem por sua conta e risco.
Créditos: Conjur