Sovereign AI Stacks — Por Que Três Continentes Deixaram de Compartilhar em 2026
A CADA da UE, as DPDP Rules da Índia, o regime de GenAI da China e o PL 2338 do Brasil transformaram o 'implantar IA' em quatro implantações paralelas. Os conflitos e a arquitetura que sobrevive.
✨TL;DR / Sumário Executivo
A CADA da UE, as DPDP Rules da Índia, o regime de GenAI da China e o PL 2338 do Brasil transformaram o 'implantar IA' em quatro implantações paralelas. Os conflitos e a arquitetura que sobrevive.
💡 TL;DR (Too Long; Didn't Read)
Principais conclusões em 75 segundos:
- Em cerca de sete meses, quatro grandes jurisdições avançaram em suas regras de IA e dados de forma tão distinta que o ato de "implantar IA" deixou de ser uma decisão de arquitetura única. Em 3 de junho de 2026, a Comissão Europeia apresentou seu Tech Sovereignty Package, tendo o Cloud and AI Development Act (CADA) como peça central, o qual ainda precisa ser aprovado pelos co-legisladores da UE.
- A Índia notificou as DPDP Rules em 14 de novembro de 2025, adicionando deveres de due diligence algorítmica e uma opção de localização para categorias de dados especificadas pelo governo sobre a Lei de 2023.
- A China já opera o regime mais estruturado: as Medidas Provisórias de GenAI (em vigor desde 2023), o arquivamento de serviços no CAC e — desde 1 de setembro de 2025 — a rotulação explícita e implícita obrigatória de conteúdo gerado por IA sob uma norma nacional.
- O PL 2338 do Brasil foi aprovado no Senado em dezembro de 2024 e está na Câmara, propondo uma estrutura em níveis de risco (modelada no AI Act da UE) com multas de até R$ 50 milhões — escorregando para o calendário pré-eleitoral de 2026.
- Esses quatro regimes entram em conflito em quatro superfícies: residência de dados, aprovação/arquivamento de modelos, proveniência de conteúdo e controle operacional. A arquitetura que sobrevive é a de particionamento por região com um plano de controle compartilhado — política como código, uma abstração de registro de modelos, planos de dados regionais e reversibilidade projetada desde o primeiro dia.
Durante dois anos, a premissa confortável dentro da maioria das multinacionais era de que "implantar IA" se resolvia em uma única arquitetura: escolher um modelo de fronteira, conectá-lo a algumas regiões e deixar que a equipe de conformidade do provedor de nuvem se preocupasse com o resto. Essa premissa silenciosamente deixou de ser verdade. Nos últimos meses, quatro dos maiores mercados digitais em três continentes concluíram (ou apresentaram formalmente) um regime de IA e dados que discorda dos outros sobre o que decide onde os bytes residem, quais modelos têm permissão para responder e o que cada artefato gerado deve carregar consigo. Nenhum deles se coordenou. O resultado não é um mercado regulado único. São quatro, e o custo de fingir o contrário cai diretamente sobre as pessoas que constroem os sistemas.
Este é um problema de conectividade antes de ser jurídico. As equipes jurídicas catalogarão as obrigações; a equipe de arquitetura tem que fazer com que quatro conjuntos de obrigações funcionem em uma única infraestrutura operacional sem quadruplicar a equipe. Este artigo mapeia os quatro regimes, isola exatamente onde seus requisitos colidem e apresenta o padrão de arquitetura que se sustenta sob todos eles. A história da soberania de dados europeia da CADA nós cobrimos em detalhes quando a proposta ainda era um rumor (veja o mergulho profundo na soberania europeia); aqui ela é apenas um pilar de quatro, não o edifício inteiro.
Quatro regimes, não um mercado único
Comece com o mapa, porque a tentação é tratar essas regras como variações da LGPD ou do GDPR com sotaques locais. Elas não são. Elas divergem em eixos fundamentalmente diferentes. Um regime se preocupa mais com onde os dados residem, outro com se o modelo está registrado, um terceiro com se a saída é rotulada, e um quarto com qual nível de risco o caso de uso se enquadra. Um controle construído para um eixo não faz nada pelos outros.
