Oito em Vinte e Sete
Oito. E o numero de Estados-Membros da UE que designaram um ponto de contacto unico para a aplicacao do Regulamento da IA. Em vinte e sete. O prazo para o fazer era 2 de agosto de 2025. Ha sete meses.
Sem coimas. Sem procedimentos de infracao. Sem declaracoes publicas de preocupacao por parte da Comissao. Dezanove Estados-Membros falharam um prazo legalmente vinculativo ha sete meses e nada aconteceu. O regulamento que vai impor coimas ate 7% do volume de negocios global as empresas que nao cumpram nao produziu consequencias para os governos que nao construiram o aparelho de aplicacao.
Isto nao e disfuncao. E a forma como a regulamentacao europeia se implementa em vinte e sete implementacoes soberanas. E se gere uma empresa que opera alem-fronteiras na UE, compreender este padrao e mais importante do que compreender qualquer artigo individual do Regulamento da IA.
O Prazo Que Ninguem Cumpriu
O Artigo 70 do Regulamento Europeu da IA exigiu que cada Estado-Membro designasse autoridades nacionais competentes — no minimo, uma autoridade notificadora e uma autoridade de fiscalizacao do mercado — e comunicasse essas designacoes a Comissao ate 2 de agosto de 2025. O mesmo artigo exigiu que os Estados-Membros designassem um ponto de contacto unico: uma autoridade que serve como centro de coordenacao para toda a aplicacao do Regulamento da IA nesse pais.
O ponto de contacto unico nao e uma formalidade burocratica. E o endereco para onde as queixas chegam, onde a aplicacao transfronteirica e coordenada, onde o Comite Europeu de IA comunica com as autoridades nacionais. Sem ele, a cadeia de aplicacao esta quebrada a nivel nacional. Um regulamento sem autoridade de aplicacao e uma sugestao.
Em marco de 2026, segundo o briefing do Servico de Estudos do Parlamento Europeu publicado a 18 de marco de 2026, oito Estados-Membros designaram o seu ponto de contacto unico. O briefing e especifico. O numero e oito. O denominador e vinte e sete. O desfasamento e dezanove.
Os Oito
Os oito Estados-Membros que designaram autoridades de aplicacao partilham um padrao. Nao sao os mais ricos. Nao sao os maiores. Sao os que tomaram uma decisao institucional cedo e a executaram.
A Finlandia foi a primeira. A 22 de dezembro de 2025, o Presidente da Republica aprovou as alteracoes legislativas que atribuiram mandatos no ambito do Regulamento da IA a dez autoridades de fiscalizacao do mercado existentes. A Traficom — a Agencia Finlandesa de Transportes e Comunicacoes — tornou-se o ponto de contacto unico. Os poderes de aplicacao entraram em vigor a 1 de janeiro de 2026. A Finlandia nao criou uma nova agencia de IA. Ativou reguladores existentes com novos mandatos. Operacoes leves. Sem nova burocracia. A abordagem finlandesa e um modelo do que o Artigo 70 pretendia: usar a infraestrutura institucional que ja se tem.
A Alemanha designou a Bundesnetzagentur — a Agencia Federal de Redes — como ponto de contacto unico. O modelo alemao e complexo por necessidade: um sistema federal com autoridades de fiscalizacao do mercado sectoriais em dezasseis Lander. A Bundesnetzagentur tambem estabeleceu um centro de coordenacao (KoKIVO) para apoiar outras autoridades competentes. O sistema e pesado. Mas existe. Esta designado, comunicado e operacional.
Espanha foi precoce. A Agencia Espanhola de Supervisao da Inteligencia Artificial (AESIA) foi criada pelo Real Decreto 729/2023 — antes de o Regulamento da IA ter sido publicado no Jornal Oficial. A AESIA esta operacional desde junho de 2024. O sandbox regulatorio de Espanha, gerido pela AESIA, completou dois ciclos e selecionou doze projetos de IA para o terceiro. Espanha construiu a infraestrutura de aplicacao antes de o regulamento o exigir.
