Por João Coucelo · Fundador da OficinaDeIAEU AI Act para PMEs: o que muda e como cumprir
O Regulamento de IA da UE em linguagem de quem gere um negócio, não de quem estuda Direito.
A Europa tem a primeira lei abrangente de inteligência artificial do mundo, e mais cedo ou mais tarde vai bater à porta da tua empresa. A boa notícia: para a maioria das PMEs, cumprir é mais simples do que parece. Vou explicar em linguagem de negócio o que muda e o que tens mesmo de fazer.
Isto é um guia prático, não aconselhamento jurídico. Para a tua situação concreta, confirma com um jurista.
Primeiro, o que é o EU AI Act
É o Regulamento (UE) 2024/1689, conhecido como AI Act. Entrou em vigor em agosto de 2024 e aplica-se em toda a União Europeia, incluindo a qualquer empresa portuguesa que use ou forneça sistemas de IA. A lógica é simples: quanto maior o risco do uso da IA, mais obrigações tens.
Aplica-se à minha PME?
Quase de certeza que sim, mas provavelmente no papel mais leve. A lei distingue dois papéis: o fornecedor (quem cria e coloca um sistema de IA no mercado) e o utilizador (quem usa um sistema no seu negócio). A maioria das PMEs é utilizador: usa ferramentas já feitas (assistentes, automações, IA dentro do email ou das folhas). E o utilizador tem muito menos obrigações do que o fornecedor.
Fornecedor ou utilizador? (e porque importa)
Esta distinção decide metade das tuas obrigações, por isso vale 30 segundos. És fornecedor se constróis um sistema de IA e o colocas no mercado com a tua marca. És utilizador se usas, no teu negócio, um sistema feito por outros. Exemplos rápidos:
- Utilizador (a maioria das PMEs): usas o ChatGPT, o Copilot, um assistente ou uma automação para o teu próprio trabalho. As obrigações são leves.
- Fornecedor: pegas num modelo, embrulha-lo num produto teu e vende-lo a terceiros com a tua marca. Aí as obrigações sobem.
- Cuidado com a zona cinzenta: se alteras a fundo uma ferramenta ou a ofereces a terceiros com a tua marca, podes passar a fornecedor sem dar conta. Na dúvida, confirma.
Os quatro níveis de risco (e onde a tua PME quase sempre cai)
- Risco inaceitável: proibido. Coisas como classificação social de pessoas ou manipulação. Praticamente nenhuma PME faz isto, e desde fevereiro de 2025 é simplesmente ilegal.
- Alto risco: obrigações pesadas. IA usada para decidir contratações, crédito, acesso a educação, ou em infraestrutura crítica. A maioria das PMEs não está aqui, a menos que use IA para tomar este tipo de decisões sobre pessoas.
- Risco limitado: transparência. Tens de avisar quando alguém está a falar com IA e rotular conteúdo gerado por IA (imagens, vídeo, texto, deepfakes).
- Risco mínimo: sem obrigações. A maior parte do uso do dia a dia: resumir, rascunhar, pesquisar, organizar. Não tens de fazer nada de especial.
Na prática, a esmagadora maioria das PMEs vive no risco limitado e mínimo. Só sobes para alto risco se usares IA para decidir sobre pessoas (RH, crédito e afins).
Como saber se és alto risco (3 perguntas)
Se respondes "sim" a alguma destas, é provável que estejas em alto risco e precises de apoio especializado:
- Uso IA para decidir contratações ou triar candidatos?
- Uso IA para avaliar crédito, seguros ou acesso a serviços essenciais?
- Uso IA em decisões que afetam direitos das pessoas (educação, saúde, segurança)?
Se respondeste "não" a tudo, o mais provável é que estejas em risco limitado ou mínimo, com obrigações leves.
