• Publicação e entrada em vigor: a Lei da IA foi publicada no Jornal Oficial a 12 de julho de 2024 e entrou em vigor a 1 de agosto de 2024.
• 2 de fevereiro de 2025: começam a aplicar-se as proibições de práticas inaceitáveis e a obrigação transversal de literacia em IA para fornecedores e utilizadores (deployers).
• 2 de agosto de 2025: entram em aplicação as regras para modelos de IA de propósito geral (GPAI) e os pilares de governação (autoridades nacionais, AI Office, etc.). A Comissão publicou o Código de Prática GPAI (voluntário, mas útil para demonstrar conformidade).
• 2 de agosto de 2026: passam a aplicar-se as obrigações para sistemas de alto risco (Annexo III), com requisitos técnicos, documentação, gestão de risco, conformidade e marcação CE.
• 2 de agosto de 2027: aplica-se o remanescente, incluindo produtos com IA embutida abrangidos por legislação de produto (Annexo II).

• Fornecedores de sistemas de IA (quem desenvolve, treina, comercializa ou coloca um sistema no mercado da UE).
• Deployers (utilizadores empresariais) que implementam sistemas de IA (próprios ou de terceiros) no contexto profissional.
• Distribuidores e importadores de sistemas de IA.
• Provedores de modelos GPAI (p. ex., quem disponibiliza LLMs/fundações) – mesmo que fora da UE, se o modelo for colocado/serviço na UE

Em Portugal, além das regras europeias diretas (por ser um regulamento), o Estado tem de designar autoridades nacionais (supervisão) e aprovar sanções nacionais noutras áreas (ex.: literacia em IA). O processo está em avanço na UE e Estados-Membros; a Comissão publicou Q&A e confirmou os marcos temporais.

A Lei da IA proíbe usos considerados de risco inaceitável, incluindo (exemplos não exaustivos):

• Sistemas de pontuação social por autoridades públicas.
• Manipulação subliminar que cause danos.
• Categorização biométrica por características sensíveis (p. ex., crenças, orientação sexual).
• Identificação biométrica remota em tempo real em espaços públicos para aplicação da lei (com exceções muito limitadas).

Empresas portuguesas devem auditar fornecedores e contratos para garantir que não recorrem a funcionalidades proibidas (direta ou indiretamente). Países como a Espanha já anunciaram fortes sanções a deepfakes não rotulados, refletindo o enquadramento da UE.

Todas as organizações que fornecem ou utilizam IA devem “adotar medidas para assegurar um nível suficiente de literacia em IA” do pessoal que interage com estes sistemas. Isto significa formação adequada aos papéis, consciencialização de riscos, competências de supervisão humana e noções de proteção de dados. A Comissão publicou Q&A esclarecendo que a obrigação já se aplica, embora a fiscalização plena só arranque com o quadro de supervisão a partir de agosto de 2026.

Dica prática: documente o plano de formação, conteúdos, públicos-alvo e métricas. Vários analistas e centros de políticas sugerem boas práticas (sem criar burocracia excessiva).

A Lei classifica como alto risco diversos casos de uso (Annexo III), como:

• Biometria (p. ex., identificação/“reconhecimento facial”, exceto usos proibidos).
• Infraestruturas críticas (energia, água, transportes, digital).
• Educação e formação (ex.: avaliação automática).
• Emprego e gestão de trabalhadores (recrutamento, avaliação).
• Serviços essenciais (crédito, seguros, saúde).
• Aplicação da lei, migração/asilo, administração da justiça.

A doutrina especializada sublinha que, em certos cenários, o simples uso para perfis/profiling de pessoas num domínio do Annexo III pode bastar para a classificação como alto risco.

Exemplo prático em Portugal: uma fintech que utiliza modelos para concessão de crédito ao consumo, ou um retalhista que recorre a IA para triagem de currículos: ambos são candidatos fortes a “alto risco”, logo com obrigações acrescidas a partir de 2 de agosto de 2026.

Para fornecedores de sistemas de alto risco (Cap. III), os requisitos incluem, entre outros:

• Sistema de gestão de risco (art. 9).
• Governação de dados e qualidade (art. 10).
• Documentação técnica detalhada e registo na base de dados da UE.
• Registo de eventos (logging) e marcação CE.
• Transparência e instruções de utilização (art. 13).
• Supervisão humana (art. 14).
• Exatidão, robustez e cibersegurança (art. 15).

Para deployers (utilizadores) de alto risco (art. 26), as obrigações passam por:

• Cumprir estritamente as instruções do fornecedor e atribuir supervisão humana competente.
• Garantir relevância dos dados de entrada e monitorizar o funcionamento.
• Guardar logs (tipicamente ≥ 6 meses) e informar trabalhadores e pessoas afetadas quando decisões lhes digam respeito.
• Cooperar com autoridades e interromper o uso perante riscos graves.

Interação com o RGPD: há pontos de contacto com o art. 22 do RGPD (decisões automatizadas) e princípios de minimização/licitude. Projetar supervisão humana não elimina automaticamente restrições à decisão totalmente automatizada; convém alinhar DPIA (Avaliação de Impacto) com o plano de gestão de risco do AI Act.

Desde 2 de agosto de 2025, os fornecedores de modelos GPAI (como LLMs e modelos multimodais de base) têm obrigações específicas, incluindo:

• Documentação técnica do modelo e disponibilização de informação aos utilizadores “downstream”.
• Política de direitos de autor (p. ex., forma de gerir conteúdos protegidos no treino).
• Cooperação com o AI Office e, quando aplicável, com autoridades nacionais.
• Para modelos com risco sistémico (capacidades muito avançadas), existem medidas reforçadas; a lei presume risco sistémico quando o treino excede 10^25 FLOPs de computação cumulativa (limiar presuntivo ajustável).

