IA conforme ao RGPD: guia de conformidade 2026 para empresas
Quick Answer: o que é uma IA conforme ao RGPD?
Uma IA é conforme ao RGPD quando trata dados pessoais respeitando cumulativamente o RGPD (legalidade, minimização, transparência, segurança), a Lei 58/2019 que executa o RGPD em Portugal e, desde 2024, o Regulamento europeu sobre a IA (Regulamento IA). Na prática, isto impõe seis coisas:
- Uma base jurídica identificada para cada tratamento (consentimento, interesse legítimo, execução de um contrato, obrigação legal).
- Uma minimização efetiva: não enviar dados pessoais a uma IA generativa se um dado anonimizado ou agregado for suficiente.
- Uma avaliação de impacto (AIPD) documentada sempre que um uso IA apresente um risco elevado: RH, scoring de crédito, biometria, infraestrutura crítica.
- Um enquadramento contratual sólido com o fornecedor do modelo: DPA, lista de subcontratantes, local de alojamento, condições de supressão.
- Uma distinção clara entre ferramentas de grande público, ferramentas empresa e instalação nos vossos servidores (»on-premise«).
- Uma formação das equipas ao uso da IA, exigida pelo artigo 4.º do Regulamento IA.
Não existe »certificação RGPD« de um modelo — é o uso que é conforme ou não, não a ferramenta tomada isoladamente. Um Mistral Le Chat Enterprise utilizado sem enquadramento pode violar o RGPD; um ChatGPT Enterprise utilizado com rigor pode ser conforme. O fator determinante é a governança, não a marca.
Porquê este tema, agora
Três viragens entre 2024 e 2026 tornaram operacional, não teórica, a conformidade IA-RGPD.
Viragem 1 — O Regulamento IA entrou em aplicação progressiva desde fevereiro de 2025. Pela primeira vez, a IA já não é regulada unicamente pelo RGPD (que se aplica aos dados pessoais) mas também por um regulamento específico aos sistemas de IA. Os dois enquadramentos cumulam-se — sem opção de fazer um sem o outro. Portugal designou a ANACOM e a CNPD como autoridades coordenadas para o Regulamento IA, com o Coordenador Nacional de IA sob tutela do Ministério da Economia para as questões estratégicas.
Viragem 2 — As sanções estão ativas, e Portugal tornou-se mais firme. O INE foi sancionado em 4,3 milhões de euros pela CNPD em 2021 — sanção mais elevada da história portuguesa, no contexto dos Censos 2021, por subcontratação para os EUA sem garantias adequadas. Esta decisão estabeleceu uma jurisprudência forte sobre as transferências internacionais. Em 2024-2025, a CNPD multiplicou as decisões: sanção ao Município de Lisboa por partilha de dados de manifestantes com embaixadas estrangeiras (sanção pioneira mundial sobre dados de protesto), sanção ao Hospital do Barreiro por acessos indevidos a registos clínicos electrónicos, várias decisões em matéria de videovigilância e biometria. A CNPD anunciou a IA como prioridade de controlo 2026, com foco em RH, biometria e setor público. O risco de sanção materializa-se — não amanhã, hoje.
Viragem 3 — As ferramentas amadureceram, então as expectativas também. Em 2023, o argumento »estamos a aprender, a descobrir« sustentava-se. Em 2026, as ofertas empresa (ChatGPT Enterprise, Mistral Le Chat Enterprise, Claude para Empresas) existem há tempo suficiente para serem consideradas um padrão. Não as ter escolhido, não ter a documentação associada, não ter a política e a formação — é agora um incumprimento, não uma desculpa.
O cálculo mudou: a conformidade IA-RGPD já não é um tema »para olhar um dia«, é um deliverable esperado em caso de controlo.
O enquadramento jurídico: um empilhamento RGPD + Lei 58/2019 + Regulamento IA + Código do Trabalho
A conformidade de um sistema IA em Portugal já não depende de um único texto. Quatro enquadramentos sobrepõem-se e articulam-se.
