Artigos-Chave do AI Act

Artigo 2

Resumo: Define a quem e a que se aplica o AI Act, estabelecendo o alcance territorial e material do regulamento, incluindo o seu efeito extraterritorial.

Pontos-chave:

• Fornecedores que coloquem no mercado ou ponham em servico sistemas de IA na UE, independentemente de estarem estabelecidos dentro ou fora da Uniao
• Deployers (utilizadores profissionais) de sistemas de IA localizados na UE
• Efeito extraterritorial: aplica-se a fornecedores e deployers em paises terceiros quando o output do sistema de IA e utilizado na UE
• Importadores e distribuidores de sistemas de IA no mercado da UE
• Exclusoes: sistemas de IA para fins exclusivamente militares, de defesa ou seguranca nacional; atividades de investigacao e desenvolvimento puramente cientificas; e pessoas singulares que utilizem IA para fins pessoais nao profissionais
• Nao se aplica a sistemas de IA colocados no mercado ao abrigo de legislacao da Uniao especifica que preveja requisitos equivalentes

Implicacoes praticas:

Qualquer organizacao que opere em Portugal e utilize ou forneca sistemas de IA esta potencialmente abrangida pelo regulamento. O efeito extraterritorial significa que fornecedores fora da UE cujos sistemas sejam utilizados em Portugal tambem estao sujeitos ao AI Act. Realize um mapeamento completo de todos os seus sistemas de IA para determinar quais estao no ambito do regulamento.

Em vigor desde 1 de agosto de 2024

Artigo 3

Resumo: Estabelece 68 definicoes fundamentais para a interpretacao uniforme do regulamento em toda a UE. A definicao de "sistema de IA" esta alinhada com a definicao da OCDE.

Pontos-chave:

• Sistema de IA (Art. 3(1)): sistema baseado em maquina, concebido para funcionar com niveis variaveis de autonomia, que possa apresentar capacidade de adaptacao apos a implantacao e que, para objetivos explicitos ou implicitos, infere, a partir dos dados de entrada que recebe, a forma de gerar outputs (previsoes, conteudos, recomendacoes ou decisoes) que possam influenciar ambientes fisicos ou virtuais
• Fornecedor (Art. 3(3)): pessoa singular ou coletiva que desenvolve ou manda desenvolver um sistema de IA ou um modelo de IA de proposito geral e o coloca no mercado ou poe em servico sob o seu proprio nome ou marca
• Deployer/Utilizador (Art. 3(4)): pessoa singular ou coletiva que utiliza um sistema de IA sob a sua autoridade, exceto quando o sistema e utilizado no ambito de uma atividade pessoal nao profissional
• Responsavel pela implantacao (Art. 3(4)): termo oficial em portugues para "deployer"
• Risco sistemico (Art. 3(65)): risco especifico das capacidades de modelos de IA de proposito geral, com impacto significativo no mercado interno devido ao seu alcance ou efeitos negativos reais ou razoavelmente previsiveis
• Dados de treino, validacao e teste: definidos separadamente com requisitos especificos para cada tipo

Implicacoes praticas:

A definicao ampla de "sistema de IA" pode abranger ferramentas que muitas organizacoes nao consideram como IA. Recomenda-se um inventario completo de todos os sistemas utilizados, comparando cada um com a definicao do Art. 3(1). Atencao especial a expressao "niveis variaveis de autonomia" e "capacidade de adaptacao apos a implantacao", que sao elementos diferenciadores face a software tradicional.

Em vigor desde 1 de agosto de 2024

Artigo 4

Resumo: Obriga fornecedores e utilizadores a garantir um nivel suficiente de literacia em IA do seu pessoal e de todas as pessoas que operam ou utilizam sistemas de IA sob a sua autoridade.

Pontos-chave:

• Aplica-se a todos os sistemas de IA, independentemente do nivel de risco — e a obrigacao mais transversal do regulamento
• Abrange formacao, educacao, sensibilizacao e conhecimentos praticos adequados ao contexto de utilizacao
• Deve ter em conta os conhecimentos tecnicos, a experiencia, a formacao e o contexto em que os sistemas de IA serao utilizados
• Deve considerar as pessoas ou grupos de pessoas em relacao aos quais os sistemas de IA serao utilizados
• A obrigacao e proporcional: o nivel de literacia exigido depende da complexidade e do impacto do sistema utilizado
• O AI Pact da Comissao Europeia ja disponibiliza recursos e orientacoes para programas de literacia

Implicacoes praticas:

Todas as organizacoes que utilizem IA devem implementar programas de formacao. Documente todas as acoes de literacia realizadas, incluindo participantes, conteudos, datas e avaliacoes de eficacia. Esta e uma obrigacao ja em vigor e frequentemente subestimada pelas organizacoes.