A Comissão lançou um Código de Prática GPAI (voluntário) com três capítulos (Transparência, Direitos de Autor e Segurança & Robustez) que facilita a demonstração de conformidade. Vários pareceres jurídicos destacam a utilidade do código para reduzir encargos e incerteza.

Mesmo fora do alto risco, há obrigações de transparência para certos sistemas (Cap. IV), incluindo:

• Chatbots: informar claramente o utilizador de que interage com uma máquina.
• Deepfakes / conteúdos gerados ou manipulados: rotular de forma “claray visível” que o conteúdo é artificial. As regras detalhadas (Art. 50) entram com o grosso do regime, mas alguns Estados estão a acelerar medidas nacionais (ex.: Espanha) em linha com o AI Act.

O AI Act prevê três patamares principais de coimas máximas, consoante a infração:

• Violação de práticas proibidas: até 35 M€ ou 7% do volume de negócios mundial.
• Outras violações (ex.: requisitos de alto risco): até 15 M€ ou 3%.
• Informações incorretas fornecidas às autoridades: até 7,5 M€ ou 1%.

Além disso, a aplicação nacional (regime sancionatório complementar, fiscalização setorial) pode criar riscos adicionais, por exemplo, no domínio de conteúdos artificiais ou em setores regulados (financeiro, saúde, energia).

Objetivo: transformar um projeto nebuloso em evidências auditáveis de conformidade (que resistam a due diligence, auditorias e fiscalizações).

• Governação nacional: os Estados-Membros têm de designar autoridades competentes e acertar mecanismos de supervisão. O AI Office e a AI Board coordenam a nível europeu; a Comissão tem publicado guias e Q&A.
• Diretrizes setoriais: esperar convergência com financeiro, saúde e produto, incluindo interação com RGPD (CNPD continuará a ter papel central em proteção de dados).
• GPAI: o Código de Prática já está publicado; para empresas portuguesas que integram LLMs de terceiros, o foco é conhecer as limitações do modelo, rotular e mitigar riscos com base na documentação do fornecedor.

Nota: a Comissão reiterou em julho de 2025 que não haverá pausa no calendário legal, apesar de pedidos da indústria. Para empresas, isto significa planeamento imediato.

1. Nomear um/a responsável por IA (ou comité) com mandato claro.
2. Inventariar todos os casos de uso de IA e classificá-los.
3. Bloquear quaisquer funcionalidades potencialmente proibidas.
4. Plano de literacia por perfil + registo de formação.
5. Política de transparência (rótulos, avisos, chatbots, deepfakes).
6. Para alto risco: Gestão de risco (art. 9) + dados (art. 10) + documentação técnica. Logging e monitorização contínua;marcação CE/Registo quando aplicável. Supervisão humana (art. 14) e explicabilidade adequada.
7. Para GPAI: Documentação do modelo, fluxo de informação a downstream, política de copyright. Avaliar adesão ao Código de Prática GPAI (mesmo como integrador).

• “Shadow AI”: equipas a usar ferramentas sem aprovação. Implemente governança interna e catálogo de ferramentas aprovadas.
• Transparência esquecida: chatbots sem aviso, conteúdos não rotulados. Crie normas de UX e componentes reutilizáveis.
• Contratos fracos com fornecedores: sem garantias de qualidade de dados, segurança e suporte regulatório (p. ex., pacotes de conformidade para alto risco).
• Falta de prova: fazer “o certo” sem evidências guardadas. Sem registos, não há conformidade auditável.
• RGPD vs. IA: assumir que cumprir o RGPD chega. Não chega: o AI Act tem requisitos próprios (gestão de risco, robustez, CE, etc.).

• Data governance: catálogos de dados, controle de versões de datasets, cartografia de enviesamentos e métricas de qualidade.
• MLOps/AIOps: pipelines com gates de conformidade (pré-produção e pós-produção), monitorização de deriva, alertas.
• Model cards e system cards adaptados ao AI Act (explicabilidade por público).
• Segurança: testes de robustez (ataques adversariais), abuso e jailbreaks em LLMs, mitigação de alucinações para casos críticos.

Depende do risco e da maturidade atual. Boas notícias: muito do que o AI Act pede pode ser encaixado em práticas já conhecidas (p. ex., ISO 27001, ISO 9001, gestão de risco e ciclos DevOps). Aproveite ativos existentes (DPIA, matriz de riscos, runbooks) e adapte para cobrir lacunas específicas do AI Act (artigos 9–15, 26).

• 12.07.2024 – Publicação no Jornal Oficial.
• 01.08.2024 – Entrada em vigor.
• 02.02.2025 – Proibições + Literacia em IA aplicáveis.
• 02.08.2025 – GPAI e governação aplicáveis; Código de Prática GPAI disponível.
• 02.08.2026 – Alto risco (Annexo III) plenamente aplicável.
• 02.08.2027 – Restantes obrigações, incluindo alguns produtos com IA embutida.

A Comissão confirmou em 2025 que mantém o calendário. Planeie em conformidade.

• AI Office (Comissão Europeia) coordena GPAI e a rede de autoridades; publicou o Código de Prática e FAQs.
• Autoridades nacionais (a designar em cada Estado-Membro) supervisionarão mercados e deployers; setores regulados (financeiro, saúde, energia, telecom) manterão autoridades setoriais com competências próprias.
• CNPD continuará a atuar em proteção de dados (RGPD), com áreas de interseção com IA.

Para a maioria das empresas portuguesas, há três tarefas incontornáveis:

1. Treinar pessoas (literacia em IA) e rotular conteúdos quando devido;
2. Rever fornecedores/contratos e documentar responsabilidades;
3. Desenhar (ou afinar) o sistema de gestão de risco para casos de alto risco e preparar evidências.