IA e Direito
Privacidade
Manual de Uso do AI Act para Empresas
Fonte: Governo dos Países Baixos (2025), "AI Act Guide – Version 1.1", setembro de 2025. https://www.government.nl/binaries/government/documenten/publications/2025/09/04/ai-act-guide/ai-act-guide.pdf Este artigo é uma síntese comentada do documento original. O conteúdo integral pertence ao Governo dos Países Baixos.
Disclaimer do documento original:
"Este guia foi preparado como uma ferramenta para fornecer uma visão fácil dos principais aspectos do AI Act. Nenhum direito pode ser derivado do conteúdo deste guia. O texto legal do AI Act sempre prevalece.
Este guia foi elaborado pelo Ministério dos Assuntos Económicos dos Países Baixos. Versão 1.1, SET/2025."
Por Luís Nuno Perdigão
28/JAN/2026
Powered by
Sobre este Guia
Objetivo
Se desenvolve sistemas de IA ou está a considerar utilizá-los na sua organização, provavelmente entrará em contacto com o AI Act. Este guia foi preparado para fornecer uma visão clara dos aspectos-chave da regulamentação.
Feedback
Por favor, envie qualquer feedback sobre este guia para ai-verordening@minezk.nl. O seu feedback será utilizado para melhorar futuras edições do guia.
Versão Atualizada
Se está a ler uma versão em papel deste guia, visite ondernemersplein.nl para a versão mais recente. O site também fornece referências às mais recentes orientações da Comissão Europeia.
O AI Act
O AI Act é um extenso documento legal que regula a Inteligência Artificial (IA) para toda a União Europeia (UE). Contém regras para o desenvolvimento e uso responsáveis de IA por empresas, governos e outras organizações.
Objetivo
Proteger a segurança, saúde e direitos fundamentais das pessoas naturais, garantindo que as organizações possam ter certeza de que a IA que utilizam é responsável.
Implementação
A regulamentação será introduzida em fases, com a maioria aplicável a partir de meados de 2026. Alguns sistemas de IA já foram proibidos desde fevereiro de 2025.
Texto Completo
Este guia lista as disposições mais importantes do AI Act, mas o texto completo da regulamentação está disponível online.
O que significa o AI Act para a sua organização?
Dependendo do tipo de sistema de IA e do uso que a organização faz desse sistema, serão impostos requisitos ao seu desenvolvimento e uso. Se os requisitos são impostos dependerá, entre outros, do risco que o sistema de IA representa para a segurança, saúde e direitos fundamentais.
Requisitos diferentes serão impostos às organizações que desenvolvem um sistema de IA ou o têm desenvolvido em comparação com organizações que utilizam IA.
01
Risco
O nosso sistema (de IA) está abrangido por uma das categorias de risco?
02
IA
O nosso sistema é classificado como 'IA' de acordo com o AI Act?
03
Papel
Somos o fornecedor ou utilizador do sistema de IA?
04
Obrigações
Que obrigações devemos cumprir?
Nota: Muitos outros guias e planos passo a passo começam no passo 2 (o nosso sistema é 'IA') em vez do passo 1 (categorias de risco). Afinal, se um sistema de IA não se qualifica como 'IA', não há requisitos sujeitos ao AI Act. No entanto, mesmo para sistemas que não são categorizados como IA de acordo com o AI Act, é importante ter uma ideia clara dos riscos dos propósitos para os quais são utilizados. É por isso que neste Guia do AI Act, optámos por começar com as categorias de risco.
Passo 1. (Risco) O nosso sistema (de IA) está abrangido por uma das categorias de risco?
Todos os sistemas de IA estão sujeitos ao AI Act, mas dependendo do risco, diferentes requisitos são impostos a diferentes categorias de sistema. O risco é determinado pela aplicação pretendida ou pelo produto para o qual o sistema de IA está a ser desenvolvido, vendido e utilizado:
Práticas de IA Proibidas
Estes sistemas de IA não podem ser colocados no mercado, postos em serviço ou utilizados para determinadas práticas.
Sistemas de IA de Alto Risco
Estes sistemas de IA devem satisfazer uma série de requisitos para mitigar os riscos antes de poderem ser colocados no mercado ou utilizados.
Outros requisitos também se aplicarão a modelos e sistemas de IA capazes de realizar determinadas tarefas:
Modelos e sistemas de IA de uso geral
Estes modelos e sistemas estarão sujeitos a requisitos específicos de informação. Em certos casos, outros requisitos devem ser cumpridos para mitigar riscos.
IA Generativa e Chatbots
Estas aplicações estarão sujeitas a requisitos específicos de transparência, dependendo se o sistema é ou não um sistema de alto risco.
O mesmo sistema de IA pode, por vezes, ser abrangido por múltiplas categorias. Um chatbot, por exemplo, pode ser implementado para uma aplicação de alto risco e/ou baseado num modelo de IA de uso geral.
1.1. Sistemas de IA Proibidos
Certas práticas de IA trazem um risco inaceitável para as pessoas e a sociedade. Estas práticas foram, portanto, proibidas desde fevereiro de 2025. Isto significa que estes sistemas não podem ser colocados no mercado, postos em serviço ou utilizados para estas práticas. Estas proibições aplicam-se tanto aos fornecedores como aos utilizadores desde 2 de fevereiro de 2025.
1
Manipulação do comportamento humano
Sistemas destinados a manipular o comportamento humano com vista a restringir a livre escolha dos indivíduos e que podem resultar em danos significativos para essas pessoas.
2
Exploração de vulnerabilidades
Sistemas que exploram as vulnerabilidades das pessoas devido à sua idade, deficiência ou situação social ou económica específica e que são suscetíveis de causar danos significativos a essas pessoas.
3
Pontuação social
Sistemas que elaboram um sistema de pontos de recompensas e punições baseado no comportamento social ou traços de personalidade, conhecidos como "pontuação social", que podem levar a tratamento prejudicial ou desfavorável.
4
Avaliações de risco criminal
Proibição de sistemas para fazer avaliações de risco para prever o risco de uma pessoa cometer um crime, baseado apenas em perfis ou personalidade ou outros traços.
