Log in
Sign up
Sumi-e manga lineart of a single brass legal seal resting on plain paper, symbolising the EU AI Act regulatory framework

Sections

Regulamento IA da UE, o guia operacional para a conformidade em 2026

O essencial

  • O Regulamento (UE) 2024/1689, conhecido como Regulamento IA da UE, entrou em vigor a 1 de agosto de 2024 e torna-se plenamente aplicável a 2 de agosto de 2026; as práticas proibidas estão em vigor desde 2 de fevereiro de 2025 e as obrigações sobre modelos de IA de finalidade geral desde 2 de agosto de 2025 (Comissão Europeia).
  • O texto sujeita cada utilização de IA a quatro filtros independentes: práticas proibidas (artigo 5.º), sistemas de risco elevado (artigo 6.º com anexo III), obrigações de transparência (artigo 50.º) e regime dos modelos de finalidade geral (capítulo V). O mesmo sistema pode acionar vários filtros em simultâneo.
  • Os fornecedores de sistemas de risco elevado têm de implementar uma gestão contínua de riscos, governar dados, documentar, registar, garantir uma supervisão humana efetiva, conduzir uma avaliação de conformidade e manter um acompanhamento pós-comercialização num sistema de gestão da qualidade ancorado no artigo 17.º.
  • Os fornecedores de modelos de finalidade geral assumem desde agosto de 2025 um núcleo de obrigações; os modelos com risco sistémico, identificados pelo limiar de 10^25 FLOPs ou pelos critérios do anexo XIII, suportam ainda avaliação adversarial, comunicação de incidentes e cibersegurança (artigo 51.º).
  • As coimas atingem o maior valor entre 35 milhões de euros ou 7 % do volume de negócios mundial para as práticas proibidas; as PME dispoem de um tecto proporcional, e o código de conduta GPAI é uma via documentada de cumprimento.

O que regula efetivamente o Regulamento IA da UE

O Regulamento IA da UE, formalmente Regulamento (UE) 2024/1689, é a primeira lei horizontal do mundo sobre inteligência artificial. Aplica-se a qualquer sistema de IA colocado no mercado da União ou cujos resultados sejam utilizados na União, independentemente do local de estabelecimento do fornecedor. Uma start-up norte-americana, uma plataforma britânica ou um fabricante japonês entram no âmbito a partir do momento em que um utilizador europeu possa ser afetado pelas saídas do sistema. O texto entrou em vigor a 1 de agosto de 2024. As obrigações ativam-se por ondas: práticas proibidas a 2 de fevereiro de 2025, obrigações GPAI a 2 de agosto de 2025, grande parte do regime, incluindo o anexo III, a 2 de agosto de 2026 e a integração em produtos do anexo I a 2 de agosto de 2027 (AI Act Service Desk). Em fevereiro de 2025 a Comissão publicou dois documentos interpretativos vinculativos. O primeiro define o que é um sistema de IA nos termos do artigo 3.º, n.º 1, com base em sete características: funcionamento baseado em máquina, autonomia, capacidade de adaptação, propósito, inferência, geração de saídas e influência no ambiente (orientações sobre a definição). O segundo comenta as oito práticas proibidas do artigo 5.º (orientações sobre práticas proibidas). Sem estas duas qualificações, o resto do regulamento não se sustenta. A 7 de maio de 2026 o Conselho e o Parlamento Europeu alcançaram um acordo político para simplificar o regime, em particular o peso documental sobre as PME (comunicado do Conselho). As obrigações substantivas descritas neste guia mantêm-se; apenas as formalidades de implementação aligeiram.

Os quatro níveis de risco, descodificados

O regulamento não arruma os sistemas de IA em quatro caixas estanques. Sujeita cada sistema em paralelo a quatro testes, e o mesmo sistema pode falhar em vários. Cada teste é uma porta autónoma.

Risco inaceitável, artigo 5.º

O artigo 5.º proíbe em absoluto oito famílias de práticas, com exceções restritas: manipulação subliminar com dano significativo, exploração de vulnerabilidades ligadas à idade ou à deficiência, scoring social pelas autoridades públicas, policiamento preditivo apenas por perfilação, recolha não dirigida de imagens faciais para construção de bases de reconhecimento, reconhecimento de emoções no local de trabalho e na escola, categorização biométrica que infere atributos sensíveis, identificação biométrica remota em tempo real em espaços públicos (artigo 5.º). Estas proibições aplicam-se desde 2 de fevereiro de 2025.

