As Normas Que Ninguém Acabou
O Regulamento Europeu da IA exige que as empresas cumpram normas harmonizadas. As normas harmonizadas não existem.
Isto não é uma simplificação. É a situação. A Comissão Europeia pediu ao CEN-CENELEC que escrevesse as normas. O CEN-CENELEC falhou o prazo. Depois falhou o prazo revisto. As normas são agora esperadas para o quarto trimestre de 2026. A data de conformidade para sistemas de IA de alto risco é 2 de agosto de 2026. As normas estão previstas para chegar depois do exame.
Uma PME não pode construir um programa de conformidade contra uma norma que não foi escrita. Mas o regulamento não espera pelo organismo de normalização. O artigo 9.º continua a exigir um sistema de gestão de riscos. O artigo 11.º continua a exigir documentação técnica. O artigo 13.º continua a exigir transparência. Estes artigos são específicos. Dizem-lhe o que construir. As normas dir-lhe-iam como demonstrá-lo. O “quê” existe. O “como” está em falta.
Esta é a lacuna. E é mais larga do que a maioria das empresas percebe.
O Pedido de Normalização
Em maio de 2023, a Comissão Europeia emitiu um pedido de normalização às organizações europeias de normalização CEN e CENELEC. O pedido solicitava o desenvolvimento de normas harmonizadas que cobrissem os requisitos para fornecedores de sistemas de IA de alto risco — as especificações técnicas que, uma vez publicadas no Jornal Oficial da União Europeia, dariam às empresas uma presunção de conformidade com os requisitos do Regulamento da IA.
O mecanismo é prática regulatória europeia estabelecida. O regulamento define os requisitos. Os organismos de normalização traduzem esses requisitos em especificações técnicas. As empresas que cumprem as especificações são presumidas como cumprindo o regulamento. É a mesma arquitetura que sustenta o Regulamento das Máquinas, o Regulamento dos Dispositivos Médicos e dezenas de outros quadros de segurança de produtos da UE.
O prazo original para entrega das normas era 30 de abril de 2025. O CEN-CENELEC não o cumpriu. O presidente do JTC 21 — o comité técnico conjunto responsável pelo trabalho — indicou no início de 2025 que as normas seriam provavelmente concluídas até ao final de 2025. Em 23 de junho de 2025, a Comissão reviu formalmente o prazo para 31 de agosto de 2025. O CEN-CENELEC também não cumpriu esse prazo.
O pedido de normalização foi alterado em junho de 2025 para se alinhar com o texto final do Regulamento da IA. O programa de trabalho do JTC 21 abrange aproximadamente trinta e cinco itens de trabalho em cinco grupos de trabalho: aspetos fundamentais, aspetos operacionais, fiabilidade, engenharia e domínios de aplicação específicos. Trezentos especialistas de mais de vinte países participam. O âmbito é enorme. O calendário não era.
O Que Existe
Em março de 2026, uma norma entrou em inquérito público. Uma.
A prEN 18286 — Inteligência Artificial: Sistema de Gestão da Qualidade para Fins Regulamentares do Regulamento Europeu da IA — tornou-se a primeira norma harmonizada do Regulamento da IA a entrar em inquérito público em 30 de outubro de 2025. O inquérito decorreu até 27 de dezembro de 2025. Os organismos nacionais de normalização submeteram comentários. O CEN está agora a compilar respostas e a resolver comentários antes de a norma poder ser adotada.
A prEN 18286 cobre o artigo 17.º do Regulamento da IA: o requisito do sistema de gestão da qualidade. Traduz as obrigações do artigo 17.º em controlos concretos de governação, documentação, ciclo de vida e prova. Diz a um fornecedor como estruturar o sistema de gestão da qualidade que o regulamento exige. É específica, detalhada e operacionalmente útil.
Também não é ainda uma Norma Europeia. É um rascunho. Está sujeita a alterações. Não pode ser citada como norma harmonizada até ser finalizada e a sua referência ser publicada no Jornal Oficial. A presunção de conformidade — o benefício legal que torna as normas harmonizadas valiosas — não se aplica até essa publicação. À data de hoje, a prEN 18286 fornece orientação. Não fornece certeza jurídica.
A sua norma companheira, a prEN 18228, cobre a gestão de riscos ao abrigo do artigo 9.º. Entrou em votação interna do comité em meados de 2025. Não chegou ao inquérito público. A norma de gestão de riscos — provavelmente a norma operacionalmente mais crítica para qualquer empresa que implemente um sistema de IA de alto risco — está meses atrás da norma de gestão da qualidade, que está ela própria a meses da finalização.
