O Regulamento da Inteligência Artificial da UE é a primeira lei abrangente do mundo para inteligência artificial. Para líderes de compliance, jurídico e segurança, a questão já não é se se aplica — é como operacionalizá-lo sem levantar mais um programa desligado. Este guia divide o Regulamento em partes acionáveis e mostra como se articula com as normas que já corre.
A quem se aplica o Regulamento
O Regulamento segue a tecnologia, não a empresa. Abrange fornecedores que desenvolvem ou colocam sistemas de IA no mercado da UE, responsáveis pela implementação que usam IA profissionalmente, e os importadores e distribuidores intermédios. Tem também alcance extraterritorial: se o resultado do seu sistema de IA for usado na UE, o Regulamento pode aplicar-se mesmo que a sua organização esteja noutro lugar. Para a maioria das organizações a conclusão é simples — é quase certamente responsável pela implementação de IA nalgum ponto, e precisa de saber que obrigações se aplicam a cada uso.
O modelo baseado no risco
O Regulamento classifica os sistemas de IA pelo risco que representam, e as obrigações escalam com esse risco. Acertar nesta classificação é a base de tudo o resto.
- Risco inaceitável. Um pequeno conjunto de práticas — como a classificação social por autoridades públicas e certos sistemas manipulativos — são pura e simplesmente proibidas.
- Alto risco. Sistemas usados em emprego, educação, serviços essenciais, biometria e infraestruturas críticas carregam as obrigações mais pesadas.
- Risco limitado. Sistemas que interagem com pessoas ou geram conteúdo têm deveres de transparência — os utilizadores têm de saber que estão a lidar com IA.
- Risco mínimo. A grande maioria dos sistemas fica aqui, sem novas obrigações.
- IA de uso geral (GPAI). Os modelos fundacionais têm a sua própria camada de documentação e, para os mais capazes, obrigações de risco sistémico.
As obrigações que geram trabalho
Para sistemas de alto risco, o Regulamento exige que demonstre — com evidência — que o sistema é governado ao longo do seu ciclo de vida:
- Um sistema de gestão de risco que corre continuamente, não uma única vez.
- Governance de dados sobre dados de treino, validação e teste.
- Documentação técnica e registo automático de eventos.
- Supervisão humana com capacidade de intervir e anular.
- Exatidão, robustez e cibersegurança adequadas ao caso de uso.
- Transparência para que implementadores e pessoas afetadas compreendam o sistema.
Como se encaixa a ISO 42001
O AI Act diz-lhe o quê tem de cumprir; a ISO 42001 — a norma do sistema de gestão de IA — ajuda-o a operacionalizar como. Corra-os em conjunto: o sistema de gestão dá-lhe as políticas, funções, controlos e melhoria contínua, enquanto o Regulamento define as obrigações legais que esses controlos devem satisfazer. Bem feito, um só conjunto de controlos evidencia ambos.
Os primeiros 90 dias, na prática
- Inventarie cada sistema de IA, caso de uso, responsável, dataset e fornecedor de modelo.
- Classifique cada sistema face aos níveis de risco e sinalize tudo o que seja de alto risco ou proibido.
- Mapeie controlos para supervisão, logging, governance de dados e transparência — uma vez — e reutilize-os.
- Avalie sistemas de alto risco com uma AIDF e, havendo dados pessoais, uma AIPD.
- Evidencie e monitorize continuamente, escalando lacunas antes de um regulador as encontrar.
As organizações que vão sofrer são as que tratam o AI Act como um projeto isolado. As que vão prosperar já governam segurança, privacidade e risco num único modelo de controlos — e simplesmente adicionam a IA como mais uma camada sobre os mesmos controlos e evidência.