Quer aproveitar as oportunidades da IA e, em simultâneo, trabalhar de forma demonstravelmente responsável. O AI Act europeu fornece o enquadramento. Ajudamo-lo a organizar a IA de forma clara, do inventário à formação e da política à garantia contínua. Realista, pragmático e adaptado à sua organização.
A governação de IA é o conjunto de acordos, processos e documentação através dos quais a sua organização utiliza a IA de forma responsável e demonstrável. Ajudamo-lo com o inventário, classificação de risco, política, literacia em IA e — para sistemas de risco elevado — a avaliação de conformidade prevista pelo EU AI Act.
A 2 de agosto de 2026, o quadro de conformidade completo para sistemas de IA de risco elevado torna-se exigível. As avaliações de conformidade têm de estar concluídas, a documentação técnica preparada e a marcação CE aplicada. As organizações que não cumprirem arriscam coimas até 35 milhões de euros ou 7% do volume de negócios global.
Mas a contagem não começa em agosto. A obrigação de literacia em IA (Artigo 4) e a proibição de práticas inaceitáveis (Artigo 5) estão em vigor desde 2 de fevereiro de 2025. Nos Países Baixos, a Autoridade de Proteção de Dados coordena a supervisão através da Direção de Coordenação de Algoritmos e as primeiras ações de execução são esperadas durante 2026.
Ainda assim, mais de metade das organizações não dispõe de um inventário sistemático dos seus sistemas de IA. Muitas tratam a IA como software comum, sem a governação específica exigida pela lei. O risco não é apenas legal — é operacional e reputacional.
Ago 2024
AI Act entrou em vigor
Fev 2025
Literacia em IA para qualquer organização que usa IA
Ago 2026
Quadro completo para sistemas de risco elevado
4
Níveis de risco com abordagem diferenciada por tipo de IA
O AI Act adota uma abordagem baseada no risco. Quanto maior o risco que um sistema de IA representa para as pessoas ou para a sociedade, mais rigorosas são as regras. A classificação é o primeiro passo para qualquer organização: antes de poder desenhar um programa de conformidade, precisa de saber em que categoria a sua IA se enquadra.
Aplicações de IA que representam uma ameaça direta a direitos fundamentais estão integralmente proibidas desde 2 de fevereiro de 2025. Pense em sistemas que manipulam pessoas através de técnicas subliminares, sistemas de pontuação social, ou identificação biométrica em tempo real em espaços públicos (com exceções limitadas para combate ao terrorismo).
Estas aplicações praticamente não surgem em processos empresariais regulares; é aqui que a supervisão é mais rigorosa.
O núcleo do AI Act. Os sistemas de risco elevado têm consequências significativas para a saúde, a segurança ou os direitos fundamentais. Exemplos: IA para recrutamento, scoring de crédito, diagnóstico médico, infraestrutura crítica, migração e aplicação da lei.
Gestão de risco, governação de dados, documentação técnica, avaliação de conformidade, marcação CE, registo na base de dados da UE, supervisão humana e transparência.
Os sistemas de IA que interagem com pessoas (chatbots, geradores de deepfakes, reconhecimento de emoções) têm de ser transparentes. Os utilizadores têm de saber que estão a comunicar com IA.
A partir de agosto de 2026 aplicam-se obrigações específicas de rotulagem para conteúdo gerado por IA.
A grande maioria das aplicações de IA — filtros de spam, sistemas de recomendação, ferramentas de inventário — cai nesta categoria. Sem requisitos obrigatórios, mas o AI Act incentiva códigos de conduta voluntários e a literacia em IA.
Atenção: a obrigação de literacia em IA (Artigo 4) aplica-se a todas as organizações que utilizam IA, independentemente do nível de risco.
Mapear cada sistema de IA que a sua organização utiliza ou constrói. Determinar a classe de risco, finalidade, fornecedor e dados processados por sistema. Sem esta visão, a conformidade é impossível.
O Artigo 4 obriga toda a organização que utiliza IA a assegurar literacia em IA adequada entre todos os envolvidos. Abrange colaboradores internos, consultores externos e até clientes que utilizam IA na sua plataforma.
Estabeleça uma estrutura de governação clara: quem é responsável pelas decisões de IA? Quem supervisiona? A governação de IA toca a administração, RH, compliance, operações e jurídico.
Para sistemas de risco elevado: implementar um sistema de gestão de risco com monitorização contínua. Redigir documentação técnica que prove que o sistema cumpre o AI Act. Garantir governação de dados com datasets demonstravelmente sem bias e representativos.
Os sistemas de risco elevado têm de passar por uma avaliação de conformidade antes de chegar ao mercado. Por controlo interno ou por avaliação externa de um organismo notificado. Depois vêm a marcação CE e o registo na base de dados da UE.
A conformidade não é um projeto pontual. Após agosto de 2026, as organizações têm de monitorizar continuamente as atualizações regulamentares, reportar incidentes e atualizar os processos de conformidade.
Não somos uma sociedade de advogados nem uma consultora de papel. Construímos sistemas de IA — por isso sabemos exatamente o que a conformidade representa na prática.
