GPAI — IA de Propósito Geral

Artigos 51 a 55 do Regulamento (UE) 2024/1689

O AI Act cria um regime regulatório específico para modelos de IA de propósito geral (GPAI), com obrigações proporcionais que variam consoante o modelo apresente ou não risco sistémico. Estes requisitos aplicam-se aos fornecedores dos modelos, independentemente do nível de risco dos sistemas construídos sobre eles.

Em vigor desde 2 de agosto de 2025 — As obrigações para modelos GPAI já são aplicáveis. Os fornecedores devem demonstrar conformidade. Em vigor

O que é um modelo de IA de propósito geral?

Artigo 3(63) — Definição legal de modelo de IA de finalidade geral
«Modelo de IA de finalidade geral»: um modelo de IA, incluindo quando esse modelo de IA é treinado com uma grande quantidade de dados utilizando autossupervisão em escala, que apresenta um nível significativo de generalidade e é capaz de executar com competência uma vasta gama de tarefas distintas, independentemente da forma como o modelo é colocado no mercado, e que pode ser integrado numa variedade de sistemas ou aplicações a jusante. Tal não abrange os modelos de IA que são utilizados para atividades de investigação, desenvolvimento ou criação de protótipos antes de serem colocados no mercado.

O que significa "generalidade significativa"?

O conceito de generalidade significativa é o elemento central da definição. Um modelo apresenta esta característica quando, após o treino, consegue executar com competência uma vasta gama de tarefas distintas para as quais não foi especificamente concebido ou treinado. Isto distingue os modelos GPAI de modelos especializados (por exemplo, um modelo treinado exclusivamente para deteção de fraude bancária ou para reconhecimento de um tipo específico de imagem médica). A generalidade manifesta-se na capacidade de lidar com tarefas diversas — desde geração de texto e tradução, até raciocínio lógico, programação, análise de imagens e conversação — sem necessidade de re-treino para cada tarefa.

Características essenciais de um modelo GPAI:

  • Generalidade significativa — Capaz de realizar com competência múltiplas tarefas distintas, sem ter sido concebido especificamente para cada uma delas
  • Treino em escala — Tipicamente treinado com grandes volumes de dados utilizando técnicas de autossupervisão
  • Integrável em sistemas a jusante — Pode ser incorporado numa variedade de sistemas ou aplicações de IA por diferentes fornecedores
  • Independente da forma de comercialização — As obrigações aplicam-se quer o modelo seja disponibilizado via API, download, integrado num produto, ou por qualquer outro meio

Exemplos concretos de modelos GPAI:

GPT-4

OpenAI

Claude

Anthropic

Gemini

Google DeepMind

Llama

Meta (open source)

Mistral

Mistral AI

Estes são apenas exemplos ilustrativos. A classificação como GPAI depende das características técnicas do modelo concreto, não do nome ou marca. Modelos multimodais (texto, imagem, áudio, vídeo) e modelos de linguagem (LLMs) de grande escala enquadram-se tipicamente nesta categoria.

Obrigações de todos os fornecedores de modelos GPAI (Art. 53)

Todos os fornecedores que colocam um modelo GPAI no mercado da UE devem cumprir as seguintes quatro obrigações fundamentais, independentemente da dimensão do modelo ou do número de utilizadores.

1

Documentação técnica

Art. 53(1)(a) + Anexo XI

Elaborar e manter atualizada a documentação técnica do modelo e do processo de treino e teste, incluindo as informações previstas no Anexo XI, para disponibilizar a pedido ao Serviço para a IA e às autoridades nacionais competentes.

O que deve constar na documentação técnica (Anexo XI):

  • Descrição geral do modelo — Arquitetura, número de parâmetros, tipo de modelo (e.g., transformer), modalidades de entrada/saída
  • Processo de treino — Metodologia de treino, hiperparâmetros, técnicas de otimização, medidas de segurança durante o treino
  • Dados de treino — Fontes, volume, tipo, métodos de curadoria e pré-processamento dos dados utilizados
  • Resultados de avaliação — Métricas de desempenho, resultados de benchmarks, limitações conhecidas
  • Recursos computacionais e consumo energético — Capacidade de computação utilizada no treino, eficiência energética estimada
A documentação técnica não precisa de ser divulgada publicamente. Deve estar disponível para ser fornecida ao Serviço para a IA e às autoridades nacionais competentes, mediante pedido.
2

Informação aos fornecedores a jusante

Art. 53(1)(b) + Anexo XII

Elaborar e disponibilizar informação e documentação aos fornecedores de sistemas de IA que pretendam integrar o modelo nos seus sistemas, para que possam compreender as capacidades e limitações do modelo e cumprir as suas próprias obrigações ao abrigo do regulamento.

