Carta de IA na empresa: guia prático 2026 (RGPD + Regulamento IA)

Quick Answer: o que é uma carta IA na empresa?

Uma carta de utilização da IA na empresa é um documento curto, oponível (a organização pode invocá-lo em caso de litígio com um colaborador) e pedagógico. Enquadra a utilização das ferramentas de IA generativa pelos colaboradores. Não substitui a política IA global da organização — é a sua vertente utilizador, traduzida em regras concretas do quotidiano.

Uma carta eficaz em 2026 contém no mínimo 8 secções:

Âmbito — quem está abrangido e em que ferramentas.
Ferramentas autorizadas — distinção entre ferramentas consumo, ferramentas empresa e instalação local («on-premise»).
Dados autorizados — tipologia clara (públicos, negócio, pessoais, sensíveis).
Verificação obrigatória — regras de revisão e validação.
Confidencialidade — proibições explícitas (segredos, dados clientes, informação financeira não pública).
Propriedade intelectual — regras sobre conteúdos gerados e atribuição.
Comunicação de incidente — procedimento de escalada em caso de fuga ou erro.
Sanções e atualização — caráter oponível disciplinar e frequência de revisão.

É o documento oponível que materializa a conformidade Regulamento IA (artigo 4 — literacia IA) e serve de primeiro escudo RGPD em caso de inspeção da CNPD. Sem carta, o uso IA é sofrido, não pilotado.

Porque uma carta de utilização IA se tornou indispensável em 2026

Três deslocações cumuladas tornam a carta IA inegociável para qualquer organização com mais de 20 colaboradores.

Deslocação regulamentar — o Regulamento IA impõe literacia IA. O artigo 4 do regulamento (UE) 2024/1689, em aplicação desde fevereiro de 2025, exige que as organizações assegurem que as pessoas que utilizam um sistema IA no quadro profissional dispõem de um «nível de literacia suficiente» — adaptado ao contexto de utilização e ao tipo de sistema. A carta é a ferramenta mais simples para materializar esta obrigação: um documento assinado, datado, difundido, que prova que a organização explicou as regras aos utilizadores.

Deslocação dos usos — a IA está em todo o lado, sem enquadramento. Os inquéritos 2025-2026 (McKinsey, BCG, INE-IUS) convergem: 65 a 80% dos colaboradores white-collar em Portugal usam ChatGPT ou um equivalente pelo menos uma vez por semana. Mas a maioria desta utilização faz-se por contas pessoais, sem enquadramento, com dados que não deveriam ir para um LLM consumo. Sem carta = sem limite = risco permanente de fuga ou erro.

Deslocação jurisprudencial — caem as primeiras sanções. O Garante (Itália) sancionou OpenAI em 15 milhões de euros em dezembro de 2024 por ausência de enquadramento transparente — a referência europeia. A CNPD anunciou publicamente a IA como prioridade de controlo 2026 e publicou orientações específicas sobre o uso de ferramentas de IA generativa em 2024-2025. As jurisdições europeias esperam agora ver uma carta IA em qualquer organização auditada — a sua ausência será tratada como uma falha de governação, não como uma simples lacuna documental.

Para o quadro jurídico completo, ver o nosso guia IA e RGPD e o nosso guia AIPD para projeto IA.

As 8 secções de uma carta IA eficaz

1. Âmbito de aplicação

Quem está abrangido, em que ferramentas, em que enquadramento. Uma carta ambígua sobre o âmbito é inoponível. A precisar:

Que populações: todos os trabalhadores (sem termo, a termo, temporários ETT), prestadores externos, estagiários, aprendizes, freelancers com acesso ao SI
Que ferramentas: LLM conversacionais (ChatGPT, Claude, Gemini, Mistral), assistentes integrados (Copilot, Notion AI, Gemini for Workspace), geradores de imagens (DALL-E, Midjourney), ferramentas de transcrição (Whisper, Otter), agentes IA internos
Em que enquadramento: utilização profissional nas ferramentas postas à disposição pela empresa — a carta não cobre geralmente o uso estritamente pessoal em conta privada fora do horário de trabalho

2. Ferramentas autorizadas e níveis de uso

Distinção crítica a transmitir. Uma tabela na carta vale mais do que um parágrafo.