Mapeamos todos os sistemas de IA na sua organização: o que utiliza, de onde vêm, que dados processam e com que finalidade. Cada sistema é classificado segundo as classes de risco do AI Act. Resultado: um registo de IA com classificação de risco por sistema.
Confrontamos o estado atual com os requisitos do AI Act e do RGPD. Onde está, onde precisa de chegar e qual o caminho mais rápido? Construímos um roadmap concreto, com prioridades, responsáveis e calendarização.
Desenhamos diretrizes de IA práticas e ajustadas à sua organização: não um documento de política genérico, mas compromissos exequíveis sobre como os colaboradores devem usar a IA de forma responsável. Inclui estrutura de governação, matriz RACI e procedimentos de escalonamento.
Formamos os seus colaboradores em literacia em IA — não só porque é obrigatório (Artigo 4), mas porque funciona. As equipas que entendem a IA utilizam-na com mais eficácia e identificam os riscos mais cedo. Da administração ao terreno, à medida de cada função e nível de conhecimento.
Para organizações com sistemas de IA de risco elevado: acompanhamos a avaliação de conformidade, elaboramos a documentação técnica e asseguramos que está em condições de obter a marcação CE e fazer o registo. Apoiamos tanto a via interna como a externa.
A conformidade em IA não tem ponto final. Ajudamo-lo a montar uma monitorização contínua, a acompanhar a evolução regulamentar e a rever periodicamente o seu registo de IA e a sua política — para que mantenha o controlo depois de agosto de 2026.
A avaliação de conformidade é a prova de que um sistema de IA de risco elevado cumpre os requisitos do AI Act. É obrigatória antes de o sistema chegar ao mercado europeu ou ser colocado em uso. Existem duas vias.
O fornecedor faz a avaliação por si próprio. Inclui a verificação do sistema de gestão da qualidade (Artigo 17) e a revisão da documentação técnica. Adequada para a maioria dos sistemas de risco elevado, desde que tenham sido seguidas normas harmonizadas.
Um organismo notificado avalia tanto o sistema de gestão da qualidade como a documentação técnica. Obrigatória para sistemas de identificação biométrica e quando as normas harmonizadas não foram seguidas, ou apenas em parte. Após aprovação, segue-se um certificado da UE para a documentação técnica.
Após avaliação bem-sucedida, o fornecedor elabora uma declaração UE de conformidade e aplica a marcação CE. O sistema é registado na base de dados da UE para sistemas de IA de risco elevado. Alterações significativas ou uma mudança da finalidade prevista exigem nova avaliação de conformidade.
1 de agosto de 2024
AI Act entrou em vigor
2 de fevereiro de 2025
Proibição de IA inaceitável + obrigação de literacia em IA
2 de agosto de 2025
Regras para modelos de IA de finalidade geral (GPAI) + governação
2 de agosto de 2026
Regras completas para IA de risco elevado, obrigações de transparência, avaliações de conformidade, marcação CE, registo na base de dados da UE
2 de agosto de 2027
Regras para IA de risco elevado em produtos regulados (Anexos I/II)
31 de dezembro de 2030
Prazo para grandes sistemas de TI (controlo de fronteiras, etc.)
Nota: a proposta Digital Omnibus (novembro de 2025) sugere o adiamento de alguns prazos. Até à publicação no Jornal Oficial, os prazos originais permanecem legalmente em vigor.
O AI Act tem um sistema de coimas faseado. Os montantes são comparáveis aos do RGPD, mas os tetos mais elevados estão ainda acima. Para PME e startups aplicam-se tetos mais baixos (utiliza-se o menor dos dois montantes).
A Autoridade de Proteção de Dados (AP) e a Autoridade Neerlandesa para a Infraestrutura Digital (RDI) são designadas como reguladores coordenadores. A AP já atua nessa função através da Direção de Coordenação de Algoritmos e foca-se nos aspetos mais amplos da governação de IA.
Quando a IA é utilizada em setores específicos, somam-se os reguladores existentes: AFM e DNB para serviços financeiros, IGJ para a saúde e ACM para a supervisão de mercado. Isto aproveita o conhecimento que já existe.
O projeto de Lei de Execução do Regulamento da IA designa a Autoridade de Proteção de Dados (AP) e a Autoridade Neerlandesa para a Infraestrutura Digital (RDI) como reguladores coordenadores. A estes acrescem reguladores setoriais: AFM para serviços financeiros, DNB, IGJ para a saúde e ACM. A AP já atua como reguladora coordenadora através da Direção de Coordenação de Algoritmos. A agenda de trabalho de 2026 enumera cinco prioridades: supervisão de sistemas, transparência e explicabilidade, frameworks e normas, testes de bias e equidade, e literacia em IA.
O Artigo 4 do AI Act é talvez a obrigação mais subestimada. Desde 2 de fevereiro de 2025, qualquer organização que utilize ou construa IA tem de garantir literacia em IA adequada entre todos os envolvidos. Não é um conselho não vinculativo — é exigível.
Os colaboradores que trabalham com IA percebem como os sistemas funcionam, quais são os seus limites e as ponderações envolvidas.
Abrange colaboradores internos, consultores externos e clientes que utilizam IA na sua plataforma.
