Multa europeia não chega ao Brasil. A cláusula, sim
Opinião
Há uma leitura tranquilizadora do Regulamento (UE) 2024/1689 — o AI Act [1] — que circula entre empresas brasileiras de tecnologia e seus advogados: “a norma é europeia, a autoridade é europeia, a multa é europeia; nada disso me alcança daqui”. A premissa não está errada. A conclusão que se tira dela, sim.
É verdade que a multa administrativa do AI Act dificilmente será executada contra uma empresa sediada no Brasil, sem estabelecimento nem representante na União. Mas quem para o raciocínio nesse ponto perde o que de fato transfere risco para o fornecedor brasileiro: não a sanção pública, e sim a obrigação contratual que o contratante europeu repassa cadeia abaixo. O AI Act não precisa alcançar a empresa brasileira diretamente. Basta alcançar o cliente europeu dela.
Por que a multa, de fato, não chega
O regime sancionatório do AI Act está no artigo 99. Ele não cria uma multa autoaplicável de alcance global: determina que os estados-membros estabeleçam as regras de penalidades e demais medidas de execução aplicáveis às infrações cometidas por operadores, assegurando que sejam efetivas, proporcionais e dissuasivas. Os tetos são conhecidos — até € 35 milhões ou 7% do faturamento anual mundial para práticas proibidas; até € 15 milhões ou 3% para violação de obrigações de operador; até € 7,5 milhões ou 1,5% para prestação de informação incorreta. Mas o desenho é de execução nacional descentralizada: cada Estado-Membro designa autoridade, instaura procedimento e aplica a sanção segundo seu direito interno.
Aí mora a limitação prática, e ela não decorre de ausência de regra, mas da regra que existe. Uma multa aplicada por autoridade administrativa de um Estado-Membro é, para o direito brasileiro, uma decisão estrangeira. E, nos termos do artigo 105, I, “i”, da Constituição, e do artigo 961 do Código de Processo Civil, nenhuma decisão estrangeira — inclusive ato não judicial que, pela lei brasileira, tenha natureza equivalente — produz eficácia no território nacional sem prévia homologação pelo Superior Tribunal de Justiça. O instituto admite, em tese, a homologação de atos administrativos e extrajudiciais estrangeiros; o problema, para uma sanção regulatória europeia, é sobreviver ao juízo de delibação.
Spacca

São dois os filtros que essa multa dificilmente atravessa. O primeiro é o crivo de ordem pública e soberania (artigo 963, V, do CPC; artigo 17 da Lindb). Vigora no direito internacional privado o princípio de que um Estado não empresta sua estrutura jurisdicional para executar a pretensão sancionatória de outro — a cobrança coativa, no Brasil, de uma penalidade de natureza pública e punitiva imposta por autoridade estrangeira encontra resistência estruturada precisamente nesse ponto. O segundo é subsidiário: na medida em que o crédito seja tratado como de natureza fiscal ou fazendária, o artigo 961, § 4º, do CPC condiciona a homologação para fins de execução à existência de tratado ou de promessa de reciprocidade. E, na ausência de tratado ou reciprocidade entre Brasil e União Europeia que alcance a execução de sanções administrativas dessa natureza, falta base para a homologação executória.
Uma ressalva de precisão, para não incorrer em generalização indevida: o Brasil mantém acordos bilaterais de cooperação jurídica com Estados-Membros da União — Espanha, França e Itália entre eles. Tais instrumentos, contudo, operam em matéria civil e comercial; não se prestam à execução de sanção administrativa punitiva de um Estado, que permanece submetida ao crivo de ordem pública. A distinção é de natureza do ato, não de existência de cooperação. E não se trata de lacuna acidental: os próprios instrumentos multilaterais de reconhecimento de decisões estrangeiras em matéria civil e comercial — a exemplo da Convenção da Haia de 2019, à qual a União Europeia aderiu [2] — recortam seu escopo justamente para excluir a matéria administrativa e fiscal. O tipo de tratado que existe não cobre a sanção regulatória por definição, não por omissão. Ainda assim, o Brasil sequer é parte dessa convenção.