Para além destas duas, os restantes itens de trabalho abrangem governação de dados, viés, cibersegurança, robustez, registo, transparência, visão computacional e processamento de linguagem natural. A maioria está em fase de rascunho de trabalho ou em fases anteriores. O pipeline está cheio. O resultado não está.
Por Que as Normas Estão Atrasadas
Os organismos de normalização não são rápidos. Isto é por conceção, não por falha. A legitimidade das normas harmonizadas depende de um processo de consenso que inclui indústria, academia, sociedade civil, reguladores e especialistas em normalização de toda a Europa. Apressar esse processo produz normas que carecem de adesão, que falham casos particulares, que falham as empresas que deviam servir. O processo de consenso é lento porque é rigoroso.
Mas o Regulamento da IA criou um problema de calendário estrutural que nenhuma otimização de processo pode resolver. O regulamento foi publicado no Jornal Oficial em 12 de julho de 2024. As disposições de alto risco entram em vigor em 2 de agosto de 2026. O pedido de normalização foi emitido em maio de 2023 — antes de o regulamento ser finalizado. Quando o texto final foi publicado, o pedido teve de ser alterado para se alinhar com a lei real. Trabalho que tinha começado contra um regulamento em rascunho teve de ser revisto contra o texto final. O relógio continuou a andar. O âmbito expandiu-se.
O resultado é uma lacuna entre o calendário regulatório e o calendário de normalização que foi inscrita na arquitetura desde o início. O regulamento move-se num calendário político. As normas movem-se num calendário de consenso técnico. Os dois calendários são estruturalmente incompatíveis.
O CEN-CENELEC reconheceu o problema. Em outubro de 2025, os Conselhos Técnicos conjuntos do CEN e do CENELEC adotaram um pacote excecional de medidas para acelerar a entrega. A mais significativa: permitir a publicação direta de normas após um voto de inquérito positivo, saltando o voto formal separado que normalmente se segue. Isto é extraordinário. O voto formal é um passo fundamental no processo de normalização europeu. Contorná-lo é um reconhecimento de que o processo normal não consegue entregar dentro do calendário regulatório.
Mesmo com esta aceleração, o objetivo para a primeira vaga de normas é o quarto trimestre de 2026 — após a data de conformidade de 2 de agosto de 2026. As medidas de aceleração foram concebidas para ter normas publicadas antes do final de 2026. Não foram concebidas para ter normas publicadas antes de agosto.
A Lacuna da Presunção de Conformidade
Compreender por que isto importa exige compreender o que as normas harmonizadas fazem na arquitetura regulatória europeia.
O artigo 40.º do Regulamento da IA estabelece a presunção de conformidade: sistemas de IA de alto risco que estejam em conformidade com normas harmonizadas — ou partes delas — cujas referências tenham sido publicadas no Jornal Oficial são presumidos como cumprindo os requisitos cobertos por essas normas. Isto não é conformidade por defeito. É um atalho jurídico. Se uma norma harmonizada cobre os requisitos de gestão de riscos do artigo 9.º, e o seu sistema está em conformidade com essa norma, presume-se que cumpriu o artigo 9.º. Um regulador que questione a sua conformidade tem de refutar essa presunção.
Sem a norma harmonizada, não há presunção. Continua a ter de cumprir o artigo 9.º. Mas tem de demonstrar a conformidade nos seus próprios termos, usando a sua própria metodologia, sem o suporte de uma norma que um regulador pré-aprovou. O ónus da prova é maior. A certeza jurídica é menor.
Esta é a consequência prática da lacuna de normalização. A lei aplica-se. Os requisitos são claros. Mas a ferramenta que torna a conformidade demonstrável — a norma harmonizada — não está disponível. As empresas devem cumprir sem o roteiro que a arquitetura regulatória foi desenhada para fornecer.
A analogia é arquitetónica. O regulamento diz: construa uma casa que cumpra estes requisitos estruturais. A norma harmonizada é o código de construção que especifica como cumprir esses requisitos — os materiais, os métodos, as medições. Sem o código de construção, continua a ter de construir uma casa estruturalmente sólida. Mas tem de provar que é estruturalmente sólida sem referência ao código que o inspetor foi treinado para avaliar. Está a construir segundo requisitos, não segundo especificações. Os requisitos são os mesmos. A prova é mais difícil.