Risco elevado, artigo 6.º com anexos I e III

Um sistema é de risco elevado em dois casos. Primeiro, quando é componente de segurança de um produto ou o próprio produto regulado pelo direito setorial constante do anexo I (dispositivos médicos, máquinas, brinquedos, automóvel, aviação). Segundo, quando cabe num dos oito domínios autónomos do anexo III: biometria, infraestruturas críticas, educação e formação profissional, emprego e gestão de trabalhadores, acesso a serviços essenciais, aplicação da lei, migração e controlo de fronteiras, administração da justiça e processos democráticos (artigo 6.º, anexo III).

Risco de transparência, artigo 50.º

A IA de menor impacto que interage com pessoas ou gera conteúdo sintético tem de se declarar. Os agentes conversacionais têm de avisar o utilizador de que está perante uma máquina. As imagens, áudios e vídeos gerados por IA, incluindo deepfakes, têm de levar marcas de proveniência legíveis por máquina.

Risco mínimo

O resto, que continua a ser a grande maioria das aplicações atuais, não gera obrigações. Os filtros de spam e a IA nos jogos são citados expressamente. A Comissão incentiva códigos voluntários mas não impõe custos de conformidade. Cinco perguntas curtas oferecem uma primeira triagem: o uso cai no artigo 5.º? está regulado pelo anexo I ou III? é um modelo de finalidade geral autonomamente? produz conteúdo que parece humano? toca uma pessoa que merece ser informada? Cada sim abre uma via paralela.

Quem suporta as obrigações: fornecedor, responsavel pela implementação, importador, distribuidor

O regulamento distingue quatro papéis cuja carga varia muito. Um fornecedor desenvolve o sistema ou manda desenvolvê-lo e coloca-o no mercado da União em nome próprio. Suporta o trabalho mais pesado: documentação técnica, avaliação de conformidade, marcação CE, declaração UE de conformidade, acompanhamento pós-comercialização, inscrição na base de dados UE dos sistemas de risco elevado, comunicação de incidentes. Um responsavel pela implementação utiliza o sistema no âmbito de uma atividade profissional. As obrigações são mais leves mas concretas: assegurar a efetividade da supervisão humana, seguir as instruções do fornecedor, monitorizar a operação, preservar registos quando exigido, realizar uma avaliação de impacto sobre direitos fundamentais para certos sistemas do anexo III, e informar os trabalhadores afetados quando o sistema for usado no seu local de trabalho. Um importador coloca no mercado da União o sistema de um fornecedor estabelecido fora da UE. Verifica que o trabalho de conformidade foi conduzido, que a documentação está completa e que os pontos de contacto estão ativos. Um distribuidor disponibiliza o sistema na cadeia sem o modificar. Verifica que a marcação CE e os documentos exigidos acompanham o produto, e sinaliza à cadeia qualquer dúvida séria. A proporcionalidade para PME está inscrita no texto. PME e start-ups beneficiam de acesso prioritário aos ambientes de testagem, taxas reduzidas junto dos organismos notificados e o tecto baixo em cada escalão de coima. Não elimina obrigações, reduz o custo de cumprimento. Quem compra IA em vez de a construir é quase sempre responsavel pela implementação, e os contratos devem extrair por escrito as evidências do fornecedor. A plataforma de governance de IA da AI Sigil está construída em torno deste fluxo probatório.

Obrigações para sistemas de risco elevado

Os fornecedores de sistemas de risco elevado concentram o essencial das obrigações. A estrutura traduz-se diretamente em controlos operacionais. Gestão de riscos, artigo 9.º. Processo contínuo e iterativo ao longo de todo o ciclo de vida. Na prática: registo de riscos documentado, revisões periódicas alinhadas com as releases, evidências de que os riscos residuais foram comunicados aos responsaveis pela implementação. Dados e governance dos dados, artigo 10.º. Conjuntos de treino, validação e teste pertinentes, representativos e, na medida do possível, livres de erros e completos, com documentação das fases de preparação. Na prática: fichas de dataset, registos de sourcing, diagnósticos de enviesamento, políticas de retenção. Documentação técnica, artigo 11.º e anexo IV. Um dossier completo de conceção: descrição geral, finalidade, decisões de arquitetura, validação e plano de acompanhamento pós-comercialização. O dossier é mantido atualizado. Registo, artigo 12.º. Logging automático do funcionamento ao longo de toda a vida do sistema, que permite a rastreabilidade das saídas. Transparência e informação ao responsavel pela implementação, artigo 13.º. Instruções de utilização claras que cubram características, capacidades, limites e nível de exatidão esperado. Supervisão humana, artigo 14.º. Embebida na conceção, com medidas proporcionais ao risco, para que uma pessoa singular possa intervir, interpretar, sobrepor-se ou parar. Exatidão, robustez e cibersegurança, artigo 15.º. Objetivos de desempenho definidos e divulgados, resiliência a erros e incoerências, medidas de cibersegurança adequadas à superfície de ataque, em particular contra envenenamento de dados, exemplos adversariais e inversão de modelo. Sistema de gestão da qualidade, artigo 17.º. O esqueleto que sustenta o resto. Um conjunto documentado de políticas, procedimentos, responsabilidades e registos de auditoria. É aqui que o alinhamento com a ISO/IEC 42001 mais paga. Avaliação de conformidade, artigo 43.º. Controlo interno para a maioria dos sistemas do anexo III; avaliação por organismo notificado para identificação biométrica e certos casos do anexo I. Saída: marcação CE, declaração UE de conformidade, inscrição na base de dados UE. Acompanhamento pós-comercialização e comunicação de incidentes. Os dados operacionais regressam ao fornecedor; os incidentes graves são comunicados às autoridades nacionais em prazos curtos. Cada bloco é, operacionalmente, uma família de controlos: um titular, uma política, um artefacto de evidência, uma cadência de atualização.

