O que é o AI Act (Regulamento Europeu de Inteligência Artificial)?

O AI Act, Regulamento (UE) 2024/1689, é o primeiro quadro jurídico abrangente do mundo dedicado à regulação da inteligência artificial. Foi publicado a 12 de julho de 2024 e entrou em vigor a 1 de agosto de 2024. Adota uma abordagem baseada no risco com 113 artigos e 13 anexos.

Quando é que o AI Act entra plenamente em vigor?

O AI Act tem aplicação faseada: fevereiro 2025 (práticas proibidas e literacia IA), agosto 2025 (GPAI e penalizações), agosto 2026 (alto risco e transparência), agosto 2027 (produtos regulados pelo Anexo I).

Quem é afetado pelo AI Act?

O AI Act afeta providers (fornecedores), deployers (utilizadores profissionais), importadores e distribuidores de sistemas de IA. Aplica-se também a entidades fora da UE quando o output do sistema é utilizado na UE.

Qual é a relação entre o AI Act e o RGPD?

O AI Act e o RGPD são complementares e aplicam-se cumulativamente. Organizações que desenvolvem ou utilizam sistemas de IA com dados pessoais devem assegurar conformidade com ambos os regulamentos.

Perguntas Frequentes

Q: O que é considerado um sistema de IA pelo regulamento?

Um sistema de IA é definido como um sistema baseado em máquina concebido para funcionar com diferentes níveis de autonomia, que pode apresentar capacidade de adaptação e que infere como gerar resultados como previsões, conteúdos, recomendações ou decisões.

Q: O AI Act é um regulamento ou uma diretiva?

O AI Act é um regulamento europeu, não uma diretiva. É diretamente aplicável em todos os Estados-Membros, incluindo Portugal, sem necessidade de transposição para lei nacional.

Respostas às dúvidas mais comuns sobre o AI Act

Encontre respostas detalhadas sobre o âmbito de aplicação, classificação de risco, obrigações, implementação em Portugal e passos práticos para garantir a conformidade com o Regulamento (UE) 2024/1689.

Geral

O AI Act, formalmente designado como Regulamento (UE) 2024/1689, é o primeiro quadro jurídico abrangente do mundo dedicado à regulação da inteligência artificial. Foi publicado no Jornal Oficial da União Europeia a 12 de julho de 2024 e entrou em vigor a 1 de agosto de 2024.

O regulamento estabelece regras harmonizadas para o desenvolvimento, colocação no mercado, colocação em serviço e utilização de sistemas de IA na União Europeia. Adota uma abordagem baseada no risco, impondo obrigações proporcionais ao nível de risco que cada sistema de IA representa para a saúde, segurança e direitos fundamentais das pessoas.

Com 180 considerandos, 113 artigos e 13 anexos, é um dos regulamentos mais extensos da UE e aplica-se diretamente em todos os 27 Estados-Membros, incluindo Portugal, sem necessidade de transposição para legislação nacional.

Na prática: Se a sua empresa utiliza ChatGPT para atendimento ao cliente, um sistema de IA para triagem de CVs, ou software de reconhecimento facial, o AI Act aplica-se diretamente. Utilize o nosso Classificador de Risco para determinar as suas obrigações.

O AI Act tem uma aplicação faseada com vários prazos críticos:

2 de fevereiro de 2025 (já em vigor): Proibição das práticas de IA inaceitáveis (Art. 5) e obrigação de literacia em IA (Art. 4).

2 de agosto de 2025 (já em vigor): Obrigações para modelos GPAI (IA de propósito geral), designação de autoridades nacionais e regime sancionatório.

2 de agosto de 2026 (próximo prazo): Obrigações para sistemas de alto risco do Anexo III, obrigações de transparência (Art. 50) e sandboxes regulatórias.

2 de agosto de 2027: Obrigações para sistemas de IA integrados em produtos regulados pelo Anexo I (dispositivos médicos, brinquedos, máquinas, etc.).

Nos termos do Art. 3(1), um sistema de IA é definido como um sistema baseado em máquina que é concebido para funcionar com diferentes níveis de autonomia, que pode apresentar capacidade de adaptação após a implantação e que, a partir dos dados de entrada que recebe, infere como gerar resultados como previsões, conteúdos, recomendações ou decisões que podem influenciar ambientes físicos ou virtuais.

