O essencial
- A pesquisa «ai regulatory» agrupa duas realidades distintas: a regulamentação pública da inteligência artificial, por um lado, e a IA aplicada às funções de cumprimento, por outro. Este guia trata a primeira, que estrutura a quase totalidade dos resultados de pesquisa em 2026.
- Quatro regimes de ancoragem determinam grande parte das obrigações operacionais: o Regulamento europeu sobre IA (Regulamento 2024/1689), o ecossistema norte-americano (orientações federais e leis estaduais), a abordagem britânica pró-inovação e setorial e o quadro chinês conduzido pela Cyberspace Administration of China.
- Sobre os regimes nacionais soma-se agora uma camada convencional: a Convenção-Quadro do Conselho da Europa sobre IA, o primeiro tratado internacional juridicamente vinculativo em matéria de IA, ratificado pela União Europeia em 15 de maio de 2026.
- Duas normas operacionais tornam o quadro governável: ISO/IEC 42001 como espinha dorsal do sistema de gestão da IA e o NIST AI Risk Management Framework como biblioteca de controlos. Um único sistema pode satisfazer várias autoridades em simultâneo desde que esteja corretamente mapeado.
- O trabalho concreto organiza-se por tipo de obrigação: transparência, gestão do risco, avaliação da conformidade, monitorização pós-comercialização, notificação de incidentes e governação de dados. O país altera prazos e plafonds sancionatórios, não a natureza do trabalho.
O que «ai regulatory» realmente significa em 2026
A expressão «ai regulatory» agrega duas histórias distintas. A primeira, abordada por este guia, refere-se às regras públicas e aos compromissos internacionais vinculativos que enquadram a conceção, a colocação no mercado, a utilização e a supervisão da inteligência artificial. A segunda diz respeito à IA colocada ao serviço da função de cumprimento, frequentemente designada como RegTech. O topo dos resultados de pesquisa reflete, salvo raras exceções, a primeira leitura: rastreadores globais, comparações por países e revistas jurídicas.
O inventário tornou-se vertiginoso. As sínteses públicas mencionam já mais de 900 normas de IA ativas em 80 jurisdições. O número impressiona porque soma diretivas, regulamentos setoriais, decretos, circulares e orientações. Os departamentos de cumprimento, todavia, não vivem 900 normas como 900 obras distintas. Encontram-se perante um pequeno conjunto de regimes de ancoragem, uma quantidade limitada de famílias de obrigações recorrentes e algumas normas transversais que permitem que um mesmo conjunto de controlos sirva várias autoridades em simultâneo.
Esta mudança de perspetiva é o objeto do guia. A apresentação por país, seguida pela maioria das páginas bem posicionadas, continua útil como referência, mas pouco eficaz enquanto modelo operativo. O que se segue adota a leitura do operador: primeiro os regimes de ancoragem, depois a camada convencional, em seguida os tipos de obrigação, a divisão de papéis e, por fim, a espinha dorsal operativa convergente.
Os quatro regimes de ancoragem
O Regulamento europeu sobre IA, Regulamento 2024/1689
O Regulamento europeu sobre IA entrou em vigor a 1 de agosto de 2024 e torna-se plenamente aplicável a 2 de agosto de 2026. As disposições ativam-se por vagas sucessivas. As práticas proibidas e as obrigações de literacia em IA aplicam-se desde 2 de fevereiro de 2025. As regras de governação e as obrigações relativas aos modelos de IA de finalidade geral aplicam-se desde 2 de agosto de 2025. O regime dos sistemas de risco elevado, incluindo sistema de gestão da qualidade, avaliação da conformidade e monitorização pós-comercialização, será plenamente exigível a partir de 2 de agosto de 2026.