Sistemas de IA Proibidos (continuação)
1
Bases de dados de reconhecimento facial
Sistemas que criam ou expandem bases de dados de reconhecimento facial através da raspagem não direcionada de imagens faciais da internet ou filmagens de CCTV.
2
Reconhecimento de emoções
Sistemas para reconhecimento de emoções no local de trabalho e em instituições de ensino, exceto quando destinados a razões médicas ou de segurança.
3
Categorização biométrica
Sistemas utilizados para categorizar pessoas individuais usando sistemas de categorização biométrica em certas categorias sensíveis como raça e orientação sexual.
4
Identificação biométrica remota em tempo real
O uso de sistemas de identificação biométrica remota em tempo real em espaços acessíveis ao público para fins de aplicação da lei. Existem algumas exceções em casos em que o uso é estritamente necessário.
1.2. Sistemas de IA de Alto Risco
Sistemas de IA de alto risco podem resultar em riscos para a saúde, segurança ou direitos fundamentais das pessoas naturais, como o direito à privacidade e o direito de não ser discriminado. Ao mesmo tempo, estes sistemas também podem ter um impacto positivo nas pessoas naturais e organizações, se forem confiáveis e os riscos forem mitigados.
A partir de agosto de 2026, os sistemas de IA de alto risco devem cumprir uma variedade de requisitos antes de serem colocados no mercado, utilizados ou postos em serviço. Isto significa que durante o desenvolvimento do sistema, os fornecedores devem garantir que o sistema satisfaz estes requisitos antes de ser colocado no mercado ou utilizado pela primeira vez.
Uma parte profissional que utiliza o sistema de IA sujeito à sua responsabilidade pessoal é considerada um utilizador. Os utilizadores também estão sujeitos a obrigações com o objetivo de mitigar riscos resultantes do uso específico do sistema.
Produtos de Alto Risco
Sistemas de IA que estão direta ou indiretamente também sujeitos a uma seleção de regulamentos de produtos existentes. Por exemplo, um sistema de IA como componente de segurança de um elevador ou um sistema de IA que em si mesmo é um dispositivo médico.
Aplicações de Alto Risco
Sistemas de IA desenvolvidos e implementados para aplicações específicas em "áreas de aplicação de alto risco". Estas são oito áreas de aplicação para IA que vão desde IA para aplicação da lei até IA na educação.
As obrigações para esta categoria também se aplicam a produtos de alto risco a partir de 2 de agosto de 2027 e a áreas de aplicação de alto risco a partir de 2 de agosto de 2026.
IA de Alto Risco como (elemento de segurança de) produtos existentes
Estes são produtos já regulamentados na UE. Um produto é considerado como representando um risco se, de acordo com os regulamentos de produtos existentes, for necessária a aprovação de terceiros antes de o produto poder ser colocado no mercado (avaliação de conformidade). Se a IA for um componente relacionado com a segurança do produto de risco ou se o próprio produto de risco for um sistema de IA, é considerado como IA de alto risco.
Produtos Regulamentados
  • Máquinas
  • Brinquedos
  • Embarcações de recreio
  • Elevadores
  • Equipamentos e sistemas de proteção para uso em atmosferas potencialmente explosivas
  • Equipamentos de rádio
  • Equipamentos sob pressão
  • Instalações por cabo
  • Equipamentos de proteção individual
  • Aparelhos a gás
  • Dispositivos médicos
  • Dispositivos médicos de diagnóstico in vitro
Além disso, o AI Act contém uma lista adicional de produtos também considerados como IA de alto risco, mas que não estão sujeitos a quaisquer requisitos diretos sob o AI Act. No entanto, num momento posterior, os requisitos do AI Act serão utilizados para esclarecer a legislação específica de produtos aplicável a estes produtos.
Produtos Adicionais Considerados IA de Alto Risco
Estes produtos estão sujeitos à seguinte legislação de produtos:
Segurança da Aviação Civil
Regulamento (CE) 300/2008 e Regulamento (UE) 2018/1139
Veículos de Duas ou Três Rodas e Quadriciclos
Regulamento (UE) 168/2013
Veículos Agrícolas e Florestais
Regulamento (UE) 167/2013
Equipamentos Marítimos
Diretiva 2014/90/UE
Interoperabilidade do Sistema Ferroviário na UE
Diretiva (UE) 2016/797
Veículos a Motor e Reboques
Regulamento (UE) 2018/858 e Regulamento (UE) 2019/2144
Ainda não se sabe quando isto terá lugar, e será diferente de produto para produto.
Áreas de Aplicação de Alto Risco
Um sistema de IA está no âmbito de uma das áreas de aplicação de alto risco se o fornecedor pretendeu o uso do sistema de IA numa dessas áreas. Na documentação do sistema de IA, o fornecedor deve declarar explicitamente o propósito, incluindo as instruções de uso, materiais publicitários e qualquer outra documentação técnica.
Nota: Mesmo que o fornecedor não tenha pretendido que o sistema de IA fosse de alto risco quando foi colocado no mercado, pode ainda acontecer que, na prática, um utilizador use o sistema para uma das áreas de aplicação de alto risco. Nesse caso, o utilizador é visto como o fornecedor, e como tal torna-se responsável pelos requisitos impostos aos sistemas de IA de alto risco.
Existem oito áreas de aplicação de alto risco. Isto não significa que todos os sistemas de IA abrangidos pelas áreas de aplicação muitas vezes descritas de forma abstrata sejam necessariamente de alto risco. Um número de aplicações específicas está listado para cada área.
Dica: Primeiro verifique se o seu sistema de IA está abrangido por uma das oito áreas de aplicação e depois determine se o seu sistema de IA é um dos sistemas de IA descritos nessa categoria. Só nesse caso está a lidar com um sistema de IA de alto risco que deve cumprir os requisitos.
Áreas de Aplicação de Alto Risco - Biometria e Infraestrutura Crítica
1. Biometria
  • Sistemas de identificação biométrica remota, a menos que o sistema seja usado apenas para verificação.
  • Sistemas usados para categorização biométrica de acordo com atributos sensíveis ou protegidos.
  • Sistemas para reconhecimento de emoções.
2. Infraestrutura Crítica
  • Sistemas destinados a serem usados como componentes de segurança para a gestão e operação de infraestrutura digital crítica, tráfego rodoviário ou no fornecimento de água, gás, aquecimento ou eletricidade.