Esta definição está alinhada com a definição da OCDE e é deliberadamente ampla para abranger diversas tecnologias de IA. Inclui, entre outros: machine learning (supervisionado, não supervisionado, por reforço), deep learning, redes neuronais, sistemas baseados em lógica, métodos estatísticos avançados e sistemas híbridos.

A Comissão Europeia publicou orientações específicas para ajudar a determinar se um determinado software constitui um "sistema de IA" nos termos do regulamento.

O AI Act tem um âmbito de aplicação extraterritorial muito amplo. Afeta os seguintes atores:

Providers (Fornecedores): Entidades que desenvolvem ou mandam desenvolver um sistema de IA e o colocam no mercado ou em serviço sob o seu nome ou marca. Têm as obrigações mais extensas.

Deployers (Utilizadores profissionais): Entidades que utilizam um sistema de IA sob a sua autoridade, exceto para uso pessoal não profissional. Incluem empresas, administração pública e outras organizações.

Importadores: Entidades estabelecidas na UE que colocam no mercado um sistema de IA de um fornecedor de país terceiro.

Distribuidores: Entidades que disponibilizam um sistema de IA no mercado da UE sem serem o fornecedor nem o importador.

Importante: O regulamento aplica-se também a fornecedores e deployers de países terceiros quando o output do sistema de IA é utilizado na UE.

Exemplo: Uma empresa portuguesa que usa o Microsoft Azure AI para scoring de crédito é deployer. A Microsoft é o provider. Ambos têm obrigações distintas ao abrigo do AI Act. Mesmo uma startup americana que venda software de IA a clientes na UE está abrangida.

Sim, mas com algumas nuances. O AI Act aplica-se a todos os sistemas de IA colocados no mercado ou em serviço na UE, independentemente de terem sido desenvolvidos antes da sua entrada em vigor.

Contudo, existem disposições transitórias: os sistemas de IA de alto risco que já estavam no mercado antes de 2 de agosto de 2026 só precisam de estar em conformidade quando sofrerem alterações significativas no seu design ou finalidade prevista.

Para modelos GPAI já disponibilizados antes de 2 de agosto de 2025, os fornecedores têm até 2 de agosto de 2027 para se adaptarem aos novos requisitos.

Recomenda-se, no entanto, que todas as organizações iniciem o processo de conformidade o mais cedo possível, independentemente dos prazos transitórios.

O AI Act é um regulamento europeu, não uma diretiva. Esta distinção é fundamental:

Regulamento: É diretamente aplicável em todos os Estados-Membros, incluindo Portugal, sem necessidade de transposição para lei nacional. Tem aplicação obrigatória e integral.

Diretiva: Estabelece objetivos que cada Estado-Membro deve transpor para a sua legislação nacional, com alguma margem de adaptação.

Isto significa que, para Portugal, o AI Act já é lei aplicável desde 1 de agosto de 2024. Não é necessário esperar por qualquer ação do Parlamento português ou do Governo para que as suas disposições produzam efeitos. As organizações portuguesas devem cumprir diretamente as disposições do regulamento nos prazos estabelecidos.

Sim, o AI Act prevê várias exceções ao seu âmbito de aplicação (Art. 2):

Uso exclusivamente militar ou de defesa: Sistemas de IA desenvolvidos ou utilizados exclusivamente para fins militares estão excluídos.

Investigação e desenvolvimento: Atividades de I&D científica antes da colocação no mercado estão excluídas, mas os testes em condições reais já estão sujeitos a requisitos específicos.

Uso pessoal não profissional: Pessoas singulares que utilizam sistemas de IA para atividades puramente pessoais e não profissionais estão excluídas como deployers.

Países terceiros para fins de cooperação internacional: Sistemas de IA utilizados por autoridades de países terceiros ao abrigo de acordos internacionais de cooperação judiciária ou policial.

Software livre e de código aberto: Sistemas de IA disponibilizados sob licenças livres e de código aberto estão parcialmente excluídos, exceto se classificados como alto risco ou proibidos.