Objetivo: Permitir que quem constrói sobre o modelo GPAI cumpra os requisitos de alto risco, transparência ou outros que se apliquem ao sistema final. Sem esta informação, um integrador não consegue avaliar corretamente os riscos do seu próprio sistema de IA.
3

Política de direitos de autor

Art. 53(1)(c)

Adotar uma política para cumprir a legislação da UE em matéria de direitos de autor, nomeadamente para identificar e respeitar as reservas de direitos expressas nos termos do Art. 4(3) da Diretiva (UE) 2019/790 (opt-out de text and data mining).

O que isto significa na prática:

  • Implementar mecanismos técnicos para detetar indicações de opt-out dos titulares de direitos (ex.: robots.txt, metadados, headers HTTP)
  • Respeitar efetivamente essas reservas de direitos durante o processo de recolha e curadoria de dados de treino
  • Documentar a política adotada e os procedimentos operacionais para a sua implementação
  • Utilizar tecnologias de reconhecimento de conteúdos de acordo com o estado da arte quando necessário para identificar e respeitar reservas de direitos
4

Resumo dos dados de treino

Art. 53(1)(d)

Elaborar e disponibilizar publicamente um resumo suficientemente pormenorizado dos conteúdos utilizados para o treino do modelo GPAI, de acordo com um modelo (template) fornecido pelo Serviço para a IA.

Template publicado pelo AI Office:

O Serviço para a IA (AI Office) publicou um template obrigatório que define a estrutura e o nível de detalhe exigido para este resumo. O template inclui campos para:

  • Fontes de dados — Descrição das principais fontes e repositórios de dados utilizados no treino
  • Tipos de conteúdo — Categorias de dados (texto, código, imagens, áudio, vídeo, dados estruturados, etc.)
  • Volume e escala — Indicação aproximada do volume de dados em cada categoria
  • Métodos de curadoria — Processos de filtragem, limpeza e seleção de dados aplicados
Transparência pública: Este resumo visa permitir que titulares de direitos de autor e o público em geral compreendam que tipos de dados foram utilizados no treino, sem revelar segredos comerciais ou informação proprietária detalhada. O equilíbrio entre transparência e proteção de segredos comerciais é um princípio orientador do template.

Adesão ao Código de Práticas

Via complementar de demonstração de conformidade

Para além das quatro obrigações acima, os fornecedores são fortemente encorajados a aderir ao Código de Práticas GPAI, que constitui o mecanismo preferencial para demonstrar conformidade. Veja a secção dedicada mais abaixo.

Código de Práticas GPAI

Publicado a 10 de julho de 2025 — O primeiro Código de Práticas para modelos GPAI está em vigor.

O AI Office (Serviço para a IA) publicou o primeiro Código de Práticas para modelos de IA de propósito geral, desenvolvido em estreita colaboração com fornecedores de modelos, a comunidade académica, a sociedade civil e outras partes interessadas. Este Código constitui o instrumento central para demonstrar conformidade com as obrigações previstas nos Artigos 53 e 55.

Presunção de conformidade:

A adesão ao Código de Práticas cria uma presunção de conformidade com as obrigações do AI Act para modelos GPAI. Isto significa que, até que sejam publicadas normas harmonizadas europeias, os fornecedores que demonstrem adesão ao Código não precisam de apresentar provas adicionais de conformidade. Fornecedores que optem por não aderir terão o ónus de demonstrar, perante o Serviço para a IA, que dispõem de meios alternativos equivalentes.

Os 3 capítulos do Código de Práticas

1

Transparência e documentação

Define os requisitos detalhados para a elaboração de documentação técnica (conforme Anexo XI), a informação a fornecer aos utilizadores a jusante (conforme Anexo XII) e a publicação do resumo dos dados de treino. Estabelece modelos concretos, níveis de detalhe exigidos e prazos para atualização da documentação. Aplica-se a todos os fornecedores GPAI.