Áreas de Aplicação de Alto Risco - Educação e Emprego
3. Educação e formação profissional
  • Sistemas para admissão ou alocação de educação (profissional).
  • Sistemas para avaliar resultados de aprendizagem.
  • Sistemas para avaliar o nível de educação (profissional).
  • Sistemas para monitorizar estudantes durante testes.
4. Emprego, gestão de trabalhadores e acesso ao autoemprego
  • Sistemas para o recrutamento ou seleção de candidatos.
  • Sistemas a serem usados para tomar decisões que afetam os termos das relações de trabalho, a alocação de tarefas ou a monitorização e avaliação dos trabalhadores.
Áreas de Aplicação de Alto Risco - Serviços Essenciais
5. Serviços privados essenciais e serviços públicos e benefícios
Assistência Pública
Sistemas para avaliar a elegibilidade para benefícios e serviços de assistência pública essenciais.
Avaliação de Crédito
Sistemas para avaliar a credibilidade ou pontuação de crédito de pessoas naturais, a menos que usados para fins de deteção de fraude financeira.
Seguros
Sistemas para avaliação de risco e precificação em relação a seguros de vida e saúde.
Emergências
Sistemas para avaliar chamadas de emergência e priorizar o envio de serviços de primeiros socorros de emergência e sistemas de triagem de pacientes de cuidados de saúde de emergência.
Áreas de Aplicação de Alto Risco - Aplicação da Lei
6. Aplicação da lei
Sistemas para aplicação da lei para avaliar o risco de uma pessoa natural se tornar vítima de crimes.
Sistemas para aplicação da lei a serem implementados como polígrafos ou ferramentas similares.
Sistemas para aplicação da lei para avaliar a confiabilidade das evidências.
Sistemas para aplicação da lei para avaliar ou prever o risco de uma pessoa natural cometer crimes ou para avaliar comportamento criminal passado de pessoas naturais ou grupos.
Sistemas para aplicação da lei para a criação de perfis de pessoas naturais no curso de deteção, investigação ou acusação de crimes.
Áreas de Aplicação de Alto Risco - Migração e Justiça
7. Migração, asilo e controle de fronteiras
  • Sistemas para autoridades públicas a serem usados como polígrafos ou ferramentas similares.
  • Sistemas para autoridades públicas para avaliar um risco de segurança, o risco de migração irregular ou um risco de saúde na entrada em um país.
  • Sistemas para autoridades públicas para auxiliar no exame de pedidos de asilo, visto ou autorização de residência, incluindo reclamações associadas.
  • Sistemas para autoridades públicas para detetar, reconhecer ou identificar pessoas naturais, com exceção da verificação de documentos de viagem.
8. Administração da justiça e processos democráticos
  • Sistemas a serem usados por uma autoridade judicial para auxiliar na aplicação da lei e resolução de disputas e pesquisar e interpretar fatos e aplicar a lei a um conjunto concreto de fatos.
  • Sistemas para influenciar o resultado de uma eleição ou referendo ou o comportamento de voto de pessoas naturais, com exceção de ferramentas usadas para apoiar campanhas políticas de um ponto de vista administrativo ou logístico.
Exceções às áreas de aplicação de alto risco
Existem algumas exceções específicas em que os sistemas de IA são abrangidos por uma das áreas de aplicação, mas que não são vistos como IA de alto risco. Isto aplica-se quando não há risco significativo para a saúde, segurança ou direitos humanos fundamentais.
Por exemplo, aplica-se se um sistema de IA não tem impacto significativo no resultado de uma decisão, por exemplo porque o sistema se destina a:
Tarefas Processuais
Realizar uma tarefa processual estreita
Melhoria de Resultados
Melhorar o resultado de uma atividade humana previamente concluída
Deteção de Padrões
Detetar padrões de tomada de decisão ou desvios de padrões de tomada de decisão anteriores e não destinado a substituir ou influenciar a avaliação humana previamente concluída
Tarefas Preparatórias
Realizar uma tarefa preparatória para uma avaliação relevante para uma das áreas de aplicação de alto risco
Deve-se notar que um sistema de IA usado para criação de perfis de pessoas naturais não pode fazer uso desta exceção. Se determinou que o seu sistema de IA (não de criação de perfis) está sujeito a uma das exceções, deve registar este facto e registar o sistema de IA na base de dados da UE para sistemas de IA de alto risco.
1.3. Modelos e sistemas de IA de uso geral
Um modelo de IA é um componente essencial de um sistema de IA, mas não é um sistema de IA em si. Isto requer mais elementos, por exemplo, uma interface de utilizador.
Modelo de IA de uso geral
Um modelo de IA de uso geral (General Purpose AI) pode realizar com sucesso uma ampla gama de tarefas diferentes e, como tal, pode ser integrado numa variedade de sistemas de IA. Estes modelos são frequentemente treinados em grandes volumes de dados usando técnicas de auto-supervisão.
Impacto Potencial
A ampla implementabilidade destes modelos através de sistemas de IA específicos significa que são usados para uma ampla gama de aplicações. Estas podem incluir aplicações de alto risco. Devido ao potencial grande impacto destes modelos, a partir de agosto de 2025, devem cumprir vários requisitos.
Sistema de IA de uso geral
Se um sistema de IA é baseado num modelo de IA de uso geral que em si pode realmente servir múltiplos propósitos, então é um sistema de IA de uso geral.
As obrigações aplicáveis a esta categoria aplicam-se a partir de 2 de agosto de 2025.
1.4. IA Generativa e Chatbots
Certos sistemas de IA estão sujeitos a obrigações de transparência. Estes são sistemas com os quais as pessoas naturais frequentemente interagem diretamente. Deve, portanto, ficar claro para estas pessoas naturais que estão a interagir com IA ou que o conteúdo foi manipulado ou gerado.
IA Generativa
Sistemas usados para gerar áudio, imagens, vídeo ou texto.
Chatbots
Sistemas feitos para interação.
As obrigações aplicáveis a esta categoria aplicam-se a partir de 2 de agosto de 2026.
1.5. Outra IA
Os sistemas de IA além das categorias referidas acima não são obrigados a cumprir requisitos de acordo com o AI Act.