Obrigações GPAI e risco sistémico

Os modelos de IA de finalidade geral, os modelos de fundação a montante de muitas aplicações, têm capítulo próprio. Núcleo do artigo 53.º, aplicável a qualquer modelo colocado no mercado da União desde 2 de agosto de 2025: documentação técnica para o AI Office e fornecedores a jusante, política de respeito do direito de autor conforme ao direito da União, resumo suficientemente detalhado do conteúdo de treino. Os modelos de código aberto gozam de isenção parcial, mantendo o respeito do direito de autor e o resumo de treino. Classificação como risco sistémico, artigo 51.º. Presume-se que um modelo tem capacidades de elevado impacto, logo risco sistémico, quando a potência de cálculo cumulativa de treino ultrapassa 10^25 operações em vírgula flutuante. A Comissão pode também designá-lo pelos critérios do anexo XIII: número de utilizadores, número de parâmetros, benchmarks de capacidade, dependências a jusante (artigo 51.º). Obrigações reforçadas do artigo 55.º para os modelos sistémicos: avaliação normalizada incluindo testes adversariais, avaliação e mitigação dos riscos à escala da União, comunicação de incidentes graves ao AI Office, cibersegurança adequada do modelo e da infraestrutura (artigo 55.º). A Comissão publicou o código de conduta GPAI a 10 de julho de 2025 (página do código). A assinatura é voluntária mas os signatários usam-no como meio adequado para demonstrar o cumprimento dos artigos 53.º e 55.º.

Governance e aplicação: AI Office, autoridades nacionais, coimas

A aplicação do regulamento assenta em dois andares. O AI Office, alojado na Comissão, exerce poderes diretos sobre as regras GPAI (capítulo V). Cada Estado-Membro designa uma ou várias autoridades de fiscalização do mercado para o resto. Alguns Estados criaram um regulador de IA dedicado; outros entregaram o dossier às autoridades de protecção de dados ou aos reguladores setoriais (autoridades de fiscalização do mercado). A partir de 2 de agosto de 2026 estas autoridades poderão auditar a documentação dos fornecedores, aceder aos dados de treino e validação e, em casos definidos, exigir acesso ao código-fonte. Podem ordenar medidas corretivas, restringir ou retirar um sistema do mercado e aplicar coimas. O artigo 99.º prevê três escalões (artigo 99.º):

  • Práticas proibidas: até 35 milhões de euros ou 7 % do volume de negócios mundial, o mais alto.
  • Incumprimento dos requisitos para risco elevado ou das obrigações de transparência: até 15 milhões de euros ou 3 %.
  • Informação incorreta, incompleta ou enganosa às autoridades: até 7,5 milhões de euros ou 1 %.

As PME e start-ups beneficiam do tecto baixo em cada escalão. Acresce que os Estados-Membros devem dispor de um ambiente de testagem regulamentar nacional até 2 de agosto de 2026.

