A Contagem Decrescente para Agosto

2 de Agosto de 2026. É a data em que as disposições da Lei da IA da UE para sistemas de IA de alto risco entram em pleno efeito. Não as disposições sobre modelos de GPAI e regras de governação — essas aplicam-se desde 2 de Agosto de 2025. Não as práticas proibidas — essas entraram em vigor em Fevereiro de 2025. As disposições de alto risco. As que têm dentes.

Faltam cinco meses a contar de hoje.

Este não é mais um artigo “o que a Lei da IA da UE significa para a sua empresa”. O mercado produziu milhares desses. São abstractos, abrangentes e operacionalmente inúteis — desenhados para demonstrar a familiaridade do autor com a regulação, não para ajudar uma empresa a preparar-se para a conformidade.

Esta é uma análise específica, artigo a artigo, do que uma empresa que implementa sistemas de IA precisa de ter preparado até 2 de Agosto de 2026. É escrito para empresas com 50 a 500 trabalhadores que implementaram ou estão a implementar sistemas de IA que podem cair na classificação de alto risco. Pressupõe que não começaram a preparar-se. Cinco meses são suficientes — se começarem agora.

O Seu Sistema É de Alto Risco?

O Artigo 6 define sistemas de IA de alto risco em duas categorias:

Categoria 1 (Artigo 6(1)): Sistemas de IA que são componentes de segurança de produtos, ou são eles próprios produtos, abrangidos pela legislação de harmonização da UE listada no Anexo I. Inclui maquinaria, dispositivos médicos, brinquedos, equipamento de rádio, aviação civil, veículos, equipamento marítimo, sistemas ferroviários e outros. Se o seu sistema de IA está incorporado ou funciona como componente de segurança de um produto abrangido por estas directivas, é de alto risco por defeito.

Categoria 2 (Artigo 6(2) e Anexo III): Sistemas de IA utilizados em áreas específicas de alto risco listadas no Anexo III. As oito áreas são:

1. Identificação e categorização biométrica. Sistemas de identificação biométrica remota, reconhecimento de emoções, categorização biométrica.
2. Gestão e operação de infra-estruturas críticas. Sistemas de IA utilizados como componentes de segurança na gestão de tráfego rodoviário, abastecimento de água, gás, aquecimento e electricidade.
3. Educação e formação profissional. Sistemas de IA que determinam acesso à educação, avaliam resultados de aprendizagem, monitorizam comportamento proibido durante exames.
4. Emprego, gestão de trabalhadores e acesso ao trabalho independente. Sistemas de IA para triagem de recrutamento, direccionamento de anúncios de emprego, decisões de contratação, alocação de tarefas, monitorização e avaliação do desempenho dos trabalhadores e decisões sobre promoção ou cessação.
5. Acesso a serviços privados e públicos essenciais. Avaliação de crédito, preços de seguros, elegibilidade para benefícios sociais, despacho de serviços de emergência.
6. Aplicação da lei. Avaliações individuais de risco, detecção de mentiras, avaliação de provas, definição de perfis.
7. Migração, asilo e controlo de fronteiras. Avaliações de risco, verificação de documentos, processamento de candidaturas.
8. Administração da justiça e processos democráticos. Sistemas de IA que auxiliam em pesquisa jurídica, análise de casos ou determinação de sentenças.

Para uma PME da UE com 50-500 trabalhadores, as classificações de alto risco mais comuns são: emprego (qualquer ferramenta de IA usada em contratação, avaliação de desempenho ou gestão de pessoal) e serviços essenciais (qualquer ferramenta de IA usada em decisões de crédito, avaliações de seguros ou elegibilidade para benefícios).

A classificação não é sobre o modelo. É sobre o caso de uso. O mesmo modelo linguístico que gera texto de marketing (risco mínimo) torna-se de alto risco quando avalia candidaturas de emprego. O modelo não mudou. O caso de uso mudou. As obrigações acompanham.

A excepção do Artigo 6(3): Sistemas de IA listados no Anexo III podem ser excluídos da classificação de alto risco se não representarem “um risco significativo de prejuízo” para a saúde, segurança ou direitos fundamentais. A empresa deve documentar porque é que a excepção se aplica. Em caso de dúvida, classifiquem como alto risco. O custo de sobre-classificação é conformidade. O custo de sub-classificação é acção de aplicação.

Os Cinco Requisitos — Artigo a Artigo

Se o vosso sistema é de alto risco, aplicam-se cinco conjuntos de requisitos. Aqui estão, com acções operacionais específicas para cada um.