Categoria	Ferramentas típicas	Dados autorizados
Consumo	ChatGPT.com, Claude.ai, Gemini gratuito, Mistral Le Chat Pro	Nenhum dado profissional não público
Empresa (com subcontratação)	ChatGPT Team / Enterprise, Claude para Empresas, Mistral Le Chat Enterprise, Microsoft Copilot com licença adequada	Dados de negócio, certos dados pessoais com pseudonimização
On-premise / soberano	Mistral on-prem (vLLM), Llama 3 self-hosted, infraestrutura interna	Dados sensíveis, segredos, M&A, RH nominativo, saúde (RSE)

As condições de utilização consumo não cobrem o uso comercial conforme. Esta distinção deve ser explícita com exemplos — nada de «consoante o contexto».

Ver o nosso guia LLM local em empresa para a vertente on-premise.

3. Dados autorizados — a tipologia central

O coração operacional da carta. Quatro categorias, a ilustrar concretamente.

Tipo de dado	Exemplos	Ferramentas autorizadas
Pública	Conteúdo já publicado, comunicação externa, doc pública	Todas
Negócio não sensível	Notas internas, rascunhos, projetos não confidenciais, código não proprietário	Ferramentas empresa (com subcontratação)
Pessoal	Clientes, trabalhadores, prospetos, partes identificáveis	Ferramentas empresa com subcontratação + pseudonimização se pertinente. AIPD se tratamento de risco
Sensível / estratégica	Saúde, biometria, segredo profissional, segredo industrial, M&A, contencioso, financeiro não público	Apenas on-premise

Dar exemplos concretos para cada categoria. Uma tipologia abstrata é inutilizável no quotidiano.

4. Regras de verificação obrigatória

A IA alucina — produz afirmações plausíveis mas falsas sem sinal de dúvida. A carta deve impor:

Verificação sistemática de cifras, datas, referências jurídicas, citações, biografias antes de qualquer uso externo
Cruzamento de fontes sobre temas sensíveis (jurídico, médico, financeiro)
Menção «conteúdo gerado com assistência IA» nas comunicações externas quando pertinente (coerente com o artigo 50 do Regulamento IA sobre transparência)
Sem decisão automatizada sem revisão humana sobre qualquer tema com efeito jurídico ou impacto significativo (artigo 22 RGPD)

5. Confidencialidade — proibições explícitas

A secção que previne as fugas mais graves. Lista explícita do que nunca deve ser copiado num prompt, mesmo nas versões empresa:

Segredo profissional (advogado, médico, contabilista certificado, ROC)
Dados clientes identificáveis sem pseudonimização
Palavras-passe, chaves API, credenciais
Documentos marcados como confidencial ou estratégico
Comunicações M&A, acordos de confidencialidade, contenciosos em curso
Informação financeira não pública (resultados antes de publicação, projeções — atenção obrigações de informação privilegiada nos termos do CVM para emitentes cotados na Euronext Lisbon)
Informação RH nominativa (avaliações, salários, situações individuais)

Quanto mais explícita e ilustrada estiver a lista, mais aplicável é.