A Dinamarca adotou a sua lei de implementacao nacional em maio de 2025 e designou as suas autoridades antes do prazo de agosto. A abordagem dinamarquesa espelha o pragmatismo finlandes: organismos reguladores existentes, novos mandatos, infraestrutura nova minima.
Italia designou multiplas autoridades de fiscalizacao do mercado com competencias sectoriais. O modelo italiano distribui a aplicacao pelos reguladores sectoriais existentes — um padrao que reflete a arquitetura regulatoria existente em Italia em vez de construir infraestrutura paralela especifica para IA.
Os restantes tres dos oito designaram os seus pontos de contacto unico atraves de arranjos institucionais variados. O fio condutor nao e o modelo escolhido. E que um modelo foi escolhido, legislado e comunicado a Comissao dentro do prazo legal — ou proximo dele.
Os Dezanove
Os dezanove que nao designaram autoridades de aplicacao nao sao um grupo homogeneo. Alguns tem propostas legislativas pendentes. Alguns identificaram autoridades informalmente mas nao completaram a designacao legal. Alguns nao comecaram.
O briefing do Parlamento Europeu distingue tres categorias entre os Estados-Membros atrasados: os que tem legislacao em tramitacao parlamentar, os que tem autoridades identificadas mas nao formalmente designadas, e os que nao mostram progresso visivel. A distribuicao e aproximadamente uniforme entre as tres categorias.
As razoes do atraso sao estruturais, nao acidentais. Varios padroes recorrem.
Batalhas de territorio institucional. Em varios Estados-Membros, o processo de designacao estagnou porque reguladores existentes — autoridades de protecao de dados, reguladores de telecomunicacoes, agencias de protecao do consumidor, supervisores sectoriais — competiram pelo mandato do Regulamento da IA. O ambito do Regulamento da IA cruza todos os dominios regulatorios existentes. Decidir qual autoridade “fica” com a aplicacao do Regulamento da IA e uma decisao politica disfarada de administrativa. Em paises com fronteiras institucionais fortes, essa decisao leva tempo. Nalguns, nao foi tomada.
Estrangulamentos legislativos. Alguns Estados-Membros exigem legislacao primaria para designar novas autoridades competentes ou expandir mandatos existentes. Calendarios parlamentares, negociacoes de coligacao e prioridades legislativas empurraram a implementacao do Regulamento da IA para o fim da fila. O regulamento e diretamente aplicavel — nao requer transposicao nacional — mas a designacao de autoridades de aplicacao requer acao legislativa nacional. A distincao importa.
Afetacao de recursos. Designar uma autoridade de aplicacao sem a financiar e pior do que nao designar nenhuma. Varios Estados-Membros adiaram a designacao enquanto determinavam orcamentos, quadros de pessoal e capacidades tecnicas. O Artigo 70(8) exige que os Estados-Membros assegurem que as autoridades competentes disponham de “recursos financeiros e humanos adequados” bem como de conhecimentos tecnicos. Uma designacao sem recursos e uma designacao em papel — e a Comissao sinalizou que avaliara a adequacao de recursos, nao apenas o estado da designacao.
Desprioridade politica. Nalguns Estados-Membros, a implementacao do Regulamento da IA simplesmente nao e uma prioridade politica. Politica energetica, migracao, consolidacao fiscal, eleicoes — a competicao por atencao politica e feroz. Um regulamento que so entra em plena aplicacao em agosto de 2026 e facil de adiar quando o calendario politico esta sobrecarregado. O calculo muda quando a aplicacao comeca. A essa altura, o desfasamento de implementacao pode ser estrutural.
O Que o Desfasamento Significa para as Empresas
Para uma PME que opera alem-fronteiras na UE, o desfasamento na prontidao de aplicacao cria um conjunto especifico de condicoes que deve ser compreendido operacionalmente, nao abstratamente.
