Regime sancionatório do Regulamento (UE) 2024/1689
O AI Act estabelece um regime de coimas significativas para garantir o cumprimento das suas disposições. As penalizações são proporcionais à gravidade da infração e ao porte da organização.
O Artigo 99 do AI Act define três patamares de coimas, cada um associado a diferentes tipos de infração. Os valores máximos aplicam-se a empresas de grande dimensão — para PMEs, aplicam-se regras especiais.
da faturação anual global
Práticas proibidas (Art. 5)
Utilização de sistemas de IA proibidos: manipulação subliminar, exploração de vulnerabilidades, social scoring, policiamento preditivo individual, raspagem não direcionada de imagens faciais, reconhecimento de emoções no trabalho/educação, categorização biométrica por dados sensíveis e identificação biométrica remota em tempo real.
da faturação anual global
Outras violações do regulamento
Incumprimento dos requisitos para sistemas de alto risco (Art. 8-15), obrigações de fornecedores (Art. 16), obrigações de responsáveis pela implantação (Art. 26), requisitos de transparência (Art. 50), obrigações GPAI (Art. 51-55) e obrigações dos organismos notificados.
da faturação anual global
Informação incorreta às autoridades
Prestação de informações incorretas, incompletas ou enganosas aos organismos notificados ou às autoridades nacionais competentes em resposta a um pedido formal, incluindo no âmbito de procedimentos de fiscalização ou inspeção.
Para PMEs, incluindo startups, aplica-se sempre o menor dos dois valores: o montante fixo (35M, 15M ou 7,5M euros) ou a percentagem da faturação global (7%, 3% ou 1%).
Exemplo: uma PME com faturação de 50M€ pagaria no máximo 3,5M€ (7%) numa infração de nível 1, em vez dos 35M€.
Segue a definição da Recomendação 2003/361/CE da Comissão Europeia:
O regulamento também prevê:
Nos termos do Artigo 99(7) do AI Act, as autoridades nacionais competentes devem ter em conta os seguintes fatores ao determinar o montante das coimas:
A natureza, a gravidade e a duração da infração, tendo em conta a finalidade do sistema de IA, bem como o número de pessoas afetadas e o nível de danos sofridos.
Se a infração foi cometida de forma intencional ou por negligência. Ações deliberadas de incumprimento são tratadas com maior severidade do que erros involuntários ou desconhecimento.
Quaisquer medidas corretivas tomadas pelo operador para mitigar os danos sofridos pelas pessoas afetadas. A adoção rápida de correções é valorizada positivamente.
Quaisquer infrações anteriores cometidas pelo mesmo operador. A reincidência é um fator agravante significativo na determinação do valor da coima.
O grau de cooperação com as autoridades competentes para remediar a infração e mitigar os seus efeitos. Uma cooperação ativa pode resultar em redução da sanção.
A dimensão da empresa, a sua quota de mercado e o volume de negócios anual. As coimas devem ser eficazes, proporcionadas e dissuasivas face ao contexto económico do infrator.
A ANACOM, enquanto autoridade nacional competente principal para a supervisão do AI Act em Portugal, coordena o processo de fiscalização e aplicação de sanções. O processo segue as etapas indicadas abaixo.
O processo pode ser iniciado por denúncia de qualquer pessoa, por comunicação de outra autoridade, ou por deteção proativa no âmbito de ações de fiscalização programadas pela ANACOM ou autoridade sectorial competente.
A autoridade competente realiza uma análise preliminar para verificar se existem indícios suficientes de infração. Pode solicitar informações ao operador e realizar inspeções preliminares ao sistema de IA.
Se os indícios forem confirmados, é aberto um processo de investigação formal. A autoridade pode exigir acesso à documentação técnica, realizar auditorias ao sistema de IA, solicitar demonstrações e recolher provas.
O operador é notificado das conclusões da investigação e tem direito a audiência prévia, podendo apresentar a sua defesa, juntar documentação complementar e propor medidas corretivas.
A autoridade emite uma decisão fundamentada, que pode incluir a aplicação de coima, a imposição de medidas corretivas, a restrição ou retirada do sistema do mercado, ou o arquivamento do processo.