Europa — CADA e a avaliação de soberania. A Comissão Europeia apresentou o Pacote Europeu de Soberania Tecnológica — o Tech Sovereignty Package — em 3 de junho de 2026, um conjunto de medidas que abrange semicondutores, IA, nuvem e código aberto. Seu componente de sustentação para nossos propósitos é o Cloud and AI Development Act (CADA).
Verified SourceEuropean CommissionA Comissão Europeia apresentou o Pacote de Soberania Tecnológica da UE em 3 de junho de 2026, um conjunto de medidas para fortalecer a capacidade da União Europeia em semicondutores, inteligência artificial, nuvem e código aberto.
A estrutura declarada do CADA possui três pernas: suporte à pesquisa e inovação, um impulso de capacidade para triplicar a capacidade dos data centers da UE ao longo de cinco a sete anos, e (a parte que os arquitetos devem ler atentamente) uma estrutura única de avaliação em toda a UE para a soberania de nuvem e IA, acompanhada de um mecanismo de adoção pelo setor público.
Verified SourceEuropean Commission — Shaping Europe's digital futureO CADA introduz uma estrutura de avaliação única em toda a UE para soberania de nuvem e IA, acompanhada de um mecanismo de adoção para o setor público, ao lado de medidas de pesquisa, inovação e capacidade de data centers.
ReportedInside Global Tech (Covington)Relata-se que a perna de capacidade del CADA visa triplicar aproximadamente a capacidade dos data centers da UE nos próximos cinco a sete anos, visando a capacidade de que a União precisa até 2035.
Duas coisas importam para o planejamento. Primeiro, esta é uma proposta: ela precisa ser aprovada pelos co-legisladores da UE (Parlamento e Conselho), de modo que as obrigações precisas mudarão antes de se tornarem vinculativas. Segundo, a direção da jornada é o sinal, e os analistas que leem o texto a descrevem como indo além da residência de dados, alcançando a estrutura de propriedade, imunidade a leis extraterritoriais e controle operacional.
ReportedCNBCA cobertura observa que a UE está avaliando restrições ao uso de plataformas de nuvem dos EUA para processar dados governamentais sensíveis, e caracteriza o CADA como indo além da residência de dados para abranger propriedade, imunidade a leis extraterritoriais e controle operacional.
Essa última frase é a que quebra projetos ingênuos. "Soberania operacional" significa que não basta que os bytes fiquem em Frankfurt; as pessoas e entidades que podem administrar tecnicamente o sistema, aplicar uma configuração ou ser coagidas por uma intimação estrangeira também estão no escopo. O local de armazenamento é a parte fácil.
Índia — DPDP Rules e a virada da due diligence algorítmica. A Índia notificou as Regras de Proteção de Dados Pessoais Digitais (DPDP Rules) em 14 de novembro de 2025, operacionalizando a Lei de 2023 com um cronograma deliberadamente escalonado.
Verified SourcePress Information Bureau, Government of IndiaO Governo da Índia notificou as Regras de Proteção de Dados Pessoais Digitais (DPDP Rules), 2025, em 14 de novembro de 2025, marcando a operacionalização completa do DPDP Act de 2023.
Para uma multinacional, os dois pontos consequentes são a designação de Fiduciário de Dados Significativo (SDF - Significant Data Fiduciary) e a postura em relação ao fluxo transfronteiriço. Os SDFs — plataformas de grande porte nomeadas pelo governo — devem realizar avaliações anuais de impacto de proteção de dados, conduzir a due diligence algorítmica para garantir que seus sistemas automatizados não prejudiquem os titulares de dados, e estar prontos para a localização de categorias especificadas que o governo central possa designar mais tarde. A regra básica para transferências é liberal: os dados pessoais podem sair da Índia, a menos que uma categoria ou destino seja restrito. A armadilha é a opcionalidade. Você não pode projetar sua arquitetura contra "categorias que o governo pode designar mais tarde" com uma decisão fixa de residência; você deve projetar a capacidade de localizar os dados sob aviso. A vigência é faseada — o Conselho de Proteção de Dados é estabelecido imediatamente, a estrutura de gestão de consentimento após doze meses e as obrigações mais amplas após dezoito — o que dá uma janela real, mas curta.