O AI Act e o RGPD (Regulamento Geral sobre a Proteção de Dados) são regulamentos complementares que se aplicam cumulativamente. Não existe um regime de prevalência: ambos devem ser cumpridos simultaneamente.

O AI Act refere-se expressamente ao RGPD em várias disposições, nomeadamente no que respeita ao tratamento de dados pessoais para treino de modelos de IA, à avaliação de impacto nos direitos fundamentais (que pode incluir uma AIPD ao abrigo do RGPD) e às obrigações de transparência.

Na prática, isto significa que uma organização que desenvolve ou utiliza sistemas de IA que processam dados pessoais deve assegurar a conformidade com ambos os regulamentos: respeitar os princípios de proteção de dados do RGPD (minimização, limitação da finalidade, etc.) e cumprir as obrigações específicas do AI Act para o nível de risco do sistema.

A CNPD (Comissão Nacional de Proteção de Dados) e a ANACOM terão papéis complementares na supervisão destas matérias em Portugal.

Classificação de Risco

O AI Act adota uma abordagem baseada no risco com os seguintes níveis:

Risco inaceitável (Proibido): Práticas de IA totalmente proibidas pelo Art. 5, como manipulação subliminar, exploração de vulnerabilidades, social scoring generalizado e identificação biométrica remota em tempo real em espaços públicos (com exceções).

Alto risco: Sistemas com impacto significativo na saúde, segurança ou direitos fundamentais. Listados no Anexo III (8 domínios) ou integrados em produtos regulados do Anexo I. Sujeitos a obrigações extensas (Art. 8-22).

Risco limitado: Sistemas com obrigações específicas de transparência (Art. 50), como chatbots, deepfakes e sistemas de reconhecimento de emoções. Os utilizadores devem ser informados da interação com IA.

Risco mínimo: A grande maioria dos sistemas de IA. Sem obrigações específicas, mas sujeitos a boas práticas voluntárias e à obrigação geral de literacia (Art. 4).

Paralelamente, existe a categoria GPAI (IA de Propósito Geral), com obrigações específicas para modelos como GPT, Gemini, Claude, entre outros (Art. 51-55).

Um sistema de IA é classificado como alto risco em duas situações principais (Art. 6):

Via Anexo I (Produtos regulados): Se o sistema de IA é um componente de segurança de um produto abrangido por legislação de harmonização da UE listada no Anexo I (como dispositivos médicos, máquinas, brinquedos, equipamentos de rádio, etc.) e esse produto requer avaliação de conformidade por terceiros.

Via Anexo III (Domínios de alto risco): Se o sistema se enquadra em um dos 8 domínios listados no Anexo III: (1) biometria, (2) infraestruturas críticas, (3) educação e formação profissional, (4) emprego e gestão de trabalhadores, (5) acesso a serviços essenciais, (6) aplicação da lei, (7) migração, asilo e controlo de fronteiras, (8) administração da justiça e processos democráticos.

Pode utilizar o nosso Classificador de Risco para determinar a classificação do seu sistema de IA de forma interativa.

O Art. 5 do AI Act proíbe 8 práticas de IA consideradas de risco inaceitável:

1. Manipulação subliminar: Técnicas que distorcem materialmente o comportamento de uma pessoa sem o seu conhecimento.

2. Exploração de vulnerabilidades: Sistemas que exploram vulnerabilidades de grupos específicos (idade, deficiência, situação social).

3. Social scoring generalizado: Avaliação ou classificação de pessoas por autoridades públicas com base no seu comportamento social ao longo do tempo.

4. Avaliação de risco de crime individual: Previsão de crimes com base exclusivamente em perfis ou traços de personalidade (com exceções).

5. Scraping não direcionado de imagens faciais: Criação ou expansão de bases de dados de reconhecimento facial através de recolha não direcionada na internet ou CCTV.

6. Reconhecimento de emoções no trabalho e educação: Inferência de emoções em locais de trabalho e instituições de ensino (com exceções médicas e de segurança).

7. Categorização biométrica sensível: Categorização de pessoas com base em dados biométricos para inferir raça, opiniões políticas, orientação sexual, etc.

