O que é o EU AI Act
O EU AI Act é o Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho, publicado em Junho de 2024. É o primeiro enquadramento legal abrangente do mundo para a inteligência artificial.
O regulamento aplica-se a qualquer empresa que opere na União Europeia e que desenvolva, disponibilize ou utilize sistemas de IA. Não importa se a empresa é fornecedora de tecnologia ou simplesmente utilizadora — se usa IA, está abrangida.
A lógica do regulamento é simples: quanto maior o risco que um sistema de IA representa para as pessoas, mais rigorosas são as regras. Sistemas de baixo risco têm poucas obrigações. Sistemas de alto risco têm muitas. Alguns são proibidos.
Que prazos precisa de conhecer
O EU AI Act não entra em vigor todo de uma vez. As obrigações são faseadas:
- 2 de Fevereiro de 2025 Entra em vigor a obrigação de literacia em IA (Artigo 4.º). Todas as empresas que usam IA devem garantir que o pessoal envolvido tem um nível suficiente de conhecimento sobre IA. Esta obrigação já está activa.
- 2 de Agosto de 2025 Entram em vigor as proibições de práticas de IA inaceitáveis (Artigo 5.º). Sistemas proibidos devem ser descontinuados até esta data.
- 2 de Agosto de 2026 Aplicação integral do regulamento, incluindo todas as regras para sistemas de alto risco. As autoridades nacionais de supervisão do mercado começam a fiscalizar e podem aplicar sanções.
Nota importante: A obrigação de literacia em IA (Artigo 4.º) já está em vigor desde Fevereiro de 2025. A maioria das empresas ainda não tomou qualquer acção. A fiscalização por parte das autoridades nacionais começa a 2 de Agosto de 2026.
O que a sua empresa precisa de fazer
Independentemente da dimensão, há quatro passos fundamentais para preparar a sua empresa:
1. Mapear o uso de IA na empresa
O primeiro passo é saber que sistemas de IA a empresa realmente utiliza. Isto inclui ferramentas óbvias como ChatGPT ou Copilot, mas também funcionalidades de IA integradas em software que já utiliza — CRMs, plataformas de e-mail marketing, ferramentas de contabilidade, software de RH.
Muitas empresas usam mais IA do que pensam. Um levantamento completo é essencial antes de qualquer outra acção.
2. Classificar o nível de risco
Com o inventário feito, cada sistema de IA deve ser classificado segundo os 4 níveis de risco do regulamento (ver secção seguinte). A classificação determina que obrigações se aplicam. A maioria das ferramentas comuns de PMEs cai nos níveis mínimo ou limitado, mas sistemas usados em recrutamento, crédito ou saúde podem ser de alto risco.
3. Formar a equipa
O Artigo 4.º exige que tanto fornecedores como utilizadores de IA garantam um nível suficiente de literacia em IA para o pessoal que opera ou é afectado por estes sistemas. A formação deve ter em conta o conhecimento técnico, a experiência, a formação académica, o contexto de utilização e as pessoas afectadas pelos sistemas.
Não basta um curso genérico online. O regulamento é claro: a formação deve ser adequada ao contexto real de utilização na empresa.
4. Documentar tudo
Conformidade é sobre prova. Documente que sistemas de IA utiliza, como os classificou, que formação deu à equipa, quando e a quem. Se for auditado, precisa de demonstrar que avaliou os riscos e tomou medidas proporcionais.
Os 4 níveis de risco
O EU AI Act classifica os sistemas de IA em quatro níveis, do mais restritivo ao mais permissivo:
Risco Inaceitável
Sistemas proibidos. Incluem manipulação subliminar, pontuação social (social scoring), identificação biométrica em tempo real em espaços públicos (com excepções limitadas) e exploração de vulnerabilidades de grupos específicos.
Risco Alto
Sistemas com obrigações rigorosas. Exemplos do regulamento: IA em recrutamento e gestão de trabalhadores, avaliação de crédito, infraestruturas críticas, aplicação da lei e educação.
Risco Limitado
Sistemas com obrigações de transparência. Exemplos: chatbots (devem informar que o utilizador interage com IA), sistemas que geram conteúdo sintético (deepfakes devem ser identificados).
Risco Mínimo
A maioria dos sistemas de IA. Sem obrigações específicas além da literacia geral (Artigo 4.º). Inclui filtros de spam, recomendações de produtos e ferramentas de produtividade com IA.
A classificação não é abstracta — tem consequências práticas. Um sistema de alto risco exige avaliações de conformidade, documentação técnica detalhada, supervisão humana e registo junto das autoridades. Um sistema de risco mínimo exige apenas que a equipa saiba o que está a usar.
Práticas proibidas que deve conhecer
O Artigo 5.º do EU AI Act define práticas de IA que são expressamente proibidas. As mais relevantes para empresas:
- Manipulação subliminar ou enganosa — sistemas de IA que usem técnicas manipulativas subconscientes para distorcer o comportamento de uma pessoa de forma que cause ou possa causar danos
- Exploração de vulnerabilidades — sistemas que tirem partido da idade, deficiência ou situação social ou económica de uma pessoa para distorcer o seu comportamento
- Pontuação social (social scoring) — avaliação ou classificação de pessoas com base no seu comportamento social ou características pessoais, quando isso leve a tratamento prejudicial desproporcional
- Identificação biométrica em tempo real — em espaços acessíveis ao público para fins de aplicação da lei, salvo excepções muito limitadas previstas no regulamento
A proibição destas práticas entra em vigor a 2 de Agosto de 2025. Se a sua empresa utiliza algum sistema que possa cair nestas categorias, deve descontinuá-lo antes dessa data.
Precisa de ajuda a preparar a sua empresa?
A D'One faz o diagnóstico completo: mapeamos o uso de IA na sua empresa, classificamos os riscos, formamos a equipa e preparamos a documentação necessária. Tudo adaptado ao contexto real do seu negócio.
Fale connosco