China — a pilha mais completa e o mandato de rotulagem. A China é o regime menos compreendido pelas equipes porque tem sido construído de forma silenciosa e contínua. Os serviços de IA generativa são governados desde que as Medidas Provisórias entraram em vigor em 15 de agosto de 2023, situando-se acima das três leis fundamentais (Lei de Cibersegurança, Lei de Segurança de Dados e PIPL), com o arquivamento de serviço no CAC como pré-requisito para GenAI voltada ao público.
Verified SourceWhite & Case — AI Watch Global Regulatory TrackerAs Medidas Provisórias para a Gestão de Serviços de Inteligência Artificial Generativa da China entraram em vigor em 15 de agosto de 2023 — o primeiro regulamento administrativo que rege serviços de IA generativa — e em 1 de setembro de 2025 novas Regras de Rotulagem tornaram obrigatória a rotulagem implícita de conteúdo gerado por IA, com rotulagem explícita onde aplicável.
O regime de rotulagem de 1 de setembro de 2025 é o terremoto na arquitetura. Sob as Medidas para Rotulagem de Conteúdo Gerado por IA e o padrão nacional obrigatório, cada pedaço de conteúdo gerado por IA precisa de um rótulo explícito onde os usuários possam ver e um rótulo implícito — metadados de proveniência — incorporado no próprio artefato.
ReportedInside Privacy (Covington)Em 14 de março de 2025, a Administração do Ciberespaço da China (CAC) divulgou as Medidas finais para Rotulagem de Conteúdo Gerado por IA e o padrão obrigatório GB 45438-2025, eficaz a partir de 1 de setembro de 2025, impondo obrigações de rotulagem explícita (visível) e implícita (metadados) aos provedores de conteúdo gerado por IA.
A rotulagem implícita é a parte que afeta o seu pipeline e não a sua interface web. Significa que o próprio caminho de geração de conteúdo precisa carimbar a proveniência nas saídas no momento da criação — e não por meio de um banner inserido pela camada web posteriormente. Se o seu serviço de geração for agnóstico em relação à região, ele não fará isso, e tentar acoplá-lo na borda é frágil e, no caso do requisito de metadados, frequentemente impossível após o fato. A distinção é a mesma que separa uma marca d'água que você pode recortar de uma assinatura gravada nos próprios bytes: uma sobrevive a copiar e colar por meio de três sistemas, a outra não. Para qualquer equipe cuja saída de IA flua por caches, CDNs ou re-renderização a jusante, "carimbar na origem" é a única versão que se sustenta.
Brasil — PL 2338 e o modelo em níveis de risco. O marco legal da IA no Brasil, PL 2338/2023, foi aprovado no Senado em 10 de dezembro de 2024 e encaminhado à Câmara dos Deputados em março de 2025, onde permanece em tramitação.
Verified SourceSenado FederalO PL 2338/2023, que regulamenta o uso da inteligência artificial no Brasil, foi aprovado pelo Senado Federal e enviado à Câmara dos Deputados para deliberação final.
O texto adota a espinha dorsal do AI Act da UE: classifica os sistemas por risco (excessivo, alto, baixo/moderado), concede às pessoas afetadas direitos de transparência, explicação e contestação, cria um sistema nacional de governança de IA e ameaça com multas de até R$ 50 milhões por infração. Seu cronograma é a variável dinâmica. A votação escorregou do final de 2025 para um congestionado calendário pré-eleitoral de 2026, e uma preocupação de iniciativa constitucional sobre a criação de novas autoridades e despesas traz incerteza real quanto ao formato final.