8. Identificação biométrica remota em tempo real: Em espaços públicos para efeitos de aplicação da lei (com exceções restritas).

O Anexo III do AI Act lista os 8 domínios em que os sistemas de IA são considerados de alto risco:

1. Biometria: Sistemas de identificação biométrica remota, categorização biométrica e reconhecimento de emoções.

2. Infraestruturas críticas: Componentes de segurança na gestão de infraestruturas digitais, tráfego rodoviário e abastecimento de água, gás, eletricidade e aquecimento.

3. Educação e formação profissional: Determinação de acesso, admissão, atribuição de níveis, avaliação e monitorização de comportamento de alunos.

4. Emprego e gestão de trabalhadores: Recrutamento, triagem de candidatos, decisões sobre promoções, despedimentos, atribuição de tarefas e monitorização de desempenho.

5. Serviços essenciais: Avaliação de elegibilidade para prestações sociais, classificação de crédito (credit scoring), avaliação de risco em seguros de vida e saúde, e triagem de chamadas de emergência.

6. Aplicação da lei: Polígrafos, avaliação de fiabilidade de provas, avaliação de risco de reincidência e deteção de estados emocionais.

7. Migração e controlo de fronteiras: Polígrafos, avaliação de pedidos de asilo e vistos, deteção e reconhecimento de documentos de viagem.

8. Justiça e democracia: Sistemas para pesquisa e interpretação de factos e lei, e influência sobre o resultado de eleições.

Na maioria dos casos, não. Um chatbot genérico baseado em IA generativa é tipicamente classificado como risco limitado, estando sujeito apenas a obrigações de transparência (Art. 50). Deve informar os utilizadores de que estão a interagir com um sistema de IA.

Contudo, a classificação depende da finalidade específica do chatbot:

Se o chatbot for utilizado num contexto de alto risco do Anexo III (por exemplo, para triagem de candidatos no recrutamento, avaliação de elegibilidade para prestações sociais, ou aconselhamento jurídico automatizado), pode ser classificado como alto risco.

O modelo de IA subjacente (como GPT ou Claude) é separadamente classificado como GPAI (IA de propósito geral), com obrigações específicas para o fornecedor do modelo.

Adicionalmente, se o chatbot gera conteúdo sintético (texto, imagens, áudio), deve estar em conformidade com as obrigações de marcação de conteúdo gerado por IA.

Sim, o Art. 6(3) prevê uma exceção importante. Um sistema de IA que se enquadre num dos domínios do Anexo III não será considerado de alto risco se não representar um risco significativo de prejuízo para a saúde, segurança ou direitos fundamentais, nomeadamente quando:

O sistema de IA desempenha uma tarefa processual restrita (por exemplo, transformação de dados não estruturados em dados estruturados).

O sistema melhora o resultado de uma atividade humana já concluída.

O sistema deteta padrões de decisão sem substituir ou influenciar a avaliação humana previamente realizada.

O sistema desempenha uma tarefa preparatória para uma avaliação relevante para os fins listados no Anexo III.

Contudo, esta exceção não se aplica se o sistema de IA realizar profiling de pessoas singulares na aceção do RGPD. O fornecedor deve documentar a avaliação que sustenta a não classificação como alto risco.

Obrigações

Os fornecedores de sistemas de IA de alto risco têm as obrigações mais extensas do AI Act (Art. 8-22):

Sistema de gestão de risco (Art. 9): Implementar e manter um sistema de gestão de risco ao longo de todo o ciclo de vida do sistema.

Governança de dados (Art. 10): Garantir a qualidade, representatividade e adequação dos conjuntos de dados de treino, validação e teste.

Documentação técnica (Art. 11): Elaborar documentação técnica completa conforme Anexo IV, antes da colocação no mercado.

Registo de atividades (logs) (Art. 12): Garantir que o sistema regista automaticamente eventos ao longo do seu funcionamento.

Transparência e informação (Art. 13): Fornecer instruções de utilização claras e compreensíveis aos deployers.

Supervisão humana (Art. 14): Conceber o sistema para permitir supervisão eficaz por pessoas singulares.