6. Propriedade intelectual

Três temas a clarificar:

Conteúdos gerados pertencentes à empresa — clarificação de que os outputs produzidos no quadro profissional são propriedade da empresa, não do utilizador individual
Risco de contrafação — um conteúdo gerado pode reproduzir substancialmente uma obra protegida presente nos dados de treino; obrigação de rever e adaptar
Citação das fontes quando o conteúdo gerado se apoia numa pesquisa IA (Perplexity, ChatGPT com pesquisa web, Gemini Search) — verificar as fontes e citá-las

7. Comunicação de incidente

Procedimento claro para o que pode acontecer:

Fuga involuntária (envio por erro de dados sensíveis para um LLM consumo)
Alucinação passada para produção (informação falsa difundida a um cliente ou internamente)
Suspeita de viés ou discriminação numa decisão automatizada
Incidente de segurança (conta comprometida, acesso não autorizado)

A precisar: quem contactar (EPD, CISO, responsável IA), em que prazo (24-72 h consoante gravidade — atenção prazo 72 h notificação CNPD), com que elementos (prompt, output, contexto).

8. Sanções e atualização

Oponibilidade disciplinar — menção de que o incumprimento pode acarretar sanção a título do regulamento interno ou IRCT aplicável. Sem isto, a carta não tem alcance jurídico real. Em Portugal, o regulamento interno deve ser afixado nos termos do art. 99.º do Código do Trabalho para que possa fundamentar sanção disciplinar.

Ciclo de revisão — anual como mínimo, mais rapidamente se o ecossistema IA evoluir substancialmente. Data da versão atual visível.

Especificidades PT: Comissão de Trabalhadores, Código do Trabalho art. 20-21

Portugal apresenta um quadro duplo a respeitar ao implementar uma carta IA: representação dos trabalhadores via Comissão de Trabalhadores e regime estrito de proibição da vigilância à distância.

Comissão de Trabalhadores e Código do Trabalho art. 423.º

A Comissão de Trabalhadores (CT) dispõe, nos termos do artigo 423.º do Código do Trabalho (Lei n.º 7/2009), de direitos de:

Informação sobre matérias relativas à organização e modificação dos métodos de produção e introdução de novas tecnologias.
Consulta prévia sobre as decisões da empresa relativas a alterações relevantes da organização do trabalho ou dos métodos de produção e à introdução de equipamentos com impacto sobre o emprego.
Controlo da gestão da empresa em matérias específicas.

As ferramentas IA que monitorizam a produtividade, transcrevem reuniões, fazem triagem de CV ou assistem o management entram diretamente neste perímetro. Uma implementação sem consulta prévia da CT (quando exista) é atacável pela representação legal e pode dar lugar a um conflito coletivo de trabalho.

Boa prática: integrar a carta IA no regulamento interno e/ou em IRCT (Instrumento de Regulamentação Coletiva de Trabalho — convenção coletiva, acordo de empresa, contrato coletivo) aplicável.

Código do Trabalho art. 20.º — proibição de vigilância à distância

O artigo 20.º do Código do Trabalho estabelece um regime estrito:

«O empregador não pode utilizar meios de vigilância à distância no local de trabalho, mediante o emprego de equipamento tecnológico, com a finalidade de controlar o desempenho profissional do trabalhador.»

A utilização de tais meios é admitida quando:

Tenha por finalidade a proteção e segurança de pessoas e bens;
Determinadas atividades o justifiquem;
Tenha sido autorizada pela CNPD após parecer favorável.

A violação do art. 20.º constitui contraordenação muito grave punível com coima até 9 690 euros por trabalhador afetado (art. 28.º CT) — multiplicado pelo efetivo, isto pode rapidamente ultrapassar centenas de milhares de euros.

Aplicação concreta às ferramentas IA:

ChatGPT, Claude, Gemini Enterprise utilizados como ferramenta de trabalho: não constituem vigilância à distância stricto sensu — são instrumentos de produção. Mas a recolha de logs por trabalhador para fins de avaliação de desempenho é proibida pelo art. 20.º.
IA de monitorização de produtividade, ranking, alertas baseados em tempo de uso: caem claramente sob o art. 20.º. Necessária autorização CNPD.
IA de triagem de CV: deve respeitar o quadro art. 22 RGPD + art. 20.º se o processo permitir vigilância sobre os candidatos ou trabalhadores.