A arquitetura assenta no risco, com quatro patamares. As práticas proibidas abrangem a pontuação social por autoridades públicas, a recolha não dirigida de imagens faciais ou o reconhecimento de emoções em contextos escolares e profissionais, com exceções estreitas. Os sistemas de risco elevado, listados no Anexo III para usos como o emprego, a avaliação de crédito, a identificação biométrica, as infraestruturas críticas e a aplicação da lei, devem cumprir um conjunto estruturado de exigências em governação de dados, documentação técnica, supervisão humana, exatidão, robustez e cibersegurança. Os sistemas de risco limitado, sobretudo os que interagem com pessoas singulares ou geram conteúdo sintético, estão sujeitos a obrigações de transparência. Os sistemas de risco mínimo, maioria da IA empresarial, respondem apenas a códigos de conduta voluntários.
As sanções atingem 35 milhões de euros ou 7 % do volume de negócios mundial anual, aplicando-se o montante mais elevado, em caso de violação das práticas proibidas. Outras infrações descem para 15 milhões ou 3 %, e a transmissão de informação incorreta para 7,5 milhões ou 1 %. A supervisão divide-se entre as autoridades nacionais competentes e o novo Serviço de IA instituído junto da Comissão Europeia.
Estados Unidos: edifício federal fragmentado e leis estaduais
Os Estados Unidos operam com lógica distinta. Não existe lei federal única sobre IA. As autoridades setoriais aplicam os diplomas vigentes (proteção do consumidor, emprego, finanças, saúde) aos usos da IA, enquanto cada estado adota diplomas próprios. A atividade legislativa intensificou-se em 2025 e 2026, como mostram o rastreador White & Case e o seguimento NCSL, que documentam dezenas de leis sobre sistemas de decisão automatizada, transparência da IA generativa, deepfakes em período eleitoral e uso da IA por agentes públicos.
A camada federal permanece predominantemente executiva. As ordens presidenciais sucessivas estruturam os padrões de contratação pública, as avaliações de risco das agências e alguns deveres de divulgação. As autoridades independentes, incluindo a Federal Trade Commission, a Equal Employment Opportunity Commission, o Consumer Financial Protection Bureau, a Food and Drug Administration para dispositivos médicos ou a National Highway Traffic Safety Administration para veículos autónomos, aplicam o seu instrumental existente aos casos de IA. O trabalho de cumprimento nos Estados Unidos vive, mais do que noutros países, nos manuais operativos dos reguladores setoriais, e não num diploma horizontal único.
Reino Unido: abordagem pró-inovação e setorial
O Reino Unido optou por não legislar horizontalmente. A abordagem pró-inovação encaminha o enquadramento da IA através das autoridades existentes (Information Commissioner’s Office, Competition and Markets Authority, Financial Conduct Authority, Ofcom e outras), orientada por cinco princípios transversais: segurança, transparência, equidade, responsabilidade e possibilidade de contestação. O AI Safety Institute britânico conduz avaliações de modelos e publica os seus resultados.
A 21 de outubro de 2025 abriu a consulta sobre o UK AI Growth Lab, um programa de sandboxes regulatórios trans-económicos que permite testar produtos de IA sob adaptações regulatórias dirigidas, com transferência dos pilotos bem-sucedidos para reformas permanentes. A direção consolida o afastamento de uma lei única e o avanço para um dispositivo iterativo, setorial e adaptável.
China: regras generativas sob a direção da CAC
O quadro chinês é moldado pela Cyberspace Administration of China (CAC) e aplicado por instrumentos sucessivos. As Medidas Provisórias sobre a gestão dos serviços de IA generativa, em vigor desde agosto de 2023, estabelecem as obrigações dos prestadores em matéria de legalidade dos dados de treino, rotulagem de conteúdos, consentimento dos utilizadores e alinhamento com os valores sociais. As Disposições sobre recomendações algorítmicas (2022) e sobre síntese profunda (2023) acrescentam deveres de rotulagem e registo para motores de recomendação e meios sintéticos. Os conteúdos gerados destinados ao mercado chinês devem ostentar marca de água visível e marcação nos metadados. Os prestadores têm de registar os seus algoritmos no registo da CAC e submeter uma avaliação de segurança antes do lançamento.
O regime chinês é o mais prescritivo dos quatro em matéria de obrigações de moderação de conteúdo. Atinge sobretudo organizações que colocam diretamente produtos de IA no mercado chinês e é, para as restantes, um ponto de vigilância contratual ao longo da cadeia de fornecimento.
