Checklist interativa para verificar a sua conformidade com o AI Act segundo a sua função na organização. DPO, DRH, DSI, Direção e dirigentes de PME.
O erro mais frequente face ao AI Act: acreditar que um único departamento pode suportar a conformidade. O DPO não pode fazer tudo sozinho. O DSI também não. A conformidade AI Act mobiliza competências jurídicas, técnicas, de RH e estratégicas — só pode ter sucesso se cada função assumir as suas responsabilidades específicas.
Este capítulo propõe-lhe uma checklist interativa por função para identificar precisamente o que lhe diz respeito e acompanhar a sua progressão.
O DPO (ou o responsável pela conformidade) desempenha um papel central. Deve inventariar todos os sistemas de IA, classificá-los segundo os níveis de risco definidos pelo regulamento e assegurar-se de que as práticas proibidas não são utilizadas na organização. Este trabalho complementa as obrigações já existentes ao abrigo do RGPD em matéria de proteção de dados pessoais.
É também o elo entre a direção, o DSI e o DRH: é ele que coordena os esforços e prepara as provas em vista de uma eventual auditoria pela CNPD (Comissão Nacional de Proteção de Dados) ou pelas autoridades setoriais competentes.
Artigo 26, parágrafo 5 — Règlement (UE) 2024/1689
Os responsáveis pela implantação de sistemas de IA de alto risco fiscalizam o funcionamento do sistema de IA de alto risco com base no manual de utilização e […] informam o prestador ou o distribuidor e a autoridade de fiscalização do mercado competente.
O Artigo 4 coloca a formação em IA no centro da conformidade. O DRH é a pessoa mais bem posicionada para implementar um programa de desenvolvimento de competências adaptado a cada perfil de colaborador.
Isto não se limita a organizar um webinar. É preciso poder documentar o percurso de formação, medir os conhecimentos adquiridos e produzir provas de que o nível de literacia em IA é proporcionado à função de cada um.
📄AI Act Artigo 4: a obrigação de formação em IA explicada→O DSI tem a responsabilidade de mapear todos os sistemas de IA implementados — incluindo os adotados pelas áreas de negócio sem validação (shadow AI). Para cada sistema classificado como alto risco, deve implementar a documentação técnica, garantir a rastreabilidade das decisões algorítmicas e integrar os mecanismos de controlo humano exigidos.
O desafio mais comum: as ferramentas de IA integradas em softwares de terceiros (CRM, ERP, ferramentas de escritório). O DSI deve identificar estes componentes de IA “invisíveis” e verificar o seu nível de risco.
📄Shadow IT na empresa: riscos e soluções em 2026→A direção geral deve validar a estratégia de conformidade, alocar os orçamentos (nomeadamente para a formação do Artigo 4) e nomear um responsável AI Act. Acompanha o progresso através de um painel de conformidade e antecipa os prazos regulamentares para evitar surpresas.
O risco principal para a Direção: a subestimação orçamental. A conformidade AI Act tem um custo — mas é bem inferior às sanções potenciais (até 35 milhões de euros ou 7% do volume de negócios mundial).
As PME não estão isentas do AI Act. Mas a abordagem deve ser proporcionada: identificar se a empresa utiliza sistemas de IA (mesmo indiretamente através de softwares de terceiros), formar as equipas nos bons reflexos, verificar a conformidade dos fornecedores e documentar os usos. Para as PME portuguesas, instituições como a Segurança Social ou a Autoridade Tributária já utilizam sistemas automatizados com os quais interagem — o que pode implicar obrigações enquanto responsáveis pela implantação.
Para uma PME, a prioridade absoluta é o Artigo 4: um programa de formação documentado, mesmo simples, basta para demonstrar a boa-fé da organização.
Selecione a sua função e assinale as ações já realizadas. A sua progressão é guardada localmente no seu navegador — pode voltar a qualquer momento.
Selectionnez votre role :
A checklist por função é útil para clarificar as responsabilidades individuais. Mas a conformidade AI Act exige uma coordenação ativa entre funções. Eis os mecanismos essenciais.
Reúna DPO, DRH, DSI e um membro da Direção num comité dedicado que se reúne mensalmente. O objetivo: partilhar o progresso, desbloquear obstáculos e arbitrar prioridades. Sem este comité, cada função avança isoladamente e os pontos cegos multiplicam-se.
O DPO coordena, o DSI fornece o mapeamento técnico, o DRH identifica os usos de negócio. O inventário deve ser único, partilhado e atualizado regularmente. Uma folha Excel pode ser suficiente para começar — o importante é que exista e que esteja completo.
O programa de formação conduzido pelo DRH deve ser calibrado em função da classificação de riscos estabelecida pelo DPO. Os colaboradores que utilizam sistemas de alto risco precisam de uma formação mais aprofundada do que aqueles que utilizam um simples assistente conversacional.
Não espere um controlo para constituir o seu dossiê. Cada ação de conformidade deve ser documentada com data, responsável e entregável. O ónus da prova recai sobre a organização: cabe-lhe demonstrar que agiu.
📄Governança de IA na empresa: 5 passos para estruturar→O desafio da rastreabilidade
O AI Act não pede a perfeição — pede a prova do esforço. Um programa de formação documentado, um inventário dos sistemas de IA atualizado, atas de comité de conformidade: estes elementos constituem a sua primeira linha de defesa em caso de controlo. A ausência total de documentação é, pelo contrário, uma falta caracterizada.