O RGPD (Regulamento (UE) 2016/679) continua a ser o fundamento para todo o tratamento de dados pessoais, incluindo num sistema IA. Todas as obrigações clássicas se aplicam: base jurídica, minimização, exatidão, limitação do prazo de conservação, segurança, transparência, direitos dos titulares (acesso, retificação, oposição, apagamento, portabilidade). A IA não é um regime derrogatório — é um caso de aplicação do RGPD com particularidades técnicas.
A Lei 58/2019 (Lei de execução do RGPD em Portugal) desenvolve o RGPD em Portugal e adiciona obrigações específicas. Disposições cruciais para a IA: artigo 14.º (consentimento de menores a partir dos 13 anos, ao contrário dos 16 da diretiva), artigo 28.º (tratamento no contexto laboral — especialmente importante para a IA em RH), artigo 31.º (videovigilância), artigo 33.º (proteção dos titulares de dados em caso de tratamento automatizado).
O Regulamento IA (Regulamento (UE) 2024/1689) entrou em aplicação progressiva desde fevereiro de 2025. Classifica os sistemas de IA em quatro categorias de risco (inaceitável, alto, limitado, mínimo), impõe obrigações específicas a fornecedores e responsáveis pela implantação, e introduz a obrigação de literacia IA para as organizações. As sanções podem atingir 35 milhões de euros ou 7% do volume de negócios mundial para as práticas proibidas.
O Código do Trabalho português (Lei 7/2009) — peculiaridade portuguesa crucial para a IA em RH. Artigos 19.º a 22.º: regem a proteção da reserva da intimidade da vida privada do candidato e do trabalhador, incluindo o que pode ser pedido na fase de recrutamento (incluindo testes médicos, perfis psicológicos) e o que está estritamente vedado. O artigo 20.º (meios de vigilância à distância) proíbe o uso de meios de vigilância à distância no local de trabalho, salvo em casos excecionais e mediante informação prévia. Aplica-se diretamente a toda a IA que faça monitorização do desempenho, screening de CV, avaliação automatizada, gestão algorítmica de cargas de trabalho.
A articulação prática: o RGPD e a Lei 58/2019 fixam o que se pode fazer com os dados pessoais, o Regulamento IA fixa as exigências específicas aos sistemas IA, o Código do Trabalho enquadra os usos RH. Os quatro aplicam-se simultaneamente — sem hierarquia que isente de um texto.
Autoridades em Portugal
A arquitetura portuguesa é centralizada na privacy:
- CNPD (Comissão Nacional de Proteção de Dados): autoridade nacional de controlo RGPD/Lei 58/2019, com competência sobre todo o território nacional, dotada de poderes de inspeção, prescrição e sanção
- ANACOM (Autoridade Nacional de Comunicações): competente para as transferências internacionais (em coordenação com a CNPD) e parte das obrigações do Regulamento IA
- Coordenador Nacional para a IA: papel de orientação estratégica sob tutela do Ministério da Economia
- CNCS (Centro Nacional de Cibersegurança): aspetos cibersegurança, NIS2
A CNPD é particularmente vigilante sobre as transferências internacionais (sanção INE 2021), o setor da saúde (sanções Hospital do Barreiro e outros), o setor público (sanção Município de Lisboa) e o setor financeiro.
Quatro riscos maiores dos dados pessoais nas IAs generativas
Antes das boas práticas, é preciso compreender os riscos concretos. Quatro destacam-se.
1. A fuga por treino
As IAs de grande público (ChatGPT gratuito ou Plus, Claude gratuito, Gemini grande público) usam por defeito as conversas para melhorar os seus modelos. Um dado pessoal enviado numa pergunta (»prompt«) pode portanto ficar integrado ao modelo, teoricamente extraível por outros utilizadores via técnicas de ataque (»jailbreak«, »model inversion«).
Consequência RGPD: transferência e tratamento não controlado de dados pessoais, sem base jurídica nem enquadramento contratual. Risco de sanção imediato em caso de auditoria CNPD.
Mitigação: proibir formalmente por política de utilização, fornecer uma alternativa empresa oficial.