Mas note: se como utilizador fizer uso de sistemas de IA de "outra categoria" para uma aplicação de alto risco conforme referido no AI Act, automaticamente torna-se um sistema de IA de alto risco e deve cumprir os requisitos do AI Act como fornecedor do sistema.

É importante estar ciente de que mesmo sistemas que não se enquadram nas categorias específicas do AI Act podem ainda representar riscos e devem ser geridos adequadamente.
Passo 2. O nosso sistema é classificado como 'IA' de acordo com o AI Act?
O AI Act impõe regulamentos aos sistemas de IA. Existem diferentes ideias sobre o que é IA e o que não é IA. O AI Act oferece a seguinte definição, que se destina a demarcar a natureza da IA como um produto no mercado:
"Um sistema de IA significa um sistema baseado em máquina que é projetado para operar com níveis variáveis de autonomia e que pode exibir adaptabilidade após a implementação e que, para objetivos explícitos ou implícitos, infere, a partir da entrada que recebe, como gerar saídas como previsões, conteúdo, recomendações ou decisões que podem influenciar ambientes físicos ou virtuais."
Estes diferentes elementos podem estar presentes tanto na fase de desenvolvimento quanto na fase de uso.
O que significa a definição de IA?
Autonomia
Este elemento é satisfeito se a autonomia estiver presente num sistema até certo ponto, mesmo que muito limitada. Sistemas sem qualquer forma de autonomia são sistemas que só operam se ações humanas ou intervenções forem necessárias para todas as ações desse sistema.
Adaptabilidade
Afirma-se que um sistema "pode" exibir adaptabilidade após a implementação. Embora a adaptabilidade não seja, portanto, identificada como um elemento decisivo, sua presença é uma indicação de que o sistema é um sistema de IA.
Capacidade de inferir
Isto refere-se não apenas à geração de saída durante a "fase de uso", mas também à capacidade de um sistema de IA inferir modelos e/ou algoritmos a partir de dados durante a fase de desenvolvimento.
A Comissão Europeia emitiu uma diretriz para esclarecer ainda mais a definição de IA. Pode encontrar a versão mais recente desta diretriz em ondernemersplein.nl.
O que está abrangido pela definição de IA?
Sistemas que utilizam aprendizagem automática
Sistemas em que o sistema aprende como certos objetivos podem ser alcançados com base em dados. Exemplos de aprendizagem automática são:
  • Aprendizagem (não) supervisionada
  • Aprendizagem auto-supervisionada
  • Aprendizagem por reforço
  • Aprendizagem profunda
Sistemas que utilizam abordagens baseadas em conhecimento e lógica
Sistemas que possibilitam a aprendizagem, raciocínio ou modelagem com base em conhecimento determinado ou uma representação simbólica de uma tarefa a ser resolvida. Exemplos destas abordagens são:
  • Representação de conhecimento
  • Programação (lógica) indutiva
  • Bases de conhecimento
  • Motores de inferência e dedução
  • Raciocínio (simbólico)
  • Sistemas especialistas
  • Métodos de pesquisa e otimização
O que NÃO está abrangido pela definição de IA?
Sistemas baseados em regras
Sistemas baseados em regras estabelecidas exclusivamente por pessoas naturais para conduzir ações automáticas. Alguns destes sistemas podem, até certo ponto, derivar como gerar saída a partir da entrada recebida, mas ainda estão além da definição porque só são capazes de analisar padrões até um ponto limitado ou são incapazes de adaptar autonomamente a sua saída.
Exemplos podem ser sistemas para otimização matemática melhorada, processamento de dados padrão, sistemas baseados em heurísticas clássicas e sistemas de previsão simples.
Sistemas com intervenção humana total
Sistemas projetados para serem usados com intervenção humana total. Estes sistemas não operam com um nível mínimo de autonomia.
Se o seu sistema não é considerado IA sob o AI Act, mas está abrangido por uma das categorias de risco, é importante ter uma discussão dentro da sua organização sobre até que ponto o sistema ainda representa riscos e mitigar estes riscos cumprindo com (específicos) requisitos do AI Act.
Sistemas fora do âmbito do AI Act podem, no entanto, ainda ter que cumprir requisitos de outra legislação e regulamentos.
Passo 3. Somos o fornecedor ou utilizador do sistema de IA?
Uma vez que tenha determinado a categoria de risco que abrange o seu sistema de IA e se o seu sistema de IA está de facto sujeito ao AI Act, deve então determinar se é o fornecedor ou utilizador.
Fornecedor
Uma pessoa ou organização que desenvolve ou encomenda o desenvolvimento de um sistema ou modelo de IA e o coloca no mercado ou coloca o sistema de IA em serviço.
Utilizador
Uma pessoa ou organização que usa um sistema de IA sob sua autoridade pessoal. Isto não inclui uso não profissional.
A descrição dos requisitos no passo 4 descreve para cada categoria de risco quais obrigações se aplicam aos fornecedores e utilizadores. Cada um é obrigado a cumprir outras obrigações. As obrigações mais rigorosas aplicam-se aos fornecedores.
Nota: Como utilizador, em certos casos, também pode tornar-se fornecedor de um sistema de IA de alto risco, de modo que é obrigado a cumprir as obrigações de alto risco para fornecedores. Isto é explicado mais detalhadamente nos passos 4.2. IA de alto risco e 4.3. Modelos e sistemas de IA de uso geral.
Passo 4. Que obrigações devemos cumprir?
4.1. Práticas de IA Proibidas
Estas práticas de IA resultam em risco inaceitável e, portanto, foram proibidas desde 2 de fevereiro de 2025. Isto significa que os sistemas de IA não podem ser colocados no mercado ou usados para estas práticas. Estas proibições aplicam-se tanto aos fornecedores quanto aos utilizadores.
Existem exceções claramente demarcadas à proibição do uso de sistemas de identificação biométrica remota em tempo real em espaços acessíveis ao público para fins de aplicação da lei, e o uso desses sistemas deve ser fornecido com uma base na legislação nacional. Também existem garantias adicionais relacionadas com a implementação destes sistemas.