A aplicacao sera desigual. Quando as disposicoes sobre IA de alto risco do Regulamento da IA entrarem em vigor a 2 de agosto de 2026 — ou em dezembro de 2027 se o Omnibus Digital for adotado — as empresas que operam na Finlandia enfrentarao uma autoridade de aplicacao operacional ha meses ou anos. As empresas que operam num Estado-Membro que nao designou uma autoridade enfrentarao um vacuo regulatorio. O mesmo sistema de IA, implementado da mesma forma, existira em duas realidades de aplicacao diferentes consoante o Estado-Membro.
Isto nao e hipotetico. E a realidade vivida de cada regulamento europeu. O RGPD entrou em vigor a 25 de maio de 2018. Em 2020, a aplicacao variava por um fator de cinquenta entre as autoridades de protecao de dados mais ativas e as menos ativas. A DPC irlandesa processou queixas do Facebook durante quatro anos antes de emitir a sua primeira coima significativa. A CNIL francesa multou a Google em 50 milhoes de euros em sete meses. O regulamento era identico. A aplicacao nao era.
O Regulamento da IA seguira o mesmo padrao. O regulamento e uniforme. A aplicacao sera fragmentada. A fragmentacao mapeia-se, aproximadamente, nas mesmas linhas: as autoridades nordicas e da Europa Ocidental aplicarao mais cedo e com mais forca. As autoridades da Europa do Sul e de Leste levarao mais tempo a construir capacidade de aplicacao. O padrao nao e surpresa. E uma caracteristica estrutural de como vinte e sete sistemas juridicos soberanos implementam um unico enquadramento regulatorio.
A arbitragem regulatoria e uma armadilha. A tentacao e otimizar para o aplicador mais fraco: implementar o seu sistema de IA a partir de um Estado-Membro que nao designou uma autoridade, operar em mercados onde a aplicacao e lenta, e tratar o desfasamento de prontidao como ferias de conformidade.
Esta e a conclusao errada por tres razoes.
Primeiro, o efeito Bruxelas. O Regulamento Europeu da IA aplica-se a qualquer sistema de IA colocado no mercado da UE ou cujo resultado e utilizado na UE — independentemente do local de estabelecimento do fornecedor. Uma empresa que opera a partir de um Estado-Membro sem aplicacao continua exposta a aplicacao por parte de qualquer Estado-Membro onde o seu sistema e utilizado. A autoridade de fiscalizacao do mercado na Finlandia pode investigar um sistema de IA implementado por uma empresa estabelecida num Estado-Membro sem autoridade de aplicacao se esse sistema afetar utilizadores finlandeses.
Segundo, a aplicacao apanha. O desfasamento de aplicacao do RGPD fechou-se. Nao uniformemente, nao rapidamente, mas fechou-se. Os Estados-Membros que levaram anos a construir capacidade de aplicacao acabaram por construi-la. As coimas, quando chegaram, tiveram efeito retroativo: violacoes ocorridas durante o periodo de baixa aplicacao foram investigadas e sancionadas apos a construcao da capacidade. As ferias de conformidade tem data de validade. So nao se sabe quando.
Terceiro, a dimensao reputacional. Para uma PME que serve clientes empresariais em toda a Europa, a pergunta “esta em conformidade com o Regulamento da IA?” vira dos clientes antes de vir dos reguladores. Um fabricante alemao que avalia fornecedores de IA avaliara a postura de conformidade como criterio de aquisicao. O desfasamento de aplicacao no Estado-Membro de origem do fornecedor e irrelevante para o processo de due diligence do cliente. O cliente preocupa-se com o regulamento, nao com a geografia da aplicacao.
A Complicacao do Omnibus Digital
O desfasamento na prontidao de aplicacao criou pressao politica para adiar o prazo de conformidade. A 19 de novembro de 2025, a Comissao Europeia publicou o Omnibus Digital — uma proposta legislativa que, entre outras coisas, adiaria a data de aplicacao dos requisitos para sistemas de IA de alto risco.
A proposta avancou depressa. A 13 de marco de 2026, o Conselho adotou a sua posicao: datas de aplicacao fixas de 2 de dezembro de 2027 para sistemas de IA autonomos de alto risco e 2 de agosto de 2028 para sistemas de IA de alto risco integrados em produtos. A 18 de marco de 2026, as comissoes IMCO e LIBE do Parlamento Europeu adotaram o seu relatorio conjunto — 101 votos a favor, 9 contra, 8 abstencoes — propondo a mesma data de dezembro de 2027 para sistemas de alto risco do Anexo III e agosto de 2028 para sistemas do Anexo I.
