IA Act: o que as empresas precisam de saber em 2026

A inteligência artificial já não escapa à regulamentação. A 1 de agosto de 2024, o regulamento europeu sobre inteligência artificial — o AI Act (regulamento UE 2024/1689) — entrou em vigor. É o primeiro quadro jurídico no mundo dedicado especificamente à IA.

Para as empresas, a questão já não é saber se a IA será regulamentada, mas como cumprir antes dos prazos. E o próximo é iminente: a 2 de agosto de 2026, a maioria das obrigações será plenamente aplicável.

Segundo um estudo do Center for Data Innovation publicado no final de 2025, menos de 30% das PME europeias começaram a preparar-se. Isto é um problema.

O que é o IA Act?

O IA Act é um regulamento europeu — não uma diretiva. Aplica-se diretamente em todos os Estados-membros, sem transposição nacional. O seu objetivo: enquadrar o desenvolvimento e a utilização da IA na Europa segundo uma abordagem baseada em riscos.

Ao contrário do RGPD, que enquadra os dados pessoais, o IA Act enquadra os próprios sistemas de IA — a sua conceção, colocação no mercado e utilização.

Os dois textos são complementares: um sistema de IA que trate dados pessoais deve ser conforme ao RGPD E ao IA Act.

Porquê esta regulamentação agora? A explosão dos modelos generativos (ChatGPT, Mistral, Claude, Gemini) acelerou a consciencialização dos riscos: enviesamentos algorítmicos no recrutamento, desinformação através de deepfakes, vigilância em massa por reconhecimento facial, decisões automatizadas opacas que afetam direitos fundamentais. A Europa optou por regular antes que estes riscos se tornassem incontroláveis.

O calendário de entrada em aplicação

O IA Act aplica-se de forma progressiva entre fevereiro de 2025 e agosto de 2027:

2 de fevereiro de 2025 — Práticas proibidas

Desde esta data, os sistemas de IA que apresentam um risco inaceitável estão estritamente proibidos na União Europeia. Isto inclui:

A manipulação subliminar ou enganosa
A exploração de vulnerabilidades ligadas à idade, deficiência ou situação social
A pontuação social (social scoring) pelas autoridades públicas
A categorização biométrica baseada em dados sensíveis (raça, religião, orientação sexual)
A recolha não direcionada de imagens faciais para reconhecimento facial

Concretamente para as empresas: se utiliza uma ferramenta de IA que analisa as emoções dos seus candidatos em entrevistas vídeo, ou que classifica os seus colaboradores segundo uma pontuação de fiabilidade, está potencialmente em infração desde fevereiro de 2025. As coimas por práticas proibidas são as mais pesadas: até 35 milhões de euros ou 7% do volume de negócios mundial.

2 de agosto de 2025 — Obrigações para os modelos de IA de uso geral (GPAI)

Os fornecedores de modelos de IA de uso geral (Mistral, GPT, Claude, Llama, etc.) estão sujeitos a obrigações de transparência e documentação técnica. Os modelos que apresentam risco sistémico são objeto de obrigações reforçadas.

O que isto significa para os utilizadores destes modelos: se integra um modelo GPAI nos seus produtos ou serviços, beneficia da documentação técnica fornecida pelo fornecedor do modelo. No entanto, continua responsável pelo uso que faz e pela conformidade da sua aplicação final.

2 de agosto de 2026 — Aplicação do conjunto do texto

Esta é a data-chave. A partir de 2 de agosto de 2026, o conjunto das obrigações aplica-se, com exceção das regras de classificação dos sistemas de alto risco do artigo 6. Todos os fornecedores e utilizadores de sistemas de IA de alto risco listados no Anexo III devem estar em conformidade.

2 de agosto de 2027 — Aplicação completa

Entrada em aplicação das regras de classificação do artigo 6 para os sistemas de alto risco já enquadrados por legislação setorial europeia (dispositivos médicos, brinquedos, máquinas, etc.).

A classificação de riscos: 4 níveis

O IA Act assenta numa abordagem hierarquizada dos riscos. Cada sistema de IA é classificado numa das quatro categorias seguintes, que determinam as obrigações aplicáveis.

Risco inaceitável — Proibido

Sistemas estritamente proibidos desde fevereiro de 2025 (ver acima). Nenhuma derrogação possível.