A Alternativa das Especificações Comuns
O Regulamento da IA antecipou este problema. O artigo 41.º confere à Comissão o poder de adotar especificações comuns — atos de execução que servem como via alternativa de conformidade quando as normas harmonizadas não estão disponíveis.
As condições são explícitas. A Comissão pode adotar especificações comuns quando: solicitou normas harmonizadas e o pedido não foi aceite, as normas não são entregues dentro do prazo, ou nenhuma referência a normas harmonizadas foi publicada no Jornal Oficial e nenhuma referência é esperada num período razoável.
As três condições estão preenchidas. O pedido foi aceite mas o prazo foi falhado — duas vezes. Nenhuma referência foi publicada no Jornal Oficial. Nenhuma referência é esperada antes de 2 de agosto de 2026.
A Comissão tem autoridade legal para adotar especificações comuns hoje. Não o fez. A razão é política, não jurídica. As especificações comuns são atos de execução redigidos pela Comissão — contornam o processo de normalização baseado em consenso. A comunidade de normalização vê-as como uma intrusão no seu domínio. Os grupos industriais preferem normas desenvolvidas por consenso a especificações impostas por regulação. A Comissão tem sido historicamente relutante em usar o mecanismo de especificações comuns, preferindo esperar pelas normas harmonizadas.
O resultado: a via principal de conformidade (normas harmonizadas) não está disponível. A via alternativa (especificações comuns) não foi ativada. As empresas ficam com o texto do regulamento e com o que conseguirem construir a partir dele.
O Omnibus Digital e o Prazo em Movimento
A lacuna de normalização é um dos principais motores do Omnibus Digital — a proposta legislativa que a Comissão publicou em 19 de novembro de 2025 para alterar o calendário de aplicação do Regulamento da IA.
A lógica política é direta. O regulamento exige conformidade. A conformidade é facilitada por normas harmonizadas. As normas harmonizadas não estão prontas. Portanto, adiar o prazo de conformidade até as normas estarem prontas. O Omnibus Digital propõe substituir o prazo de 2 de agosto de 2026 para as disposições de alto risco por um mecanismo ligado à disponibilidade de normas harmonizadas — na prática, empurrando a data efetiva para 2 de dezembro de 2027 para sistemas de IA de alto risco autónomos (Anexo III) e 2 de agosto de 2028 para sistemas de IA incorporados em produtos (Anexo I).
O Conselho adotou a sua posição em 13 de março de 2026. As comissões IMCO e LIBE do Parlamento Europeu adotaram o seu relatório conjunto em 18 de março de 2026 — 101 votos a favor, 9 contra, 8 abstenções. Ambas as instituições apoiam o adiamento. O voto em plenário do Parlamento foi agendado para 26 de março. Seguir-se-ão negociações de trílogo entre o Parlamento, o Conselho e a Comissão.
O momento político é claro. Ambos os colegisladores apoiam o adiamento. O trílogo negociará detalhes, não o princípio.
Mas — e já fiz este ponto antes e farei novamente — o Omnibus Digital não foi adotado. Não foi publicado no Jornal Oficial. Não entrou em vigor. À data de 7 de abril de 2026, 2 de agosto de 2026 é a lei. Planear para dezembro de 2027 é racional. Contar com dezembro de 2027 é imprudente. A diferença entre planear e contar é se começou a preparar-se para agosto.
Uma empresa que não iniciou o trabalho de conformidade porque espera que o prazo se mova está a fazer uma aposta. As probabilidades favorecem o adiamento. A desvantagem de estar errado não é abstrata — é operacional. É a corrida para construir um sistema de gestão de riscos, documentação técnica, infraestrutura de registo e mecanismos de supervisão humana nas semanas entre um trílogo falhado e 2 de agosto. A probabilidade é baixa. O impacto é catastrófico.
O Que Uma Empresa Pode Fazer Hoje
A ausência de normas harmonizadas não significa ausência de requisitos. As disposições substantivas do Regulamento da IA são autossuficientes. Dizem-lhe o que construir. As normas teriam fornecido uma metodologia de consenso para o construir. Sem as normas, tem de construir a metodologia sozinho — mas o destino é o mesmo.
Eis o que existe e o que pode fazer com isso.