Articulação com o RGPD e a CNPD

A CNPD publicou em 2024-2025 várias deliberações relevantes:

Sobre o uso de ChatGPT em contexto profissional.
Sobre a vigilância de trabalhadores via ferramentas tecnológicas.
Sobre a articulação art. 20.º CT + art. 6 RGPD (base jurídica para tratamento de dados de trabalhadores).

A coima CNPD pode subir até 20 milhões de euros ou 4% do volume de negócios mundial nos termos do RGPD art. 83. Acumulação possível com a coima ACT/Trabalho ao abrigo do art. 28.º CT.

Boa prática: carta IA + autorização CNPD se necessário + consulta da CT

Uma implementação conforme em Portugal segue tipicamente:

Análise de cada ferramenta IA: caracterização vigilância à distância (sim/não).
Consulta da CT (quando exista) com período de pelo menos 10 dias úteis nos termos do CT.
Pedido de autorização CNPD se identificada vigilância à distância — instrução típica de 60 a 120 dias.
Inclusão no regulamento interno afixado nos termos do art. 99.º CT.
Carta IA assinada por cada colaborador.

Carta vs política IA vs guia de uso: como articular?

Três documentos complementares, a não confundir.

Documento	Público	Formato	Comprimento	Frequência atualização
Política IA	Direção, governação	Estratégico	10-20 páginas	Anual
Carta de uso	Todos os colaboradores	Oponível, assinável	3-5 páginas	Anual ou +
Guia de uso	Todos os colaboradores	Pedagógico, exemplos	20-50 páginas	Contínua

A política IA da empresa é o documento estratégico de governação.

A carta de uso IA é o documento oponível utilizador. Traduz a política em regras concretas para os colaboradores. Legível em 10 minutos, assinável.

O guia de uso IA é o documento pedagógico (cf. formação IA na empresa). Formação contínua, não normativa.

Uma organização madura dispõe dos três. Uma organização que começa pode iniciar pela carta (a mais urgente juridicamente) e completar depois.

Esquema de articulação

[Política IA]                       ──► governação, estratégia, comité IA
       │
       ▼
[Consulta CT + autorização CNPD]    ──► quadro legal validado
       │
       ▼
[Carta de uso]                      ──► regras oponíveis do quotidiano
       │
       ▼
[Guia de uso / Formação]            ──► como fazer concretamente
       │
       ▼
[Prática no terreno] ◄──── retorno de incidente, revisão anual

Implementação: consulta, assinatura, atualização

Cinco etapas para que uma carta viva para além do PDF.

Etapa 1 — Consulta prévia (4-6 semanas). Envolver EPD, CISO, jurídico, RH, IT e as principais áreas de negócio. Obrigatório: consultar a CT quando exista, nos termos do art. 423.º CT. Identificar as ferramentas que carecem de autorização CNPD nos termos do art. 20.º CT.

Etapa 2 — Validação e oponibilidade. A carta deve ser anexada ao regulamento interno (afixado nos termos do art. 99.º CT) ou objeto de adenda contratual. Sem ancoragem formal, a sua oponibilidade é fraca. Para os grupos com IRCT aplicável, integração recomendada na próxima negociação coletiva.

Etapa 3 — Assinatura. Difusão a todos os colaboradores abrangidos com aviso de leitura. Para as organizações de risco elevado, assinatura eletrónica via ferramenta de gestão documental. Rastreabilidade conservada para inspeção.

Etapa 4 — Formação associada. A carta não substitui a formação. Acompanha-a. Uma implementação bem-sucedida inclui um módulo curto (30-60 min) que explicita a carta com exemplos concretos. Ver o nosso guia formação IA na empresa. Nota: o artigo 4 do Regulamento IA torna a formação numa obrigação.

