Sanções AI Act: até 35 milhões de euros de coima

As sanções do AI Act podem atingir 35M€ ou 7% do volume de negócios mundial. Detalhe das coimas por tipo de infração e comparação com o RGPD.

Um regime de sanções sem precedentes

O Regulamento Europeu sobre Inteligência Artificial (Regulamento 2024/1689) instaura um sistema de sanções entre os mais severos do direito digital europeu. Com coimas que podem atingir 35 milhões de euros ou 7% do volume de negócios mundial, o AI Act envia um sinal claro: a não conformidade em matéria de IA não é um risco abstrato, é um risco financeiro maior.

Artigo 99 — Règlement (UE) 2024/1689
Os Estados-Membros determinam o regime de sanções e outras medidas de execução, que podem igualmente incluir advertências e medidas não pecuniárias, aplicáveis às violações do presente regulamento pelos operadores, e tomam todas as medidas necessárias para assegurar que estas sejam aplicadas correta e efetivamente […].

Os três níveis de coimas

O Artigo 99 do regulamento define três patamares de sanções, conforme a gravidade da infração.

Nível 1 — Práticas proibidas: 35 M€ ou 7% do VN mundial

O nível de sanção mais elevado aplica-se às violações do Artigo 5 (práticas proibidas):

Scoring social
Manipulação subliminar ou técnicas enganosas
Exploração de vulnerabilidades das pessoas
Reconhecimento biométrico em tempo real nos espaços públicos (salvo exceções)
Reconhecimento de emoções no trabalho e na educação
Constituição de bases de dados faciais por scraping

A coima pode atingir 35 milhões de euros ou 7% do volume de negócios anual mundial da empresa, o montante mais elevado sendo retido.

Para uma empresa com 500 milhões de euros de volume de negócios, isto representa potencialmente 35 milhões de euros de coima. Para um grupo mundial com 10 mil milhões de euros de VN, a coima teórica sobe para 700 milhões de euros.

Nível 2 — Não conformidade dos sistemas de alto risco: 15 M€ ou 3% do VN mundial

O segundo patamar sanciona as violações das obrigações relativas aos sistemas de IA de alto risco e aos modelos de IA de finalidade geral:

Incumprimento dos requisitos de gestão de riscos (Artigo 9)
Falta de governança de dados (Artigo 10)
Ausência de documentação técnica (Artigo 11)
Falta de transparência para com os utilizadores (Artigo 13)
Insuficiência do controlo humano (Artigo 14)
Não conformidade dos modelos de IA de finalidade geral (Artigos 51 a 56)
Incumprimento da obrigação de literacia em IA (Artigo 4)

Este último ponto é crucial: a falta de formação dos colaboradores em IA insere-se neste patamar. Uma empresa que não tomou nenhuma medida para garantir um nível suficiente de literacia em IA para o seu pessoal expõe-se a coimas que podem atingir 15 milhões de euros ou 3% do volume de negócios mundial.

Nível 3 — Informações incorretas: 7,5 M€ ou 1,5% do VN mundial

O terceiro patamar aplica-se quando uma empresa fornece informações inexatas, incompletas ou enganosas às autoridades competentes ou aos organismos notificados:

Declarações de conformidade falsas
Documentos técnicos falsificados ou incompletos
Respostas inexatas a pedidos de informação das autoridades
Ocultação de incidentes ou disfunções

A coima pode atingir 7,5 milhões de euros ou 1,5% do volume de negócios anual mundial.

Comparação com o RGPD: coimas mais pesadas

Para medir a severidade do regime do AI Act, a comparação com o RGPD é esclarecedora:

Critério	RGPD	AI Act
Coima máxima (montante fixo)	20 M€	35 M€
Coima máxima (% do VN)	4% do VN mundial	7% do VN mundial
Número de patamares	2	3
Em vigor desde	Maio de 2018	Progressivo (2025-2027)
Autoridade de controlo	Autoridades de proteção de dados	Autoridades nacionais + Gabinete Europeu de IA

O legislador europeu fixou deliberadamente as sanções do AI Act acima das do RGPD. A mensagem é clara: os riscos ligados à IA mal gerida são considerados pelo menos tão graves como os relativos à proteção de dados — e as empresas serão sancionadas em conformidade.

Para referência, as sanções do RGPD não ficaram teóricas. Em 2023, a Meta recebeu uma coima de 1,2 mil milhões de euros da autoridade irlandesa. A Amazon tinha recebido 746 milhões de euros em 2021 no Luxemburgo. Em Portugal, a CNPD já aplicou coimas significativas ao abrigo do RGPD. As autoridades europeias provaram que não hesitam em aplicar as sanções máximas às grandes empresas.

Os regimes especiais para as PME

O regulamento prevê um tratamento adaptado para as pequenas empresas. O Artigo 99(6) precisa que as coimas devem ser “efetivas, proporcionadas e dissuasivas”. Para as PME e as startups, as autoridades devem ter em conta a viabilidade económica da empresa.