Crosswalk para ISO/IEC 42001 e NIST AI RMF

Ninguém constrói governance de IA só contra o regulamento. A maioria das equipas combina três referências: ISO/IEC 42001 para o sistema de gestão, NIST AI RMF para a operação de risco, Regulamento IA da UE como base legal. A relação é em camadas. O NIST AI RMF fornece a metodologia operacional, as funções Govern-Map-Measure-Manage e um vocabulário de tratamento do risco. ISO/IEC 42001, publicada em 2023, é a primeira norma internacional de sistema de gestão para IA; a certificação é o caminho mais limpo para demonstrar maturidade organizacional. O Regulamento IA da UE transforma estas práticas voluntárias em obrigação legal para o risco elevado e para os GPAI. Um mapeamento utilizável ao nível da obrigação:

  • Artigo 9.º gestão de riscos ↔ NIST AI RMF Map e Measure ↔ ISO/IEC 42001 secções 6.1 e 8.
  • Artigo 10.º governance de dados ↔ NIST AI RMF Map 4 ↔ controlos do anexo B da ISO/IEC 42001.
  • Artigo 11.º documentação técnica ↔ NIST AI RMF Manage 4 ↔ ISO/IEC 42001 secção 7.5.
  • Artigo 14.º supervisão humana ↔ NIST AI RMF Govern 1 ↔ controlo ISO/IEC 42001 sobre papéis de supervisão.
  • Artigo 17.º sistema de gestão da qualidade ↔ toda a casca da ISO/IEC 42001.

O CEN-CENELEC prepara uma norma harmonizada, prEN 18286, que servirá de ponte formal entre a ISO/IEC 42001 e a avaliação de conformidade do regulamento. Publicação prevista para 2026.

Calendário de aplicação, trimestre a trimestre

A maioria dos responsáveis de conformidade precisa de um plano de projeto, não de um parágrafo. Eis o calendário em forma operacional.

  • 1.º trimestre 2025 (em vigor). Práticas proibidas (artigo 5.º) e literacia em IA (artigo 4.º) aplicáveis. Passar o inventário pelo crivo das oito proibições e desligar ou redesenhar radicalmente o que estiver no espectro.
  • 3.º trimestre 2025 (em vigor). Obrigações GPAI do artigo 53.º ativas para novos modelos. Estruturas de governance (AI Office, autoridades nacionais) operacionais. Os fornecedores de modelos já têm de ter dossier técnico e política de direito de autor.
  • 3.º trimestre 2026 (a oito semanas). Aplicação do núcleo duro do regime. Cada sistema de risco elevado do anexo III no mercado exige dossier completo de avaliação de conformidade, marcação CE, inscrição em base de dados UE e ciclo ativo de acompanhamento pós-comercialização. Ambientes de testagem regulamentar nacionais disponíveis.
  • 3.º trimestre 2027. As obrigações para risco elevado estendem-se à IA integrada em produtos do anexo I (dispositivos médicos, máquinas, brinquedos, automóvel). Organismos notificados setoriais assinam componentes de IA.

O acordo político de 7 de maio de 2026 não desloca estas datas. Aligeira papelada PME e algumas expectativas do anexo III.

Como arrancar a conformidade nos próximos 90 dias

Quem começa do zero a meio de 2026 deve priorizar quatro passos antes de procurar a perfeição.

  1. Construir um inventário de IA. Listar cada sistema em produção, em piloto e na pipeline de compra. Etiquetar cada um com papel (interno, comprado, embebido num SaaS), função e dados pessoais tocados.
  2. Classificar cada sistema pelas quatro provas paralelas. Artigo 5.º, artigo 6.º e anexo III, artigo 50.º, capítulo V. Nesta fase, uma folha de cálculo basta.
  3. Análise de hiatos dos candidatos de risco elevado e GPAI face aos artigos 9.º a 17.º (e 53.º a 55.º para fornecedores de modelo). Marcar cada obrigação como presente, parcial ou ausente, e atribuir um responsável.
  4. Erguer um esqueleto de evidências, idealmente sobre um sistema de gestão ISO/IEC 42001. Cada obrigação exige uma política, um papel, um artefacto e uma cadência.

Se já existe ISO/IEC 42001 implementada, estão feitos cerca de 60 % do caminho. Resta acrescentar os artefactos específicos do regulamento (dossier de avaliação, inscrição em base de dados UE, plano de acompanhamento pós-comercialização, processo de comunicação de incidentes).

