A regulamentação da inteligência artificial na União Europeia, conhecida como AI Act, levanta muitas dúvidas entre profissionais e pequenas e médias empresas em Portugal. Afinal de contas, o que é que o legislador europeu pretende verdadeiramente com estas regras? A resposta curta: equilibrar a inovação tecnológica com a proteção dos direitos fundamentais. Mas, para quem aplica IA em processos de negócio e equipas, é fundamental perceber os detalhes práticos dessa intenção e como ela se traduz no dia a dia das organizações.
Os objetivos centrais do AI Act europeu
A União Europeia pretende assegurar, em simultâneo, a liderança tecnológica e o respeito pelos valores, pelos direitos fundamentais e pelo Estado de direito [2]. Isto significa que o objetivo não é proibir a inteligência artificial, mas sim enquadrá-la num sistema de regras que permita às empresas europeias — incluindo as portuguesas — competir globalmente com a garantia de que os seus produtos e serviços respeitam os direitos dos cidadãos. O AI Act estabelece obrigações para fornecedores e utilizadores em função da classificação do nível de risco da IA [6], criando um quadro previsível que reduz a insegurança jurídica para quem investe em IA.
Sistema de classificação por níveis de risco
O cerne da abordagem europeia é uma taxonomia de riscos que atribui diferentes exigências consoante o potencial de dano de cada sistema. Esta estrutura determina que nem todas as aplicações de IA são tratadas da mesma forma, o que é uma vantagem clara para as PMEs que utilizam ferramentas de baixo risco nos seus processos diários. A adoção de sistemas de IA tem um forte potencial para trazer benefícios sociais, crescimento económico e melhorar a inovação e competitividade global da UE [3], e é exatamente por isso que o regulamento diferencia tanto os níveis de exigência.
Práticas proibidas: o que está fora de questão
O regulamento estabelece um conjunto de práticas de IA que são simplesmente proibidas no território europeu. As regras relativas a estas práticas proibidas vigoram a partir de fevereiro de 2025 [4]. Incluem-se aqui sistemas de pontuação social por governos, manipulação subliminar que cause danos, e a utilização de IA para explorar vulnerabilidades de grupos específicos. Para uma PME em Portugal, isto significa que certos usos — como classificar empregados com base em comportamentos fora do contexto laboral ou usar sistemas de reconhecimento de emoções no local de trabalho para fins punitivos — estão definitivamente fora de questão. A intenção é clara: eliminar os usos que são inerentemente incompatíveis com os valores europeus.
Risco elevado: onde estão as maiores exigências
Os sistemas de IA de risco elevado são aqueles que têm impacto direto em decisões que afetam a vida das pessoas — como recrutamento, acesso a crédito, avaliação de desempenho ou justiça criminal. Para estes sistemas, o regulamento exige requisitos rigorosos de governança de dados, documentação técnica, transparência, supervisão humana e exatidão. Uma empresa portuguesa que utilize IA para filtrar currículos ou avaliar colaboradores precisa de garantir que o sistema cumpre estes requisitos. Os novos quadros jurídicos, incluindo a Convenção-Quadro do Conselho da Europa sobre Inteligência Artificial e Direitos Humanos, Democracia e Estado de Direito, reforçam esta camada de proteção [1].
Risco limitado e mínimo: o que muda para as PMEs
A grande maioria das aplicações de IA que as PMEs portuguesas utilizam hoje — chatbots de atendimento, geração de conteúdo, assistentes de produtividade, análise de dados internos — enquadra-se em níveis de risco limitado ou mínimo. Para estes sistemas, as obrigações são substancialmente mais leves. No risco limitado, a principal exigência é a transparência: os utilizadores precisam de saber que estão a interagir com um sistema de IA. No risco mínimo, não existem obrigações adicionais para além da legislação geral já aplicável. Esta diferenciação é fundamental para que as PMEs não se vejam sobrecarregadas com burocracia desproporcional ao risco real das ferramentas que utilizam.
Literacia em IA: a nova obrigação das empresas
Um dos pontos que mais impacto terá nas equipas é a obrigatoriedade da literacia em IA. O regulamento prevê que os empregadores garantam que os seus trabalhadores possuem as competências necessárias para utilizar sistemas de IA de forma adequada e segura. Entenda o que mudou com a regulamentação de IA e conheça quais os desafios e objetivos da obrigatoriedade da literacia em IA [5]. Para uma PME, isto traduz-se na necessidade de formar equipas não apenas na utilização técnica das ferramentas, mas também na compreensão dos seus limites, riscos de viés e questões éticas. Não se trata de transformar todos os colaboradores em engenheiros de IA, mas sim de garantir que quem usa estas ferramentas compreende o que elas podem e não podem fazer de forma fiável.
Discriminação algorítmica: o foco na equidade
Um dos propósitos menos debatidos mas cruciais da regulamentação é combater a discriminação baseada em algoritmos. Os sistemas de IA podem perpetuar ou mesmo agravar preconceitos existentes nos dados de treino, resultando em discriminação indirecta em processos de recrutamento, avaliação de crédito ou atribuição de serviços públicos. As orientações políticas europeias sobre IA e discriminação baseada em algoritmos [1] sublinham que os Estados-membros devem estar particularmente atentos a esta dimensão. Para uma empresa que utiliza IA na gestão de recursos humanos, isto significa que não basta ter um sistema funcional — é necessário auditar regularmente os resultados para detetar padrões discriminatórios.