A camada convencional: a Convenção-Quadro do Conselho da Europa
Uma nova camada acrescentou-se aos regimes nacionais. A Convenção-Quadro do Conselho da Europa sobre Inteligência Artificial e Direitos Humanos, Democracia e Estado de Direito (STCE n.º 225) é o primeiro tratado internacional dedicado especificamente à governação da IA e juridicamente vinculativo para as suas partes. Compromete os signatários a assegurar que as atividades relativas à IA respeitam os direitos humanos, a democracia e o Estado de direito ao longo de todo o ciclo de vida dos sistemas.
A União Europeia ratificou a Convenção a 15 de maio de 2026, na 135.ª sessão do Comité de Ministros, em Chișinău, República da Moldávia. Entre os demais signatários figuram o Reino Unido, os Estados Unidos, o Canadá, o Japão, a Suíça, a Noruega, Israel, a Ucrânia, Andorra, a Geórgia, a Islândia, o Liechtenstein, o Montenegro, São Marino e o Uruguai. A Convenção entra em vigor no primeiro dia do mês seguinte ao termo de um prazo de três meses após a quinta ratificação, das quais pelo menos três por Estados-membros do Conselho da Europa.
A Convenção não duplica o Regulamento europeu. Estabelece um patamar convencional de proteção de direitos, não discriminação, transparência, supervisão, responsabilização e vias de recurso, que as partes devem transpor para o direito interno. Para uma organização presente em várias jurisdições signatárias, esse patamar reduz o risco de divergências substanciais sobre obrigações ligadas a direitos fundamentais e clarifica o limiar de proteção humana que qualquer programa de governação da IA deve respeitar.
O manual do operador: obrigações por tipo
A maior parte das comparações publicadas para por aqui, na leitura por país. É precisamente onde começa o trabalho do operador. Através dos quatro regimes de ancoragem e dos Princípios OCDE sobre IA, com 49 aderentes em abril de 2026, regressam as mesmas famílias de obrigações com variações locais.
Obrigações de transparência
As obrigações de divulgação atravessam todos os regimes. Ao abrigo do Regulamento europeu, os prestadores de sistemas que interagem com pessoas singulares devem informar da natureza artificial do interlocutor, salvo se for evidente. Os responsáveis pelo deploy de sistemas de reconhecimento de emoções ou de categorização biométrica devem notificar as pessoas afetadas. Prestadores e responsáveis pelo deploy de IA generativa são obrigados a rotular conteúdos sintéticos ou manipulados, com meios técnicos suscetíveis de deteção. A China impõe dupla marcação, visível e em metadados. Os Estados Unidos acrescentam leis estaduais sobre divulgação em sistemas de decisão automatizada no emprego ou nas relações com o consumidor. O conjunto de controlos é o mesmo: inventário das superfícies IA expostas ao utilizador, modelos de divulgação por superfície, cadeias de marca de água para conteúdos generativos e um procedimento de atualização sempre que o sistema evolua materialmente.
Gestão do risco e avaliação da conformidade
O artigo 9.º do Regulamento europeu exige, para os sistemas de risco elevado, um sistema documentado de gestão do risco, estabelecido, executado, documentado e mantido ao longo de todo o ciclo de vida. A avaliação da conformidade, com ou sem intervenção de organismo notificado consoante o caso de uso, condiciona a colocação no mercado. A estrutura aproxima-se da regulamentação de produto: identificar riscos previsíveis, avalia-los, adotar medidas, testar o risco residual, reavaliar após qualquer alteração substancial. O NIST AI Risk Management Framework, de janeiro de 2023, e o Perfil de IA generativa (NIST AI 600-1) de julho de 2024 fornecem a gramática operativa: quatro funções nucleares (Govern, Map, Measure, Manage) e doze categorias de risco próprias da geração. Uma equipa de cumprimento que adote o RMF como biblioteca de controlos percorre grande parte do caminho rumo a um sistema creditável à luz do artigo 9.º.