Há, ainda, a discussão de fundo sobre o alcance extraterritorial da norma. O artigo 2(1)(a) sujeita ao AI Act os fornecedores que colocam sistemas no mercado da União “independentemente de estarem estabelecidos ou localizados na União ou num país terceiro”. O artigo 2(1)(c) vai além e alcança fornecedores e implementadores localizados em país terceiro “quando o resultado produzido pelo sistema de IA é utilizado na União”. É uma teoria de jurisdição expansiva — e é justamente essa expansão que operadores fora da União vêm contestando em princípio, pelo mesmo tipo de objeção soberana que já se levantou contra o alcance do RGPD. Estar no escopo teórico da norma não equivale a estar sob execução prática dela.
Freepik

Porém, há um limite que precisa ser dito com todas as letras — e é ele que abre a segunda metade do problema. Toda essa proteção é processual e territorial: vale contra a execução direta, no Brasil, de uma sanção europeia. Ela desaparece no momento em que a empresa brasileira passa a ter patrimônio, estabelecimento ou representante na União. Ativo alcançável em solo europeu é executado lá, pela autoridade local, sem passar pelo STJ e sem juízo de delibação. A blindagem, portanto, protege a operação puramente doméstica — não a empresa que já colocou um pé na Europa.
Até aqui, portanto, a leitura tranquilizadora resiste, mas só em parte. O erro não está no diagnóstico da multa. Está em achar que a multa é o único vetor de risco — e em ignorar que o próprio movimento de entrar na cadeia europeia é o que dissolve a proteção territorial.
O que chega é a cláusula
O AI Act foi desenhado sabendo que sistemas de IA de alto risco raramente são construídos por um único ator. Há quem forneça o modelo, quem forneça dados, quem forneça componentes, quem integre tudo num produto final. Para distribuir responsabilidade ao longo dessa cadeia, o Regulamento não depende só da sanção pública — ele impõe contrato.
O artigo 25(4) é explícito: o fornecedor de um sistema de IA de alto risco e o terceiro que fornece sistema, ferramentas, serviços, componentes ou processos usados ou integrados nesse sistema devem, por meio de acordo escrito, especificar as informações, capacidades, acesso técnico e demais assistência necessários para que o fornecedor do sistema de alto risco cumpra as obrigações do Regulamento. Não é faculdade. É dever normativo de contratar — e de contratar transferindo deveres substantivos de compliance para quem está a montante na cadeia.
O artigo 25(1)(a), por sua vez, reconhece expressamente a lógica da alocação contratual de responsabilidade. Ao tratar das hipóteses em que um distribuidor, importador ou implementador passa a ser considerado fornecedor, o dispositivo ressalva os “arranjos contratuais que estipulem que as obrigações são alocadas de outra forma”. O regulamento, em outras palavras, não apenas admite: ele conta com o contrato como instrumento de organização da responsabilidade.
Junte as duas pontas. O contratante europeu — provider de alto risco ou implementador estabelecido na União — está genuinamente exposto à multa do artigo 99. Ele tem endereço na União, autoridade competente sobre si e patrimônio alcançável. Sua defesa racional é uma só: blindar-se contratualmente, repassando ao fornecedor as obrigações técnicas e documentais de que depende seu próprio compliance. É exatamente o comportamento que o artigo 25(4) torna obrigatório e o artigo 25(1)(a) valida.
O resultado é direto. A empresa brasileira que fornece componente, modelo ou serviço integrado a um sistema de IA de alto risco europeu não recebe a multa. Recebe o contrato. E o contrato traz, traduzidas em cláusulas exigíveis, as obrigações do AI Act que o cliente europeu precisa cumprir: documentação técnica, rastreabilidade, cooperação em avaliação de conformidade, resposta a incidentes, acesso a informações. O inadimplemento dessas cláusulas não gera sanção regulatória europeia contra o fornecedor brasileiro — gera responsabilidade contratual, exigível no foro e sob a lei que o contrato eleger. E esse foro e essa lei serão, quase sempre, europeus.
Distinção que o advogado brasileiro precisa fazer
Há uma sutileza que muda a análise de risco caso a caso. Ser alcançado pelo escopo do artigo 2(1)(c) — como fornecedor ou implementador cujo output é usado na União — não é a mesma coisa que ser o fornecedor de componente sujeito ao acordo escrito do artigo 25(4).
