AI Act: a sua organização está preparada para 2 de agosto?

A partir de 2 de agosto de 2025, entram em aplicação novas obrigações do AI Act, aplicáveis a qualquer organização que utilize, desenvolva ou integre sistemas de inteligência artificial (IA), mesmo que através de terceiros ou plataformas comerciais.

Se a sua organização utiliza IA, quer seja desenvolvida internamente, integrada via API, usada através de interfaces como o ChatGPT-4 com prompts personalizados ou presente em software de terceiros, a data de 2 de agosto marca o início de obrigações legais concretas.

Neste artigo, explicamos o que muda, quem é impactado e como agir já.

O que é o AI Act?

O AI Act é o primeiro regulamento europeu sobre inteligência artificial que define obrigações diferentes consoante o nível de risco do sistema de IA.

Linha do tempo de aplicação do Regulamento

O AI Act entrou em vigor a 1 de agosto de 2024, mas a sua aplicação é faseada até 2027, com diferentes marcos para diferentes obrigações:

• Desde 2 de fevereiro de 2025, já são aplicáveis:
  • As proibições de sistemas de IA de risco inaceitável
  • As obrigações de literacia em IA (Art.º 4.º)
• A partir de 2 de agosto de 2025, entram em aplicação:
  • As regras de governação e supervisão do regulamento (Capítulo VII)
  • As obrigações específicas para modelos de IA de finalidade geral (GPAI) (Capítulo V)
  • As obrigações de confidencialidade (Art.º 78.º)
• A 2 de agosto de 2026, o AI Act torna-se aplicável na sua generalidade.
• Até 2 de agosto de 2027, aplica-se o prazo alargado de transição para sistemas de risco elevado incluídos em produtos regulados (ex: dispositivos médicos).

O que muda a partir de 2 de agosto?

Se utiliza ou integra modelos de IA de finalidade geral (GPAI), como o ChatGPT, Claude, Mistral ou Gemini, deve cumprir as obrigações previstas no Capítulo V do AI Act:

• Transparência sobre capacidades e limitações do modelo
• Documentação técnica acessível
• Gestão de riscos sistémicos
• Reporte de incidentes significativos

Além disso, entram em vigor:

• Regras de confidencialidade (Art.º 78.º)
• Estrutura de supervisão nacional e europeia (Capítulo VII)
• Regime sancionatório: coimas até 35M€ ou 7% do volume de negócios anual global

Casos práticos em Portugal

As seguintes organizações estão abrangidas pelo AI Act, mesmo que não desenvolvam sistemas de IA:

• Autarquias locais com chatbot no site institucional → Risco Limitado
• Empresas de energia, águas e gestão de resíduos que usam IA em redes inteligentes → Risco Elevado
• Empresas com assistente IA no seu contact center → Dependente da função poderá ser Risco Elevado ou Limitado
• Entidades do Ensino Superior (Universidades, Centros de Investigação, Politécnicos) que afinam (LLM Fine Tuning) e/ou testam modelos → Isentos, se for apenas I&D
• Sociedades de Advogados com plataforma jurídica com LLMs, como ChatGPT, Claude ou Gemini → Risco Limitado
• Startups de mobilidade urbana que preveem fluxos de tráfego com IA → Risco Elevado

Mesmo que não tenha a certeza se está a usar IA, se utiliza software com automatismos, algoritmos ou integração de modelos como o ChatGPT, então este regulamento pode aplicar-se à sua organização.

Em resumo...

O AI Act marca uma viragem decisiva na forma como a inteligência artificial é regulada e utilizada na União Europeia. A partir de 2 de agosto de 2025, as organizações não podem ficar à espera: devem saber que IA estão a usar, como está integrada nos seus processos e se cumprem (ou não) as novas obrigações legais.

Mesmo que a sua empresa ou entidade pública apenas utilize soluções de IA desenvolvidas por terceiros, o dever de diligência, supervisão e transparência é real e aplicável.

O Pplware agradece ao Henrique Necho, pela escrita deste artigo para o Pplware.