Monitorização pós-comercialização e notificação de incidentes
As obrigações não terminam no lançamento. O artigo 72.º do Regulamento europeu obriga os prestadores a um sistema de monitorização pós-comercialização proporcionado à natureza e aos riscos do sistema, com recolha de dados, análise e ciclos de ações corretivas documentadas. O artigo 73.º obriga a notificar os incidentes graves às autoridades de fiscalização do mercado dos Estados-membros afetados. Os outros regimes adotam abordagens menos formalizadas, mas esperam mecanismos equivalentes: o guia britânico exige que entidades reguladas demonstrem supervisão contínua; os reguladores setoriais norte-americanos aplicam canais próprios (FDA para eventos adversos em dispositivos, reguladores bancários para incidentes operacionais). O controlo operativo é partilhado: um ciclo de retorno da produção para a conceção, uma grelha de gravidade dos incidentes e um calendário de notificação cartografado sobre as autoridades pertinentes.
Governação de dados e modelos
Os conjuntos de treino, validação e teste dos sistemas de risco elevado devem ser pertinentes, representativos, sem erros e completos. O artigo 10.º do Regulamento europeu fixa obrigações específicas de governação de dados, incluindo o exame e a mitigação de enviesamentos. A China exige origem lícita dos dados de treino. O Direito laboral norte-americano impõe uma lógica de seleção ligada à função e justificada por necessidade da atividade quando a IA é usada em recrutamento. A ISO/IEC 42001 trata as mesmas questões nas cláusulas de avaliação de impacto, qualidade dos dados e supervisão de fornecedores. O ponto de convergência é simples: um ciclo de vida dos dados documentado, uma rastreabilidade da fonte ao modelo, um exame periódico de enviesamentos e uma diligência razoável sobre intermediários de dados e fornecedores de modelos.
Quem faz o quê: uma árvore de papéis
O Regulamento europeu identifica cinco papéis operacionais: prestador, responsável pelo deploy, importador, distribuidor e fabricante de produto. Os deveres variam consoante o papel assumido em relação a um sistema concreto. Uma mesma organização pode ser prestadora de um sistema, responsável pelo deploy de outro e distribuidora de um terceiro. Cartografar os papéis por sistema, e não por entidade jurídica, é o primeiro passo.
Um prestador coloca um sistema de IA no mercado da União em nome próprio. Os prestadores suportam o conjunto de obrigações mais pesado para os sistemas de risco elevado: controlos de conceção, sistema de gestão da qualidade, documentação técnica, avaliação da conformidade, declaração de conformidade, marcação CE, monitorização pós-comercialização, notificação de incidentes e ações corretivas.
Um responsável pelo deploy utiliza um sistema de IA sob a sua autoridade, normalmente no quadro de uma atividade económica ou de serviço público. As obrigações incluem o uso conforme às instruções do prestador, a supervisão humana, a monitorização das saídas, a conservação de registos, a realização, quando exigível, da avaliação de impacto nos direitos fundamentais (artigo 27.º) e a informação às pessoas alvo de uma decisão automatizada.
Um importador ou um distribuidor assume deveres de verificação: antes da colocação no mercado deve confirmar que o prestador cumpriu as suas obrigações, que a declaração de conformidade existe, que a marcação CE está aposta e que as instruções de uso são completas.
Um prestador de modelo de IA de finalidade geral, regido pelos artigos 53.º e 55.º, deve publicar um resumo suficientemente detalhado dos conteúdos de treino, documentar o cartão do modelo, respeitar o direito de autor da União e, quando o modelo apresente risco sistémico nos termos do limiar do artigo 51.º, conduzir testes adversariais, notificar incidentes graves ao Serviço de IA e assegurar a cibersegurança a nível de modelo e infraestrutura.
As camadas setoriais não desaparecem. Um banco que utilize um sistema de scoring de crédito de risco elevado acumula as obrigações de responsável pelo deploy do Regulamento europeu e todo o regime prudencial e de proteção do consumidor. Um fabricante de dispositivos médicos com componentes de IA acumula as obrigações de prestador e o regulamento europeu sobre dispositivos médicos.