2

Conformidade com direitos de autor

Detalha as medidas técnicas e organizativas que os fornecedores devem implementar para respeitar a legislação europeia de direitos de autor. Inclui orientações práticas sobre como identificar reservas de direitos (opt-out de TDM), implementar mecanismos de rastreio, manter registos e responder a reclamações de titulares de direitos. Aplica-se a todos os fornecedores GPAI, incluindo open source.

3

Segurança e gestão de riscos para modelos com risco sistémico

Aplicável exclusivamente a modelos classificados com risco sistémico. Define protocolos para avaliação normalizada do modelo, metodologias de testes adversariais, frameworks de avaliação e mitigação de riscos sistémicos, procedimentos de monitorização e reporte de incidentes ao AI Office, e requisitos de cibersegurança. Inclui orientações específicas sobre como identificar riscos para a saúde, segurança, direitos fundamentais e processos democráticos.

Atualização contínua: O Código de Práticas será revisto e atualizado periodicamente pelo AI Office para refletir a evolução tecnológica, as melhores práticas da indústria e a experiência acumulada na sua aplicação. As partes interessadas são convidadas a contribuir para o processo de revisão.

Modelos GPAI com risco sistémico

Limiar de classificação

1025 FLOPs

Limiar de computação cumulativa (operações de vírgula flutuante) utilizada no treino do modelo

O que significa 1025 FLOPs na prática?

O valor de 1025 FLOPs (dez septilhões de operações de vírgula flutuante) corresponde a uma quantidade de computação extraordinariamente elevada. Para contextualizar: treinar um modelo desta escala pode exigir milhares de GPUs de última geração a funcionar continuamente durante semanas ou meses, com custos que facilmente ultrapassam as dezenas de milhões de euros. Este limiar foi estabelecido para captar apenas os modelos mais poderosos e potencialmente mais impactantes, que são também aqueles com maior potencial de risco sistémico.

Um modelo GPAI é classificado como apresentando risco sistémico quando se verifica pelo menos uma das seguintes condições:

  • A computação cumulativa utilizada para o treino do modelo excede 1025 FLOPs (floating point operations)
  • É designado pela Comissão Europeia, por iniciativa própria ou na sequência de um alerta qualificado do painel científico, com base em critérios como capacidades de alto impacto, alcance significativo no mercado, ou número elevado de utilizadores registados
Designação pela Comissão: Para além do limiar computacional automático, a Comissão pode designar um modelo como de risco sistémico com base numa avaliação qualitativa das suas capacidades, do seu alcance no mercado (número de utilizadores registados, número de integrações a jusante) ou de outros critérios equivalentes. Isto garante que modelos altamente capazes não escapem à regulação apenas por usarem técnicas de treino mais eficientes.
Atualização do limiar: A Comissão Europeia pode atualizar o limiar de 1025 FLOPs através de atos delegados, à medida que a tecnologia evolui e os benchmarks de capacidade se alteram. Esta flexibilidade é essencial para manter a regulação adequada num sector em rápida evolução. O fornecedor tem a obrigação de notificar a Comissão quando o limiar for atingido.
Quais modelos excedem atualmente este limiar? Os modelos de fronteira das principais empresas de IA — como GPT-4 (OpenAI), Gemini Ultra (Google), Claude 3.5/4 (Anthropic) e outros modelos de escala comparável — situam-se tipicamente no limiar ou acima de 1025 FLOPs. A lista exata depende de informação técnica detalhada que nem todos os fornecedores divulgam publicamente. A Comissão mantém um registo dos modelos notificados como de risco sistémico.

Obrigações adicionais para modelos com risco sistémico (Art. 55)

Para além de todas as obrigações do Art. 53, os fornecedores de modelos GPAI com risco sistémico devem cumprir as seguintes obrigações suplementares:

A

Avaliação do modelo

Art. 55(1)(a)

Realizar avaliações normalizadas do modelo de acordo com protocolos e ferramentas que reflitam o estado da arte, incluindo a realização e documentação de testes adversariais (adversarial testing) do modelo para identificar e mitigar riscos sistémicos.