Precisão, robustez e cibersegurança (Art. 15): Garantir níveis adequados de precisão, robustez e segurança.

Sistema de gestão de qualidade (Art. 17): Implementar um SGQ documentado.

Avaliação de conformidade (Art. 43): Realizar avaliação de conformidade antes da colocação no mercado.

Registo na base de dados da UE (Art. 49): Registar o sistema na base de dados pública da UE.

Monitorização pós-mercado (Art. 72): Implementar um sistema de monitorização pós-mercado.

Os deployers de sistemas de IA de alto risco têm obrigações significativas (Art. 26):

Utilização conforme instruções: Utilizar o sistema de acordo com as instruções de utilização fornecidas pelo provider.

Supervisão humana: Assegurar supervisão humana por pessoas com competência, formação e autoridade necessárias.

Dados de entrada relevantes: Garantir que os dados de entrada são relevantes e representativos para a finalidade prevista.

Monitorização: Monitorizar o funcionamento do sistema e comunicar riscos ou incidentes ao provider e autoridades.

Conservação de logs: Conservar os registos gerados automaticamente pelo sistema durante pelo menos 6 meses.

FRIA (para entidades públicas e algumas privadas): Realizar uma avaliação de impacto nos direitos fundamentais antes da utilização (Art. 27).

Informação aos trabalhadores: Informar os representantes dos trabalhadores e os trabalhadores afetados sobre a utilização do sistema.

Registo na base de dados da UE: Deployers públicos devem registar-se na base de dados da UE.

O Art. 4 do AI Act estabelece uma obrigação transversal de literacia em IA que se aplica a todos os fornecedores e deployers de sistemas de IA, independentemente do nível de risco. Esta obrigação está em vigor desde 2 de fevereiro de 2025.

Concretamente, as organizações devem tomar medidas para garantir, na medida do possível, um nível suficiente de literacia em IA do seu pessoal e de outras pessoas que lidam com a operação e utilização de sistemas de IA em seu nome. Devem considerar os conhecimentos técnicos, a experiência, a educação e a formação do pessoal, bem como o contexto em que os sistemas serão utilizados.

Na prática, isto implica: identificar quem na organização interage com sistemas de IA, avaliar as lacunas de conhecimento, desenvolver programas de formação adequados e manter registos que demonstrem o cumprimento desta obrigação.

Dica prática: Comece por: (1) listar todas as ferramentas de IA usadas na organização, (2) identificar quem as utiliza, (3) oferecer formação básica (o curso gratuito Elements of AI é um bom ponto de partida), e (4) documentar tudo num registo de formação. Descarregue o nosso template de política de literacia IA.

A avaliação de conformidade é um processo obrigatório para todos os sistemas de IA de alto risco antes da sua colocação no mercado ou em serviço (Art. 43).

Existem dois tipos de procedimento:

Autoavaliação (controlo interno): O fornecedor avalia internamente a conformidade do seu sistema com os requisitos do AI Act, seguindo o procedimento do Anexo VI. Aplicável à maioria dos sistemas de alto risco do Anexo III.

Avaliação por organismo notificado: Uma entidade terceira independente avalia a conformidade do sistema. Obrigatória para: (1) sistemas de identificação biométrica, (2) sistemas que são componentes de segurança de produtos do Anexo I que já exigem avaliação por terceiros.

Após a avaliação bem-sucedida, o fornecedor emite uma declaração de conformidade UE (Art. 47), apõe a marcação CE (Art. 48) e regista o sistema na base de dados da UE (Art. 49).

O Anexo IV do AI Act detalha o conteúdo obrigatório da documentação técnica para sistemas de alto risco:

Descrição geral: Finalidade prevista, nome do fornecedor, versão, interação com hardware/software, formas de interação com o sistema.

Descrição detalhada: Elementos do sistema, processo de desenvolvimento, arquitetura, algoritmos utilizados, escolhas de design, sistema de classificação e robustez.

Informação sobre dados: Conjuntos de dados de treino, validação e teste, incluindo proveniência, âmbito, características, lacunas conhecidas e medidas para as colmatar.

Informação sobre monitorização, funcionamento e controlo: Medidas de supervisão humana, métricas de desempenho, níveis de precisão esperados.

