Guia AI Act·startbrain.ai
Guia AI Act: o guia completo para empresas Artigo 4: a obrigação de formar todos os colaboradores em IA Classificação dos sistemas de IA: está abrangido pelo alto risco? Práticas de IA proibidas: o que a sua empresa já não pode fazer Sanções AI Act: até 35 milhões de euros de coima Cronograma AI Act: todos os prazos de 2024 a 2027 Checklist de conformidade AI Act por função: DPO, DRH, DSI, Direção

Classificação dos sistemas de IA: está abrangido pelo alto risco?

O AI Act classifica os sistemas de IA em 4 níveis de risco. Recrutamento, crédito, saúde: descubra se as suas ferramentas de IA são consideradas de alto risco.

O cerne do dispositivo: uma abordagem baseada nos riscos

O Regulamento Europeu sobre Inteligência Artificial (Regulamento 2024/1689) assenta num princípio fundamental: as obrigações são proporcionais ao nível de risco. Quanto mais um sistema de IA pode afetar a vida, a saúde, os direitos fundamentais ou a segurança das pessoas, mais rigorosas são as exigências.

Esta abordagem graduada distingue o AI Act de regulamentações mais binárias. Permite não travar a inovação nos usos de baixo risco, enquanto enquadra firmemente as aplicações mais sensíveis.

Considerando 26Règlement (UE) 2024/1689

Os sistemas de IA que apresentam um nível de risco elevado para a saúde, a segurança ou os direitos fundamentais das pessoas singulares devem ser sujeitos a requisitos rigorosos antes de poderem ser colocados no mercado da União.

Os quatro níveis de risco

1. Risco inaceitável — Sistemas proibidos

Certas utilizações da IA são pura e simplesmente proibidas (Artigo 5). O scoring social, a manipulação subliminar, a exploração de vulnerabilidades das pessoas e o reconhecimento biométrico em tempo real nos espaços públicos (salvo exceções) estão proibidos desde 1 de fevereiro de 2025.

2. Alto risco — Sistemas sujeitos a obrigações reforçadas

É a categoria que abrange o maior número de empresas. Os sistemas de IA de alto risco estão definidos nos Artigos 6 e 7 e listados em detalhe no Anexo III do regulamento. As obrigações associadas são substanciais: avaliação de conformidade, documentação técnica, controlo humano, gestão de riscos, governança de dados.

3. Risco limitado — Obrigações de transparência

Sistemas como chatbots, geradores de conteúdo (deepfakes, textos) ou sistemas de reconhecimento de emoções não abrangidos pela proibição estão sujeitos a obrigações de transparência. O utilizador deve saber que está a interagir com uma IA ou que o conteúdo foi gerado por IA.

4. Risco mínimo — Sem obrigações específicas

A grande maioria dos sistemas de IA: filtros anti-spam, recomendações de produtos, corretores ortográficos. O AI Act não impõe restrições específicas, embora o cumprimento do Artigo 4 sobre literacia em IA se aplique igualmente a todos os responsáveis pela implantação.

O Anexo III: os sistemas de alto risco, setor a setor

O Anexo III do regulamento lista os domínios em que um sistema de IA é considerado de alto risco. Eis os casos concretos que abrangem a maioria das empresas.

Recursos humanos e recrutamento

É o domínio que mais surpreende as empresas. O Anexo III, ponto 4, visa os sistemas de IA utilizados em:

Anexo III, ponto 4Règlement (UE) 2024/1689

Emprego, gestão dos trabalhadores e acesso ao trabalho por conta própria, nomeadamente para o recrutamento e a seleção de pessoas, para a tomada de decisões relativas às condições das relações de trabalho, promoção e cessação, e para a atribuição de tarefas, o acompanhamento ou a avaliação do desempenho e do comportamento das pessoas.