4.2. IA de Alto Risco
A maioria dos requisitos do AI Act aplicar-se-á a sistemas de IA de alto risco. Os fornecedores devem cumprir várias obrigações, tais como:
Sistema de gestão de risco
Dados e governança de dados
Documentação técnica
Manutenção de registos (logs)
Transparência e informação
Supervisão humana
Precisão, robustez e cibersegurança
Sistema de gestão de qualidade
Monitorização
Se como fornecedor cumprir ou acreditar que cumpre todas estas obrigações, será obrigado a realizar uma avaliação de conformidade. Em certos casos, pode realizar esta avaliação por si mesmo, enquanto em outros casos deve ser realizada por terceiros em seu nome.
Os utilizadores também devem cumprir várias obrigações. Obrigações adicionais aplicam-se a organizações governamentais que usam sistemas de IA.
Requisitos para sistemas de IA de alto risco - Gestão de Risco
1. Sistema de gestão de risco
Várias etapas devem ser tomadas para este sistema:
Identificação e análise de riscos previsíveis que o sistema pode representar para a saúde, segurança ou direitos fundamentais.
Tomar medidas adequadas de gestão de risco para garantir que os riscos que permanecem após a implementação destas medidas sejam aceitáveis.
Os seguintes pontos devem ser levados em consideração:
  • Os riscos devem ser identificados e tratados antes de o sistema de IA ser colocado no mercado ou usado e, subsequentemente, continuamente durante o uso do sistema de IA.
  • O abuso previsível do sistema deve ser levado em consideração.
  • O contexto do uso, incluindo o conhecimento e experiência do utilizador de tais sistemas de IA ou o facto de que crianças e grupos vulneráveis podem experimentar consequências do sistema de IA, deve ser levado em consideração.
  • As medidas de gestão de risco devem ser testadas para verificar se são realmente eficazes.
Requisitos para sistemas de IA de alto risco - Dados
2. Dados e governança de dados
Diferentes requisitos são impostos aos conjuntos de dados usados para treinar, validar e testar sistemas de IA de alto risco.
Gestão de dados
Gestão de dados apropriada ao propósito do sistema de IA, incluindo:
  • O registo dos processos, incluindo processos para recolha de dados e processamento de dados;
  • O registo de suposições sobre os conjuntos de dados;
  • Uma avaliação da disponibilidade, quantidade e adequação dos conjuntos de dados, incluindo possíveis vieses que poderiam ter consequências para pessoas naturais;
  • Medidas para rastrear, prevenir e mitigar vieses;
  • Lidar com deficiências nos conjuntos de dados que podem impedir o cumprimento do AI Act.
Representatividade
Para o propósito para o qual são usados, os conjuntos de dados devem ser suficientemente representativos e, tanto quanto possível, livres de erros. O contexto em que o sistema de IA será usado também deve ser levado em consideração; por exemplo, o contexto geográfico ou social.
Dados pessoais sensíveis
Sujeito a uma série de condições rigorosas, categorias especiais de dados pessoais (um termo do Regulamento Geral de Proteção de Dados) podem ser processadas como meio de lidar com vieses.
Requisitos para sistemas de IA de alto risco - Documentação
3. Documentação técnica
A documentação técnica deve demonstrar que o sistema de IA de alto risco cumpre os requisitos estabelecidos no AI Act. A documentação técnica deve, entre outros, incluir:
Uma descrição geral do sistema de IA, incluindo o propósito pretendido do sistema, o nome do fornecedor e instruções de uso;
Uma descrição detalhada dos elementos do sistema de IA e do processo de desenvolvimento para esse sistema, incluindo as etapas no desenvolvimento, as escolhas de design, a saída esperada do sistema, o sistema de gestão de risco e os conjuntos de dados usados;
Informações detalhadas sobre a monitorização, operação e controle do sistema de IA, incluindo o grau de precisão a nível individual e geral, riscos, o sistema de avaliação durante o uso e medidas para monitorização e supervisão humana;
Uma visão geral das normas aplicáveis;
A declaração de conformidade da UE (a marca CE).
Empresas PME podem registar a sua documentação técnica de forma simplificada. Num momento futuro, a Comissão Europeia emitirá um formulário relevante.
Requisitos para sistemas de IA de alto risco - Registos e Transparência
4. Manutenção de registos (logs)
Logs automáticos devem ser mantidos durante o ciclo de vida do sistema de IA para que os riscos possam ser rastreados em tempo hábil e a operação do sistema possa ser monitorizada.
Estes logs devem ser armazenados por pelo menos seis meses. Pelo menos os seguintes eventos devem ser registados:
  • A duração de cada uso do sistema de IA;
  • Os dados de entrada e o controle desses dados pelo sistema de IA (e a base de dados de referência);
  • A identificação das pessoas naturais envolvidas na verificação dos resultados.
5. Transparência e informação
O fornecedor do sistema de IA sabe como o sistema opera e como deve ser usado. Por essa razão, o fornecedor deve garantir que o sistema de IA seja suficientemente transparente para que os utilizadores entendam como podem usar corretamente a saída do sistema.
Com isso em mente, instruções de uso devem ser elaboradas, que incluam pelo menos os seguintes pontos:
  • Detalhes de contacto;
  • O propósito, características, capacidades e limitações do desempenho do sistema de IA;
  • As medidas para supervisão humana.
Requisitos para sistemas de IA de alto risco - Supervisão Humana
6. Supervisão humana
Os sistemas de IA de alto risco devem ser projetados pelo fornecedor de tal forma que durante o uso possam ser efetivamente supervisionados por pessoas naturais para mitigar os riscos para as pessoas naturais. A supervisão humana deve ser dependente do contexto – quanto maiores os riscos, mais rigorosa deve ser a supervisão.
As medidas para supervisão podem ser de natureza técnica (por exemplo, uma interface homem-máquina clara), ou medidas que devem ser realizadas pelo utilizador (por exemplo, um curso obrigatório para o seu pessoal).
O objetivo final destas medidas é garantir que as pessoas naturais que usam o sistema de IA sejam capazes do seguinte:
Compreensão
Elas entendem as capacidades do sistema e podem monitorizar o seu funcionamento;
Consciência
Elas estão cientes do viés de automação;
Interpretação
Elas podem interpretar corretamente e, se necessário, ignorar ou substituir a saída;
Controle
Elas podem interromper o sistema.