Em vigor desde 2 de fevereiro de 2025

Artigo 5

Resumo: Proibe 8 praticas de IA consideradas inaceitaveis por violarem direitos fundamentais dos cidadaos europeus. Estas constituem o "piso" absoluto do regulamento.

As 8 praticas proibidas:

• Manipulacao subliminar ou enganosa: tecnicas que distorcem materialmente o comportamento de pessoas, causando danos significativos
• Exploracao de vulnerabilidades: explorar a idade, deficiencia ou situacao socioeconomica para distorcer comportamento
• Social scoring: classificacao social por autoridades publicas que conduza a tratamento prejudicial ou desproporcional
• Policiamento preditivo individual: avaliacao de risco criminal baseada exclusivamente em profiling ou personalidade
• Scraping facial nao direcionado: criacao ou expansao de bases de dados de reconhecimento facial a partir da internet ou CCTV
• Reconhecimento de emocoes: inferencia de emocoes no local de trabalho e instituicoes de ensino (exceto uso medico/seguranca)
• Categorizacao biometrica sensivel: categorizacao para inferir raca, opinioes politicas, filiacao sindical, crencas religiosas ou orientacao sexual
• Identificacao biometrica remota em tempo real: em espacos publicos para aplicacao da lei (com excecoes muito limitadas)

Implicacoes praticas:

Violacao implica multas ate 35 milhoes de euros ou 7% da faturacao global (o que for superior). Audite imediatamente todos os sistemas de IA para garantir que nenhum se enquadra nestas categorias. Consulte a pagina de praticas proibidas para informacao detalhada sobre cada uma.

Em vigor desde 2 de fevereiro de 2025

Artigo 53

Resumo: Define as obrigacoes para fornecedores de modelos de IA de proposito geral (GPAI), como modelos de linguagem de grande dimensao (LLMs) e modelos foundation.

Pontos-chave:

• Documentacao tecnica: elaborar e manter documentacao tecnica atualizada do modelo, incluindo processo de treino e avaliacao
• Informacao a jusante: disponibilizar informacao e documentacao adequada a fornecedores a jusante que integrem o modelo nos seus sistemas de IA
• Direitos de autor: implementar uma politica para cumprir a legislacao da Uniao em materia de direitos de autor, nomeadamente a Diretiva (UE) 2019/790
• Resumo de dados de treino: elaborar e disponibilizar publicamente um resumo suficientemente detalhado sobre os conteudos utilizados no treino do modelo
• Risco sistemico (Art. 55): modelos com capacidades de alto impacto (limiar de 10²⁵ FLOP) ficam sujeitos a obrigacoes adicionais: avaliacao de modelos, avaliacao e mitigacao de riscos sistemicos, reporte de incidentes e ciberseguranca adequada
• Codigos de conduta: podem ser utilizados para demonstrar conformidade com as obrigacoes, conforme orientacoes do AI Office

Implicacoes praticas:

Se desenvolve ou treina modelos foundation/LLM, prepare documentacao tecnica completa e o resumo dos dados de treino. Se integra modelos GPAI de terceiros nos seus sistemas, verifique que o fornecedor a montante cumpre estas obrigacoes e que lhe disponibiliza a informacao necessaria. Consulte a pagina de GPAI para mais detalhes.

Em vigor desde 2 de agosto de 2025

Artigo 99

Resumo: Estabelece o regime sancionatorio do AI Act, com coimas estruturadas em tres niveis de gravidade, seguindo um modelo semelhante ao do RGPD mas com valores maximos superiores.