Concretamente, são considerados de alto risco:

  • Scoring de candidatos: qualquer algoritmo que classifique, pontue ou filtre automaticamente candidaturas
  • Análise automatizada de CV: ferramentas que pré-selecionam perfis com base em critérios automáticos
  • Chatbots de pré-qualificação: assistentes conversacionais que avaliam candidatos durante o processo de recrutamento
  • Sistemas de avaliação de desempenho: ferramentas de IA que analisam a produtividade ou o comportamento dos colaboradores
  • Ferramentas de matching: algoritmos que associam perfis a vagas

Se o seu departamento de RH utiliza uma ferramenta de triagem automática de CV ou um chatbot de recrutamento, trata-se provavelmente de um sistema de alto risco na aceção do AI Act.

📄IA para RH: guia completo de transformação dos recursos humanos

Finanças e seguros

O Anexo III, ponto 5(b) abrange os sistemas de IA utilizados para:

  • Scoring de crédito: modelos que avaliam a solvabilidade das pessoas singulares (com exceção da deteção de fraude)
  • Avaliação de riscos em seguros de vida e saúde
  • Tarifação automatizada baseada em perfis individuais

Qualquer banco ou seguradora que utilize um modelo de IA para decidir conceder ou recusar um crédito, ou para fixar um prémio de seguro, está abrangido. Em Portugal, instituições como a Caixa Geral de Depósitos ou o Millennium BCP, que utilizam modelos de scoring automatizado, devem avaliar se os seus sistemas se enquadram nesta categoria. A deteção de fraude é explicitamente excluída do alto risco — mas atenção, os sistemas de scoring que vão além da simples deteção podem cair nesta categoria.

Saúde

O Anexo III, ponto 1 engloba os sistemas de IA que são dispositivos médicos ou acessórios de dispositivos médicos na aceção dos regulamentos europeus. Isto inclui:

  • Apoio ao diagnóstico: algoritmos que analisam imagens médicas ou propõem diagnósticos
  • Triagem automatizada: sistemas que orientam os pacientes para fileiras de cuidados
  • Sistemas de monitorização: dispositivos conectados com componente de IA que monitorizam parâmetros vitais
  • Apoio à prescrição: ferramentas que sugerem tratamentos

Educação e formação profissional

O Anexo III, ponto 3 visa os sistemas de IA utilizados para:

  • Admissão em estabelecimentos de ensino
  • Classificação automática de exames e avaliações
  • Avaliação do nível adequado de ensino para uma pessoa
  • Controlo de comportamentos proibidos durante exames (vigilância automatizada)

Justiça e forças de segurança

O Anexo III, pontos 6, 7 e 8 abrangem:

  • Avaliação de riscos de reincidência: sistemas utilizados para avaliar a probabilidade de uma pessoa cometer uma infração
  • Polígrafos e ferramentas de deteção de emoções durante interrogatórios
  • Avaliação da fiabilidade das provas
  • Profiling no âmbito da prevenção e deteção de infrações

Infraestruturas críticas

O Anexo III, ponto 2 abrange as componentes de segurança da gestão e da operação de infraestruturas digitais críticas, do tráfego rodoviário e do abastecimento de água, gás, aquecimento e eletricidade.

Migração e controlo de fronteiras

O Anexo III, ponto 7 inclui os sistemas utilizados para a avaliação dos riscos de migração irregular, a análise de pedidos de visto e títulos de residência, e a identificação de pessoas no âmbito da migração.

As obrigações concretas para os sistemas de alto risco

Se um ou mais dos seus sistemas de IA estão classificados como alto risco, eis o que o regulamento exige:

Avaliação de conformidade (Artigos 9 a 15)

Antes da colocação no mercado ou da entrada em serviço, o sistema deve ser objeto de uma avaliação de conformidade que abranja:

  1. Sistema de gestão de riscos (Artigo 9): identificação, análise, estimativa e mitigação dos riscos ao longo de todo o ciclo de vida do sistema
  2. Governança de dados (Artigo 10): os conjuntos de dados de treino devem ser pertinentes, representativos e isentos de erros na medida do possível — em articulação com as exigências do RGPD em matéria de dados pessoais
  3. Documentação técnica (Artigo 11): descrição detalhada do sistema, das suas finalidades, do seu desempenho e das suas limitações
  4. Manutenção de registos (Artigo 12): registo automático de eventos (logs) durante toda a duração de funcionamento
  5. Transparência e informação (Artigo 13): instruções de utilização claras para os responsáveis pela implantação
  6. Controlo humano (Artigo 14): o sistema deve ser concebido para permitir um controlo efetivo por pessoas singulares
  7. Exatidão, robustez e cibersegurança (Artigo 15)

Obrigações específicas dos responsáveis pela implantação (Artigo 26)

As empresas que utilizam sistemas de IA de alto risco (responsáveis pela implantação) têm obrigações próprias:

  • Utilizar o sistema em conformidade com as instruções do prestador
  • Assegurar o controlo humano por pessoas competentes e formadas
  • Vigiar o funcionamento do sistema e reportar qualquer disfunção
  • Realizar uma análise de impacto nos direitos fundamentais (para certos responsáveis pela implantação)
  • Conservar os logs gerados automaticamente durante pelo menos seis meses
📄Riscos da IA na empresa: identificar e gerir eficazmente

Como auditar as suas ferramentas de IA

A primeira etapa da conformidade é saber exatamente que sistemas de IA utiliza e em que categoria se situam.

1. Fazer o inventário completo

Liste todas as ferramentas que integram IA na sua organização. Não esqueça:

  • As ferramentas integradas nos seus softwares existentes (CRM, ERP, SIRH)
  • As subscrições SaaS com funcionalidades de IA
  • Os usos informais pelos colaboradores (assistentes de IA, ferramentas de geração)
  • Os desenvolvimentos internos

2. Classificar cada sistema

Para cada ferramenta identificada, determine:

  • É um sistema de IA na aceção do Artigo 3(1) do regulamento?
  • Enquadra-se numa das categorias do Anexo III?
  • Qual é o seu nível de risco?

3. Avaliar o desfasamento de conformidade

Para cada sistema de alto risco, compare a sua situação atual com os requisitos dos Artigos 9 a 15 e do Artigo 26. Identifique os desfasamentos e priorize as ações corretivas.

4. Documentar e rastrear

Constitua um dossiê de conformidade por sistema, incluindo a classificação, a documentação técnica, as avaliações realizadas e as medidas de controlo implementadas. Esta documentação estruturada será a sua referência em caso de auditoria.

5. Formar os utilizadores

Para cada sistema de alto risco, as pessoas encarregadas do controlo humano devem ter as competências necessárias (Artigo 14). Isto complementa a obrigação do Artigo 4 sobre literacia em IA, mas com um nível de exigência mais elevado: estas pessoas devem compreender as capacidades e limitações específicas do sistema que supervisionam.

O caso dos sistemas de IA de finalidade geral

Os modelos de IA de finalidade geral (como GPT-4, Claude, Gemini) são objeto de disposições específicas (Artigos 51 a 56). Quando um modelo de finalidade geral é integrado num sistema de IA classificado como alto risco, as obrigações de alto risco aplicam-se ao sistema no seu conjunto — mesmo que o modelo subjacente seja, em si, uma ferramenta generalista.

Isto significa que utilizar o ChatGPT para responder a candidatos num processo de recrutamento pode transformar uma ferramenta “generalista” em componente de um sistema de alto risco.

Ce que ça implique pour vous

A classificação dos seus sistemas de IA não é um exercício teórico — é a pedra angular da sua conformidade com o AI Act. Se utiliza IA no recrutamento, na avaliação de desempenho, no scoring de crédito ou no apoio ao diagnóstico, está provavelmente a operar sistemas de alto risco. Cada sistema abrangido exige uma avaliação de conformidade, uma documentação técnica, um controlo humano efetivo e pessoas formadas para o assegurar. Comece pelo inventário. Hoje.