Requisitos para sistemas de IA de alto risco - Segurança
7. Precisão, robustez e cibersegurança
Os sistemas de IA de alto risco devem oferecer um nível apropriado de precisão, robustez e cibersegurança. Para alcançar isso, benchmarks e métodos de medição são desenvolvidos pela Comissão Europeia.
Pelo menos as seguintes medidas devem ser mencionadas:
Prevenção de Erros
Medidas técnicas e organizacionais para prevenir erros que ocorrem na interação entre o sistema de IA e pessoas naturais;
Robustez
Soluções para robustez, como backups ou medidas de segurança no caso de defeitos;
Mitigação de Influências
Remoção ou mitigação de influências negativas do sistema, limitando loops de feedback;
Cibersegurança
Cibersegurança que impede o acesso não autorizado de terceiros, rastreando, respondendo e lidando com ataques. Estes são ataques destinados a envenenamento de dados, envenenamento de modelos, adaptação de entrada ou obtenção de dados confidenciais.
Requisitos para sistemas de IA de alto risco - Qualidade e Monitorização
8. Sistema de gestão de qualidade
O sistema de gestão de qualidade deve garantir que os requisitos do AI Act sejam cumpridos. Quão extenso o sistema de gestão de qualidade deve ser dependerá do tamanho da organização. Por exemplo, documentando o seguinte:
  • Uma estratégia para conformidade;
  • Técnicas, procedimentos e medidas para o design, desenvolvimento e garantia de qualidade do sistema de IA;
  • Se a padronização é usada;
  • Sistemas e procedimentos para gestão de dados, gestão de risco, monitorização, relatórios de incidentes e documentação.
9. Monitorização
Assim que um sistema de IA tenha sido colocado no mercado ou esteja em uso, os fornecedores devem monitorizar o sistema com base em dados de uso, determinando assim se o sistema continua a cumprir os requisitos do AI Act. Para este fim, os fornecedores devem elaborar um plano de monitorização.
Se o fornecedor de um sistema de IA de alto risco descobrir que o sistema já não funciona em conformidade com o AI Act, medidas corretivas devem ser tomadas imediatamente para corrigir a situação. Isto pode até incluir a retirada do sistema, se necessário.
Incidentes graves envolvendo o sistema de IA devem ser relatados às autoridades de vigilância.
Obrigações adicionais para fornecedores de IA de alto risco
Registo
O registo do sistema de IA de alto risco na base de dados da UE.
Contacto
Os detalhes de contacto do fornecedor devem ser registados com o sistema de IA.
Documentação
A documentação técnica, documentação relativa ao sistema de gestão de qualidade e documentação relativa à avaliação de conformidade devem ser mantidas por 10 anos.
Obrigações para utilizadores de sistemas de IA de alto risco
Não só os fornecedores, mas também os utilizadores de sistemas de IA de alto risco estão sujeitos a obrigações. Afinal, eles são as partes que controlam como o sistema de IA é usado na prática e, como tal, têm um grande impacto nos riscos que podem ocorrer.
Os utilizadores devem:
  • Tomar medidas técnicas e organizacionais apropriadas para garantir que o sistema de IA de alto risco seja usado de acordo com as instruções de uso;
  • Atribuir supervisão humana a pessoas naturais que tenham a competência, formação e autoridade necessárias;
  • Garantir que os dados de entrada sejam relevantes e suficientemente representativos, sempre que possível;
  • Monitorizar a operação do sistema de IA com base nas instruções de uso;
Mais obrigações para utilizadores de IA de alto risco
Se o utilizador tiver razão para acreditar que o sistema já não cumpre os requisitos do AI Act, o utilizador deve informar devidamente o fornecedor e cessar o uso do sistema;
Informar o fornecedor e as autoridades de vigilância de possíveis riscos e incidentes graves que tenham ocorrido;
Manter o livro de registo sob seu controle por pelo menos seis meses;
Informar a representação dos trabalhadores se o sistema de IA for implementado no local de trabalho;
Informar devidamente as pessoas se decisões forem tomadas sobre pessoas naturais usando o sistema de IA de alto risco;
Se for feito uso de IA para reconhecimento de emoções ou categorização biométrica, as pessoas naturais em relação às quais o sistema é usado devem ser devidamente informadas.
Obrigações específicas para organizações governamentais como utilizadores
Além das obrigações descritas acima, as organizações governamentais devem cumprir uma série de obrigações adicionais:
  • Registar o uso de um sistema de alto risco na base de dados da UE;
  • Avaliar as potenciais consequências para os direitos fundamentais se o sistema de IA de alto risco for usado tendo em vista o contexto específico dentro do qual o uso ocorre (uma avaliação de impacto nos direitos fundamentais).
4.3. Modelos e sistemas de IA de uso geral
Obrigações para fornecedores de modelos de IA de uso geral
Modelos de IA de uso geral podem ser integrados em todos os tipos de diferentes sistemas de IA. É essencial que os fornecedores destes sistemas de IA saibam o que o modelo de IA é e não é capaz de fazer. Requisitos específicos também são impostos ao treinamento destes modelos porque o treinamento frequentemente faz uso de grandes conjuntos de dados. Os fornecedores destes modelos devem:
Documentação
Elaborar documentação técnica do modelo, incluindo o processo de treinamento e teste e os resultados e avaliação;
Informação
Elaborar e manter atualizada informação e documentação para fornecedores de sistemas de IA que pretendam integrar o modelo no seu sistema de IA. A informação deve fornecer uma boa compreensão das capacidades e limitações do modelo de IA e deve permitir que o fornecedor do sistema de IA cumpra as obrigações do AI Act.
Direitos Autorais
Elaborar uma política para garantir que treinem o modelo sem infringir os direitos autorais de pessoas naturais e organizações;
Transparência
Elaborar e publicar um resumo suficientemente detalhado sobre o conteúdo usado para treinar o modelo de IA.
Fornecedores de modelos de código aberto não são obrigados a cumprir as duas primeiras obrigações (documentação técnica e elaboração de informações para fornecedores a jusante).