Alto risco — Obrigações pesadas

Os sistemas de IA de alto risco são aqueles com impacto significativo nos direitos fundamentais. O Anexo III do regulamento apresenta a lista:

Biometria: identificação, categorização, deteção de emoções
Infraestruturas críticas: gestão do tráfego rodoviário, fornecimento de água, gás, eletricidade
Educação e formação: avaliação, admissão, orientação
Emprego: recrutamento, avaliação de candidatos, decisões de promoção
Serviços essenciais: elegibilidade para prestações sociais, scoring de crédito, avaliação de riscos em seguros
Repressão: avaliação de riscos, polígrafos, perfilagem
Migração e controlo de fronteiras: avaliação de pedidos de visto ou asilo
Justiça: pesquisa jurídica, interpretação de factos e de direito

Obrigações dos sistemas de alto risco:

Sistema de gestão da qualidade
Documentação técnica detalhada
Registo automático (logs)
Transparência e informação dos utilizadores
Supervisão humana efetiva
Precisão, robustez e cibersegurança
Registo na base de dados europeia

Um ponto essencial para as PME: mesmo que não seja o programador do sistema de IA, o simples facto de o implementar num caso de uso de alto risco sujeita-o a obrigações de utilizador. Utilizar uma ferramenta de triagem automatizada de CV, por exemplo, torna-o utilizador de um sistema de IA de alto risco no domínio do emprego.

Risco limitado — Obrigações de transparência

Os sistemas que apresentam um risco limitado estão principalmente sujeitos a obrigações de informação:

Os chatbots devem informar o utilizador de que está a interagir com uma IA
Os conteúdos gerados por IA (texto, imagem, áudio, vídeo) devem ser assinalados como tal
Os sistemas de deteção de emoções ou de categorização biométrica devem informar as pessoas visadas

Os deepfakes são particularmente visados. Todo o conteúdo sintético (imagem, áudio, vídeo) gerado ou modificado por uma IA deve ser marcado como tal de forma detetável por máquina e compreensível pelo ser humano. Esta obrigação diz respeito tanto aos fornecedores de modelos como aos utilizadores que difundem estes conteúdos.

Risco mínimo — Sem obrigação específica

A grande maioria dos sistemas de IA atuais (filtros anti-spam, recomendações de produtos, corretores ortográficos) enquadra-se no risco mínimo. Nenhuma obrigação específica se impõe, mas o respeito pelas boas práticas é incentivado.

Impacto concreto para as PME portuguesas e europeias

Quem está abrangido?

Se a sua empresa utiliza um sistema de IA classificado como de alto risco (recrutamento automatizado, scoring de crédito, avaliação de riscos), é “utilizador” na aceção do IA Act e tem obrigações específicas.

Se a sua empresa desenvolve um sistema de IA, é “fornecedor” e as obrigações são mais pesadas.

A distinção fornecedor/utilizador é fundamental. Um fornecedor concebe e coloca no mercado um sistema de IA. Um utilizador emprega-o no âmbito da sua atividade. Ambos têm obrigações, mas são diferentes. O utilizador deve certificar-se de que a IA é utilizada de acordo com as instruções do fornecedor, implementar supervisão humana, informar as pessoas visadas e realizar uma análise de impacto nos direitos fundamentais para os sistemas de alto risco.

O que as PME devem fazer agora

Mapear os sistemas de IA utilizados: que ferramentas de IA estão implementadas na sua organização? Para que usos? Este levantamento é o primeiro passo indispensável.
Classificar os riscos: para cada sistema, determinar a sua categoria de risco segundo o regulamento. Consulte o Anexo III para verificar se os seus usos são classificados como de alto risco.
Avaliar a conformidade: os sistemas de alto risco respeitam os requisitos de transparência, rastreabilidade e supervisão humana?
Documentar: mesmo para os sistemas de risco mínimo, documentar os usos e as precauções tomadas. Esta documentação será valiosa em caso de fiscalização.
Formar as equipas: sensibilizar os colaboradores para as obrigações do IA Act e as boas práticas de utilização responsável da IA.
Contactar os seus fornecedores: solicitar a documentação técnica e os certificados de conformidade aos fornecedores dos sistemas de IA que utiliza.

Isenções e medidas de acompanhamento

O regulamento prevê disposições para aliviar a carga das PME:

Os sistemas já legalmente no mercado antes de agosto de 2026 beneficiam de uma cláusula transitória — podem permanecer em serviço desde que não sofram uma “modificação substancial”
Sandboxes regulatórias (regulatory sandboxes) permitem testar sistemas de IA inovadores num quadro controlado
A Comissão Europeia deve publicar diretrizes e ferramentas práticas para acompanhar as PME
As coimas são reduzidas para as PME: os limites máximos são calculados proporcionalmente ao volume de negócios, com montantes reduzidos para microempresas e startups

IA Act e RGPD: dois regulamentos complementares

O IA Act não substitui o RGPD — acrescenta-se a ele. Se o seu sistema de IA trata dados pessoais, deve cumprir os dois textos simultaneamente.