Etapa 5 — Revisão periódica. Anual como mínimo. Mais frequentemente se:

Nova ferramenta IA implementada
Evolução regulamentar maior (fase seguinte do Regulamento IA, jurisprudência STJ ou TJUE)
Incidente interno que revelou uma lacuna

Em cada revisão: número de versão, data, resumo das alterações, redifusão. Em Portugal, em caso de alteração substancial: nova consulta da CT.

Erros típicos que tornam a carta inoperante

Sete erros recorrentes — cada um basta para esvaziar a carta do seu valor.

Erro 1 — Demasiado geral. «Use a IA de forma responsável» não diz nada. Uma carta útil é precisa ao ponto de poder ser oposta concretamente a um comportamento.

Erro 2 — Demasiado restritiva sem alternativa. Proibir ChatGPT sem alternativa não funciona — o uso continua em shadow IT. Sempre propor uma alternativa oficial.

Erro 3 — Sem atualização. Uma carta redigida em 2024 e nunca tocada está obsoleta. O ecossistema evolui demasiado depressa. Ciclo anual mínimo.

Erro 4 — Sem formação associada. Uma carta sem formação fica como um documento não lido. A difusão por correio eletrónico apenas é insuficiente.

Erro 5 — Não oponível. Uma carta não ancorada no regulamento interno afixado nos termos do art. 99.º CT não tem alcance disciplinar.

Erro 6 — Sem consulta da CT ou autorização CNPD. Erro específico PT: implementação de ferramentas IA suscetíveis de constituir vigilância à distância sem autorização CNPD prévia. Risco de coima até 9 690 euros por trabalhador (art. 28.º CT) acumulável com coima RGPD.

Erro 7 — Copiada-colada de modelo genérico.

Modelo mínimo v1 — por onde começar

Para as organizações que querem começar rapidamente, um modelo mínimo numa página pode servir de v1, a enriquecer depois. Estrutura sugerida:

1. Âmbito: aplicável a todos os trabalhadores e prestadores de [Organização].

2. Ferramentas autorizadas:
   - Em dados de negócio: [lista das ferramentas empresa aprovadas]
   - Em dados sensíveis: [ferramenta on-premise ou proibição salvo autorização]
   - Ferramentas consumo: proibidas em dados profissionais.

3. Regras de uso:
   - Sem dados clientes identificáveis em ferramentas não aprovadas
   - Verificação obrigatória de cifras, datas e referências
   - Sem decisão automatizada sem revisão humana
   - Confidencialidade: nunca copiar segredos, palavras-passe, M&A, RH nominativo

4. Em caso de incidente:
   - Contacto: [EPD + endereço]
   - Prazo: 24 horas para fuga suspeita (72 h notificação CNPD)

5. Atualização: versão 1.0 — [data]. Revisão anual.

Lido e aceite: [assinatura]

[Anexo: lista de ferramentas com autorização CNPD nos termos do art. 20.º CT
Consulta da Comissão de Trabalhadores efetuada em (data)]

Este modelo mínimo é juridicamente operacional — prova a existência de um enquadramento, que é a exigência Regulamento IA. Para ferramentas com vigilância à distância, autorização CNPD obrigatória.

Sanções por ausência de carta / formação IA

Riscos concretos em Portugal 2026:

Regulamento IA art. 99: até 15 milhões de euros ou 3% do volume de negócios mundial por incumprimento do art. 4 (literacia IA).
RGPD art. 83: até 20 milhões de euros ou 4% do volume de negócios mundial. A CNPD sancionou em 2024-2025 vários casos de uso IA sem base jurídica adequada.
Código do Trabalho art. 28.º: contraordenação muito grave até 9 690 euros por trabalhador afetado pela violação do art. 20.º (vigilância à distância sem autorização).
Cumulação: coimas RGPD + coimas ACT/CT acumuláveis para a mesma situação factual.

A lógica económica é clara: uma carta custa 6-10 semanas de projeto; a ausência custa ordens de grandeza superiores em risco sancionatório e caos operacional.