O modelo operativo convergente: ISO/IEC 42001 e NIST AI RMF
Se o manual anterior parece organizado mas pesado, é essa a intenção. O retorno surge quando um único programa satisfaz vários reguladores em simultâneo. Dois padrões voluntários tornam essa convergência possível.
A ISO/IEC 42001:2023 é o primeiro referêncial internacional de sistema de gestão da IA (AIMS). Oferece uma estrutura Plan-Do-Check-Act familiar a quem trabalha com ISO 9001 ou ISO 27001, mas adaptada à IA: política de IA, compromisso de direção, planeamento (incluindo a avaliação de impacto dos sistemas de IA), suporte, operação, avaliação de desempenho, melhoria contínua. A versão europeia, EN ISO/IEC 42001:2026, entra no panorama harmonizado europeu, o que conta: a conformidade com um padrão harmonizado gera presunção de conformidade face a numerosos requisitos do Regulamento europeu.
O NIST AI Risk Management Framework assume a camada de controlos. Quatro funções (Govern, Map, Measure, Manage), declinadas em categorias e subcategorias, oferecem uma biblioteca granular que se alinha com as obrigações do Regulamento europeu, com as regras chinesas de conteúdo, com os reguladores setoriais norte-americanos e com os Princípios OCDE. O Perfil de IA generativa (NIST AI 600-1) acrescenta doze categorias de risco próprias da geração (informações CBRN, confabulação, conteúdos perigosos ou violentos, privacidade, impacto ambiental, enviesamentos prejudiciais, configuração humano-IA, integridade informativa, segurança da informação, propriedade intelectual, conteúdos obscenos, cadeia de valor), cada uma associada a ações concretas do RMF. O NIST trabalha também num perfil Infraestruturas Críticas (nota de enquadramento de abril de 2026) e num perfil Interoperabilidade de Agentes anunciado para o final de 2026.
Um modelo operativo sólido apoia-se na ISO 42001 como espinha dorsal e no NIST AI RMF como biblioteca de controlos. As evidências recolhidas uma só vez (registos de linhagem de dados, avaliações de impacto, registos de monitorização, notificações de incidentes, registos de formação) projetam-se depois sobre a documentação técnica do Anexo IV do Regulamento europeu, sobre o Guia OCDE de diligência razoável para IA responsável publicado em 19 de fevereiro de 2026, sobre os compromissos de transparência e responsabilização da Convenção-Quadro do Conselho da Europa e sobre as futuras normas europeias harmonizadas do CEN-CENELEC, entre as quais os projetos prEN 18228 e prEN 18282 sobre gestão de riscos de IA e terminologia de cibersegurança.
Este modelo convergente responde também à questão da escala. As 900 normas censeadas em 80 jurisdições não são 900 arquiteturas distintas. São, no essencial, variações sobre as mesmas famílias de obrigações, com prazos, plafonds e regras processuais diferentes. Um AIMS bem construído transforma cada nova norma numa questão de configuração, e não numa obra de refundição. Em Portugal, a CNPD para dados pessoais e a ANACOM para serviços digitais oferecem grelhas de leitura úteis para articular RGPD, Regulamento europeu sobre IA e obrigações setoriais, que um AIMS bem mantido integra naturalmente.
Questões frequentes
Quem regula a IA nos Estados Unidos? Nenhum regulador único. As agências setoriais aplicam o direito vigente: Federal Trade Commission na proteção do consumidor, Equal Employment Opportunity Commission no emprego, Consumer Financial Protection Bureau no crédito, Food and Drug Administration na IA médica, National Highway Traffic Safety Administration nos veículos autónomos, e assim sucessivamente. Os legisladores estaduais aprovam diplomas mais estreitos sobre sistemas de decisão automatizada, divulgação em IA generativa ou uso público de IA. A Casa Branca orienta a política através de ordens executivas que vinculam as agências federais e a contratação pública. O resultado é estratificado, não centralizado.
