• Publicação e entrada em vigor: a Lei da IA foi publicada no Jornal Oficial a 12 de julho de 2024 e entrou em vigor a 1 de agosto de 2024.
• 2 de fevereiro de 2025: começam a aplicar-se as proibições de práticas inaceitáveis e a obrigação transversal de literacia em IA para fornecedores e utilizadores (deployers).
• 2 de agosto de 2025: entram em aplicação as regras para modelos de IA de propósito geral (GPAI) e os pilares de governação (autoridades nacionais, AI Office, etc.). A Comissão publicou o Código de Prática GPAI (voluntário, mas útil para demonstrar conformidade).
• 2 de agosto de 2026: passam a aplicar-se as obrigações para sistemas de alto risco (Annexo III), com requisitos técnicos, documentação, gestão de risco, conformidade e marcação CE.
• 2 de agosto de 2027: aplica-se o remanescente, incluindo produtos com IA embutida abrangidos por legislação de produto (Annexo II).
• Base jurídica: Regulamento (UE) 2024/1689, versão oficial PT disponível no EUR-Lex.

• Fornecedores de sistemas de IA (quem desenvolve, treina, comercializa ou coloca um sistema no mercado da UE).
• Deployers (utilizadores empresariais) que implementam sistemas de IA (próprios ou de terceiros) no contexto profissional.
• Distribuidores e importadores de sistemas de IA.
• Provedores de modelos GPAI (p. ex., quem disponibiliza LLMs/fundações) – mesmo que fora da UE, se o modelo for colocado/serviço na UE

Em Portugal, além das regras europeias diretas (por ser um regulamento), o Estado tem de designar autoridades nacionais (supervisão) e aprovar sanções nacionais noutras áreas (ex.: literacia em IA). O processo está em avanço na UE e Estados-Membros; a Comissão publicou Q&A e confirmou os marcos temporais.

A Lei da IA proíbe usos considerados de risco inaceitável, incluindo (exemplos não exaustivos):

• Sistemas de pontuação social por autoridades públicas. 
• Manipulação subliminar que cause danos.
• Categorização biométrica por características sensíveis (p. ex., crenças, orientação sexual).
• Identificação biométrica remota em tempo real em espaços públicos para aplicação da lei (com exceções muito limitadas).

Empresas portuguesas devem auditar fornecedores e contratos para garantir que não recorrem a funcionalidades proibidas (direta ou indiretamente). Países como a Espanha já anunciaram fortes sanções a deepfakes não rotulados, refletindo o enquadramento da UE.

Todas as organizações que fornecem ou utilizam IA devem “adotar medidas para assegurar um nível suficiente de literacia em IA” do pessoal que interage com estes sistemas. Isto significa formação adequada aos papéis, consciencialização de riscos, competências de supervisão humana e noções de proteção de dados. A Comissão publicou Q&A esclarecendo que a obrigação já se aplica, embora a fiscalização plena só arranque com o quadro de supervisão a partir de agosto de 2026.

Dica prática: documente o plano de formação, conteúdos, públicos-alvo e métricas. Vários analistas e centros de políticas sugerem boas práticas (sem criar burocracia excessiva).

A Lei classifica como alto risco diversos casos de uso (Annexo III), como:

• Biometria (p. ex., identificação/“reconhecimento facial”, exceto usos proibidos).
• Infraestruturas críticas (energia, água, transportes, digital).
• Educação e formação (ex.: avaliação automática).
• Emprego e gestão de trabalhadores (recrutamento, avaliação).
• Serviços essenciais (crédito, seguros, saúde).
• Aplicação da lei, migração/asilo, administração da justiça.

A doutrina especializada sublinha que, em certos cenários, o simples uso para perfis/profiling de pessoas num domínio do Annexo III pode bastar para a classificação como alto risco.

Exemplo prático em Portugal: uma fintech que utiliza modelos para concessão de crédito ao consumo, ou um retalhista que recorre a IA para triagem de currículos – ambos são candidatos fortes a “alto risco”, logo com obrigações acrescidas a partir de 2 de agosto de 2026.

Para fornecedores de sistemas de alto risco (Cap. III), os requisitos incluem, entre outros:

• Sistema de gestão de risco (art. 9).
• Governação de dados e qualidade (art. 10).
• Documentação técnica detalhada e registo na base de dados da UE.
• Registo de eventos (logging) e marcação CE.
• Transparência e instruções de utilização (art. 13).
• Supervisão humana (art. 14).
• Exatidão, robustez e cibersegurança (art. 15).

Para deployers (utilizadores) de alto risco (art. 26), as obrigações passam por:

• Cumprir estritamente as instruções do fornecedor e atribuir supervisão humana competente.
• Garantir relevância dos dados de entrada e monitorizar o funcionamento.
• Guardar logs (tipicamente ≥ 6 meses) e informar trabalhadores e pessoas afetadas quando decisões lhes digam respeito.
• Cooperar com autoridades e interromper o uso perante riscos graves.

Interação com o RGPD: há pontos de contacto com o art. 22 do RGPD (decisões automatizadas) e princípios de minimização/licitude. Projetar supervisão humana não elimina automaticamente restrições à decisão totalmente automatizada; convém alinhar DPIA (Avaliação de Impacto) com o plano de gestão de risco do AI Act.

Desde 2 de agosto de 2025, os fornecedores de modelos GPAI (como LLMs e modelos multimodais de base) têm obrigações específicas, incluindo:

• Documentação técnica do modelo e disponibilização de informação aos utilizadores “downstream”.
• Política de direitos de autor (p. ex., forma de gerir conteúdos protegidos no treino).
• Cooperação com o AI Office e, quando aplicável, com autoridades nacionais.
• Para modelos com risco sistémico (capacidades muito avançadas), existem medidas reforçadas; a lei presume risco sistémico quando o treino excede 10^25 FLOPs de computação cumulativa (limiar presuntivo ajustável).

A Comissão lançou um Código de Prática GPAI (voluntário) com três capítulos – Transparência, Direitos de Autor e Segurança & Robustez – que facilita a demonstração de conformidade. Vários pareceres jurídicos destacam a utilidade do código para reduzir encargos e incerteza.

Mesmo fora do alto risco, há obrigações de transparência para certos sistemas (Cap. IV), incluindo:

• Chatbots: informar claramente o utilizador de que interage com uma máquina.
• Deepfakes / conteúdos gerados ou manipulados: rotular de forma “claray visível” que o conteúdo é artificial. As regras detalhadas (Art. 50) entram com o grosso do regime, mas alguns Estados estão a acelerar medidas nacionais (ex.: Espanha) em linha com o AI Act.

O AI Act prevê três patamares principais de coimas máximas, consoante a infração:

• Violação de práticas proibidas: até 35 M€ ou 7% do volume de negócios mundial.
• Outras violações (ex.: requisitos de alto risco): até 15 M€ ou 3%.
• Informações incorretas fornecidas às autoridades: até 7,5 M€ ou 1%.

Além disso, a aplicação nacional (regime sancionatório complementar, fiscalização setorial) pode criar riscos adicionais – por exemplo, no domínio de conteúdos artificiais ou em setores regulados (financeiro, saúde, energia).