O operador pode recorrer da decisão para os tribunais administrativos portugueses. O recurso pode ter efeito suspensivo da sanção, dependendo das circunstâncias do caso e da decisão do tribunal.
Os seguintes cenários são hipotéticos e meramente ilustrativos, destinados a ajudar a compreender como o regime sancionatório do AI Act poderá ser aplicado na prática.
Cenário: Uma autarquia implementa um sistema de IA que atribui uma pontuação social aos cidadãos com base no seu comportamento, utilizando-a para determinar o acesso a serviços públicos municipais.
Infração: Violação do Art. 5(1)(c) — classificação social por autoridades públicas que conduza a tratamento prejudicial de pessoas.
Sanção potencial: Até 35 milhões de euros ou 7% da faturação anual global. Ordem imediata de cessação da utilização do sistema.
Cenário: Um banco utiliza um sistema de IA de alto risco para decisões de crédito, mas não realizou a avaliação de impacto sobre os direitos fundamentais (FRIA) exigida pelo Art. 27.
Infração: Incumprimento das obrigações do responsável pela implantação de sistema de alto risco, nomeadamente a obrigação de realizar FRIA antes da colocação em serviço.
Sanção potencial: Até 15 milhões de euros ou 3% da faturação anual global. Obrigação de realizar a FRIA e implementar medidas corretivas.
Cenário: Uma empresa de software portuguesa desenvolve um sistema de IA para triagem de candidaturas de emprego (alto risco) mas não mantém a documentação técnica atualizada conforme o Anexo IV.
Infração: Violação do Art. 11 — obrigação de elaborar e manter documentação técnica que demonstre a conformidade do sistema com os requisitos do Capítulo III, Secção 2.
Sanção potencial: Até 15 milhões de euros ou 3% da faturação anual global. Se PME, aplica-se o menor dos dois valores.
Cenário: Um fornecedor de sistemas de IA, durante o processo de avaliação de conformidade, fornece informações falsas ao organismo notificado sobre o desempenho e precisão do seu sistema.
Infração: Prestação de informações incorretas ou enganosas a organismos notificados ou autoridades competentes no âmbito de procedimentos de avaliação de conformidade ou fiscalização.
Sanção potencial: Até 7,5 milhões de euros ou 1% da faturação anual global. Possível anulação da certificação de conformidade.
Nota importante: Os cenários acima são meramente ilustrativos e hipotéticos. Os montantes reais das coimas dependerão de múltiplos fatores, incluindo a gravidade da infração, o grau de cooperação e a dimensão da empresa. A aplicação concreta será determinada pelas autoridades competentes caso a caso.
O AI Act segue um modelo sancionatório semelhante ao do Regulamento Geral sobre a Proteção de Dados (RGPD), mas com valores máximos superiores para as infrações mais graves.
| Aspeto | AI Act (Regulamento IA) | RGPD (Proteção de Dados) |
|---|---|---|
| Coima máxima (nível superior) | €35 milhões ou 7% da faturação global | €20 milhões ou 4% da faturação global |
| Coima máxima (nível intermédio) | €15 milhões ou 3% da faturação global | €10 milhões ou 2% da faturação global |
| Coima máxima (nível inferior) | €7,5 milhões ou 1% da faturação global | N/A (apenas 2 níveis) |
| Regra PME | Aplica-se o menor dos dois valores | Aplica-se o maior dos dois valores |
| Autoridade em Portugal | ANACOM (coordena 14 autoridades) | CNPD (Comissão Nacional de Proteção de Dados) |
| Aplicação | Desde 2 de agosto de 2025 (regime sancionatório) | Desde 25 de maio de 2018 |
| Âmbito material | Sistemas e modelos de IA | Tratamento de dados pessoais |
| Sobreposição | Quando um sistema de IA trata dados pessoais, ambos os regulamentos podem aplicar-se simultaneamente, podendo resultar em sanções cumulativas de ambas as autoridades. | |
Prevenir é melhor do que remediar. Utilize as nossas ferramentas para identificar e corrigir potenciais incumprimentos antes que resultem em sanções.