As posicoes do Parlamento e do Conselho estao alinhadas na questao central: adiamento. Seguem-se negociacoes em trilogo. Se o Omnibus Digital for adotado, o prazo de 2 de agosto de 2026 para as disposicoes sobre alto risco passa para dezembro de 2027.
Mas — e este e o ponto critico que a maioria dos comentarios falha — o Omnibus Digital nao foi adotado. A data de hoje, 17 de marco de 2026, 2 de agosto de 2026 continua a ser o prazo legal. As disposicoes sobre praticas proibidas estao em vigor desde 2 de fevereiro de 2025. A obrigacao de literacia em IA ao abrigo do Artigo 4 esta em vigor desde 2 de fevereiro de 2025. As disposicoes sobre modelos GPAI estao em vigor desde 2 de agosto de 2025. E o requisito de designar autoridades nacionais competentes — o proprio requisito que so oito Estados-Membros cumpriram — esta em vigor desde 2 de agosto de 2025.
Planear para o adiamento e racional. Depender do adiamento e temerario. O Omnibus Digital tem de passar o trilogo, ser publicado no Jornal Oficial e entrar em vigor. Ate isso acontecer, 2 de agosto de 2026 e a lei. Uma empresa que adia a preparacao da conformidade porque o adiamento “provavelmente” sera adotado esta a fazer uma aposta. As probabilidades podem favorecer o adiamento. Mas a desvantagem de estar errado e operacional: a correria para cumprir um prazo que todos assumiram que se moveria mas nao se moveu.
O Desfasamento dos Sandboxes
O Artigo 57 do Regulamento da IA exigiu que cada Estado-Membro estabelecesse pelo menos um sandbox regulatorio de IA, operacional ate 2 de agosto de 2026. O requisito do sandbox acompanha o desfasamento das autoridades de aplicacao: os paises que designaram autoridades cedo sao os mesmos paises com sandboxes operacionais ou quase operacionais. Os paises sem autoridades de aplicacao geralmente tambem nao tem sandboxes.
O sandbox de Espanha funciona desde 2022. A infraestrutura de apoio regulatorio da Finlandia esta operacional. A Bundesnetzagentur da Alemanha lancou o seu AI Service Desk. Os Paises Baixos tem uma proposta de sandbox em coordenacao entre a Autoridade para os Consumidores e Mercados e a Autoridade Holandesa de Protecao de Dados.
Para os restantes, o prazo do sandbox e 2 de agosto de 2026 — o mesmo dia em que as disposicoes que deviam ajudar as empresas a preparar-se entram em vigor. Um sandbox que abre no dia da aplicacao e um sandbox que chega tarde demais para cumprir o seu proposito. O sandbox regulatorio foi concebido como mecanismo pre-aplicacao: um espaco onde as empresas desenvolvem sistemas de IA sob supervisao regulatoria antes de os requisitos de conformidade plena se aplicarem. Abrir o sandbox no dia da aplicacao e como construir o centro de treinos no dia do jogo.
O desfasamento dos sandboxes agrava o desfasamento da aplicacao. Estados-Membros sem autoridades de aplicacao tambem nao tem a infraestrutura institucional para operar sandboxes. A autoridade competente que gere o sandbox e a mesma autoridade competente que aplica o regulamento. Se a autoridade nao existe, o sandbox tambem nao.
Para uma PME num Estado-Membro sem autoridade de aplicacao e sem sandbox, a realidade pratica e: esta a preparar-se para um regulamento sem qualquer apoio institucional do seu governo nacional. Sem orientacao de uma autoridade nacional competente. Sem sandbox para testar a sua arquitetura de conformidade. Sem ponto de contacto unico para responder a perguntas. Esta sozinho com o texto do regulamento e quaisquer servicos de consultoria comercial que possa pagar.