Responsabilidades de fornecedores vs. utilizadores
O AI Act distingue claramente entre quem desenvolve e quem utiliza sistemas de IA, atribuindo responsabilidades diferentes a cada um. Os fornecedores (como as empresas que criam modelos de linguagem ou software de recrutamento automatizado) têm obrigações mais pesadas ao nível da documentação técnica, testes e garantia de qualidade. Os utilizadores profissionais — ou seja, as empresas que implementam estas ferramentas nos seus processos — são responsáveis por utilizar os sistemas de acordo com as instruções do fornecedor, garantir a supervisão humana adequada e monitorizar o funcionamento na prática. Esta divisão é importante porque protege as PMEs de responsabilidades que não controlam diretamente, desde que façam um uso responsável das ferramentas que adquirem.
Resumo dos níveis de risco e obrigações
A tabela seguinte sintetiza a estrutura de classificação do AI Act e as principais obrigações associadas a cada nível, permitindo uma consulta rápida para quem precisa de enquadrar os seus sistemas:
| Nível de risco | Exemplos de aplicações | Principais obrigações |
|---|---|---|
| Proibido | Pontuação social governamental, manipulação subliminar | Proibição total de utilização na UE |
| Risco elevado | Recrutamento automatizado, avaliação de crédito, justiça criminal | Governança de dados, documentação técnica, supervisão humana, exatidão, registo na UE |
| Risco limitado | Chatbots, deepfakes, sistemas de recomendação | Obrigação de transparência (informar o utilizador de que interage com IA) |
| Risco mínimo | Filtros de spam, assistentes de produtividade, jogos | Sem obrigações específicas para além da legislação geral |
Calendário de aplicação: o que está já em vigor
O AI Act não entrou em vigor de uma só vez. A sua aplicação é faseada, o que dá às empresas tempo para se adaptarem. As regras sobre práticas proibidas começaram a vigorar em fevereiro de 2025 [4]. Seguem-se, em intervalos definidos, as regras para sistemas de IA de uso geral (os modelos fundacionais), as obrigações para sistemas de risco elevado e os requisitos de literacia em IA. Esta calendarização faseada é deliberada: pretende permitir que as PMES tenham tempo real de adaptação sem que isso signifique paralisia. O importante é que as empresas portuguesas já estejam a mapear os seus sistemas de IA atuais e a identificar em que categoria de risco se enquadram, para que a transição seja o mais suave possível.
O que as PME portuguesas devem fazer agora
Para as pequenas e médias empresas em Portugal que querem aplicar IA em processos e equipas de forma legal e eficaz, existem passos concretos que devem ser dados de imediato. Em primeiro lugar, é essencial fazer um inventário de todos os sistemas de IA que a empresa utiliza ou planeia utilizar — incluindo ferramentas SaaS que incorporam IA de forma transparente ou opaca. Em segundo lugar, classificar cada sistema segundo os níveis de risco do AI Act. Em terceiro lugar, verificar com os fornecedores se estes cumprem as obrigações que lhes cabem. Em quarto lugar, iniciar um programa de literacia em IA para as equipas, mesmo que modesto, focado nos riscos práticos e na utilização responsável. Estes passos não requerem grandes investimentos, mas demonstram due diligence e reduzem significativamente o risco legal e reputacional.
FAQ — Perguntas frequentes sobre a regulamentação da IA na UE
O AI Act aplica-se a todas as empresas em Portugal, independentemente da sua dimensão?
Sim, o regulamento aplica-se a todas as entidades que disponibilizam ou utilizam sistemas de IA no território da União Europeia. No entanto, as obrigações variam consoante o nível de risco do sistema, o que significa que uma PME que utiliza ferramentas de baixo risco terá responsabilidades muito mais reduzidas do que um grande fornecedor de modelos de IA de risco elevado.
E se a minha empresa usar uma ferramenta de IA desenvolvida fora da Europa?
>O AI Act aplica-se independentemente da origem do sistema. Se uma empresa portuguesa utiliza um software de IA desenvolvido nos Estados Unidos, na China ou noutro país, mas esse sistema é utilizado na UE e tem impacto no mercado europeu, o regulamento aplica-se na mesma. A responsabilidade partilha-se entre o fornecedor (se operar na UE) e o utilizador profissional.
A regulamentação vai tornar a IA mais cara para as PME?
Para a maioria das PME que utilizam IA de risco limitado ou mínimo, o impacto financeiro direto deve ser reduzido. Os custos mais significativos estarão associados à literacia em IA (formação de equipas) e, para as empresas que utilizam sistemas de risco elevado, à necessidade de documentação e auditoria. A criação de um quadro regulatório claro pode, a médio prazo, reduzir custos ao evitar litígios e sanções.
Posso continuar a usar o ChatGPT ou ferramentas similares no meu dia a dia profissional?
>Sim, desde que o uso seja feito de forma responsável e consciente dos limites destas ferramentas. Ferramentas de geração de texto enquadram-se geralmente em níveis de risco baixo, mas há cuidados a ter: não usar os resultados para decisões automatizadas sobre pessoas sem supervisão humana, não introduzir dados pessoais sensíveis sem garantias de privacidade, e sempre verificar a exatidão factual das respostas antes de as utilizar profissionalmente.
Fontes
[2] A Inteligência Artificial e a União Europeia — Eurocid, Ministério dos Negócios Estrangeiros
[1] Orientações Políticas Europeias sobre IA e Discriminação Baseada em Algoritmos — Comissão para a Igualdade e contra a Discriminação Racial
[6] Lei da UE sobre IA: primeira regulamentação de inteligência artificial — Parlamento Europeu
[4] Regulamentação da IA na União Europeia: o que entra em vigor — ECO
[3] AI Act: Perguntas Frequentes e Respostas Oficiais — IA Hoje
[5] Regulamento de IA: desafios e oportunidades das novas normas — PwC Portugal