Exemplos de sobreposição:

Um sistema de recrutamento automatizado deve ser conforme ao IA Act (alto risco) E ao RGPD (tratamento de dados pessoais, perfilagem, decisões automatizadas nos termos do artigo 22)
Um chatbot que recolhe dados pessoais deve informar o utilizador de que interage com uma IA (IA Act) E respeitar as obrigações de transparência e consentimento do RGPD
A utilização de dados pessoais para treinar um modelo de IA deve respeitar os princípios de minimização e finalidade do RGPD

O direito à explicação reforça-se. O artigo 22 do RGPD já confere o direito de não ser sujeito a uma decisão exclusivamente automatizada que produza efeitos jurídicos. O IA Act reforça este direito ao exigir supervisão humana efetiva para todos os sistemas de alto risco. Concretamente, um sistema de IA não deve tomar sozinho uma decisão com impacto significativo sobre uma pessoa sem possibilidade de intervenção humana.

A governação dos dados de treino é outro ponto de convergência. O IA Act exige que os dados utilizados para treinar sistemas de alto risco sejam pertinentes, representativos, isentos de erros e completos. O RGPD exige que o tratamento de dados pessoais para fins de treino assente numa base legal válida. As duas exigências acumulam-se.

Como a DPLIANCE integra a IA de forma responsável

Na DPLIANCE, utilizamos IA nos nossos produtos — nomeadamente Mistral, um modelo de IA francês e europeu, integrado no Complio para automatizar a auditoria de conformidade RGPD.

A nossa abordagem é guiada por três princípios:

Transparência: indicamos claramente quando a IA intervém nos nossos produtos e o que faz
Soberania: privilegiamos modelos europeus (Mistral) e alojamento na Europa (Scaleway) para que os dados nunca saiam do solo europeu
Supervisão humana: a IA no Complio assiste e acelera a auditoria, mas não substitui a expertise humana. As recomendações são sempre verificáveis

A privacidade não é um compromisso. A soberania também não. E a inteligência artificial não deve alterar esta equação.

Descubra como o Complio utiliza a IA para automatizar a sua conformidade RGPD, e explore o conjunto das nossas soluções soberanas.

FAQ

O IA Act aplica-se às empresas que utilizam IA sem a desenvolver?

Sim. O IA Act distingue os “fornecedores” (que desenvolvem) e os “utilizadores” (que utilizam). Os utilizadores de sistemas de alto risco têm obrigações específicas: supervisão humana, informação das pessoas visadas, utilização conforme às instruções do fornecedor. Para os sistemas de risco limitado (chatbots, geradores de conteúdo), a obrigação principal é a transparência perante o utilizador.

O meu chatbot está abrangido pelo IA Act?

Sim, no mínimo ao abrigo das obrigações de transparência (risco limitado): deve informar os utilizadores de que interagem com uma IA. Se o chatbot toma decisões que afetam os direitos das pessoas (ex.: elegibilidade para um serviço), poderá ser classificado como de alto risco. A análise depende do uso concreto e não da tecnologia em si.

Quais são as sanções previstas pelo IA Act?

As coimas variam conforme a gravidade da infração: até 35 milhões de euros ou 7% do volume de negócios mundial para as práticas proibidas, até 15 milhões ou 3% para as demais obrigações. Montantes reduzidos são previstos para as PME. O regulamento prevê igualmente que as autoridades nacionais de supervisão (em Portugal, a CNPD — Comissão Nacional de Proteção de Dados) possam impor medidas corretivas, retiradas do mercado e proibições temporárias de utilização.

Qual é a diferença entre o IA Act e o RGPD?

O RGPD enquadra o tratamento de dados pessoais. O IA Act enquadra os sistemas de inteligência artificial em si — a sua conceção, colocação no mercado e utilização. Os dois textos são complementares e podem aplicar-se simultaneamente ao mesmo sistema. Em caso de conflito, prevalecem as regras mais protetoras para as pessoas.

Devo deixar de utilizar IA na minha empresa?

Não. A grande maioria dos usos de IA em empresas (assistentes, automatização, análise de dados) enquadra-se no risco mínimo e não é objeto de qualquer restrição. O IA Act visa os usos de risco elevado, não a IA em geral. O objetivo do regulamento não é travar a inovação, mas garantir que a IA é utilizada de forma responsável e respeitadora dos direitos fundamentais.

Como me preparar concretamente antes de agosto de 2026?

Comece por um inventário de todos os sistemas de IA utilizados na sua empresa. Classifique-os segundo as categorias de risco do regulamento. Para os sistemas de alto risco, contacte os seus fornecedores para obter a documentação técnica. Forme as suas equipas. E documente tudo: em caso de fiscalização, a prova da sua diligência de conformidade será o seu melhor trunfo.

Fontes: Regulamento (UE) 2024/1689 — IA Act, CNIL (autoridade francesa de proteção de dados) — Inteligência artificial, Naaia — Calendário AI Act 2026. Artigo atualizado a 25 de março de 2026.