Perguntas frequentes

A partir de quando se aplica o Regulamento IA da UE? O regulamento entrou em vigor a 1 de agosto de 2024 e é plenamente aplicável a 2 de agosto de 2026. As práticas proibidas estão em vigor desde 2 de fevereiro de 2025; as obrigações GPAI desde 2 de agosto de 2025. A integração em produtos do anexo I age a 2 de agosto de 2027. Os poderes executivos da Comissão acendem-se com o núcleo duro do regime em agosto de 2026. Aplica-se fora da UE? Sim. Tem alcance extraterritorial: abrange qualquer fornecedor que coloque um sistema no mercado da União e qualquer responsavel pela implementação ou fornecedor cujas saídas sejam usadas na União, qualquer que seja o local de estabelecimento. Um programador americano com um único utilizador europeu cai no âmbito, tal como acontece com o RGPD nos dados pessoais. O que é um sistema de risco elevado? Dois casos. Primeiro, quando é componente de segurança ou o próprio produto coberto pelo direito setorial do anexo I (dispositivos médicos, máquinas, automóvel). Segundo, quando cai num dos oito domínios do anexo III: biometria, infraestruturas críticas, educação, emprego, serviços essenciais, aplicação da lei, migração e fronteiras, justiça e processos democráticos. O que muda para modelos GPAI? Qualquer modelo GPAI colocado no mercado da União desde 2 de agosto de 2025 tem de publicar documentação técnica, política de direito de autor e resumo suficientemente detalhado do conteúdo de treino. Os modelos classificados como sistémicos nos termos do artigo 51.º, hoje os treinados com mais de 10^25 FLOPs, suportam adicionalmente avaliação adversarial, comunicação de incidentes ao AI Office e mitigação de riscos à escala da União. Assinar o código de conduta GPAI é um meio adequado de cumprimento. Quais são as coimas? O artigo 99.º estabelece três escalões. As práticas proibidas expõem a 35 milhões de euros ou 7 % do volume de negócios mundial, o valor mais alto. As infrações aos requisitos para risco elevado ou às obrigações de transparência até 15 milhões de euros ou 3 %. A informação enganosa às autoridades até 7,5 milhões de euros ou 1 %. As PME beneficiam do tecto baixo. As autoridades nacionais podem em paralelo ordenar medidas corretivas ou retirada do mercado. Que relação com a ISO 42001 e o NIST AI RMF? Os três referenciais são complementares. O NIST AI RMF é um quadro voluntário para operações de risco. A ISO/IEC 42001 é a norma de sistema de gestão, a via mais limpa para industrializar a governance. O Regulamento IA da UE é a base legal. Uma equipa que opera um sistema ISO/IEC 42001 e usa o NIST AI RMF como metodologia de risco satisfaz a maior parte das expectativas documentais e de processo do regulamento; resta acrescentar os artefactos específicos (dossier de avaliação, inscrição em base de dados UE, processo de comunicação de incidentes).

Conclusão

O Regulamento IA da UE coloca uma pergunta que qualquer operador já deveria fazer: que utilização de IA está pronto a defender por escrito? O texto não inventa governance, torna-a auditável. As equipas que combinarem um sistema de gestão ISO/IEC 42001 com fluxos de evidência limpos absorverão 2026 como uma lista de verificação. Quem esperar descobrirá que a avaliação de conformidade, a inscrição em base de dados UE e o acompanhamento pós-comercialização não se montam à pressa. Lancem o inventário, classifiquem os sistemas segundo as quatro provas paralelas e escolham o referencial que transforma cada obrigação num controlo. O regulamento entrega os padrões; cabe-vos torná-los vossos.

Sofia Almeida

O risco principal da IA generativa: porque as alucinações dominam todas as outras falhas

O risco dominante da IA generativa não é o enviesamento nem o direito de autor. É a alucinação. Eis o porquê, e o plano de actuação para quem implementa.

Shadow AI: por que a IA paralela é antes de tudo um problema de governance

O Shadow AI quebra os inventários exigidos pelo Regulamento da IA, ISO 42001 e NIST RMF. Como descobri-lo e registrar-lo num registo central.

Regulamento IA da UE, o guia operacional para a conformidade em 2026

O Regulamento 2024/1689 explicado aos operadores. Categorias de risco, GPAI, avaliação de conformidade, coimas e calendário 2026.

Regulamentação da IA em 2026: o manual do operador

Mapear as obrigações de IA por tipo. Transparência, risco, monitorização no Regulamento europeu, NIST, ISO 42001 e Convenção do Conselho da Europa.

Ferramentas de governança de IA em 2026: a plataforma de conformidade e o ecossistema em volta

As ferramentas de governança de IA têm duas camadas: uma plataforma nativa de conformidade e ferramentas complementares. Mapeamento por papel AI Act, ISO 42001, NIST RMF.

O regulamento europeu de inteligência artificial: manual operacional para fornecedores e implementadores

O regulamento europeu de IA, descodificado por papel. Fornecedor, implementador, GPAI: quem faz o quê, até quando, com que artefacto de governação.