Artigo 9.º — Gestão de Riscos. O regulamento especifica os requisitos para um sistema de gestão de riscos em detalhe. Tem de ser um processo iterativo contínuo. Tem de identificar e analisar riscos conhecidos e razoavelmente previsíveis. Tem de avaliar os riscos que emergem quando o sistema é usado de acordo com a sua finalidade prevista e em condições de utilização indevida razoavelmente previsível. Tem de adotar medidas de gestão de riscos adequadas. O artigo é prescritivo. Não precisa da prEN 18228 para construir um sistema de gestão de riscos. Precisa do artigo 9.º, da documentação técnica do seu sistema e de alguém com competência no domínio de aplicação do seu sistema de IA. A norma, quando chegar, fornecerá uma metodologia estruturada. O artigo fornece os requisitos que essa metodologia deve satisfazer.
Artigo 10.º — Governação de Dados. Os conjuntos de dados de treino, validação e teste devem cumprir critérios de qualidade: relevantes, suficientemente representativos, livres de erros na medida do possível e completos em vista da finalidade prevista. O artigo especifica práticas de governação de dados — incluindo exame de vieses, identificação de lacunas e medidas adequadas para as resolver. Documente os seus dados. Documente as suas fontes. Documente os seus controlos de qualidade. Documente como tratou o viés. A norma fornecerá um quadro para fazer isto. O artigo diz-lhe o que o quadro deve cobrir.
Artigo 11.º — Documentação Técnica. O Anexo IV lista o conteúdo da documentação técnica em detalhe. Descrição geral, processo de desenvolvimento, monitorização e controlo, sistema de gestão de riscos, alterações ao longo do ciclo de vida, normas harmonizadas aplicadas e medidas de conformidade. O último item — normas harmonizadas aplicadas — estará vazio por agora. O Anexo IV acomoda explicitamente isto: quando não foram aplicadas normas harmonizadas, a documentação deve incluir “uma lista de outras normas e especificações técnicas relevantes aplicadas.” ISO/IEC 42001, ISO/IEC 23894, ISO/IEC 38507 — estas não são normas harmonizadas ao abrigo do Regulamento da IA, mas são especificações técnicas relevantes que demonstram uma metodologia de conformidade. Use-as. Documente a sua aplicação. A documentação técnica não exige normas harmonizadas. Exige documentação de quaisquer normas que tenha aplicado.
Artigo 12.º — Registo. O sistema deve registar automaticamente eventos. O artigo especifica o quê: período de utilização, bases de dados de referência, dados de entrada que produziram correspondências, identificação das pessoas envolvidas na verificação. Este é um requisito de engenharia. Não depende de uma norma harmonizada. Construa a infraestrutura de registo. A norma não mudará o que regista. Pode mudar como o estrutura e armazena. Construa agora, refine depois.
Artigo 13.º — Transparência. O sistema deve ser concebido para ser suficientemente transparente para permitir que os implementadores interpretem o resultado e o utilizem adequadamente. As instruções de utilização devem incluir: identidade do fornecedor, características do sistema, capacidades e limitações, finalidade prevista, nível de precisão e métricas de precisão relevantes. Escreva as instruções de utilização. O conteúdo está especificado no artigo. Uma norma harmonizada pode especificar o formato. O conteúdo já está definido.
Artigo 14.º — Supervisão Humana. Escrevi sobre isto em detalhe em “O Erro de 500.000 Euros.” O requisito é claro: as pessoas singulares devem ser capazes de compreender plenamente as capacidades e limitações do sistema, de monitorizar o seu funcionamento, de poder decidir não usar o sistema ou de ignorar o seu resultado, e de poder intervir ou interromper o sistema. Construa a interface de supervisão. Forme os supervisores. A norma não mudará o requisito. Fornecerá uma metodologia para demonstrá-lo.
prEN 18286 — Sistema de Gestão da Qualidade. O rascunho da norma está publicamente disponível através dos organismos nacionais de normalização. Não está finalizado. Pode mudar. Mas é a orientação mais detalhada disponível para conformidade com o artigo 17.º. Leia-o. Use-o como referência para estruturar o seu sistema de gestão da qualidade. Quando a norma final for publicada, alinhe-se com ela. O custo de alinhar um sistema construído contra o rascunho à norma final é ajuste. O custo de não construir nada enquanto espera pela norma final é partir do zero.
A Ponte ISO
A ausência de normas harmonizadas específicas do Regulamento da IA não significa ausência de normas. O panorama internacional de normalização oferece quadros relevantes que, embora não confiram a presunção de conformidade ao abrigo do artigo 40.º, fornecem metodologias estruturadas para abordar os requisitos do Regulamento da IA.