2. A retenção indevida
Mesmo nas ofertas empresa (ChatGPT Team/Enterprise, Mistral Le Chat Enterprise), os dados trocados são conservados nos servidores do fornecedor durante durações variáveis (30 dias por defeito na OpenAI, durações negociáveis para a Mistral). Esta retenção deve estar:
- Documentada no Registo de Atividades de Tratamento
- Coerente com a duração de conservação prevista pelo RGPD
- Coberta por um contrato de subcontratação (DPA) assinado nos termos do artigo 28.º do RGPD
Caso contrário, é um incumprimento do artigo 5.º, n.º 1, alínea e) do RGPD (limitação da conservação).
3. A transferência fora da UE
Os LLMs alojados nos Estados Unidos (OpenAI, Anthropic, Google) tratam por defeito os dados do outro lado do Atlântico. O Data Privacy Framework (DPF) legaliza tecnicamente esta transferência desde julho de 2023, mas continua contestado juridicamente. Uma organização portuguesa que funda a sua estratégia IA no único DPF expõe-se a um Schrems III que poderia invalidar estes fluxos. A CNPD tem uma posição historicamente firme sobre as transferências internacionais — a sanção INE de 4,3 M€ em 2021 (sub-contratação Cloudflare/EUA sem garantias adequadas) demonstrou que a autoridade não hesita em sancionar mesmo o setor público quando as transferências não estão devidamente enquadradas.
Mitigação: escolher um ator europeu (Mistral) ou uma solução on-premise elimina pura e simplesmente este risco, em vez de o mitigar contratualmente. Ver o nosso guia IA soberana.
4. A inexatidão algorítmica
As IAs generativas »alucinam« — produzem afirmações plausíveis mas falsas, sem sinalizar a incerteza. Quando estas afirmações dizem respeito a uma pessoa identificável (um candidato avaliado erradamente como inadaptado, um cliente descrito com elementos inventados), é um incumprimento direto do artigo 5.º, n.º 1, alínea d) do RGPD (exatidão). A autoridade italiana Garante sancionou a OpenAI sobre este fundamento em 2024, e a CNPD inscreveu a exatidão algorítmica nas suas prioridades de controlo 2026.
Mitigação: política de verificação sistemática sobre os conteúdos referentes a pessoas identificáveis antes da utilização efetiva.
AIPD: quando é obrigatória para um uso IA?
A AIPD é obrigatória para todo o tratamento »suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares« (artigo 35.º RGPD). Para um uso IA, a CNPD e o CEPD precisaram os casos onde é sistematicamente exigida. A CNPD publica a sua lista de tipos de tratamento que requerem AIPD (Regulamento (CNPD) n.º 1/2018, atualizado).
AIPD obrigatória para os usos IA seguintes:
- Definição de perfis em larga escala que implique uma decisão (scoring de crédito, scoring de seguros, atribuição de prestações sociais)
- Vigilância sistemática em zona de acesso público (reconhecimento facial, biometria comportamental)
- Tratamento de dados sensíveis na aceção do artigo 9.º RGPD (saúde, opiniões políticas, origens, orientação sexual, biometria identificante) em larga escala
- Decisões automatizadas com efeito jurídico ou que afetem significativamente a pessoa (artigo 22.º RGPD)
- Avaliação sistemática de empregados por um sistema IA (RH, produtividade, people analytics) — particularmente sensível dada a interação com o Código do Trabalho
- Cruzamento de dados provenientes de várias fontes para construir um perfil
AIPD não obrigatória, mas recomendada para os usos:
- Redação assistida sobre dados de negócio (notas internas, projetos, atas de reunião)
- Síntese documental sobre documentos não pessoais
- Tradução automática de conteúdos publicados
- Geração de conteúdos marketing
Critérios de avaliação caso a caso: a CNPD recomenda ter em conta o volume de dados, a sensibilidade, o carácter vulnerável das pessoas (menores, empregados, doentes), a natureza inovadora do tratamento, e o grau de automatização.
A AIPD deve ser realizada antes da implementação, conservada num registo, e atualizada a cada evolução substancial. Ver o nosso guia AIPD para projeto IA para a metodologia completa.
Trabalhadores e Comissão de Trabalhadores: a especificidade portuguesa
Onde o RGPD fixa um enquadramento unificado, o direito laboral português adiciona proteções específicas que delimitam a IA em RH.