Requisito 1: Sistema de Gestão de Risco (Artigo 9)

É necessário um sistema documentado de gestão de risco que identifique, analise, avalie e mitigue os riscos do vosso sistema de IA. Não é uma avaliação de risco pontual. É um “processo iterativo contínuo” que decorre ao longo do ciclo de vida do sistema.

O que isto significa na prática:

Antes de 2 de Agosto: Documentem os riscos conhecidos do vosso sistema de IA. Não riscos genéricos de IA. Os riscos específicos do vosso sistema. O que acontece quando erra a resposta? Quem é afectado? Com que gravidade? Que categorias de erro são mais prováveis? (O model card — sobre o qual já escrevi — é a vossa fonte primária para riscos ao nível do modelo.)

Criem um registo de risco que mapeie cada risco identificado para uma medida de mitigação. A mitigação deve ser específica: “Conduzimos revisão manual de todas as decisões automatizadas que afectam o emprego individual” é uma mitigação. “Monitorizamos o sistema quanto a riscos” não é.

Estabeleçam um processo para actualizar o registo de risco quando o sistema muda, quando o caso de uso se expande ou quando um novo risco é identificado em produção. O processo deve especificar quem é responsável, com que frequência o registo é revisto e o que desencadeia uma revisão ad-hoc.

Esforço estimado: 2-3 semanas de trabalho dedicado para uma implantação típica de PME. Uma pessoa, a tempo parcial, com competência no domínio de aplicação do sistema de IA.

Requisito 2: Governação de Dados (Artigo 10)

Os conjuntos de dados de treino, validação e teste devem cumprir critérios de qualidade especificados na regulação. Os dados devem ser “relevantes, suficientemente representativos e, na medida do possível, isentos de erros e completos.” É necessário documentar as características dos dados, a sua fonte, o processo de recolha e quaisquer operações de pré-processamento.

O que isto significa na prática:

Se afinaram o modelo: Documentem o conjunto de dados de afinação. Que dados foram usados? De onde vieram? Que verificações de qualidade foram aplicadas? Estavam presentes características protegidas (idade, género, etnia, deficiência) nos dados? Se sim, como foram tratadas? Havia enviesamentos conhecidos nos dados? Se sim, que mitigações foram aplicadas?

Se usam um modelo pré-treinado via API: O model card e a documentação de dados do fornecedor do modelo contribuem para este requisito, mas continuam a ser responsáveis pelos dados que o vosso sistema processa. Documentem os dados que entram no vosso sistema: dados de clientes, dados operacionais, os documentos no vosso pipeline de RAG. Os mesmos critérios de qualidade aplicam-se.

Se não têm esta documentação: Comecem a construí-la agora. O esforço é documentação retrospectiva de decisões que já foram tomadas. É tedioso. Não é complexo. Um estagiário com um modelo e acesso à equipa de dados pode produzir 80% da documentação necessária em duas semanas.

Esforço estimado: 1-2 semanas para um sistema que usa um modelo pré-treinado via API. 3-4 semanas para um sistema com afinação personalizada.

Requisito 3: Documentação Técnica (Artigo 11 e Anexo IV)

Devem produzir documentação técnica antes de o sistema ser colocado no mercado ou posto em serviço. O Anexo IV especifica o conteúdo em detalhe:

• Descrição geral do sistema de IA e a sua finalidade prevista
• Descrição detalhada dos elementos do sistema de IA e do seu processo de desenvolvimento
• Informação detalhada sobre a monitorização, funcionamento e controlo do sistema
• Descrição do sistema de gestão de risco
• Descrição das alterações feitas ao sistema ao longo do seu ciclo de vida
• Lista das normas harmonizadas aplicadas
• Descrição das medidas implementadas para assegurar que o sistema cumpre os requisitos relevantes

O que isto significa na prática:

É um exercício de documentação. O sistema já existe (ou está a ser construído). A documentação técnica descreve o que existe. O princípio-chave: escrevam-na de forma que um revisor técnico competente consiga perceber o que o sistema faz, como o faz, que riscos apresenta e que controlos estão implementados.

O documento não precisa de ser bonito. Precisa de ser exacto, completo e mantido. Um documento vivo que é actualizado quando o sistema muda está conforme. Um documento polido que era exacto há seis meses e não foi actualizado não está.