Isto nao e aceitavel. Mas e o estado real das coisas. O artigo nao muda porque a implementacao esta atrasada. O requisito de conformidade nao abranda porque o governo nao cumpriu o seu proprio prazo.
O Que uma Empresa Deve Fazer
O desfasamento na prontidao de aplicacao nao muda o requisito de conformidade. Muda a estrategia de conformidade.
Construir para o aplicador mais rigoroso. Se opera em mercados europeus, a sua arquitetura de conformidade deve cumprir o padrao da autoridade de aplicacao mais capaz e mais ativa. Hoje, isso significa Finlandia, Espanha e Alemanha. Um sistema conforme na Finlandia e conforme em todo o lado. Um sistema conforme apenas num Estado-Membro sem autoridade de aplicacao e um sistema que falhara no seu primeiro encontro regulatorio transfronteirico.
Nao esperar pela sua autoridade nacional. Se o seu Estado-Membro nao designou uma autoridade de aplicacao, nao espere. O regulamento aplica-se independentemente. Os requisitos tecnicos — gestao de riscos ao abrigo do Artigo 9, governacao de dados ao abrigo do Artigo 10, documentacao tecnica ao abrigo do Artigo 11, registo ao abrigo do Artigo 12, supervisao humana ao abrigo do Artigo 14 — estao definidos no proprio regulamento. Nao dependem de orientacao nacional. A orientacao nacional ajuda. Nao e pre-requisito.
Usar sandboxes disponiveis alem-fronteiras. O Artigo 57 permite que os Estados-Membros estabelecam sandboxes conjuntamente. Varios programas de sandbox aceitam candidaturas de empresas estabelecidas noutros Estados-Membros. O sandbox da AESIA de Espanha, em particular, processou candidaturas de empresas da UE nao espanholas. Se o seu Estado-Membro nao oferece um sandbox, candidate-se a um que ofereca. A documentacao de conformidade produzida num sandbox espanhol tem valor quando se enfrenta um regulador alemao.
Monitorizar o Omnibus Digital. O processo de trilogo determinara se 2 de agosto de 2026 ou 2 de dezembro de 2027 e a data operativa para as disposicoes sobre alto risco. Acompanhe o progresso legislativo. Prepare-se para agosto. Ajuste se dezembro for confirmado. Nao assuma.
Documentar o seu esforco de conformidade agora. Independentemente da data de aplicacao, o ato de preparar — realizar avaliacoes de risco, documentar a governacao de dados, construir documentacao tecnica — tem valor mesmo que o prazo mude. A documentacao em si e um ativo. Demonstra esforco de conformidade de boa-fe. Num panorama de aplicacao onde os reguladores tem recursos limitados e devem priorizar investigacoes, uma empresa com arquitetura de conformidade documentada e uma prioridade de aplicacao mais baixa do que uma empresa sem nada.
O Padrao
O Regulamento Europeu da IA seguira o mesmo arco de implementacao que todos os grandes regulamentos europeus antes dele. O regulamento e publicado. O prazo passa. Alguns Estados-Membros estao prontos. A maioria nao esta. A aplicacao comeca de forma desigual. O desfasamento fecha-se ao longo de dois a cinco anos. As empresas que se prepararam para o regulamento como escrito — nao para o regulamento como aplicado — estao em conformidade quando a aplicacao chega. As empresas que otimizaram para o desfasamento ficam expostas quando ele fecha.
O RGPD seguiu este arco. A Diretiva dos Servicos de Pagamento seguiu este arco. O Regulamento dos Dispositivos Medicos seguiu este arco. De cada vez, o padrao surpreendeu empresas que assumiram que o desfasamento de implementacao era uma caracteristica permanente e nao temporaria.
Oito em vinte e sete. O numero e uma fotografia de um sistema regulatorio no meio da sua implementacao. O sistema nao esta avariado. E lento, desigual e previsivel. O regulamento sera aplicado. A unica questao e quando — e se a sua empresa estara pronta antes de o regulador estar.
A contagem decrescente nao parou porque dezanove governos se atrasaram. Nunca para.