Obrigações para fornecedores de modelos de IA de uso geral com riscos sistémicos
Em certos casos, modelos de IA de uso geral podem gerar riscos sistémicos. Isto aplica-se se o modelo tiver alta capacidade de impacto, por exemplo devido ao escopo do modelo ou devido a impacto negativo (potencial) na saúde pública, segurança, direitos fundamentais ou sociedade como um todo.
Isto é pelo menos assumido se pelo menos 1025 operações de ponto flutuante (FLOPs) forem usadas para treinar o modelo. Com base em critérios específicos, a Comissão Europeia também pode determinar que o modelo tem um impacto importante similar de alguma outra forma.
Estes modelos devem:
Cumprir as obrigações para modelos de IA de uso geral;
Implementar avaliações de modelo para mapear os riscos sistémicos;
Mitigar riscos sistémicos;
Registar informações sobre incidentes graves e relatar esses incidentes ao Gabinete de IA;
Garantir cibersegurança apropriada.
Nota: estas obrigações só se aplicam aos maiores modelos de IA. Fornecedores destes modelos com riscos sistémicos não podem apelar a uma exceção para código aberto.
Direitos ao integrar modelos de IA de uso geral
Que direitos tem se integrar um modelo de IA de uso geral no seu sistema de IA (de alto risco)?
Como indicado anteriormente, deve pelo menos receber informações e documentação para permitir que determine por si mesmo como pode fazer uso do modelo no seu sistema de IA para o propósito escolhido. Se incluir o modelo num sistema de IA de alto risco, como fornecedor, deve então ainda cumprir as obrigações do AI Act.
Como deve lidar com sistemas de IA de uso geral?
Como indicado em 1.3. Modelos de IA de uso geral e sistemas de IA, também existem sistemas de IA que podem servir múltiplos propósitos. Tome, por exemplo, os amplamente conhecidos chatbots de IA.
Nota: Se implementar estes sistemas para propósitos de alto risco, de acordo com o AI Act, você mesmo se torna um fornecedor de um sistema de IA de alto risco. Então, cabe a si cumprir as obrigações aplicáveis. Nesta situação, é muito difícil cumprir as obrigações para um sistema de IA de alto risco, o que significa que pode correr o risco de receber uma penalidade.
4.4. IA Generativa e Chatbots
Para garantir que as pessoas naturais saibam se estão a falar com um sistema de IA ou estão a ver conteúdo gerado por IA, obrigações de transparência são impostas à IA generativa e chatbots.
Regras para fornecedores de chatbots
Fornecedores de sistemas projetados para interação direta com pessoas naturais devem garantir que estas pessoas sejam informadas de que estão a interagir com um sistema de IA.
Regras para fornecedores de IA generativa
Fornecedores de sistemas que geram áudio, imagem, vídeo ou conteúdo de texto devem garantir que a saída seja marcada num formato legível por máquina para que a saída possa ser detetada como artificialmente gerada ou manipulada.
Regras para utilizadores de IA generativa
Utilizadores de sistemas que geram conteúdo de áudio, imagem ou vídeo devem garantir que fique claro que o conteúdo é artificialmente gerado ou manipulado. Isto pode, por exemplo, ser alcançado aplicando uma marca d'água. Para trabalho criativo, satírico, ficcional ou analógico, isto pode ser realizado de uma forma que não arruíne o trabalho.
Regras para utilizadores de sistemas de reconhecimento de emoções ou sistemas para categorização biométrica
Os utilizadores destes sistemas de IA devem informar as pessoas naturais expostas a estes sistemas sobre como o sistema funciona.
Regime especial para texto gerado por IA
Um regime especial aplica-se a texto artificialmente gerado. Apenas nos casos em que textos são usados com o propósito de "informar o público sobre assuntos de interesse público", o facto deve ser divulgado de que o texto foi artificialmente gerado ou manipulado.
Se houver revisão editorial e responsabilidade, isto não precisa ser realizado.
Exemplos de textos que requerem divulgação:
  • Artigos de notícias gerados por IA
  • Relatórios públicos automatizados
  • Comunicados oficiais criados por IA
  • Análises políticas geradas automaticamente
Exemplos que podem ser isentos com revisão editorial:
  • Artigos de jornal revisados por editores
  • Conteúdo de blog com supervisão editorial
  • Publicações corporativas com aprovação humana
  • Relatórios acadêmicos com revisão por pares
4.5. Outra IA
Sistemas de IA além das categorias referidas acima não são obrigados a cumprir requisitos de acordo com o AI Act.
Mas note: se como utilizador fizer uso de sistemas de IA de "outra categoria" para uma aplicação de alto risco conforme referido no AI Act, automaticamente torna-se um sistema de IA de alto risco e deve cumprir os requisitos do AI Act como fornecedor do sistema.
Sistemas de Baixo Risco
Sistemas de IA que não se enquadram nas categorias de alto risco ou proibidas têm menos obrigações regulatórias, mas ainda devem seguir as melhores práticas da indústria.
Conformidade Voluntária
Mesmo para sistemas não regulamentados, pode ser benéfico seguir voluntariamente os princípios do AI Act para construir confiança e preparar-se para futuras regulamentações.
Outras Regulamentações
Lembre-se que outros regulamentos como o GDPR ainda se aplicam a todos os sistemas que processam dados pessoais, independentemente da classificação no AI Act.
Cronograma de Implementação do AI Act
O AI Act será implementado em fases, com diferentes requisitos entrando em vigor em momentos diferentes. É importante estar ciente destas datas para garantir a conformidade atempada.
1
Fevereiro 2025
Proibições de práticas de IA inaceitáveis entram em vigor. Sistemas de IA proibidos não podem mais ser colocados no mercado ou usados.
2
Agosto 2025
Requisitos para modelos de IA de uso geral entram em vigor. Fornecedores devem cumprir obrigações de documentação, transparência e mitigação de riscos.
3
Agosto 2026
Requisitos para sistemas de IA de alto risco em áreas de aplicação específicas e obrigações de transparência para IA generativa e chatbots entram em vigor.
4
Agosto 2027
Requisitos para produtos de alto risco com componentes de IA entram em vigor, alinhando-se com a legislação de produtos existente.
Preparando-se para o AI Act
Dada a implementação faseada do AI Act, as organizações devem começar a preparar-se agora para garantir a conformidade quando os requisitos entrarem em vigor.