ReportedExameO PL 2338/2023, em andamento na Câmara dos Deputados após aprovação no Senado, estabelece obrigações de transparência, avaliação de risco e responsabilização pelas decisões automatizadas, distribuindo responsabilidades entre desenvolvedores, fornecedores e empresas usuárias.
Onde as superfícies colidem
Quatro regimes ainda seriam gerenciáveis se empilhassem de forma limpa — se cada um adicionasse um requisito ortogonal aos outros. Mas não é o caso. Eles colidem em quatro superfícies, e essas colisões são o que força implantações paralelas em vez de uma única parametrizável.
A primeira superfície é a de residência de dados e controle operacional. A Europa vai além do "armazene aqui" para o "nenhuma entidade estrangeira pode administrar ou coagir o sistema", a Índia reserva-se o direito de reter categorias específicas sob aviso prévio e o regime da China pressupõe processamento doméstico para serviços públicos. Um único plano de dados global não satisfaz nenhum deles; pior, as definições de escopo da UE e da Índia não têm o mesmo formato, portanto, mesmo um projeto ciente da residência de dados precisa de políticas específicas por região, e não de um simples indicador de residência.
A segunda é a aprovação e proveniência do modelo. A China exige arquivamento no CAC antes que um serviço de GenAI seja oferecido ao público — uma etapa de controle que simplesmente não tem equivalente na UE ou no Brasil. Logo, "qual modelo atende a esta solicitação" torna-se uma função de região: um modelo que pode ser chamado tranquilamente de São Paulo pode ser um que você não tem permissão para expor, sem arquivamento, para usuários na China. Sua camada de roteamento agora carrega uma dimensão regulatória em cima da de custo e capacidade mapeada no artigo sobre financiamento vs arquitetura.
A terceira é a rotulagem e linhagem de conteúdo. A China exige proveniência implícita incorporada no artefato no momento da geração. As expectativas de transparência da UE e os direitos de explicação do Brasil apontam para direções compatíveis, porém distintas. Se o seu serviço de geração não emite dados de proveniência nativamente, você não poderá adaptar o requisito chinês na CDN. A rotulagem deixou de ser um checkbox na UX e se tornou uma propriedade do pipeline de geração.
A quarta é a classificação de risco e responsabilidade. O Brasil e a UE organizam casos de uso em níveis de risco com deveres crescentes; a Índia concentra suas obrigações mais pesadas nos SDFs designados; a China controla por categoria de serviço. Um mesmo recurso interno — digamos, um triador de currículos por IA — pode ser de alto risco com deveres de explicação no Brasil, exigir due diligence algorítmica de SDF na Índia e arquivamento mais rotulagem na China, tudo de uma vez. Não existe um indicador de conformidade global simples para lidar com isso.
A arquitetura que sobrevive aos quatro
A estratégia derrotista é bifurcar (fork) o código-fonte por jurisdição. Quatro ramificações se tornam quatro vezes a área de superfície para desvios e inconsistências, o exato modo de falha no qual uma correção é aplicada em três regiões e esquecida na quarta. A jogada vencedora é aquela que os sistemas distribuídos aprenderam há uma década para latência e domínios de falha, e agora são forçados a aprender para a lei: particione os planos de dados e execução por região, mantenha um plano de controle compartilhado e torne as diferenças em dados, não em código.
Política como código é a espinha dorsal. As diferenças por região — quais modelos são permitidos, quais categorias de dados devem ser retidas no local, qual proveniência incorporar, qual nível de risco se aplica — pertencem a uma camada de política declarativa que o plano de controle avalia por requisição, e não em ramificações espalhadas pela lógica da aplicação. Quando a Índia designar uma nova categoria de dados localizados ou o texto final do CADA for aprovado na UE, você altera um documento de política e o distribui, em vez de reabrir e modificar o código do sistema. Como o artigo sobre o datapath do eBPF mostrou, the observability and datapath primitives re-implemented per environment are far cheaper when the per-region variation is configuration over a common substrate.