Estrutura de coimas:

• Nivel 1 — Ate 35M€ ou 7% da faturacao global anual: violacao das praticas proibidas (Art. 5)
• Nivel 2 — Ate 15M€ ou 3% da faturacao global anual: violacao de outras disposicoes do regulamento (requisitos de alto risco, obrigacoes de fornecedores, deployers, transparencia, GPAI)
• Nivel 3 — Ate 7,5M€ ou 1% da faturacao global anual: prestacao de informacao incorreta, incompleta ou enganosa a organismos notificados ou autoridades competentes

Pontos-chave adicionais:

• Regra PME: para PMEs e startups, aplica-se sempre o menor dos dois valores (montante fixo vs. percentagem)
• Fatores atenuantes: cooperacao com autoridades, dimensao da empresa, medidas corretivas adotadas, infraces anteriores
• Estados-Membros: cada Estado-Membro define as regras especificas de aplicacao e designa as autoridades competentes
• Portugal: a ANACOM e a autoridade coordenadora, trabalhando com 14 autoridades sectoriais

Implicacoes praticas:

As penalizacoes sao significativas e proporcionais ao modelo do RGPD. Invista em conformidade preventiva. Documente todos os esforcos de conformidade como evidencia de boa-fe. Consulte a pagina de penalizacoes para uma analise detalhada, incluindo cenarios praticos e comparacao com o RGPD.

Em vigor desde 2 de agosto de 2025

Artigo 6

Resumo: Define os criterios para classificar um sistema de IA como de alto risco, utilizando um sistema de classificacao de dupla via que remete para os Anexos I e III, com um mecanismo de filtro para exclusoes.

Pontos-chave:

• Via Anexo I (Art. 6(1)): sistemas de IA que sao componentes de seguranca de produtos ja regulados pela legislacao de harmonizacao da Uniao (maquinas, dispositivos medicos, brinquedos, equipamento de radio, aviacao civil, veiculos a motor, etc.) e que necessitam de avaliacao de conformidade por terceiros
• Via Anexo III (Art. 6(2)): sistemas de IA em areas sensiveis especificamente listadas: biometria, infraestruturas criticas, educacao e formacao profissional, emprego e gestao de trabalhadores, acesso a servicos essenciais, aplicacao da lei, gestao de migracao e asilo, e administracao da justica
• Mecanismo de filtro (Art. 6(3)): um sistema listado no Anexo III nao e considerado alto risco se nao representar um risco significativo de dano a saude, seguranca ou direitos fundamentais das pessoas, nomeadamente quando nao influencia materialmente o resultado da tomada de decisao
• Excecao ao filtro: o mecanismo de filtro nao se aplica a sistemas de IA que realizem profiling de pessoas singulares — estes sao sempre de alto risco se listados no Anexo III
• Os fornecedores que invoquem o filtro devem documentar a avaliacao antes da colocacao no mercado e fornecer essa documentacao as autoridades competentes mediante pedido

Implicacoes praticas:

Utilize o classificador de risco para determinar se o seu sistema e de alto risco. Se for classificado como tal, aplica-se o conjunto completo de obrigacoes dos Artigos 8 a 22. O mecanismo de filtro oferece flexibilidade, mas deve ser documentado e justificado rigorosamente.

Aplicavel a partir de 2 de agosto de 2026

Artigo 9

Resumo: Exige que os fornecedores de sistemas de IA de alto risco implementem um sistema de gestao de riscos continuo e iterativo ao longo de todo o ciclo de vida do sistema, desde a concecao ate a desativacao.

Pontos-chave:

• Processo iterativo: o sistema de gestao de riscos deve ser um processo continuo e planificado, executado ao longo de todo o ciclo de vida do sistema de IA, exigindo atualizacao e revisao periodica
• Identificacao e analise: identificacao e analise dos riscos conhecidos e razoavelmente previsiveis que o sistema pode representar para a saude, seguranca ou direitos fundamentais
• Estimativa e avaliacao: estimativa e avaliacao dos riscos que possam surgir quando o sistema e utilizado em conformidade com a sua finalidade prevista e em condicoes de utilizacao indevida razoavelmente previsivel
• Pos-comercializacao: avaliacao de outros riscos que possam surgir com base na analise de dados recolhidos atraves do sistema de monitorizacao pos-comercializacao
• Medidas de mitigacao: adocao de medidas de gestao de risco adequadas e orientadas, tendo em conta os efeitos e a possivel interacao das medidas entre si
• Testes: realizacao de testes para identificar as medidas de gestao de risco mais adequadas e orientadas, incluindo testes em condicoes reais quando adequado
• Risco residual: os riscos residuais devem ser considerados aceitaveis, e as informacoes sobre os mesmos devem ser comunicadas ao deployer

Implicacoes praticas:

Implemente um sistema formal de gestao de riscos com documentacao completa. Considere alinhar com a ISO 23894 (gestao de riscos de IA) e a ISO 42001 (sistema de gestao de IA). O sistema deve ser vivo e atualizado regularmente, nao um exercicio pontual de conformidade.