Concretamente:

As percentagens do VN aplicam-se da mesma forma, mas os montantes fixos (35 M€, 15 M€, 7,5 M€) constituem um teto absoluto
As autoridades devem considerar a dimensão da empresa, a gravidade da infração, o carácter intencional ou não, e as medidas tomadas para atenuar os danos
As sandboxes regulamentares (Artigo 57) oferecem um enquadramento no qual as PME podem testar os seus sistemas de IA em condições reais com acompanhamento das autoridades

Quem controla e quem sanciona?

As autoridades nacionais competentes

Cada Estado-Membro deve designar uma ou mais autoridades nacionais competentes encarregadas da fiscalização do mercado e da aplicação do regulamento. Em Portugal, esta responsabilidade deverá ser partilhada entre vários intervenientes:

A CNPD (Comissão Nacional de Proteção de Dados) — já competente para a proteção de dados, tem uma competência natural sobre os sistemas de IA que tratam dados pessoais
A ANACOM ou uma nova autoridade dedicada — para os aspetos relativos aos modelos de IA e às infraestruturas
As autoridades setoriais existentes (Banco de Portugal para as finanças, INFARMED para a saúde) — para os sistemas de IA de alto risco nos seus domínios respetivos

O Gabinete Europeu de IA (AI Office)

Criado no seio da Comissão Europeia, o Gabinete Europeu de IA desempenha um papel de coordenação e dispõe de competências diretas sobre os modelos de IA de finalidade geral. Pode:

Avaliar a conformidade dos modelos de IA de finalidade geral
Solicitar medidas corretivas aos prestadores
Impor coimas pelas violações relativas aos modelos de finalidade geral

📄AI Act Artigo 4: a obrigação de formação em IA explicada→

A importância de poder provar a conformidade

Para além das coimas, o mecanismo do AI Act assenta num princípio fundamental: o ónus da prova pertence à empresa. Não cabe à autoridade demonstrar que não está conforme — cabe-lhe a si demonstrar que está.

O que “provar a conformidade” significa concretamente

Documentação técnica: para cada sistema de IA de alto risco, um dossiê completo descrevendo o sistema, as suas finalidades, o seu desempenho, as suas limitações, os dados de treino utilizados
Registos de conformidade: histórico das avaliações de conformidade, das auditorias internas, das atualizações
Logs de utilização: registos automáticos que rastreiam as decisões tomadas pelos sistemas de IA (conservação mínima de seis meses)
Provas de formação: certificados, resultados de avaliação, taxas de participação — demonstrando que o pessoal atinge o nível de literacia exigido pelo Artigo 4
Procedimentos de reporte: mecanismos documentados que permitem aos utilizadores reportar disfunções ou resultados problemáticos

Um score de literacia mensurável e rastreável para cada colaborador constitui um elemento de prova particularmente sólido para o Artigo 4. Do mesmo modo, um histórico completo das formações seguidas, com datas, conteúdos e resultados, permite provar a conformidade de forma objetiva.

O fator agravante: a ausência de medidas

Em caso de controlo, a situação mais desfavorável não é ter um programa de conformidade imperfeito — é não ter nenhum. As autoridades terão em conta os esforços empreendidos pela empresa. Ter iniciado uma abordagem estruturada, mesmo incompleta, é sempre preferível à inação total.

📄Auditoria IA na empresa: guia prático passo a passo→

O calendário dos riscos

As sanções aplicam-se progressivamente, em coerência com a entrada em vigor das diferentes obrigações:

Data	Obrigações em vigor	Sanções aplicáveis
1 de fevereiro de 2025	Práticas proibidas (Artigo 5)	Até 35 M€ / 7%
2 de agosto de 2025	Literacia em IA (Artigo 4) + Modelos de finalidade geral	Até 15 M€ / 3%
2 de agosto de 2026	Sistemas de IA de alto risco	Até 15 M€ / 3%
2 de agosto de 2027	Sistemas de alto risco integrados em produtos regulamentados	Até 15 M€ / 3%

Os dois primeiros prazos já passaram. As empresas que ainda não tomaram medidas relativamente às práticas proibidas e à literacia em IA estão já na zona de risco.

Para além das coimas: os riscos indiretos

As sanções financeiras são apenas a parte visível. A não conformidade com o AI Act expõe a outros riscos igualmente importantes:

Risco reputacional: ser identificado publicamente como não conforme à regulamentação de IA envia um sinal desastroso a clientes, parceiros e investidores
Risco comercial: as empresas conformes exigirão dos seus fornecedores e parceiros que também o sejam — um efeito cascata comparável ao do RGPD
Risco operacional: as autoridades podem ordenar a retirada do mercado de um sistema de IA não conforme ou proibir a sua utilização — paralisando potencialmente processos de negócio críticos
Risco contencioso: as pessoas afetadas por um sistema de IA não conforme podem intentar ações judiciais, com os custos jurídicos e de indemnização associados

Ce que ça implique pour vous

O AI Act instaura as sanções mais pesadas do direito digital europeu: 35 milhões de euros ou 7% do volume de negócios mundial para as práticas proibidas, 15 milhões para os sistemas de alto risco e a falta de formação. A chave para minimizar o risco: provar a conformidade através de documentação rigorosa, formações rastreadas e avaliações mensuráveis. Os primeiros prazos já passaram — cada dia sem ação aumenta a exposição.