Artigo 17.º do Código do Trabalho: define o âmbito do que pode ser pedido ao candidato em fase de recrutamento — informações estritamente necessárias e relacionadas com a aptidão para o posto. Uma IA de pré-screening que analise informações fora deste perímetro (vida privada, opiniões políticas inferidas, perfil psicológico não solicitado) está em violação direta.
Artigo 20.º do Código do Trabalho (meios de vigilância à distância): proíbe o uso de meios de vigilância à distância no local de trabalho com a finalidade de controlar o desempenho profissional do trabalhador. Permitido apenas se a finalidade for proteção e segurança de pessoas e bens, ou se inerente à natureza da atividade — e mesmo nestes casos, com informação prévia obrigatória do trabalhador. Aplicação direta a sistemas de IA de monitorização contínua, scoring comportamental, análise preditiva do absentismo.
Artigo 22.º do Código do Trabalho: dados biométricos — só podem ser utilizados em condições estritas, com finalidade de controlo de assiduidade ou acesso, e exigem autorização da CNPD na maioria dos casos.
Lei 58/2019, artigo 28.º (proteção de dados pessoais no contexto laboral): confirma os direitos dos trabalhadores e impõe a comunicação à Comissão de Trabalhadores ou, na sua falta, aos trabalhadores diretamente, das características dos sistemas de tratamento automatizado. Esta consulta é prévia à implementação.
Em prática: antes de qualquer projeto de IA que toque RH em Portugal, consultar a Comissão de Trabalhadores (ou os trabalhadores na sua ausência), documentar a consulta, comunicar os principais parâmetros do algoritmo (que dados em entrada, que lógica, que saída, que efeitos possíveis), prever um direito de revisão humana, redigir uma informação clara conforme à Lei 58/2019. Sem estas etapas, o dispositivo é atacável perante a Autoridade para as Condições do Trabalho (ACT) e a CNPD.
7 boas práticas de conformidade IA-RGPD
Sete práticas concretas que distinguem uma organização preparada de uma organização em risco.
1. Política de utilização IA oponível. Documento curto (3-5 páginas) que precise: que ferramentas estão autorizadas, sobre que tipos de dados, com que obrigações (verificação, rastreabilidade, comunicação de incidente). Difundida a todos os colaboradores, integrada ao regulamento interno. Sem política, impossível provar uma abordagem de conformidade em caso de auditoria CNPD. Ver o nosso guia política de IA na empresa.
2. Cartografia dos usos IA no Registo de Atividades de Tratamento. Cada caso de uso IA que trate dados pessoais deve figurar como tratamento à parte, com: finalidade, base jurídica, dados tratados, subcontratante, durações, destinatários, transferências fora da UE, medidas de segurança.
3. DPA assinado com o fornecedor do modelo. Para OpenAI, Anthropic, Google: DPA padrão mas a validar com os seus subcontratantes ulteriores. Para Mistral: DPA disponível nativamente. Para os modelos abertos implantados em interno: sem DPA com um editor porque não há subcontratante a tratar o dado — mas o alojador e o eventual MSP (Managed Service Provider) devem assinar um DPA conforme ao artigo 28.º do RGPD.
4. Pseudonimização sistemática antes do envio. Sempre que possível, suprimir ou substituir nomes, identificadores, contactos antes de enviar um texto a um LLM. Uma boa IA não precisa de saber quem está implicado para redigir uma ata ou uma síntese. Ver o nosso guia anonimização e NER por IA.
5. Supervisão humana sobre decisões automatizadas. O artigo 22.º do RGPD proíbe, salvo exceções, as decisões »fundadas exclusivamente num tratamento automatizado«. Para todo caso de uso onde a IA produza uma recomendação com efeito jurídico ou significativo, prever uma revisão humana documentada.
6. Informação transparente das pessoas. Artigos 13.º/14.º RGPD e Lei 58/2019: informar do recurso a um sistema IA, da lógica subjacente, e das consequências possíveis. Esta informação deve ser adicionada às menções legais e políticas de privacidade existentes.