O que recusamos prometer

Três antipadrões recorrentes que evitamos na DPLIANCE quando trabalhamos com uma organização cliente sobre os seus casos de uso IA.

«Vamos entregar-lhe uma carta chave-na-mão universal.» Não. Uma carta universal é inaplicável. Cada organização tem um setor, dados, ferramentas, uma cultura interna. Um modelo genérico serve de ponto de partida — não basta para produzir uma carta robusta. A redação séria passa por uma consulta interna (EPD, CISO, jurídico, RH, áreas de negócio, Comissão de Trabalhadores quando exista em Portugal), portanto várias semanas.

«A carta vai resolver o shadow IT.» Não. Uma carta sem alternativa oficial só empurra o shadow IT mais discreto. Regra prática: antes de implementar uma carta que proíbe, fornecer a alternativa autorizada.

«Carta assinada e está feito.» Não. A carta não é um amuleto. Só funciona combinada com: a formação, a documentação das ferramentas autorizadas, um ponto de contacto identificado para os incidentes, um ciclo de revisão anual. Em Portugal além disso: autorização CNPD para ferramentas com vigilância à distância. Sem estes complementos, a carta é um papel jurídico inerte.

A DPLIANCE é editora de software. Quando concebemos uma solução IA à medida para uma organização, alinhamo-nos com a sua carta de uso existente: escolha de modelo compatível (Mistral, on-premise), nível de supervisão, registo, alimentação dos registos. O EPD e o CISO continuam donos da carta; nós operacionalizamo-la.

FAQ

Uma carta IA é obrigatória em 2026?

Não literalmente obrigatória — não existe em 2026 norma que diga «toda empresa portuguesa deve ter uma carta IA». Mas o artigo 4 do Regulamento IA exige literacia IA dos utilizadores, o RGPD impõe documentação dos tratamentos e informação aos titulares de dados, e o artigo 20.º do Código do Trabalho português proíbe os meios de vigilância à distância no local de trabalho com a finalidade de controlar o desempenho profissional, sob pena de sanção criminal nos termos do artigo 28.º. A carta IA é a forma mais simples, oponível e económica de demonstrar estas três conformidades. Sem carta, em caso de inspeção da CNPD ou controlo Regulamento IA, a organização terá de produzir provas alternativas — mais difícil, dispersas e muito menos credíveis.

A carta IA aplica-se a prestadores externos?

Sim, desde que esteja inscrita nos contratos de prestação. Uma carta que cobre apenas os trabalhadores deixa um buraco para subcontratados, trabalhadores temporários, freelancers e estagiários. Deve ser anexada aos contratos com fornecedores e às convenções de estágio. Em inspeção, a CNPD examina o perímetro exato dos compromissos; um buraco contratual sobre os prestadores é uma falha clássica.

Quanto tempo demora a redigir uma carta IA em Portugal?

Para um modelo mínimo v1 (1 página operacional, oponível, assinável): 2 a 3 dias-pessoa — redação, revisão jurídica, validação por EPD e CISO. Para uma carta completa concertada com a Comissão de Trabalhadores (consulta nos termos do art. 423.º do CT) e implementação com formação: 6 a 10 semanas de ciclo. A redação não é a parte mais longa; é a consulta das partes interessadas (EPD, CISO, jurídico, RH, áreas de negócio e representantes dos trabalhadores) e a validação formal que demoram. Regra prática: implementar um v1 mínimo rapidamente, enriquecê-lo nos 6-12 meses seguintes.

Devem os colaboradores assinar a carta?

Sim, fortemente recomendado. Uma carta assinada individualmente (ou com aviso de leitura eletrónico rastreado) é claramente mais oponível do que uma carta apenas difundida por correio eletrónico ou intranet. Em caso de incidente grave (fuga, mau uso), a assinatura individual prova que o utilizador foi informado das regras. Sem essa rastreabilidade, a carta perde o seu valor disciplinar — torna-se uma simples política interna sem alcance efetivo. Importante: em Portugal, integrar a carta no regulamento interno da empresa (afixado nos termos do art. 99.º do CT) ou no instrumento de regulamentação coletiva de trabalho (IRCT) aplicável dá a ancoragem disciplinar mais forte.