Sistema de gestão de risco: Descrição do sistema implementado, riscos identificados e medidas de mitigação.

Alterações ao longo do ciclo de vida: Historial de alterações significativas ao sistema.

Normas harmonizadas aplicadas: Lista de normas utilizadas e descrição das soluções adotadas quando as normas não foram seguidas.

A documentação deve ser mantida atualizada durante toda a vida útil do sistema e conservada por 10 anos após a colocação no mercado.

O Art. 50 do AI Act estabelece obrigações de transparência para vários tipos de sistemas de IA:

Chatbots e sistemas de interação direta: Os utilizadores devem ser informados de que estão a interagir com um sistema de IA, de forma clara e atempada, exceto quando tal seja evidente para uma pessoa razoavelmente informada.

Reconhecimento de emoções e categorização biométrica: As pessoas expostas a estes sistemas devem ser informadas do seu funcionamento e do tratamento dos seus dados pessoais.

Deepfakes (conteúdo manipulado): Quem gera ou manipula imagens, áudio ou vídeo que se assemelham significativamente a pessoas, objetos ou eventos reais deve divulgar que o conteúdo foi gerado ou manipulado artificialmente.

Texto gerado por IA sobre assuntos de interesse público: Texto publicado com o objetivo de informar o público sobre assuntos de interesse público deve incluir uma indicação de que foi gerado por IA, exceto se sujeito a revisão editorial humana.

Marcação técnica: Os fornecedores devem marcar o conteúdo de saída com metadados legíveis por máquina que indiquem que o conteúdo foi gerado ou manipulado por IA.

Estas obrigações entram em vigor a 2 de agosto de 2026.

Portugal

A ANACOM (Autoridade Nacional de Comunicações) foi designada a 19 de setembro de 2025, através de Resolução do Conselho de Ministros, como a autoridade nacional de supervisão do mercado para o AI Act em Portugal.

As suas responsabilidades incluem:

Coordenação nacional: Coordena 14 autoridades sectoriais que supervisionam o AI Act nos respetivos domínios.

Ponto de contacto: Serve de ponto de contacto único com a Comissão Europeia e o AI Office.

Fiscalização: Tem poderes de fiscalização, investigação e sancionamento em matéria de AI Act.

Sandboxes regulatórias: Responsável pela criação e gestão de sandboxes regulatórias para teste de sistemas de IA inovadores.

Orientações: Emite orientações e recomendações para apoiar as organizações na conformidade com o regulamento.

Portugal designou 14 autoridades sectoriais para a supervisão do AI Act, coordenadas pela ANACOM:

ANACOM — Autoridade Nacional de Comunicações (coordenação geral)

IGF — Inspeção-Geral de Finanças (setor financeiro)

GNS — Gabinete Nacional de Segurança (segurança nacional e cibersegurança)

ERC — Entidade Reguladora para a Comunicação Social (media e comunicação social)

IGDN — Inspeção-Geral da Defesa Nacional (defesa)

IGSJ — Inspeção-Geral dos Serviços de Justiça (justiça)

PJ — Polícia Judiciária (investigação criminal)

IGAI — Inspeção-Geral da Administração Interna (segurança interna)

IGEC — Inspeção-Geral da Educação e Ciência (educação)

ERS — Entidade Reguladora da Saúde (saúde)

ASAE — Autoridade de Segurança Alimentar e Económica (segurança alimentar e economia)

IGMTSSS — Inspeção-Geral do Ministério do Trabalho (emprego e trabalho)

ACT — Autoridade para as Condições do Trabalho (condições de trabalho)

ERSE — Entidade Reguladora dos Serviços Energéticos (energia)

A ANIA (Agenda Nacional de Inteligência Artificial) 2026-2030 é a estratégia nacional de Portugal para a inteligência artificial, aprovada por Resolução do Conselho de Ministros a 8 de janeiro de 2026.

As principais componentes incluem:

LLM nacional "Amália": Desenvolvimento de um modelo de linguagem grande em português europeu, com financiamento público, para utilização pela administração pública e setor privado.

AI Factory: Criação de uma infraestrutura de computação de alto desempenho dedicada à IA, integrada na rede europeia de AI Factories.