Uma abstração de registro de modelos desacopla "qual modelo" de "qual região". O código da aplicação solicita uma capacidade — "resumir este contrato no nível de qualidade 2" — e o registro a resolve para um modelo que é permitido, arquivado onde o arquivamento é exigido e com cota de capacidade alocada naquela região. A restrição de arquivamento no CAC, a exigência de modelo permitido pela UE e o roteamento baseado em custo e latência colapsam em uma única etapa de resolução que a aplicação nunca vê. A capacidade aqui não é gratuita; as mesmas restrições de energia e capex que limitam o fornecimento dos hyperscalers (veja o artigo sobre o backlog de US$ 80 bilhões) significam que "rodar todos os modelos em todas as regiões" é uma fantasia orçamentária. O registro de modelos permite que você execute o conjunto mínimo viável de modelos por região de forma intencional.
Planos de dados regionais com um plano de controle compartilhado leve mantêm a soberania operacional viável. O plano de controle orquestra e mantém a política; ele não retém payloads regulados. O plano de dados de cada região processa e armazena dentro de suas fronteiras, administrado por entidades que satisfazem os requisitos de controle daquela região. É isso que torna a exigência de controle operacional da UE e a opção de localização sob aviso da Índia sobreviventes sem a necessidade de criar quatro empresas independentes.
Proveniência na origem, não na borda. Como a exigência de rotulagem implícita da China é uma propriedade do artefato gerado, o serviço de geração deve incorporar os metadados de proveniência conforme produz o conteúdo, em todos os lugares, e não apenas na China. Emitir esses metadados universalmente é mais barato do que manter dois caminhos de geração de conteúdo separados, além de antecipar a conformidade com as exigências de transparência da UE e do Brasil. Trate a proveniência como uma saída obrigatória da geração, tal como um checksum.
Reversibilidade projetada de antemão. Cada um desses regimes está em fluxo — o CADA é uma proposta, a lista de localização da Índia é uma lacuna que o governo preencherá a qualquer momento e o texto do Brasil está no meio das negociações. Uma arquitetura que só pode se mover em uma direção é um risco. Desenvolva a capacidade de repatriar uma carga de trabalho, trocar de modelo ou dividir um plano de dados como uma capacidade de primeira classe com um runbook testado, e não como uma migração heroica que você torce para nunca ter que rodar. O artefato de nível corporativo (procurement-grade) que cada jurisdição eventualmente exigirá — o registro auditável de como um sistema se comporta — é a mesma disciplina de transparência contratual que argumentamos que os fornecedores serão forçados a adotar (veja o artigo sobre transparência no procurement); construir isso para si mesmo primeiro é como você se mantém à frente da regulamentação em vez de correr atrás dela.
O que um engenheiro Staff+ ou CTO faz na segunda-feira
Traduza o mapa em ações que você pode iniciar esta semana, antes que qualquer um dos textos em constante mudança seja finalizado.
Primeiro, faça um inventário de suas superfícies de IA por região e por risco, não apenas por serviço. A unidade de conformidade é "este caso de uso, nesta jurisdição", e a maioria das organizações atualmente não consegue responder "quais dos nossos recursos de IA afetam usuários residentes na China e emitem conteúdo" sem uma busca de várias semanas. Construa esse registro agora; ele é a base de dados para todas as decisões posteriores.
Segundo, insira a proveniência no fluxo de geração de conteúdo como um padrão universal. Essa é a mudança única com o maior retorno entre os diferentes regimes e o maior custo se adiada, porque não pode ser adaptada depois na borda (edge). Faça isso uma vez, em todos os lugares, antes que vire uma exigência imediata.
Terceiro, torne a região uma dimensão de roteamento de primeira classe. Se a sua lógica de seleção de modelo hoje é "escolher o melhor modelo para a tarefa", adicione "que seja permitido e provisionado nesta região" como uma restrição rígida resolvida por um registro de modelos, e não por blocos de condicionais (if-statements). Você precisará disso para o controle de arquivamento do CAC, independentemente de como os textos da UE e do Brasil se consolidem.