O fornecedor brasileiro que atua como provider de um sistema de IA de alto risco colocado no mercado europeu enfrenta, em tese, o regime de fornecedor: designação de representante autorizado na União, documentação técnica, avaliação de conformidade. A figura do representante autorizado, prevista no próprio artigo 2(1)(f), existe precisamente para dar à autoridade europeia um interlocutor com endereço na União — e, uma vez designado, esse representante passa a ser o ponto de exposição que faltava. Já o fornecedor que apenas supre componente ou serviço integrado ao sistema de outro ator normalmente não entra no regime de fornecedor: entra na cadeia contratual do artigo 25(4). Para a maioria das empresas brasileiras de tecnologia — que fornecem peça, não o sistema de alto risco inteiro sob nome próprio — a exposição relevante é contratual, não regulatória direta.
Essa distinção é o que separa o pânico da leitura correta. O risco não é uma multa europeia caindo do céu sobre uma software house gaúcha. O risco é um contrato de fornecimento que, sem que o fornecedor tenha lido o AI Act, já embute obrigações do AI Act como condição de manutenção do negócio — e cujo descumprimento autoriza rescisão, retenção de pagamento e indenização sob lei estrangeira.
O que fazer com isso
A consequência prática é menos regulatória do que negocial, e é aí que o advogado brasileiro agrega valor. Alguns eixos:
Primeiro, due diligence contratual reversa. Antes de assinar fornecimento para cliente europeu que opere IA, é preciso mapear quais obrigações do AI Act o contrato está repassando — e se o fornecedor tem capacidade técnica e documental de cumpri-las. Cláusula de cooperação em avaliação de conformidade não é boilerplate; é obrigação executável.
Segundo, foro e lei aplicável. Como a exposição é contratual, o ponto de negociação decisivo é onde e sob qual direito essas obrigações serão exigidas. Aceitar foro e lei europeus sem precificar o custo de compliance embutido é assumir risco não remunerado.
Terceiro, alocação e limitação de responsabilidade. Se o cliente europeu está repassando obrigação para se blindar da multa, o fornecedor precisa, simetricamente, limitar sua exposição ao valor do contrato e afastar responsabilidade por sanções regulatórias que são, na origem, do próprio cliente.
Uma ressalva necessária, porque o texto está em movimento: tramita na União a proposta conhecida como Digital Omnibus on AI [3], voltada à simplificação da implementação do AI Act. Alterações na disciplina da cadeia de valor não estão descartadas. Além disso, a aplicação do Regulamento é faseada — as regras sobre sistemas de alto risco do artigo 6(1) e obrigações correspondentes têm marco de aplicação em agosto de 2027. Qualquer estratégia contratual construída hoje deve ser revisitada à medida que o quadro normativo se assenta.
Conclusão
A pergunta que a empresa brasileira faz — “a multa europeia me alcança?” — é a pergunta errada, ou ao menos incompleta. A resposta honesta é: provavelmente não, ao menos não de forma diretamente exequível. Mas a governança de IA exigida pelo AI Act já está chegando ao Brasil por um canal que dispensa autoridade estrangeira e execução transnacional: o contrato de fornecimento.
Quem trata o AI Act como preocupação exclusivamente europeia descobre a obrigação tarde — na cláusula que já assinou. Quem entende que a norma se propaga por contrato, e não só por multa, negocia a exposição antes de assumi-la. A conformidade em IA deixou de ser tema regulatório distante para virar pré-requisito comercial de acesso à cadeia europeia. E pré-requisito comercial se lê, se negocia e se precifica — não se ignora.
[1] Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho, de 13 de junho de 2024, que estabelece regras harmonizadas em matéria de inteligência artificial (Artificial Intelligence Act). EUR-Lex, CELEX 32024R1689; publicado no Jornal Oficial da União Europeia. Dispositivos citados neste artigo: arts. 2, 25 e 99.
[2] Convenção relativa ao Reconhecimento e à Execução de Decisões Estrangeiras em Matéria Civil e Comercial (Haia, 2019). A União Europeia aderiu por meio da Decisão (UE) 2022/1206 do Conselho, de 12 de julho de 2022 (JO L 187, de 14.7.2022). O Brasil não é parte da convenção. Por seu recorte de matéria civil e comercial, o instrumento exclui de seu escopo a matéria administrativa e fiscal.
[3] Proposta COM(2025) 836 final, procedimento 2025/0359 (COD), relativa à simplificação da implementação de regras harmonizadas em matéria de inteligência artificial (Digital Omnibus on AI), com tramitação registrada até julho de 2026.
