O guia 2026 para operacionalizar o EU AI Act

O AI Act está em vigor e a entrar em fases por toda a UE. Eis um manual prático para transformar os seus requisitos em controlos, evidência e supervisão que consegue realmente operar — em conjunto com a ISO 42001.

Equipa iComply
Governance de IA

O Regulamento da Inteligência Artificial da UE é a primeira lei abrangente do mundo para inteligência artificial. Para líderes de compliance, jurídico e segurança, a questão já não é se se aplica — é como operacionalizá-lo sem levantar mais um programa desligado. Este guia divide o Regulamento em partes acionáveis e mostra como se articula com as normas que já corre.

A quem se aplica o Regulamento

O Regulamento segue a tecnologia, não a empresa. Abrange fornecedores que desenvolvem ou colocam sistemas de IA no mercado da UE, responsáveis pela implementação que usam IA profissionalmente, e os importadores e distribuidores intermédios. Tem também alcance extraterritorial: se o resultado do seu sistema de IA for usado na UE, o Regulamento pode aplicar-se mesmo que a sua organização esteja noutro lugar. Para a maioria das organizações a conclusão é simples — é quase certamente responsável pela implementação de IA nalgum ponto, e precisa de saber que obrigações se aplicam a cada uso.

O modelo baseado no risco

O Regulamento classifica os sistemas de IA pelo risco que representam, e as obrigações escalam com esse risco. Acertar nesta classificação é a base de tudo o resto.

  • Risco inaceitável. Um pequeno conjunto de práticas — como a classificação social por autoridades públicas e certos sistemas manipulativos — são pura e simplesmente proibidas.
  • Alto risco. Sistemas usados em emprego, educação, serviços essenciais, biometria e infraestruturas críticas carregam as obrigações mais pesadas.
  • Risco limitado. Sistemas que interagem com pessoas ou geram conteúdo têm deveres de transparência — os utilizadores têm de saber que estão a lidar com IA.
  • Risco mínimo. A grande maioria dos sistemas fica aqui, sem novas obrigações.
  • IA de uso geral (GPAI). Os modelos fundacionais têm a sua própria camada de documentação e, para os mais capazes, obrigações de risco sistémico.

As obrigações que geram trabalho

Para sistemas de alto risco, o Regulamento exige que demonstre — com evidência — que o sistema é governado ao longo do seu ciclo de vida:

  • Um sistema de gestão de risco que corre continuamente, não uma única vez.
  • Governance de dados sobre dados de treino, validação e teste.
  • Documentação técnica e registo automático de eventos.
  • Supervisão humana com capacidade de intervir e anular.
  • Exatidão, robustez e cibersegurança adequadas ao caso de uso.
  • Transparência para que implementadores e pessoas afetadas compreendam o sistema.

Como se encaixa a ISO 42001

O AI Act diz-lhe o quê tem de cumprir; a ISO 42001 — a norma do sistema de gestão de IA — ajuda-o a operacionalizar como. Corra-os em conjunto: o sistema de gestão dá-lhe as políticas, funções, controlos e melhoria contínua, enquanto o Regulamento define as obrigações legais que esses controlos devem satisfazer. Bem feito, um só conjunto de controlos evidencia ambos.

Os primeiros 90 dias, na prática

  • Inventarie cada sistema de IA, caso de uso, responsável, dataset e fornecedor de modelo.
  • Classifique cada sistema face aos níveis de risco e sinalize tudo o que seja de alto risco ou proibido.
  • Mapeie controlos para supervisão, logging, governance de dados e transparência — uma vez — e reutilize-os.
  • Avalie sistemas de alto risco com uma AIDF e, havendo dados pessoais, uma AIPD.
  • Evidencie e monitorize continuamente, escalando lacunas antes de um regulador as encontrar.

As organizações que vão sofrer são as que tratam o AI Act como um projeto isolado. As que vão prosperar já governam segurança, privacidade e risco num único modelo de controlos — e simplesmente adicionam a IA como mais uma camada sobre os mesmos controlos e evidência.

Veja como a iComply operacionaliza isto

Uma plataforma para cada norma, lei e risco — centrada em controlos e nativa em IA.