Quarto, separe o controle do payload. Se a sua camada de orquestração hoje trafega dados regulados em trânsito por uma única camada global, esse é o design mais exposto à virada de controle operacional da UE. Dividir o plano de controle leve dos planos de dados regionais é a correção estrutural e é muito mais barata de ser feita antes de ter quatro anos de código acoplado.
Quinto, escreva os runbooks de reversibilidade e teste-os. Escolha a carga de trabalho de maior risco e prove que você pode repatriá-la ou trocar seu modelo de IA em um exercício em ambiente de homologação. Os regimes regulatórios continuarão mudando; a equipe que ensaiou a manobra é dona de seu próprio cronograma, e não o regulador.
A costura é o sistema
O instinto natural quando quatro governos divergem é o desespero diante da fragmentação, ou apostar que um dos regimes vencerá e harmonizará os outros. Nenhuma dessas atitudes ajuda você a entregar software. A abordagem mais útil é aquela a que o trabalho de conectividade sempre retorna: o valor não está em um nó isolado, mas em como as costuras entre eles são gerenciadas. Quatro stacks de IA soberanas não são quatro problemas; são um único problema de integração com quatro endpoints, e problemas de integração são exatamente a especialidade desta disciplina — desde que você trate a divergência como dados fluindo através de um plano de controle compartilhado, e não como código bifurcado de quatro maneiras distintas.
2026 é o ano em que os continentes deixaram de concordar sobre uma única história de implantação de IA. As equipes que tratam isso como um problema de arquitetura, resolvido de uma vez por todas com política como código, registro de modelos, planos regionais e reversibilidade integrada por padrão, carregarão aproximadamente o peso operacional de um único sistema bem construído. As equipes que tratarem cada novo regime como uma ramificação isolada carregarão quatro — e descobrirão, da forma como sempre acontece, que a bifurcação que esqueceram de manter é justamente a que falha na auditoria.
Fontes Externas
- Comissão Europeia — comunicado à imprensa, Pacote de Soberania Tecnológica Europeia (3 de junho de 2026): https://ec.europa.eu/commission/presscorner/detail/en/ip_26_1187
- Comissão Europeia — Proposta para o Cloud and AI Development Act (CADA), Shaping Europe's digital future: https://digital-strategy.ec.europa.eu/en/library/proposal-cloud-and-ai-development-act-cada
- Inside Global Tech (Covington) — EU Tech Sovereignty Package (metas de capacidade da CADA; triplicar em 5 a 7 anos / 2035): https://www.insideglobaltech.com/2026/06/04/eu-tech-sovereignty-package/
- CNBC — Europa apresenta pacote de soberania tecnológica em meio à dependência de tecnologia dos EUA (3 de junho de 2026): https://www.cnbc.com/2026/06/03/europe-tech-sovereignty-us-tech-reliance.html
- Press Information Bureau (Governo da Índia) — Governo notifica as DPDP Rules, 14 de novembro de 2025: https://www.pib.gov.in/PressReleasePage.aspx?PRID=2190014®=3&lang=2
- White & Case — AI Watch Global Regulatory Tracker, China (Medidas Provisórias de GenAI; Regras de Rotulagem de 1 de setembro de 2025): https://www.whitecase.com/insight-our-thinking/ai-watch-global-regulatory-tracker-china
- Inside Privacy (Covington) — China lança novos requisitos de rotulagem para conteúdo gerado por IA (GB 45438-2025): https://www.insideprivacy.com/international/china/china-releases-new-labeling-requirements-for-ai-generated-content/
- Senado Federal — PL 2338/2023, tramitação (uso da Inteligência Artificial): https://www25.senado.leg.br/web/atividade/materias/-/materia/157233
- Câmara dos Deputados — Projeto que regulamenta o uso da inteligência artificial no Brasil: https://www.camara.leg.br/noticias/1159193-projeto-que-regulamenta-uso-da-inteligencia-artificial-no-brasil
- Exame — Marco Legal da IA (PL 2338), o que muda para empresas (2 de junho de 2026): https://exame.com/inteligencia-artificial/marco-legal-da-inteligencia-artificial-pl-2338-o-que-muda-para-empresas-com-a-nova-lei/
Leituras Relacionadas no gsstk
- Suas Cargas de Trabalho Europeias Rodam sob a Lei Americana. Veja o que Muda em Maio. — o mergulho profundo na soberania europeia; o CADA tratado como assunto específico, aqui enquadrado como apenas um dos quatro pilares.