Inventário de IA
Faça um inventário de todos os sistemas de IA na sua organização e classifique-os de acordo com as categorias de risco do AI Act.
Análise de Lacunas
Identifique lacunas entre as suas práticas atuais e os requisitos do AI Act para cada sistema.
Roteiro de Conformidade
Desenvolva um roteiro para abordar lacunas e implementar os requisitos necessários antes dos prazos aplicáveis.
Governança de IA
Estabeleça uma estrutura de governança para supervisionar a conformidade com o AI Act e gerir riscos de IA.
Documentação
Comece a preparar a documentação técnica necessária para sistemas de alto risco.
Formação
Eduque a equipa sobre os requisitos do AI Act e suas implicações para o desenvolvimento e uso de IA.
Benefícios da Conformidade com o AI Act
Embora a conformidade com o AI Act possa exigir investimento significativo, também oferece vários benefícios para as organizações:
Confiança
Aumenta a confiança dos clientes e utilizadores nos seus sistemas de IA.
Qualidade
Melhora a qualidade e confiabilidade dos sistemas de IA através de práticas rigorosas de desenvolvimento.
Redução de Risco
Reduz o risco de danos, responsabilidade legal e danos à reputação.
Acesso ao Mercado
Garante acesso contínuo ao mercado da UE para produtos e serviços de IA.
Inovação Responsável
Promove uma cultura de inovação responsável e centrada no ser humano.
Vantagem Competitiva
Pode fornecer uma vantagem competitiva sobre organizações menos preparadas.
Desafios Comuns na Implementação do AI Act
As organizações podem enfrentar vários desafios ao implementar os requisitos do AI Act:
Desafios Técnicos
  • Implementar sistemas robustos de gestão de risco para IA
  • Garantir a qualidade e representatividade dos dados de treinamento
  • Desenvolver mecanismos eficazes de supervisão humana
  • Implementar medidas de cibersegurança adequadas
  • Criar sistemas de log e monitorização que capturem informações necessárias
Desafios Organizacionais
  • Alocar recursos suficientes para conformidade
  • Desenvolver expertise interna em requisitos do AI Act
  • Integrar conformidade nos processos de desenvolvimento existentes
  • Coordenar esforços entre equipes técnicas e jurídicas
  • Equilibrar inovação com requisitos regulatórios
  • Gerenciar relações com fornecedores de IA de terceiros
Recursos para Conformidade com o AI Act
Várias organizações e recursos estão disponíveis para ajudar na conformidade com o AI Act:
Comissão Europeia
Fornece diretrizes oficiais sobre a interpretação e implementação do AI Act, incluindo orientações sobre a definição de IA, práticas proibidas e modelos de IA de uso geral.
Institutos de Padronização
Organizações como o NEN na Holanda estão desenvolvendo padrões europeus para ajudar na implementação dos requisitos do AI Act.
Associações da Indústria
Muitas associações da indústria estão desenvolvendo recursos específicos do setor para ajudar os membros a navegar pelos requisitos do AI Act.
Consultores Especializados
Consultores com expertise em conformidade regulatória de IA podem fornecer orientação personalizada para a sua organização.
Recursos Online
Websites como ondernemersplein.nl fornecem informações atualizadas e recursos para ajudar na conformidade com o AI Act.
Redes de Pares
Conecte-se com outras organizações enfrentando desafios semelhantes para compartilhar melhores práticas e lições aprendidas.
Interação com Outras Regulamentações
O AI Act não existe isoladamente, mas interage com várias outras regulamentações da UE:
GDPR
O Regulamento Geral de Proteção de Dados continua a aplicar-se ao processamento de dados pessoais por sistemas de IA. As organizações devem cumprir ambos os regulamentos quando aplicável.
Legislação de Produtos
O AI Act complementa a legislação de produtos existente para produtos que incorporam IA. As organizações devem cumprir ambos os conjuntos de requisitos.
Diretiva de Responsabilidade do Produto
Esta diretiva está sendo atualizada para abordar questões de responsabilidade relacionadas a produtos com IA. As organizações devem estar cientes das implicações de responsabilidade.
Regulamento de Serviços Digitais
Este regulamento impõe obrigações a plataformas online, incluindo aquelas que usam sistemas de IA para moderação de conteúdo ou recomendações.
É importante adotar uma abordagem holística para conformidade regulatória, considerando todas as regulamentações aplicáveis em conjunto.
Próximos Passos para a sua Organização
Com base nas informações neste guia, aqui estão os próximos passos recomendados para a sua organização:
01
Avaliação
Avalie todos os sistemas de IA existentes e planejados de acordo com as categorias de risco do AI Act.
02
Priorização
Priorize ações com base nos prazos de implementação e no nível de risco.
03
Planeamento
Desenvolva um plano detalhado para implementar os requisitos aplicáveis.
04
Implementação
Implemente as medidas necessárias para garantir a conformidade antes dos prazos aplicáveis.
05
Monitorização
Estabeleça processos contínuos para monitorizar a conformidade e adaptar-se a mudanças regulatórias.
Lembre-se de que a conformidade com o AI Act é uma jornada, não um destino. À medida que a tecnologia de IA e o cenário regulatório evoluem, a sua abordagem à conformidade também deve evoluir.
Contacto e Recursos Adicionais
Para obter mais informações sobre o AI Act e sua implementação, consulte os seguintes recursos:
Feedback sobre este Guia
Envie qualquer feedback sobre este guia para ai-verordening@minezk.nl. O seu feedback será usado para melhorar futuras edições do guia.
Versão Mais Recente
Visite ondernemersplein.nl para a versão mais recente deste guia e referências às mais recentes orientações da Comissão Europeia.
Texto Completo do AI Act
O texto completo do AI Act está disponível no site oficial da UE.
Padrões Europeus
Informações sobre o desenvolvimento de padrões europeus para o AI Act estão disponíveis através do NEN na Holanda.
Este é um guia publicado pelo Ministério da Economia dos Países Baixos.
Postbus 20901 | 2500 EX Den Haag
www.rijksoverheid.nl
Juristech.pt — Onde a Tecnologia encontra o Direito
© 2026 Luís Nuno Perdigão