AI Act da UE: O Que Muda para PMEs Portuguesas em 2026

O AI Act (Regulamento UE 2024/1689) é a primeira lei abrangente sobre inteligência artificial a nível mundial. Entrou em vigor a 1 de agosto de 2024 e torna-se totalmente aplicável a 2 de agosto de 2026. Para PMEs portuguesas que usam IA — desde chatbots no website até ferramentas de IA generativa — há obrigações concretas a cumprir. Este artigo explica o essencial sem jargão jurídico.

Aviso: este artigo é informativo e baseia-se na legislação vigente à data de publicação. Não substitui aconselhamento jurídico. Para validar conformidade no seu caso específico, consulte advogado especializado em direito digital ou um EPD.

O calendário de aplicação

• 2 de fevereiro de 2025 — Práticas de IA proibidas e obrigações de literacia em IA aplicáveis
• 2 de agosto de 2025 — Regras para modelos GPAI (general-purpose AI, ex.: GPT-5, Claude, Gemini)
• 2 de agosto de 2026 — Aplicação geral do regulamento, incluindo obrigações de transparência e regras para sistemas de alto risco
• 2 de agosto de 2027 — Regras para sistemas de alto risco incorporados em produtos regulados (ex.: dispositivos médicos)

Em Portugal, a ANACOM foi designada como autoridade principal para supervisão do AI Act, coordenando 14 autoridades sectoriais. A CNPD continua a ser autoridade competente para aspetos relacionados com proteção de dados.

Os 4 níveis de risco — qual se aplica à sua PME

Risco inaceitável (proibido)

Sistemas que manipulem comportamento humano de forma prejudicial, exploitem vulnerabilidades, façam social scoring por entidades públicas, ou identificação biométrica em tempo real em espaços públicos (com exceções limitadas). Para a maioria das PMEs, não é aplicável — não vai cair aqui acidentalmente.

Risco elevado

Sistemas usados em áreas sensíveis: educação, recrutamento, crédito, infraestrutura crítica, aplicação da lei, dispositivos médicos. Têm obrigações pesadas: gestão de risco documentada, qualidade de dados verificada, supervisão humana, registo de atividade, marcação CE.

Aplica-se à sua PME? Maior probabilidade se: usar IA para filtrar candidaturas a emprego, avaliação automática de crédito, scoring de clientes, ou se desenvolve produtos para sectores regulados.

Risco limitado (transparência)

A categoria onde a maioria das PMEs vai cair. Aplica-se a:

• Chatbots e assistentes virtuais — tem de ser claro para o utilizador que está a interagir com uma máquina, não com humano
• Conteúdo gerado por IA — texto, imagens ou vídeos gerados ou manipulados por IA têm de ser identificáveis como tal
• Deep fakes — devem ser claramente identificados
• Reconhecimento de emoções ou categorização biométrica — informar o utilizador

Risco mínimo

A maioria dos usos de IA — filtros de email, sugestões de produtos, jogos com IA — não tem regras específicas. Pode usar livremente.

O que a sua PME tem de fazer concretamente

1. Se tem chatbot no website

O bot tem de identificar-se como bot logo no início da conversa. Frase tipo: “Olá, sou um assistente automático. Para falar com um humano, escreva ‘humano’.” Praticamente todas as plataformas modernas (Tidio, Drift, Intercom, Chatra) já permitem configurar isto.

2. Se publica conteúdo gerado por IA (texto, imagens)

Conteúdo de marketing, posts de blog, ou imagens geradas por IA devem ser identificáveis. As práticas comuns:

• Disclaimer no rodapé do artigo: “Este artigo foi escrito com auxílio de ferramentas de IA e revisto por humanos.”
• Para imagens: marca de água ou metadata indicando origem IA
• Para deep fakes ou conteúdo de figuras públicas: identificação obrigatória e explícita

3. Se usa IA para filtrar candidaturas / recrutamento

Cuidado especial — pode cair em “alto risco”. Tem obrigações de:

• Documentar como o sistema funciona e os dados que usa
• Garantir supervisão humana (pessoa não-IA toma a decisão final)
• Informar candidatos que IA está a ser usada
• Permitir contestação humana a decisões automatizadas (também por RGPD, art. 22.º)

4. Literacia em IA dos colaboradores

Desde 2 de fevereiro de 2025, o art. 4.º do AI Act exige que fornecedores e utilizadores de sistemas de IA garantam um nível adequado de literacia em IA dos seus colaboradores. Para uma PME pequena, isto pode ser uma sessão de 2 horas com a equipa a explicar o que é e o que não é IA, riscos e boas práticas.

5. Documentação interna mínima

Mesmo sem obrigações pesadas, manter um pequeno registo dos sistemas de IA que usa (ferramenta, fornecedor, finalidade, dados que processa) facilita conformidade e auditorias futuras.

Apoios e simplificações para PMEs

O AI Act inclui regras especiais para PMEs:

• Sandboxes regulatórias — espaços controlados onde PMEs podem testar sistemas de IA com supervisão regulatória. Estados-Membros têm de as implementar até agosto de 2026.
• Coimas reduzidas — limites máximos proporcionais ao volume de negócios, com plafonds menores para PMEs
• Documentação simplificada — requisitos técnicos mais leves para PMEs em sistemas de alto risco
• AI Pact — iniciativa voluntária para preparar implementação antes da data obrigatória, com apoio da Comissão

Sanções

Coimas máximas:

• €35 milhões ou 7% do volume de negócios mundial — para violações de práticas proibidas
• €15 milhões ou 3% — para incumprimento de obrigações de sistemas de alto risco
• €7,5 milhões ou 1,5% — para informação incorreta às autoridades

Para PMEs aplicam-se valores proporcionais — mas mesmo o menor escalão é suficiente para inviabilizar a maioria das pequenas empresas. Cumprir é sempre mais barato.

Conclusão prática

Para 90% das PMEs portuguesas, conformar com o AI Act em 2026 significa principalmente:

1. Identificar claramente chatbots e assistentes IA como sistemas automatizados
2. Identificar conteúdo gerado por IA quando partilhado publicamente
3. Garantir literacia básica em IA dos colaboradores
4. Manter registo dos sistemas IA que usa

É menos do que o RGPD em volume de trabalho. Mas começa em agosto de 2026 — não deixe para a última hora.

Para PMEs com casos mais complexos (uso de IA em recrutamento, scoring, ou desenvolvimento próprio de modelos), recomendamos consultoria especializada. Oferecemos sessões de orientação estratégica sobre adoção responsável de IA — não somos advogados, mas ajudamos a mapear o que precisa de aprofundar com aconselhamento jurídico.

Para informação oficial atualizada, consulte digital.gov.pt e a página oficial da Comissão Europeia.