A carta deve ser idêntica para todas as funções?

O tronco comum (proibições de confidencialidade, ferramentas autorizadas por tipo de dado, procedimento de comunicação, sanções, atualização) deve ser uniforme para assegurar a oponibilidade e coerência. As regras específicas podem variar através de anexos por departamento: RH (vigilância sobre artigo 22 RGPD e não-discriminação na triagem de CV), finanças (restrições M&A e informação privilegiada reforçadas pelo Código dos Valores Mobiliários), I&D (regras sobre código-fonte e PI), jurídico (segredo profissional regulado pela OA), saúde (RSE, segredo médico). Uma carta sem anexos por departamento é demasiado genérica; uma carta sem tronco comum é ingerível.

Quem redige a carta IA?

Na prática, o EPD (Encarregado de Proteção de Dados) e o CISO co-conduzem a redação. O jurídico valida. RH co-assinam para a oponibilidade como anexo ao regulamento interno ou IRCT. As principais áreas (comercial, operações, I&D, suporte) são consultadas. A administração avaliza formalmente o documento. A Comissão de Trabalhadores (CT), quando exista, é consultada nos termos do art. 423.º do Código do Trabalho. Nenhum destes atores sozinho pode produzir uma carta robusta — trabalho cruzado em 6-10 semanas.

Com que frequência rever a carta IA?

Anual como mínimo. Mais rapidamente se: nova ferramenta IA implementada, evolução regulamentar maior (fase seguinte do Regulamento IA, jurisprudência do STJ ou TJUE sobre IA no trabalho), incidente interno que revelou uma lacuna, ou alargamento substancial dos casos de uso. Uma carta sem evolução desde há 18 meses é quase sempre obsoleta — o ecossistema IA move-se demasiado rapidamente (novos modelos, novos fornecedores, novas regulamentações setoriais).

Uma carta redigida em 2024 ainda é válida?

A verificar. O Regulamento IA aplica-se progressivamente desde fevereiro de 2025, com fases sucessivas em 2025-2027. As orientações da CNPD setoriais foram publicadas em 2024-2025 (uso de chatbots, decisão automatizada). Os principais fornecedores LLM (Mistral, OpenAI, Anthropic) fizeram evoluir as suas ofertas empresa e os seus contratos de subcontratação. Uma carta de 2024 deve como mínimo ser revista e atualizada em quatro pontos: quadro Regulamento IA atualizado, lista de ferramentas autorizadas, cláusulas com fornecedores, procedimento de comunicação.

Fontes: Regulamento (UE) 2024/1689 (Regulamento IA), em particular artigo 4 sobre literacia IA e artigo 50 sobre transparência; Regulamento (UE) 2016/679 (RGPD), em particular artigos 5, 22, 32, 35; Lei n.º 58/2019 (Lei de Execução do RGPD em Portugal); Código do Trabalho português (Lei n.º 7/2009), em particular artigos 20.º, 28.º, 99.º e 423.º; CNPD — orientações sobre IA e RGPD (cnpd.pt) e deliberações sobre vigilância de trabalhadores; CEPD, parecer 28/2024 sobre os modelos de IA e o RGPD; jurisprudência Garante (Itália) — decisões OpenAI 2023 e 2024.

Para enquadrar a redação e a implementação de uma carta IA na sua organização — articulação com a sua política IA, escolha de ferramentas alinhadas, formação associada, consulta da CT, autorização CNPD — ver o nosso guia IA e RGPD, o nosso guia formação IA na empresa, o nosso guia IA soberana, ou contacte-nos através das nossas soluções IA à medida.