7. Rastreabilidade dos prompts e resultados. Conservar, para os usos sensíveis, um registo dos prompts enviados e dos outputs recebidos, com timestamp e utilizador. Indispensável em caso de investigação CNPD ou de pedido do titular dos dados.
Cloud público vs on-premise: a matriz de decisão
Uma das escolhas mais estruturantes em conformidade IA é o modo de implantação. Três opções, três níveis de exposição ao risco.
| Critério | LLM grande público (ChatGPT/Claude/Gemini gratuitos) | LLM SaaS empresa (ChatGPT Enterprise, Mistral Le Chat) | LLM on-premise (Mistral, Llama, Qwen sobre infra interna) |
|---|---|---|---|
| Dados usados para treino | Sim (por defeito) | Não (DPA) | Não |
| DPA disponível | Não | Sim | Não aplicável |
| Alojamento | Estados Unidos principalmente | UE (Mistral) ou escolha regional (OpenAI) | Interno ou cloud soberano |
| Risco DPF / Cloud Act | Muito elevado | Moderado (UE) a elevado (EUA) | Nulo |
| Adaptado a dados pessoais não sensíveis | ❌ | ✅ com DPA | ✅ |
| Adaptado a dados sensíveis (saúde, biometria) | ❌ | ⚠️ AIPD requerida + cloud soberano | ✅ recomendado |
| Custo de implantação | Baixo | Médio (15-60 €/utilizador/mês) | Elevado inicial (hardware + integração) |
| Reversibilidade | Baixa | Média | Total |
Regra simples: grande público unicamente para usos totalmente não pessoais (redação marketing, tradução pública, prototipagem). SaaS empresa para a maioria dos usos negócio. On-premise desde que os dados tratados sejam sensíveis, sujeitos a um segredo profissional, ou que a criticidade de serviço o exija. Para administrações públicas portuguesas e operadores de serviços essenciais (NIS2): verificar a conformidade com os requisitos do Centro Nacional de Cibersegurança (CNCS).
Ver o nosso guia LLM local na empresa para o detalhe da implantação on-premise.
Sanções e jurisprudência recente
Vários casos ilustram como as autoridades portuguesas e europeias aplicam o enquadramento IA-RGPD.
CNPD — INE (Instituto Nacional de Estatística), 2021: 4,3 milhões de euros. Sanção mais elevada da história portuguesa em matéria de proteção de dados. Contexto: Censos 2021, subcontratação a Cloudflare (alojado nos EUA) sem garantias adequadas, sem avaliação de impacto da transferência, sem informação clara dos titulares. Decisão estruturante que estabeleceu jurisprudência forte sobre as transferências internacionais e sobre as exigências aplicáveis ao setor público português. A CNPD usa este precedente para todo projeto que envolva fornecedores americanos sem mitigação adequada — incluindo agora os LLMs.
CNPD — Município de Lisboa, 2024. Sanção pioneira a nível mundial: o Município de Lisboa foi sancionado por ter partilhado dados pessoais de manifestantes (incluindo nomes e moradas) com embaixadas estrangeiras (Rússia, China, Israel) entre 2018 e 2021, no contexto de manifestações realizadas em Lisboa. Decisão fundamental que reafirma que mesmo o setor público autárquico está sujeito ao RGPD com plena severidade.
CNPD — Hospital do Barreiro, 2024-2025. Sanção pelo Hospital do Barreiro-Montijo após investigação sobre acessos indevidos a registos clínicos electrónicos por profissionais sem necessidade legítima. Caso que recorda que mesmo dentro do setor da saúde, o princípio da minimização e do controlo de acessos se aplica estritamente — particularmente relevante para projetos de IA em saúde que multiplicam os acessos a dados sensíveis.
Garante (Itália) — OpenAI, março de 2023 e dezembro de 2024. Primeira autoridade europeia a sancionar a OpenAI: suspensão temporária do ChatGPT em Itália início 2023, depois multa de 15 milhões de euros em dezembro de 2024 por ausência de base jurídica, falta de transparência na recolha de dados, defeito de verificação de idade, e inexatidão dos conteúdos gerados sobre pessoas identificáveis. A CNPD acompanhou de perto este processo e indicou que considera esta decisão um precedente útil para casos similares em Portugal.