Pode acompanhar facilmente quem foi formado e quando, para que a literacia cresça de forma demonstrável com a organização.
Muitas obrigações do AI Act sobrepõem-se ao que já faz (ou devia fazer) ao abrigo do RGPD. Pode estender o seu registo de tratamentos com uma coluna de IA. A AIPD que faz para tratamentos de risco elevado de dados pessoais cobre frequentemente também a análise de risco da IA. Pode estender a sua política de privacidade com uma secção de IA.
Mas há diferenças reais. O RGPD protege dados pessoais; o AI Act regula o sistema de IA enquanto produto. O AI Act exige avaliações de conformidade e marcação CE — o RGPD não. E para IA de risco elevado em entidades públicas, o AI Act prescreve uma Avaliação de Impacto sobre os Direitos Fundamentais (FRIA), além da AIPD.
A Gaide ajuda-o a montar a conformidade com o AI Act como uma extensão do seu programa RGPD existente. Sem caminhos separados, sem documentação duplicada.
A governação de IA é um tema de board. Quem é responsável se uma decisão de IA correr mal? O AI Act exige que as organizações atribuam responsabilidades de forma explícita. Os diretores precisam de perceber a IA para conduzir estrategicamente e gerir risco.
O AI Act adiciona novos requisitos de conformidade que se ligam a frameworks existentes (RGPD, NIS2). Precisa de ter os riscos de IA, o reporte e a conformidade demonstrável bem agarrados. O prazo de agosto de 2026 exige ação agora.
A IA em recrutamento, seleção e avaliação é de risco elevado segundo o AI Act. A literacia em IA é também uma responsabilidade de RH: tem de poder demonstrar que os colaboradores foram formados. É um tema estratégico para L&D e employer branding.
Os requisitos de documentação técnica do AI Act são substanciais. Tem de documentar decisões de design, data lineage, testes de bias e metodologias de teste. As equipas ágeis habituadas a documentação mínima precisam de ajustar a sua forma de trabalhar.
Sempre que a IA for usada em processos de negócio — do apoio ao cliente à logística — a supervisão humana tem de ser garantida. O AI Act exige que os utilizadores possam interpretar o output de IA e intervir quando necessário.
Somos uma consultora de IA que constrói e implementa os seus próprios sistemas de IA. Isso significa que abordamos a governação não como um exercício de papel, mas como parte integrante e pragmática de como utiliza a IA na prática, em conjunto com parceiros jurídicos e setoriais sempre que isso traga mais-valia.
Compreendemos tanto os requisitos técnicos (documentação, testes de bias, monitorização) como o lado organizacional (governação, formação, mudança cultural).
As nossas diretrizes são viáveis. Os colaboradores percebem-nas, os gestores conseguem aplicá-las e os reguladores aceitam-nas.
Não nos limitamos a escrever a política — ajudamos com a implementação, formação e garantia contínua.
Quer seja uma scale-up com a sua primeira ferramenta de IA ou uma organização com dezenas de sistemas de IA, escalamos a nossa abordagem consigo.
Sim, em parte. A proibição de práticas inaceitáveis de IA e a obrigação de literacia em IA estão em vigor desde 2 de fevereiro de 2025. As regras completas para sistemas de risco elevado tornam-se exigíveis a 2 de agosto de 2026.
Sim. A obrigação de literacia em IA (Artigo 4) aplica-se a qualquer organização que utilize IA, independentemente da complexidade. Além disso, aplicações específicas — por exemplo, usar o ChatGPT para triagem em recursos humanos — podem enquadrar-se em classes de risco mais elevadas.
A lei tem um quadro de sanções gradual, comparável ao do RGPD. Para a maioria das organizações, o que conta no dia a dia é mais amplo: cada vez mais clientes pedem governação de IA demonstrável nos concursos, e colaboradores e clientes valorizam organizações transparentes sobre como utilizam a IA. Começar cedo dá-lhe a calma e o tempo para organizar isto bem.
Depende do ponto de partida e do número de sistemas de risco elevado. Uma base (registo de IA, política, formação) pode ser implementada em quatro a oito semanas. A conformidade total para sistemas de risco elevado leva, em regra, três a seis meses.
Complementam-se. O RGPD protege os dados pessoais; o AI Act regula o sistema de IA enquanto produto. Muitas obrigações sobrepõem-se, pelo que combiná-las com inteligência evita trabalho duplicado. A Gaide ajuda-o a adotar uma abordagem integrada.
Nem sempre. A maioria dos sistemas de risco elevado pode ser avaliada por controlo interno, desde que tenham sido seguidas normas harmonizadas. A avaliação externa por organismo notificado é obrigatória para sistemas de identificação biométrica e em casos específicos.
Sim. A lei tem alcance extraterritorial: aplica-se a qualquer organização que coloque sistemas de IA no mercado da UE ou os ponha em utilização, independentemente do país em que a empresa está sediada.
A questão não é se tem de agir, mas com que rapidez consegue começar. Marque uma conversa sem compromisso — em 30 minutos dizemos-lhe em que ponto está e qual é o caminho mais rápido para a conformidade com o AI Act.