Aplicavel a partir de 2 de agosto de 2026

Artigo 10

Resumo: Estabelece requisitos rigorosos para a governanca dos dados de treino, validacao e teste utilizados no desenvolvimento de sistemas de IA de alto risco, visando garantir a qualidade, relevancia e representatividade dos dados.

Pontos-chave:

• Praticas de governanca: os conjuntos de dados de treino, validacao e teste devem estar sujeitos a praticas adequadas de governanca e gestao de dados
• Escolhas de concecao: as praticas devem abranger as escolhas de concecao relevantes, os processos de recolha de dados, a sua origem e finalidade original
• Operacoes de preparacao: incluem anotacao, rotulagem, limpeza, atualizacao, enriquecimento e agregacao de dados
• Formulacao de pressupostos: devem ser explicitados os pressupostos relativos a informacao que os dados devem medir e representar
• Disponibilidade e quantidade: avaliacao da disponibilidade, quantidade e adequacao dos conjuntos de dados necessarios
• Vieses: exame atento a possiveis enviesamentos (biases) que possam afetar a saude, seguranca ou direitos fundamentais, incluindo medidas para a sua detecao e correcao
• Lacunas e deficiencias: identificacao de lacunas ou deficiencias nos dados e forma de as colmatar
• Dados pessoais: quando o tratamento de dados pessoais for necessario para detetar e corrigir vieses, deve cumprir o RGPD, incluindo o recurso a dados sinteticos ou anonimizados quando possivel

Implicacoes praticas:

Implemente processos formais de governanca de dados para todos os sistemas de IA de alto risco. Documente a proveniencia dos dados, os processos de limpeza e preparacao, e as medidas tomadas para identificar e mitigar vieses. A conformidade com o Art. 10 exige coordenacao estreita com as obrigacoes do RGPD.

Aplicavel a partir de 2 de agosto de 2026

Artigo 13

Resumo: Os sistemas de IA de alto risco devem ser concebidos e desenvolvidos de forma a garantir que o seu funcionamento e suficientemente transparente para permitir aos deployers interpretar e utilizar adequadamente os outputs do sistema.

Pontos-chave:

• Instrucoes de utilizacao: devem acompanhar o sistema de IA e incluir informacao concisa, completa, correta e clara, relevante, acessivel e compreensivel para os deployers
• Identidade do fornecedor: nome, endereco e dados de contacto do fornecedor e, quando aplicavel, do seu representante autorizado
• Caracteristicas e capacidades: descricao das caracteristicas, capacidades e limitacoes de desempenho do sistema, incluindo nivel de precisao, robustez e ciberseguranca
• Alteracoes previsiveis: quaisquer circunstancias conhecidas ou previsiveis que possam afetar o desempenho esperado
• Medidas de supervisao humana: descricao das medidas de supervisao humana incorporadas, incluindo as medidas tecnicas para facilitar a interpretacao dos outputs
• Recursos computacionais: quando aplicavel, especificacao dos recursos computacionais, de hardware e de software necessarios
• Vida util e manutencao: vida util esperada do sistema e quaisquer medidas de manutencao e assistencia necessarias

Implicacoes praticas:

Prepare documentacao tecnica detalhada e instrucoes de utilizacao para todos os sistemas de alto risco. Inclua informacao sobre as limitacoes conhecidas, cenarios de utilizacao testados e niveis de desempenho aferidos. A documentacao deve ser suficiente para que o deployer utilize o sistema de forma informada.

Aplicavel a partir de 2 de agosto de 2026

Artigo 14

Resumo: Os sistemas de IA de alto risco devem ser concebidos e desenvolvidos de forma a permitirem uma supervisao humana eficaz por pessoas singulares durante o periodo de utilizacao do sistema.

Pontos-chave:

• Compreensao: os supervisores humanos devem compreender adequadamente as capacidades e limitacoes do sistema de IA e ser capazes de monitorizar devidamente o seu funcionamento
• Monitorizacao: capacidade de monitorizar o funcionamento do sistema de IA, incluindo detetar e resolver anomalias, disfuncoes e desempenho inesperado
• Decisao de nao utilizar: possibilidade de decidir nao utilizar o sistema de IA ou de ignorar, anular ou reverter o output do sistema
• Interrupcao: capacidade de intervir no funcionamento do sistema de IA ou de o interromper atraves de um "botao de paragem" ou procedimento semelhante
• Vies de automacao: os supervisores devem estar conscientes da possivel tendencia para confiar excessivamente ou depender automaticamente dos outputs gerados pelo sistema (automation bias)
• Identificacao biometrica: para sistemas de identificacao biometrica remota, pelo menos duas pessoas singulares devem verificar separadamente os resultados antes de qualquer acao

Implicacoes praticas:

Designe pessoas responsaveis pela supervisao humana de cada sistema de IA de alto risco. Forme-as adequadamente sobre o funcionamento, capacidades e limitacoes do sistema. Documente os procedimentos de supervisao e implemente mecanismos tecnicos de interrupcao. Inclua sensibilizacao sobre o vies de automacao nos programas de formacao.