Sandboxes regulatórias: Implementação de ambientes controlados para teste de sistemas de IA inovadores, conforme previsto no AI Act.

Formação e literacia: Programas nacionais de formação em IA para a administração pública, empresas e cidadãos.

IA na administração pública: Integração de sistemas de IA nos serviços públicos, com a plataforma Mosaico.gov.pt como eixo central.

A ANIA é complementar ao AI Act, visando posicionar Portugal como um hub de IA responsável e inovador na Europa.

Sim. O AI Act (Art. 57-63) obriga cada Estado-Membro a estabelecer pelo menos uma sandbox regulatória de IA até 2 de agosto de 2026.

Em Portugal, as sandboxes serão geridas pela ANACOM, em coordenação com as autoridades sectoriais relevantes. A ANIA 2026-2030 prevê a criação de sandboxes com especial enfoque em:

Administração pública: Teste de sistemas de IA para serviços públicos antes da implementação generalizada.

PME e startups: Apoio a pequenas e médias empresas para testar soluções de IA inovadoras num ambiente regulatório controlado, com custos reduzidos.

Saúde: Sandbox específica para sistemas de IA no setor da saúde, em articulação com a ERS e o INFARMED.

As sandboxes permitem que as empresas testem os seus sistemas de IA sob supervisão regulatória, recebendo orientação sobre conformidade antes de colocarem os produtos no mercado, reduzindo a incerteza jurídica.

Sim, existem vários mecanismos de apoio disponíveis ou previstos:

PRR (Plano de Recuperação e Resiliência): Inclui investimentos em digitalização e IA que podem apoiar a conformidade das empresas com o AI Act.

Portugal 2030: Programas de financiamento europeu que incluem linhas de apoio à transição digital e adoção de IA responsável.

IAPMEI: Programas específicos de apoio a PME para a transformação digital, que podem incluir custos de conformidade com o AI Act.

Sandboxes regulatórias: Acesso gratuito ou a custo reduzido para PME e startups, conforme previsto no Art. 62 do AI Act.

Reduções de custos para PME: O próprio AI Act prevê proporção de custos e simplificação de procedimentos para micro, pequenas e médias empresas, incluindo taxas reduzidas para avaliação de conformidade.

Recomenda-se acompanhar as publicações da ANACOM e do IAPMEI para informações atualizadas sobre os apoios disponíveis.

Prático

Para iniciar o processo de conformidade com o AI Act, recomendamos os seguintes passos:

1. Inventariar: Faça um levantamento completo de todos os sistemas de IA que a sua organização desenvolve, utiliza ou distribui. Inclua ferramentas de terceiros (SaaS com IA, APIs de IA, etc.).

2. Classificar: Para cada sistema, determine o nível de risco (proibido, alto risco, risco limitado ou mínimo). Utilize o nosso Classificador de Risco.

3. Identificar o papel: Determine se a sua organização é provider, deployer, importador ou distribuidor para cada sistema.

4. Gap analysis: Compare as obrigações aplicáveis ao seu perfil e nível de risco com as práticas atuais da organização. Identifique lacunas.

5. Literacia IA: Implemente imediatamente um programa de literacia em IA (Art. 4), dado que esta obrigação já está em vigor desde fevereiro de 2025.

6. Plano de ação: Desenvolva um plano de conformidade com marcos, responsáveis e recursos necessários, priorizando pelo nível de risco e prazos do regulamento.

7. Documentação: Comece a preparar a documentação necessária (políticas, avaliações, documentação técnica). Utilize os nossos templates.

Atenção ao prazo: As obrigações para sistemas de alto risco e transparência entram em vigor a 2 de agosto de 2026. Se a sua organização tem sistemas de alto risco, o tempo para se preparar é limitado. Comece hoje com a nossa Auditoria de conformidade.

Os custos de conformidade variam significativamente consoante o perfil da organização, o número e tipo de sistemas de IA e o nível de maturidade atual:

Sistemas de risco mínimo: Custos reduzidos, essencialmente relacionados com literacia em IA e boas práticas voluntárias. Estimativa: 2.000 a 10.000 euros.

