Saber que o AI Act impõe obrigações é uma coisa; saber quem as vai fiscalizar é outra, igualmente importante. Em Portugal, o modelo de supervisão não assenta numa única autoridade, mas numa rede: uma entidade coordenadora e um conjunto de autoridades sectoriais que fiscalizam a IA dentro das suas áreas de competência. Este artigo explica quem faz o quê e o que esperar da fiscalização.
A ANACOM como coordenadora nacional
A 19 de setembro de 2025, o Governo designou a ANACOM (Autoridade Nacional de Comunicações) como autoridade nacional coordenadora para o AI Act. Cabe-lhe o papel de ponto único de contacto com a Comissão Europeia e com o AI Office, a coordenação entre as várias autoridades nacionais, e funções de autoridade de fiscalização do mercado e de autoridade notificadora. Não é um regulador único da IA - é o maestro de uma orquestra de entidades.
Esta opção reflecte a arquitectura do próprio regulamento. O artigo 70.º exige que cada Estado-Membro designe autoridades nacionais competentes - pelo menos uma autoridade notificadora e uma autoridade de fiscalização do mercado - e identifique um ponto de contacto único. Portugal cumpriu-o com o modelo coordenadora-mais-sectoriais.
As catorze entidades sectoriais
A lógica é simples: quem já regula um sector está melhor posicionado para fiscalizar a IA usada nesse sector. Assim, a fiscalização do AI Act distribui-se por catorze entidades sectoriais, cada uma no seu domínio:
- ANACOM - comunicações (e coordenação geral).
- IGF (Inspeção-Geral de Finanças) - sector financeiro.
- GNS (Gabinete Nacional de Segurança) - segurança.
- ERC (Entidade Reguladora para a Comunicação Social) - meios de comunicação social.
- IGDN (Inspeção-Geral da Defesa Nacional) - defesa.
- IGSJ (Inspeção-Geral dos Serviços de Justiça) - justiça.
- PJ (Polícia Judiciária) - investigação criminal.
- IGAI (Inspeção-Geral da Administração Interna) - administração interna.
- IGEC (Inspeção-Geral da Educação e Ciência) - educação.
- ERS (Entidade Reguladora da Saúde) - saúde.
- ASAE (Autoridade de Segurança Alimentar e Económica) - segurança alimentar e económica.
- IGMTSSS (Inspeção-Geral do Ministério do Trabalho, Solidariedade e Segurança Social) - trabalho e segurança social.
- ACT (Autoridade para as Condições do Trabalho) - condições de trabalho.
- ERSE (Entidade Reguladora dos Serviços Energéticos) - energia.
O que dizem os artigos 70.º e 77.º
O artigo 70.º é a base legal desta arquitectura: obriga os Estados-Membros a designar as autoridades competentes e a dotá-las de recursos técnicos, financeiros e humanos para exercerem as suas funções. Exige também que os Estados comuniquem à Comissão a identidade dessas autoridades e do ponto de contacto único, garantindo que qualquer empresa ou cidadão sabe a quem se dirigir. A designação da ANACOM em setembro de 2025 foi precisamente o cumprimento desta exigência.
Já o artigo 77.º reconhece que a IA toca direitos fundamentais e prevê que as autoridades que protegem esses direitos - como a proteção de dados, a igualdade ou os direitos dos consumidores - possam requerer e aceder a documentação no âmbito de sistemas de alto risco. Na prática, isto significa que a rede de fiscalização do AI Act se articula ainda com entidades como a CNPD (Comissão Nacional de Proteção de Dados) sempre que estejam em causa dados pessoais. Uma empresa que use IA para tratar dados de clientes ou de trabalhadores pode, assim, ter de responder simultaneamente perante a autoridade sectorial do AI Act e perante a CNPD ao abrigo do RGPD - dois regimes que se aplicam cumulativamente, não em alternativa.
O regime sancionatório nacional ainda por aprovar
Um ponto que gera incerteza: as coimas do AI Act estão fixadas ao nível europeu - até 35 milhões de euros ou 7% da facturação mundial para as práticas proibidas do artigo 5.º, e até 15 milhões de euros ou 3% para outras infrações - mas cada Estado-Membro tem de aprovar o seu regime sancionatório nacional, definindo procedimentos, competências de aplicação e articulação entre autoridades. Em Portugal, esse regime ainda está por aprovar à data deste artigo. Até lá, o quadro europeu é directamente aplicável, mas a mecânica sancionatória interna carece de concretização legislativa. Para o detalhe das coimas, veja a página sobre penalizações.
O que esperar da fiscalização
Nos primeiros tempos, a fiscalização deverá ter uma componente pedagógica: publicação de recomendações e orientações (como o projecto de recomendações da ANACOM sobre o artigo 5.º), pedidos de esclarecimento e ações de sensibilização. À medida que os prazos avançam - transparência em agosto de 2026, alto risco em dezembro de 2027 - é expectável que a supervisão se torne mais intrusiva, com pedidos de documentação técnica e verificações de conformidade.
Vale a pena sublinhar que este modelo distribuído tem vantagens e riscos. A vantagem é a proximidade: quem já conhece o sector da saúde, da energia ou do trabalho compreende melhor os riscos concretos da IA usada nesse contexto. O risco é a fragmentação - interpretações divergentes entre autoridades e sobreposições de competência. É aqui que o papel coordenador da ANACOM se torna decisivo: cabe-lhe garantir coerência e evitar que a mesma prática seja tratada de forma diferente consoante a entidade fiscalizadora. A publicação de orientações comuns é um dos instrumentos para o conseguir.
Para as empresas, a lição prática é dupla. Primeiro, identificar cedo qual ou quais as autoridades sectoriais relevantes para o seu caso, porque será com elas que irão dialogar. Segundo, tratar a documentação e a rastreabilidade das decisões como parte integrante da conformidade - perante qualquer destas catorze entidades, a capacidade de demonstrar o que foi feito é o que separa uma inspecção tranquila de um processo sancionatório. Para o enquadramento institucional completo, consulte a página sobre a implementação em Portugal.