Aplicavel a partir de 2 de agosto de 2026

Artigo 26

Resumo: Define as obrigacoes especificas dos deployers (responsaveis pela implantacao/utilizadores profissionais) de sistemas de IA de alto risco, abrangendo desde a utilizacao conforme ate a realizacao de avaliacoes de impacto nos direitos fundamentais.

Pontos-chave:

• Utilizacao conforme: utilizar o sistema de IA em conformidade com as instrucoes de utilizacao fornecidas pelo fornecedor
• Dados de entrada: garantir que os dados de entrada sao relevantes e suficientemente representativos a luz da finalidade prevista do sistema
• Monitorizacao: monitorizar o funcionamento do sistema com base nas instrucoes de utilizacao e informar o fornecedor de quaisquer riscos ou incidentes identificados
• Conservacao de registos: manter os registos automaticos (logs) gerados pelo sistema durante um periodo minimo de 6 meses, salvo disposicao em contrario na legislacao aplicavel
• FRIA — Avaliacao de impacto nos direitos fundamentais: antes da colocacao em servico, os deployers de organismos de direito publico ou entidades privadas que prestem servicos publicos devem realizar uma avaliacao de impacto nos direitos fundamentais (Fundamental Rights Impact Assessment)
• Informacao as pessoas afetadas: informar as pessoas singulares de que estao sujeitas a utilizacao de um sistema de IA de alto risco que toma decisoes ou contribui para decisoes que lhes dizem respeito
• Supervisao humana: garantir que as pessoas encarregadas da supervisao humana possuem as competencias, formacao e autoridade necessarias

Implicacoes praticas:

Mesmo que a sua organizacao nao desenvolva IA, se a utiliza profissionalmente tem obrigacoes legais significativas. Implemente processos de monitorizacao, conservacao de registos e informacao aos utilizadores finais. Se e um organismo publico ou presta servicos publicos, prepare-se para realizar a FRIA.

Aplicavel a partir de 2 de agosto de 2026

Artigo 50

Resumo: Estabelece obrigacoes de transparencia especificas para sistemas de IA que interagem diretamente com pessoas, geram ou manipulam conteudos (texto, audio, imagem, video) ou realizam reconhecimento de emocoes e categorizacao biometrica.

Pontos-chave:

• Chatbots e assistentes virtuais: os fornecedores devem garantir que as pessoas sao informadas de que estao a interagir com um sistema de IA, exceto quando isso for evidente pelas circunstancias e contexto de utilizacao
• Reconhecimento de emocoes e categorizacao biometrica: os deployers devem informar as pessoas singulares expostas ao funcionamento desses sistemas e tratar os dados pessoais em conformidade com o RGPD
• Deepfakes — conteudo gerado/manipulado: os fornecedores e deployers devem divulgar que o conteudo (audio, imagem, video) foi gerado artificialmente ou manipulado por IA, de forma que nao restrinja a liberdade de expressao
• Texto gerado por IA: texto publicado com o objetivo de informar o publico sobre questoes de interesse publico deve ser marcado como gerado artificialmente, exceto quando sujeito a revisao editorial humana
• Formato da divulgacao: a divulgacao deve ser clara, distinguivel, compreensivel e acessivel, em conformidade com o Art. 50(6), de forma legivel por maquina e detetavel
• Excecoes: utilizacao autorizada por lei para fins de detecao, prevencao ou investigacao criminal; obras de natureza artistica, criativa, satirica ou ficcionada com salvaguardas

Implicacoes praticas:

Se utiliza chatbots, geradores de imagem, texto, video ou qualquer sistema que interaja com o publico, implemente avisos claros e acessiveis de que se trata de conteudo gerado ou mediado por IA. Para deepfakes e conteudo sintetico, implemente marcacoes tecnicas (watermarks) e rotulagem visivel. Consulte a pagina de transparencia para orientacoes detalhadas.

Aplicavel a partir de 2 de agosto de 2026