Inclui nomeadamente:

  • Utilização de protocolos de avaliação normalizados reconhecidos internacionalmente (benchmarks)
  • Realização de testes adversariais (red-teaming) para identificar vulnerabilidades e comportamentos indesejados
  • Documentação completa dos resultados e metodologias utilizados na avaliação
  • Utilização de ferramentas do estado da arte, incluindo ferramentas que possam vir a ser desenvolvidas ou indicadas pelo AI Office
B

Avaliação e mitigação de riscos sistémicos

Art. 55(1)(b)

Identificar, avaliar e mitigar possíveis riscos sistémicos a nível da União, incluindo as suas fontes, que possam resultar do desenvolvimento, da colocação no mercado ou da utilização de modelos GPAI com risco sistémico.

Domínios de risco a considerar:

  • Saúde pública — Riscos de desinformação médica, geração de conteúdo prejudicial à saúde
  • Segurança — Riscos de utilização para criação de armas, ataques cibernéticos ou outras ameaças à segurança
  • Direitos fundamentais — Riscos de discriminação em larga escala, violação de privacidade, restrição da liberdade de expressão
  • Democracia — Riscos de manipulação eleitoral, geração massiva de desinformação, erosão do discurso público
C

Monitorização e reporte de incidentes

Art. 55(1)(c)

Acompanhar, documentar e comunicar sem demora injustificada ao Serviço para a IA e às autoridades nacionais competentes informações pertinentes sobre incidentes graves e possíveis medidas corretivas para os resolver.

Na prática:

  • Implementar sistemas de monitorização contínua para detetar incidentes e comportamentos anómalos
  • Comunicar incidentes graves ao AI Office (Serviço para a IA) em Bruxelas de forma célere
  • Documentar as medidas corretivas adotadas e a eficácia das mesmas
D

Cibersegurança

Art. 55(1)(d)

Assegurar um nível adequado de proteção em matéria de cibersegurança para o modelo GPAI e a infraestrutura física do modelo.

Medidas de proteção exigidas:

  • Proteção contra acessos não autorizados aos pesos do modelo e à infraestrutura de treino/inferência
  • Prevenção de fugas de dados sensíveis, incluindo dados de treino e parâmetros do modelo
  • Defesa contra manipulação adversarial (adversarial attacks, prompt injection, model poisoning)
  • Proteção da infraestrutura física (centros de dados, redes, sistemas de armazenamento)

Fluxo de classificação GPAI

Utilize este diagrama para determinar em que categoria se enquadra o seu modelo de IA e quais as obrigações aplicáveis.

O modelo apresenta generalidade significativa e executa com competência uma vasta gama de tarefas distintas?
NÃO

Não é GPAI

As obrigações dos Art. 51-55 não se aplicam. O sistema pode estar sujeito a outros requisitos do AI Act.

SIM

É modelo GPAI

Prosseguir para verificação do nível de risco

O treino excedeu 1025 FLOPs ou foi designado pela Comissão?
NÃO

É open source?

SIM

GPAI Open Source

Isenção parcial (Art. 53(2))

NÃO

GPAI Regular

Todas as obrigações Art. 53

SIM

GPAI Risco Sistémico

Art. 53 + Art. 55 (todas as obrigações)

Sem isenção open source!

Isenção para modelos GPAI open source

Art. 53(2) — Regime simplificado para modelos open source

Modelos GPAI cujos parâmetros, incluindo pesos, arquitetura do modelo e informação sobre a sua utilização, são disponibilizados publicamente beneficiam de uma isenção parcial das obrigações previstas no Art. 53. Concretamente, ficam dispensados das obrigações de documentação técnica e de informação aos fornecedores a jusante.