A ISO/IEC 42001 — Sistema de Gestão de Inteligência Artificial — fornece uma norma de sistema de gestão para organizações que usam ou fornecem IA. Cobre avaliação de riscos, governação e gestão do ciclo de vida. Não mapeia diretamente os requisitos do Regulamento da IA, mas aborda as mesmas preocupações estruturais. Uma empresa com um sistema de gestão certificado pela ISO 42001 tem um quadro que se traduz em conformidade com o Regulamento da IA com adaptação, não com reinvenção.
A ISO/IEC 23894 — Inteligência Artificial: Orientação sobre Gestão de Riscos — fornece um quadro de gestão de riscos específico para sistemas de IA. Alinha-se conceptualmente com o artigo 9.º mas foi desenvolvida independentemente do Regulamento da IA. Uma empresa que implemente a ISO 23894 tem um sistema de gestão de riscos que aborda a maior parte do que o artigo 9.º exige — com lacunas que podem ser preenchidas lendo o próprio artigo 9.º.
Estas normas não são substitutos das normas harmonizadas. Não conferem a presunção de conformidade. Mas fornecem algo que as normas harmonizadas em falta não podem: estrutura. Um sistema de gestão de riscos construído sobre a ISO 23894 e adaptado ao artigo 9.º é demonstravelmente mais robusto do que um sistema de gestão de riscos construído do zero sem qualquer quadro metodológico. Quando um regulador avalia a conformidade na ausência de normas harmonizadas, a empresa que aplicou uma norma internacional reconhecida — e documentou a sua aplicação — está numa posição mais forte do que a empresa que não aplicou nada.
A Realidade da Fiscalização
A questão prática é o que acontece quando a fiscalização começa sem normas harmonizadas. A resposta depende do fiscalizador.
As autoridades nacionais competentes que estão operacionais há meses — a Traficom finlandesa, a AESIA espanhola, a Bundesnetzagentur alemã — tiveram tempo para desenvolver metodologias de fiscalização. Estas autoridades compreendem a lacuna de normalização. Sabem que nenhuma empresa pode demonstrar conformidade com uma norma que não existe. A sua abordagem de fiscalização terá necessariamente em conta a ausência de normas harmonizadas — avaliando a conformidade contra os requisitos do regulamento em vez de contra especificações técnicas.
Isto não é uma licença para complacência. A ausência de normas harmonizadas não reduz os requisitos. Muda o quadro probatório. Uma empresa deve continuar a cumprir os artigos 9.º a 15.º. Deve continuar a ter um sistema de gestão de riscos, documentação técnica, registo, transparência e supervisão humana. O que não pode ter é uma norma harmonizada para apontar como prova. A prova tem de vir da substância do que a empresa construiu, documentou e implementou.
As empresas que melhor se sairão num ambiente de fiscalização sem normas harmonizadas são as que fizeram o trabalho. Não as que esperaram pela norma. Não as que contrataram uma consultora para produzir uma análise de lacunas. As que leram o artigo 9.º, construíram um sistema de gestão de riscos, documentaram-no e mantiveram-no. As que leram o artigo 11.º e o Anexo IV, produziram a documentação técnica e mantiveram-na atualizada. As que trataram o texto do regulamento como a especificação — porque, na ausência de normas harmonizadas, é-o.
A Posição
A lacuna de normalização é real, estrutural e não se fechará antes de 2 de agosto de 2026. O Omnibus Digital pode empurrar a data de conformidade para dezembro de 2027. As normas harmonizadas podem chegar no quarto trimestre de 2026. Ambos podem acontecer. Nenhum aconteceu.
A lacuna não justifica inação. Justifica um tipo diferente de ação. Construa contra o texto do regulamento, não contra uma norma que não existe. Use os rascunhos das normas como orientação, não como via de conformidade. Aplique normas internacionais onde abordem as mesmas preocupações. Documente tudo — a metodologia, as normas aplicadas, as lacunas identificadas, as decisões tomadas.
As empresas que navegarem com sucesso a lacuna de normalização serão as que trataram a ausência de normas como uma restrição de construção, não como uma desculpa de construção. Leonardo da Vinci trabalhou sem software CAD. As restrições não pararam o trabalho. Moldaram-no.
As normas chegarão. Chegam sempre. A questão é se construiu algo que valha a pena alinhar com elas — ou se ficou à mesa de desenho à espera de plantas que nunca vieram.
As plantas estão atrasadas. A construção não é opcional.