O calendário: as datas que interessam
| Data | O que passa a aplicar-se | Já te afeta? |
|---|---|---|
| Agosto 2024 | A lei entra em vigor | Arranca a contagem |
| Fevereiro 2025 | Práticas proibidas + literacia de IA | Sim, para todas |
| Agosto 2025 | Modelos de uso geral + governação europeia | Indireto, via as ferramentas que usas |
| Agosto 2026 | Maioria das obrigações de alto risco | Só se fores alto risco |
| Agosto 2027 | Alto risco embebido em produtos já regulados | Casos específicos |
O que tens mesmo de fazer (para a maioria das PMEs)
- Literacia de IA. Garante que quem mexe em IA na empresa percebe o que ela faz, onde falha e o que não deve fazer com ela. Já é obrigatório desde fevereiro de 2025, e não precisa de ser complicado: formação curta e regras claras chegam.
- Transparência. Se um cliente interage com um sistema de IA, diz-lho. Se publicas conteúdo gerado por IA, identifica-o.
- Inventário. Sabe que ferramentas de IA usas, para quê, e quem lhes toca. É a base de tudo o resto.
- Supervisão humana. Mantém uma pessoa a validar as ações com impacto, em vez de deixar a IA agir sozinha. É exigência no alto risco e boa prática em tudo o resto.
- RGPD continua a valer. A IA não te isenta da proteção de dados. Se a ferramenta toca em dados pessoais, as regras do costume aplicam-se.
- Se usas IA em RH, crédito ou decisões sobre pessoas, passas a alto risco: aí as obrigações sobem muito (avaliação de conformidade, documentação, supervisão reforçada). Nesse caso, procura apoio especializado.
E as coimas?
São pesadas, mas pensadas por escalões. Práticas proibidas podem ir até 35 milhões de euros ou 7% do volume de negócios mundial; a maioria das outras infrações até 15 milhões ou 3%; e dar informação incorreta às autoridades até 7,5 milhões ou 1%. Há proporcionalidade para PMEs e startups: os limites têm em conta a dimensão da empresa. O objetivo não é assustar, é fazer bem desde o início, que sai sempre mais barato do que corrigir depois.
Por onde começar
- Faz o inventário das ferramentas de IA que já usas.
- Para cada uma, pergunta: em que nível de risco cai o uso que lhe dou?
- Trata da literacia: uma sessão curta com a equipa e regras simples de uso.
- Liga a transparência onde há contacto com clientes ou conteúdo público.
- Garante supervisão humana nas ações que contam.
- Revê o lado do RGPD com quem já trata disso.
- Documenta o básico. Se um dia te perguntarem, tens resposta.
Onde isto se cruza com a forma de trabalhar
A supervisão humana e a transparência que a lei pede não são um travão, são a forma certa de usar IA. É por isso que na OficinaDeIA os agentes preparam o trabalho e param para a tua aprovação antes de qualquer ação com impacto, com registo do que foi feito. Não substitui aconselhamento jurídico, mas usar IA assim já te deixa muito mais perto de estar em conformidade do que deixar uma ferramenta agir sozinha.
Perguntas frequentes
O EU AI Act aplica-se à minha PME? Quase de certeza, mas provavelmente como utilizador (não fornecedor). Para a maioria, as obrigações são leves: transparência e literacia de IA.
Tenho de fazer alguma coisa já? Sim. Desde fevereiro de 2025 há duas coisas ativas: não usar práticas proibidas e garantir a literacia de IA de quem mexe nela.
Uso o ChatGPT ou o Copilot no trabalho. Isto torna-me alto risco? Não por si só. O que define o alto risco é o caso de uso (por exemplo, IA a decidir contratações ou crédito), não a ferramenta em si.
Qual é a diferença entre fornecedor e utilizador? O fornecedor cria e coloca o sistema no mercado; o utilizador usa-o no seu negócio. A maioria das PMEs é utilizador, com bastantes menos obrigações.
Quem fiscaliza em Portugal? A nível europeu existe o AI Office da Comissão; cada país designa as suas autoridades nacionais competentes. Confirma qual a autoridade portuguesa designada antes de assumires, e lembra-te que, para dados pessoais, a CNPD continua a valer.
Repito o aviso: isto é um guia prático, não aconselhamento jurídico. Para a tua situação confirma com um jurista. Se quiseres ver como se usa IA com supervisão humana e rastreabilidade, dá uma volta pelas guias.
Fontes oficiais
- Regulamento (UE) 2024/1689 (EUR-Lex): https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- AI Act e AI Office (Comissão Europeia): https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- Proteção de dados (CNPD): https://www.cnpd.pt/