CEPD — opinião 28/2024. O CEPD publicou em dezembro de 2024 uma opinião sobre os modelos de IA e os dados pessoais, que clarifica: (1) um modelo IA pode tratar dados pessoais mesmo após o treino (os pesos podem conter informação identificável); (2) a base jurídica deve ser apreciada para o treino, a inferência e o output; (3) o interesse legítimo não é um cheque em branco — exige um teste em três etapas documentado.
A mensagem comum destas decisões: as autoridades portuguesa e europeias aceitam a inovação IA, mas exigem uma abordagem de conformidade documentada e demonstrável. A boa-fé sem documentação não protege em auditoria.
O que recusamos prometer
Três antipadrões recorrentes que evitamos na DPLIANCE quando enquadramos uma solução IA para uma organização cliente.
»Vamos resolver tudo assinando ChatGPT Enterprise.« Falso. O contrato não basta. É preciso também: a política de utilização oponível, a formação dos utilizadores (artigo 4.º Regulamento IA), a inscrição no Registo de Atividades de Tratamento, a AIPD se aplicável, o procedimento de incidente, a pseudonimização a montante nos usos sensíveis, a consulta da Comissão de Trabalhadores se contexto RH. Sem estes pilares, o contrato sozinho é um papel que não aguenta em caso de controlo.
»Podemos enviar todos os dados de negócio para o LLM, é seguro.« Falso. Em SaaS, os dados saem do vosso perímetro — mesmo com DPA, mesmo com »zero retention«. O bom reflexo: minimizar. Pseudonimizar a montante quando possível. Escolher o bom tier de ferramenta segundo a sensibilidade (cloud soberano para dados pessoais sérios, on-premise para dados sensíveis).
»A DPLIANCE vai fazer a minha conformidade RGPD.« Não. A DPLIANCE é um editor de software. Concebemos soluções IA à medida que se integram no enquadramento RGPD definido pelo vosso Encarregado de Proteção de Dados (DPO). Produzimos a documentação técnica (arquitetura, escolha de modelo, alojamento, medidas de segurança) que o vosso DPO pode integrar na sua AIPD e no seu Registo. O DPO permanece dono da conformidade; fornecemos-lhe a matéria fiável. Para uma colocação em conformidade RGPD completa (auditoria, Registo, AIPD), é outra profissão.
FAQ
Pode usar-se o ChatGPT na empresa sem risco RGPD?
Sim, sob condições. A versão Team ou Enterprise (com DPA, desativação do treino sobre as conversas, controlo da conta pela organização) é utilizável sobre dados de negócio não sensíveis. A versão gratuita ou Plus (conta pessoal) nunca é conforme para tratar dados pessoais num enquadramento profissional. Para dados sensíveis (saúde, segredo profissional, RH nominativo), mesmo a versão Enterprise não é suficiente: on-premise ou alternativa soberana recomendados.
O Mistral é automaticamente conforme ao RGPD?
Não — nenhuma ferramenta é automaticamente conforme. O Mistral Le Chat Enterprise propõe um enquadramento RGPD nativo (alojamento UE na Scaleway, DPA, sem treino sobre as conversas) que facilita consideravelmente a conformidade — elimina em particular o risco DPF/Cloud Act. Mas a ferramenta não faz a conformidade sozinha: é necessária uma política de utilização oponível, um Registo de Atividades de Tratamento atualizado, o respeito das regras de minimização, uma AIPD para os usos de risco elevado e a formação dos utilizadores. Mistral é um bom ponto de partida, não uma resposta completa.
É necessário fazer uma AIPD para usar um LLM internamente?
Não sistematicamente. A AIPD é exigida para os tratamentos de risco elevado nos termos do artigo 35.º do RGPD e da lista da CNPD. Um uso genérico (redação, síntese, tradução) sobre dados de negócio pseudonimizados não a exige. Um uso RH, scoring, vigilância de empregados, tratamento de dados de saúde identificantes, ou decisão automatizada com efeito jurídico: sim, AIPD obrigatória e prévia. Ver o nosso guia AIPD para projeto IA.
As conversas enviadas para um LLM são consideradas dados pessoais?