Sistemas de risco limitado: Custos moderados para implementar obrigações de transparência. Estimativa: 5.000 a 25.000 euros por sistema.

Sistemas de alto risco: Custos significativos, incluindo documentação técnica, sistema de gestão de qualidade, avaliação de conformidade e monitorização pós-mercado. Estimativa: 50.000 a 500.000 euros ou mais, dependendo da complexidade.

Principais categorias de custo: Consultoria jurídica e técnica, adaptação de sistemas existentes, documentação, formação, avaliação de conformidade, ferramentas de monitorização e recursos humanos dedicados.

Utilize a nossa Calculadora de Custos para obter uma estimativa personalizada.

Perspetiva: O custo de conformidade para uma PME com 1-3 sistemas de alto risco pode variar entre 30.000 e 150.000 euros no primeiro ano. Compare com a penalização máxima de 15 milhões de euros ou 3% da faturação global. A conformidade é sempre um investimento mais inteligente do que o risco.

O AI Act prevê um regime sancionatório robusto, com três escalões de coimas (Art. 99):

Nível 1 - Práticas proibidas: Até 35 milhões de euros ou 7% do volume de negócios anual mundial total, consoante o que for mais elevado. Aplicável a violações do Art. 5 (práticas proibidas).

Nível 2 - Outras violações: Até 15 milhões de euros ou 3% do volume de negócios anual mundial. Aplicável à maioria das obrigações (alto risco, transparência, GPAI).

Nível 3 - Informação incorreta: Até 7,5 milhões de euros ou 1% do volume de negócios anual mundial. Aplicável ao fornecimento de informação incorreta ou enganosa às autoridades.

Para PME e startups: As coimas são proporcionalmente reduzidas, podendo o valor máximo ser calculado sobre a percentagem do volume de negócios ou sobre o montante fixo, consoante o que for menor.

Para além das coimas, as autoridades podem ordenar a retirada do mercado, a proibição de utilização ou a correção obrigatória de sistemas não conformes.

Sim, o AI Act inclui várias disposições específicas para apoiar PME e startups:

Acesso prioritário a sandboxes (Art. 62): PME e startups têm acesso prioritário às sandboxes regulatórias, com custos reduzidos ou gratuitos.

Proporção de custos e taxas (Art. 62(4)): Os Estados-Membros devem ter em conta os interesses e necessidades específicas das PME ao fixar taxas para avaliação de conformidade.

Canais de comunicação dedicados: As autoridades nacionais devem criar canais de comunicação específicos para PME e startups.

Simplificação da documentação: A Comissão pode adotar atos delegados para simplificar a documentação técnica exigida para PME.

Coimas proporcionais: As coimas aplicáveis a PME são proporcionalmente menores, considerando a viabilidade económica da empresa.

Orientações específicas: O AI Office e as autoridades nacionais devem desenvolver orientações adaptadas às necessidades das PME.

Recomenda-se que as PME aproveitem os recursos de apoio disponíveis e iniciem o processo de conformidade com os templates gratuitos disponíveis neste portal.

Para as organizações que precisam de estar em conformidade com as obrigações de alto risco e transparência até 2 de agosto de 2026, recomendamos o seguinte calendário:

Imediato (já em atraso):

- Implementar programa de literacia em IA (Art. 4, em vigor desde fev. 2025)

- Verificar que nenhum sistema utiliza práticas proibidas (Art. 5, em vigor desde fev. 2025)

Março - Maio 2026:

- Completar o inventário de sistemas de IA

- Classificar todos os sistemas por nível de risco

- Realizar gap analysis detalhada

Maio - Junho 2026:

- Implementar sistema de gestão de risco para sistemas de alto risco

- Elaborar documentação técnica

- Implementar sistema de gestão de qualidade

- Preparar avisos de transparência para sistemas de risco limitado

Junho - Julho 2026:

- Realizar avaliação de conformidade

- Preparar FRIA (avaliação de impacto nos direitos fundamentais)

- Registar sistemas na base de dados da UE

- Implementar sistema de monitorização pós-mercado

Agosto 2026:

- Verificação final de conformidade

- Emissão de declarações de conformidade UE

- Aposição de marcação CE