Esforço estimado: 3-4 semanas para a documentação inicial. Manutenção contínua: 2-4 horas por mês.

Requisito 4: Registo e Logging (Artigo 12)

O sistema de IA deve registar automaticamente eventos relevantes para a identificação de riscos e facilitação da monitorização pós-mercado. Os registos devem incluir: o período de cada utilização, a base de dados de referência contra a qual os dados de entrada foram verificados, os dados de entrada para os quais a pesquisa resultou numa correspondência e a identificação das pessoas singulares envolvidas na verificação dos resultados.

O que isto significa na prática:

O vosso sistema de IA deve produzir trilhos de auditoria. Cada decisão que o sistema toma (ou recomenda) deve ser registada com detalhe suficiente para reconstruir a decisão posteriormente. O registo deve incluir: o input, o output, o timestamp e a identidade de qualquer revisor humano.

Para uma PME que implanta uma IA de serviço ao cliente ou uma ferramenta de triagem de RH, isto significa implementar logging estruturado na camada aplicacional. O esforço de engenharia é modesto — a maioria das frameworks modernas de implantação de IA suporta logging estruturado. O custo de armazenamento é proporcional ao volume: um sistema que processa 500 decisões por dia gera aproximadamente 15MB de logs estruturados por mês com verbosidade moderada.

Esforço estimado: 1-2 semanas de engenharia para implementação. Custo contínuo mínimo.

Requisito 5: Supervisão Humana (Artigo 14)

Escrevi um artigo completo sobre isto (“O Erro de 500.000 €”). O resumo: o sistema deve ser desenhado para ser eficazmente supervisionado por pessoas singulares. A supervisão deve ser significativa — avaliação independente, autoridade prática de contestação, tempo suficiente e variação demonstrada nos resultados.

O que isto significa na prática:

Construam a interface de revisão. Desenhem o fluxo de trabalho. Formem os revisores. Monitorizem as taxas de contestação. Tudo isto deve estar implementado antes de 2 de Agosto.

Esforço estimado: 3-5 semanas para desenvolvimento de interface, design de fluxo de trabalho e formação de revisores.

A Avaliação de Conformidade

Os Artigos 16-22 definem as obrigações dos fornecedores de sistemas de IA de alto risco — os requisitos que uma empresa deve cumprir para demonstrar que o seu sistema de IA de alto risco está conforme.

Para a maioria das implantações de PME (aquelas não abrangidas por legislação de harmonização da UE específica no Anexo I), a avaliação de conformidade é uma avaliação interna ao abrigo do Artigo 43(2). Não precisam de um auditor externo. Não precisam de um organismo notificado. Avaliam a própria conformidade com base nos requisitos dos Artigos 8-15, documentam a avaliação e emitem uma declaração de conformidade UE (Artigo 47).

Isto é importante: para a maioria dos casos de uso de PME, a conformidade é auto-avaliada. A regulação confia no implementador para avaliar a sua própria conformidade — desde que a avaliação seja documentada, a documentação seja mantida e o sistema esteja sujeito a monitorização pós-mercado.

A declaração de conformidade é um documento de uma página que declara: este sistema de IA, utilizado para esta finalidade, cumpre os requisitos da Lei da IA da UE. Faz referência à documentação técnica, ao sistema de gestão de risco e ao sistema de gestão da qualidade.

A declaração deve ser conservada durante dez anos após a colocação do sistema de IA no mercado.

O Requisito de Registo

O Artigo 49 exige que os sistemas de IA de alto risco sejam registados na base de dados da UE para sistemas de IA de alto risco autónomos (estabelecida ao abrigo do Artigo 71) antes de serem colocados no mercado ou postos em serviço.

O registo é electrónico, através de um portal mantido pelo Gabinete da IA. A informação necessária é: o nome e contactos do fornecedor, uma descrição da finalidade prevista, o estado do sistema de IA (no mercado, retirado, recolhido), uma descrição de como o sistema é disponibilizado e a declaração de conformidade UE.

O registo não é um mecanismo de barreira. É um mecanismo de transparência. A base de dados é pública. Registar o vosso sistema demonstra intenção de conformidade. Não registar um sistema de alto risco operacional é, em si, uma violação.

O Cronograma

Cinco meses. Aqui está um cronograma realista para uma PME que não começou a preparar-se:

Meses 1-2 (Março-Abril de 2026): Classificação de risco. Determinar se os vossos sistemas de IA são de alto risco ao abrigo do Artigo 6 e do Anexo III. Inventariar todos os sistemas de IA em uso na empresa — incluindo ferramentas adoptadas por equipas individuais sem supervisão de TI central. Iniciar a documentação de gestão de risco (Artigo 9) e governação de dados (Artigo 10) para qualquer sistema classificado como alto risco.