Condições cumulativas para beneficiar da isenção:

As condições abaixo são cumulativas, o que significa que todas devem ser verificadas simultaneamente para que a isenção se aplique. A falta de qualquer uma delas impede o benefício do regime simplificado.
  • Parâmetros publicamente acessíveis — Os parâmetros do modelo (incluindo pesos) devem estar disponíveis ao público de forma livre e sem restrições que impeçam o acesso, utilização, modificação e redistribuição
  • Código de treino e execução acessível — O código utilizado para treinar e executar o modelo deve ser disponibilizado publicamente
  • Pesos acessíveis e redistribuíveis — Os pesos do modelo devem ser disponibilizados para permitir acesso, utilização, modificação e redistribuição
  • Sem monetização direta restritiva — A disponibilização do modelo não pode estar condicionada a uma contrapartida monetária que restrinja substancialmente o acesso público

Obrigações que se mantêm mesmo com isenção open source:

  • Política de direitos de autor — Mesmo modelos open source devem adotar uma política para cumprir a legislação de direitos de autor da UE, incluindo mecanismos de identificação e respeito de opt-out de TDM
  • Resumo público dos dados de treino — A obrigação de publicar um resumo pormenorizado dos conteúdos de treino mantém-se integralmente, de acordo com o template do AI Office
Sem isenção para modelos com risco sistémico. Modelos GPAI open source que excedam o limiar de 1025 FLOPs de computação cumulativa no treino (ou que sejam designados pela Comissão) devem cumprir integralmente todas as obrigações adicionais previstas no Art. 55, sem qualquer isenção. Ser open source não dispensa da avaliação de riscos sistémicos, monitorização de incidentes ou proteção de cibersegurança. Esta é uma garantia essencial: a abertura do código não elimina os riscos sistémicos.

Supervisão pelo AI Office

Serviço para a IA (AI Office) — Bruxelas

Autoridade europeia de supervisão direta dos modelos GPAI

Ao contrário da maioria das disposições do AI Act — cuja aplicação é assegurada pelas autoridades nacionais competentes de cada Estado-Membro —, a supervisão dos modelos GPAI é feita diretamente pelo AI Office (Serviço para a IA), sediado em Bruxelas, no seio da Comissão Europeia. Esta é uma opção deliberada do legislador europeu, que reconhece a natureza transfronteiriça e a escala global dos modelos GPAI.

Competências do AI Office para GPAI

  • Receber e analisar a documentação técnica dos fornecedores GPAI
  • Supervisionar a conformidade com os Art. 53 e 55
  • Gerir o Código de Práticas e promover a sua atualização
  • Receber notificações sobre modelos que atingem o limiar de risco sistémico
  • Receber relatórios de incidentes graves de modelos com risco sistémico

Porquê supervisão centralizada?

  • Natureza transfronteiriça: Os modelos GPAI operam em toda a UE, sem fronteiras nacionais
  • Uniformidade: Evita-se fragmentação regulatória com 27 interpretações diferentes
  • Especialização técnica: A avaliação de modelos GPAI requer competências altamente especializadas
  • Diálogo direto: Permite interação eficiente com os fornecedores, muitos dos quais sediados fora da UE
Nota para empresas portuguesas: As empresas portuguesas que desenvolvam ou disponibilizem modelos GPAI devem interagir diretamente com o AI Office em Bruxelas para questões de conformidade GPAI, e não com a autoridade nacional portuguesa. Contudo, a autoridade nacional continua competente para as restantes disposições do AI Act (sistemas de alto risco, transparência, etc.).

Comparação: GPAI standard vs. risco sistémico vs. open source

Obrigação GPAI standard
(Art. 53)		 GPAI risco sistémico
(Art. 53 + 55)		 GPAI open source
(Art. 53(2))
Documentação técnica (Anexo XI) Obrigatório Obrigatório Isento
Informação a fornecedores a jusante Obrigatório Obrigatório Isento
Política de direitos de autor Obrigatório Obrigatório Obrigatório
Resumo público dos dados de treino Obrigatório Obrigatório Obrigatório
Avaliação normalizada do modelo N/A Obrigatório Se >1025 FLOPs
Avaliação e mitigação de riscos sistémicos N/A Obrigatório Se >1025 FLOPs
Monitorização e reporte de incidentes N/A Obrigatório Se >1025 FLOPs
Proteção de cibersegurança N/A Obrigatório Se >1025 FLOPs
Obrigatório — Aplica-se sempre N/A — Não se aplica a esta categoria Isento — Dispensado por ser open source Condicional — Aplica-se se exceder limiar de risco sistémico

O seu modelo é GPAI?

Utilize o classificador de risco para verificar se o seu sistema utiliza um modelo GPAI e descobrir quais as obrigações aplicáveis ao abrigo do AI Act.

Classificar sistema de IA Ver todas as obrigações