A IA vai ser regulamentada? Já está. O Regulamento europeu, a Convenção-Quadro do Conselho da Europa, o quadro chinês, dezenas de leis estaduais norte-americanas e a aplicação setorial dos diplomas vigentes formam um ambiente regulatório efetivo. A questão já não é saber se a IA será regulada, mas como operacionalizar as obrigações em vigor.
O que é um regulador da IA? No sentido do Regulamento europeu, são as autoridades nacionais competentes designadas pelos Estados-membros para supervisionar os sistemas de IA no seu mercado, a par do Serviço de IA da Comissão Europeia, que coordena a supervisão dos modelos de finalidade geral. Em Portugal, a CNPD, a ANACOM e os reguladores setoriais participam segundo o seu âmbito. Noutros locais, «regulador da IA» designa geralmente a agência setorial que aplica o seu instrumental aos casos de IA. A Convenção do Conselho da Europa não cria um supervisor único e remete a aplicação para os Estados parte.
Existem hoje regras sobre IA? Sim. As práticas proibidas e as obrigações de literacia em IA do Regulamento europeu aplicam-se desde 2 de fevereiro de 2025, as obrigações sobre modelos de finalidade geral desde 2 de agosto de 2025. As Medidas Provisórias chinesas sobre IA generativa aplicam-se desde agosto de 2023. Várias leis estaduais norte-americanas sobre decisões automatizadas em emprego, finanças e seguros são exigíveis. As regras setoriais em saúde, finanças e proteção do consumidor aplicam-se à IA ao abrigo das competências existentes.
Qual lei sobre IA prevê as sanções mais elevadas? O Regulamento europeu, com um máximo de 35 milhões de euros ou 7 % do volume de negócios mundial anual, prevalecendo o montante mais elevado, na violação das práticas proibidas. Outras infrações ficam-se por 15 milhões ou 3 %. As leis estaduais norte-americanas e a aplicação setorial seguem outras estruturas, frequentemente por infração ou em percentagem de receitas, mas em níveis absolutos inferiores.
As startups têm de cumprir o Regulamento europeu? Sim, com medidas proporcionadas. O Regulamento prevê expressamente vias simplificadas para PME e startups: percursos de avaliação da conformidade aligeirados, acesso dedicado a sandboxes regulatórios, taxas administrativas reduzidas para os serviços de organismos notificados. As obrigações materiais subsistem: práticas proibidas, transparência, conceção de sistemas de risco elevado quando aplicável, e regras sobre modelos de finalidade geral para quem desenvolve modelos fundacionais.
A ISO/IEC 42001 substitui o Regulamento europeu sobre IA? Não. A ISO/IEC 42001 é um padrão de gestão voluntário. O Regulamento europeu é direito vinculativo. O padrão é sobretudo útil como quadro de implementação que torna operativamente tratável o cumprimento do Regulamento, e das obrigações equivalentes nos restantes regimes. A certificação pode constituir um sinal de maturidade da governação, jamais um substituto das obrigações legais.
Conclusão: do rastreador ao modelo operativo
O rastreador por países teve o seu tempo. Serviu enquanto a regulamentação da IA era nova, escassa e desigualmente distribuída. Em 2026 já não é o enquadramento correto. Com mais de 900 regras ativas em 80 jurisdições, um tratado internacional vinculativo e normas harmonizadas a sair em cadência trimestral, nenhuma equipa de cumprimento tem largura de banda para tratar cada novo texto como projeto inédito.
O modelo operativo vence. Ancorar-se nos quatro regimes que cobrem a maior parte da atividade de IA regulada. Tratar os demais países como sobreposições. Organizar o trabalho por tipo de obrigação. Adotar ISO/IEC 42001 como espinha dorsal e NIST AI RMF como biblioteca de controlos. Recolher a evidência uma vez, mapeá-la várias vezes.
A AI Sigil fornece precisamente essa espinha dorsal aos setores regulados: avaliação de conformidade ao Regulamento europeu, sistema de gestão ISO/IEC 42001 e controlos NIST AI RMF, numa única plataforma GRC concebida para absorver cada nova regra sem repensar o edifício.