Mês 3 (Maio de 2026): Documentação técnica. Produzir a documentação técnica do Anexo IV para cada sistema de alto risco. Implementar logging estruturado (Artigo 12) se ainda não estiver implementado. Começar a desenvolver a interface e o fluxo de trabalho de supervisão humana (Artigo 14).

Mês 4 (Junho de 2026): Implementação de supervisão humana. Completar a interface de revisão, formar revisores, estabelecer o fluxo de trabalho. Iniciar a avaliação de conformidade interna. Identificar lacunas e remediar.

Mês 5 (Julho de 2026): Conclusão da avaliação de conformidade. Emitir a declaração de conformidade UE. Registar os sistemas de alto risco na base de dados da UE. Estabelecer o processo de monitorização pós-mercado. Documentar tudo.

2 de Agosto de 2026: Disposições em pleno efeito. Os vossos sistemas estão conformes, registados e monitorizados — ou não estão, e estão a operar em violação.

O Sistema de Gestão da Qualidade

O Artigo 17 exige que os fornecedores de sistemas de IA de alto risco implementem um sistema de gestão da qualidade. Este requisito é frequentemente ignorado em artigos de contagem decrescente porque soa genérico. Não é.

O sistema de gestão da qualidade deve incluir: políticas e procedimentos para a implementação dos requisitos da Lei da IA, técnicas e procedimentos para o design, controlo de design e verificação de design do sistema de IA de alto risco, técnicas e procedimentos para o seu desenvolvimento, controlo de qualidade e garantia de qualidade, procedimentos de exame, teste e validação a realizar antes, durante e após o desenvolvimento do sistema, e procedimentos de gestão de dados.

Para uma PME, o sistema de gestão da qualidade não precisa de ser certificado ISO 9001. Precisa de ser documentado, implementado e mantido. Um sistema de gestão da qualidade prático para uma implantação de IA de PME é um documento de 10-15 páginas que especifica: quem é responsável por quê, como as alterações ao sistema são controladas, como o sistema é testado antes de actualizações, como os incidentes pós-mercado são reportados e investigados e como a documentação é mantida actualizada.

O documento demora aproximadamente uma semana a produzir. Precisa de existir antes de 2 de Agosto. Precisa de ser seguido depois de 2 de Agosto. A distância entre ter o documento e seguir o documento é a distância que as acções de aplicação visam.

O Quadro Sancionatório

O Artigo 99 define as sanções por incumprimento:

• Violações de práticas de IA proibidas (Artigo 5): até 35 milhões de euros ou 7% do volume de negócios anual global.
• Violações de requisitos de alto risco (Artigos 8-15): até 15 milhões de euros ou 3% do volume de negócios anual global.
• Fornecimento de informação incorrecta a reguladores: até 7,5 milhões de euros ou 1% do volume de negócios anual global.

Para PME, a regulação prevê sanções proporcionais — as multas são calculadas em função da dimensão da empresa e da gravidade da violação. Mas “proporcional” não é “negligenciável”. Uma multa de 3% da receita para uma empresa com 10 milhões de euros de volume de negócios anual é 300.000 €. Para muitas PME, isso é existencial.

A regulação também prevê acções de aplicação não financeiras: ordens de retirada de sistemas de IA do mercado, ordens de modificação de sistemas de IA e declarações públicas identificando empresas não conformes e os seus sistemas.

A Posição

Cinco meses são tempo suficiente para cumprir. Cinco meses não são tempo suficiente para procrastinar, formar um grupo de trabalho, contratar uma consultoria e depois cumprir.

A regulação é específica. Os requisitos são enumeráveis. A avaliação de conformidade é interna. O registo é electrónico. Nada disto requer um exército de advogados ou um orçamento de consultoria de seis dígitos.

O que requer é uma decisão: vamos cumprir até 2 de Agosto. Essa decisão, tomada hoje, dá cinco meses de trabalho estruturado. Essa decisão, tomada em Junho, dá cinco semanas de pânico.

A Lei da IA da UE não é ambígua sobre o que exige. Só é ambígua sobre se a vão levar a sério antes do prazo chegar.

Cinco meses. A contagem decrescente está a correr.