- A Narrativa de Apenas-Fronteira é uma História de Financiamento, Não de Arquitetura — a camada de roteamento que agora carrega uma dimensão regulatória além da de custo.
- O Backlog de US$ 80 Bilhões: O Primeiro Trimestre de 2026 Mostrou que a Demanda de IA Ultrapassou a Rede Elétrica — por que "executar todos os modelos em todas as regiões" é uma fantasia de orçamento.
- O Kernel Comeu o Sidecar: eBPF Reconfigurou o Kubernetes em Produção — primitivas de datapath e observabilidade re-implementadas por ambiente, mais baratas como configuração sob um substrato comum.
- O Procurement da Fortune 500 Acaba de Tornar a Transparência do Harness um Requisito Contratual — o registro comportamental auditável que cada jurisdição exigirá de maneira distinta.
Auditoria de Aderência Factual
| Alegação | Nível | Fonte |
|---|---|---|
| A UE apresentou o Pacote de Soberania Tecnológica em 3 de junho de 2026 (semicondutores, IA, nuvem, código aberto) | 🟢 verificado | Comissão Europeia |
| CADA = três pernas (P&D, capacidade de data centers, avaliação única de soberania em toda a UE + adoção pelo setor público) | 🟢 verificado | Comissão Europeia (digital-strategy) |
| Perna de capacidade do CADA — objetivo de triplicar a capacidade dos data centers da UE em os próximos cinco a sete anos (até 2035) | 🟡 relatado | Inside Global Tech (Covington) |
| O CADA é uma proposta sob o processo legislativo ordinário da UE (Parlamento + Conselho); ainda não é lei | 🟢 verificado | Comissão Europeia |
| CADA caracterizado como alcançando além da residência de dados para abranger propriedade, imunidade a leis extraterritoriais, controle operacional | 🟡 relatado | CNBC |
| A Índia notificou as DPDP Rules em 14 de novembro de 2025 | 🟢 verificado | Press Information Bureau (Índia) |
| DPDP: designação SDF, DPIA anual + due diligence algorítmica, opção de localização para categorias especificadas; vigência faseada de 12/18 meses | 🟢 verificado | Press Information Bureau (Índia) |
| Medidas Provisórias de GenAI da China em vigor desde 15 de agosto de 2023; arquivamento no CAC exigido | 🟢 verificado | White & Case |
| Rotulagem obrigatória de conteúdo de IA explícita + implícita na China a partir de 1 de setembro de 2025 (Medidas + GB 45438-2025) | 🟢 verificado | Inside Privacy (Covington) |
| Rotulagem implícita = metadados de proveniência embutidos no artefato no momento da geração | 🟡 relatado | Inside Privacy (Covington) |
| PL 2338 do Brasil aprovado no Senado (10 de dezembro de 2024), atualmente na Câmara dos Deputados | 🟢 verificado | Senado Federal |
| PL 2338 = modelo em níveis de risco (estilo AI Act da UE), direitos dos afetados, sistema nacional de governança de IA, multas de até R$ 50M | 🟡 relatado | Exame |
| Votação do PL 2338 escorregou do final de 2025 para o calendário pré-eleitoral de 2026; levantada preocupação com iniciativa constitucional | 🟡 relatado | Exame |