Sim, desde que contenham um dado que permita identificar direta ou indiretamente uma pessoa. Isto inclui um nome, mas também um contexto suficientemente preciso (»o diretor comercial que saiu da ACME em março de 2025«), uma combinação rara de atributos, ou referências internas. Na prática, uma grande parte dos prompts profissionais manipula dados pessoais sem que os utilizadores tenham consciência — daí a importância da política de utilização e da formação.
O DPF (Data Privacy Framework) protege a utilização de um LLM americano?
O DPF torna tecnicamente lícita a transferência UE-EUA para um fornecedor certificado — em abril de 2026, OpenAI, Anthropic, Google e Microsoft são membros. Mas o DPF continua contestado juridicamente (recurso Latombe perante o TJUE) e várias autoridades europeias (CNPD, BfDI alemã, Garante italiano) recomendam medidas adicionais (transfer impact assessment, pseudonimização a montante, cifragem ponta-a-ponta) apesar da sua adoção. Para um uso IA estratégico, não depender unicamente do DPF é mais prudente.
O que impõe o Regulamento IA para a formação das equipas?
O artigo 4.º do Regulamento IA exige que as organizações garantam que as pessoas que utilizam um sistema de IA no enquadramento profissional disponham de um »nível de literacia suficiente«, adaptado ao contexto de utilização e ao tipo de sistema. Esta obrigação entrou em vigor em fevereiro de 2025 para a maioria dos sistemas. A tradução prática: uma política de utilização, uma formação associada (workshop de pelo menos 30-60 minutos por utilizador), um módulo de atualização anual.
O que fazer se uma pessoa pedir a supressão dos seus dados usados por um LLM?
Se o dado está num sistema SaaS com retenção configurável (ChatGPT Enterprise, Mistral Le Chat Enterprise), a supressão é geralmente operável via API administrador ou suporte do fornecedor, nos prazos RGPD (um mês). Se o dado contribuiu para o treino de um modelo, a supressão em sentido estrito é tecnicamente impossível. O CEPD tolera medidas alternativas (filtragem de saída, retreino periódico) sob condição de demonstrar a sua eficácia documentada.
A IA generativa pode ser usada para tratamento RH (CV, avaliação)?
Sim, sob condições estritas. O artigo 22.º do RGPD proíbe, salvo exceções, as decisões »fundadas exclusivamente num tratamento automatizado« que produzam efeitos jurídicos ou afetem significativamente a pessoa. Em Portugal, o Código do Trabalho (artigos 17.º, 20.º, 22.º) e a Lei 58/2019 (artigo 28.º) acrescentam camadas específicas. Na prática: a IA pode ajudar à triagem, mas a decisão final deve permanecer humana e documentada. AIPD obrigatória, testes de viés documentados, informação prévia ao candidato, direito de oposição, recurso humano, e consulta da Comissão de Trabalhadores. Sem estas salvaguardas, o uso é manifestamente não conforme.
Fontes: Regulamento (UE) 2016/679 (RGPD); Lei 58/2019 (lei de execução do RGPD em Portugal); Lei 7/2009 (Código do Trabalho), artigos 17.º a 22.º; Regulamento (UE) 2024/1689 (Regulamento IA), nomeadamente artigos 4.º, 9.º, 35.º; CNPD, Regulamento n.º 1/2018 (lista AIPD), recomendações sobre IA e dados pessoais (cnpd.pt); CNPD, decisões INE 2021, Município de Lisboa 2024, Hospital do Barreiro 2024-2025; CEPD, opinião 28/2024 sobre modelos de IA e RGPD; Garante per la protezione dei dati personali — decisões OpenAI 2023 e 2024; TJUE, acórdão Schrems II, 16 de julho de 2020 (C-311/18); Comissão Europeia, decisão de adequação Data Privacy Framework, 10 de julho de 2023.
Para enquadrar a conformidade de um projeto IA na vossa organização — escolha de arquitetura, modelo soberano ou local, integração ao SI, documentação técnica para a AIPD — ver o nosso guia AIPD para projeto IA, o nosso guia IA soberana, o nosso guia política de IA na empresa, ou contacte-nos através das nossas soluções IA à medida.