Skip to content
Go To Agency
Go To Agency
/Cibersegurança
Cibersegurança

Regulamento IA 2 de agosto 2026: o que as PMEs portuguesas precisam de saber sobre as obrigações GPAI

A 2 de agosto de 2026 o Regulamento de IA torna-se plenamente aplicável: alto risco, deveres dos utilizadores e sanções aos fornecedores GPAI. O que muda para as PMEs portuguesas: coimas, governança, conformidade e checklist prática.

Por Robin Monteiro27 de maio de 202611 min · 2 365 mots
AI ActPMECompliancePortugalGPAI
Partilhar artigo
Regulamento IA 2 de agosto 2026: o que as PMEs portuguesas precisam de saber sobre as obrigações GPAI

A 2 de agosto de 2026 entra em vigor a segunda fase do Regulamento Europeu de Inteligência Artificial (Regulamento (UE) 2024/1689), conhecido como AI Act. Para as PMEs portuguesas que integraram o ChatGPT no apoio ao cliente, o Copilot na redação de propostas comerciais ou o Midjourney na produção de conteúdos visuais, a data deixou de ser teórica. As obrigações dos fornecedores de modelos de IA de finalidade geral (General-Purpose AI, ou GPAI) aplicam-se desde 2 de agosto de 2025; o que se torna aplicável agora é o regime de fiscalização e sanção, com coimas que podem ascender a 35 milhões de euros ou 7 % do volume de negócios mundial anual.

A maioria dos gerentes de PME em Portugal continua a acreditar que o Regulamento de IA só diz respeito às grandes tecnológicas norte-americanas. É um erro de leitura. Qualquer empresa portuguesa que utilize, integre ou redistribua um sistema de IA num contexto profissional torna-se um deployer (utilizador profissional) ou, em certos casos, um provider (fornecedor) na aceção do regulamento. E isso significa novas obrigações de transparência, documentação e governança — independentemente de a empresa ter 5 ou 250 colaboradores.

Neste artigo, fazemos o ponto da situação concreta para o tecido empresarial português: o que muda em agosto de 2026, qual a articulação com a CNPD (Comissão Nacional de Proteção de Dados) e a AMA (Agência para a Modernização Administrativa), que template de governança implementar antes da data-limite, e como ligar tudo isto ao RGPD que já está em vigor desde 2018.

O calendário do AI Act: porquê 2 de agosto de 2026 é decisivo

O Regulamento de IA foi publicado a 12 de julho de 2024 e entrou em vigor a 1 de agosto de 2024. Mas o legislador europeu optou por uma aplicação faseada, para dar tempo às empresas de se adaptarem. Eis o calendário que toda a PME portuguesa deve ter afixado na sala de reuniões:

  • 2 de fevereiro de 2025 — Proibição dos sistemas de IA de risco inaceitável (manipulação cognitiva, social scoring, reconhecimento de emoções no local de trabalho). Já em vigor.
  • 2 de agosto de 2025 — Entrada em vigor das obrigações para fornecedores de modelos GPAI lançados após esta data, e nomeação das autoridades nacionais competentes.
  • 2 de agosto de 2026Fase 2 decisiva: aplicabilidade geral do regulamento — regras para sistemas de IA de alto risco (Anexo III), obrigações dos utilizadores profissionais e poderes de sanção sobre os fornecedores GPAI plenamente operacionais (os modelos colocados no mercado antes de agosto de 2025 têm até 2027 para se conformar).
  • 2 de agosto de 2027 — Aplicação às IA integradas em produtos já regulados (dispositivos médicos, brinquedos, máquinas).

O ponto-chave para a sua PME é o seguinte: a 2 de agosto de 2026, deixa de haver período de cortesia. Se utiliza um chatbot de IA generativa para responder aos clientes, se gera contratos com a ajuda de um modelo de linguagem, ou se faz triagem de candidaturas com uma ferramenta automatizada, está abrangido.

O que são as obrigações GPAI e porque dizem respeito à sua PME

GPAI (General-Purpose AI) designa os modelos de IA de finalidade geral — pense no GPT-4, Claude, Gemini, Mistral Large, Llama. Estes modelos não foram concebidos para uma tarefa única: podem redigir, traduzir, programar, resumir, classificar. É justamente esta versatilidade que levou o legislador a criar uma categoria específica.

As obrigações dos fornecedores GPAI incluem:

  • Manutenção de documentação técnica detalhada do modelo (dados de treino, arquitetura, capacidades, limitações);
  • Publicação de um resumo dos conteúdos utilizados para o treino;
  • Cumprimento da directiva sobre direitos de autor (oposição dos titulares de direitos);
  • Cooperação com o AI Office europeu e as autoridades nacionais.

Para os modelos GPAI considerados de risco sistémico (acima de 10²⁵ FLOPs de computação no treino, basicamente os maiores modelos do mercado), acrescentam-se obrigações de avaliação de modelos, gestão de riscos, comunicação de incidentes graves e cibersegurança.

Pode pensar: «Mas a minha PME não treina modelos, apenas utiliza o ChatGPT.» Correcto. Não é fornecedor GPAI. Mas torna-se deployer (utilizador profissional) e/ou, se integrar o modelo num produto que comercializa, pode tornar-se provider de sistema de IA. Esta cadeia de responsabilidades — fornecedor de modelo → fornecedor de sistema → utilizador profissional — está no centro do regulamento.

Coimas até 35 milhões de euros: o regime sancionatório

A 2 de agosto de 2026, o regime sancionatório passa a ser plenamente aplicável. O Regulamento prevê três escalões:

  • Até 35 M€ ou 7 % do volume de negócios mundial anual — para a utilização de sistemas de IA proibidos (artigo 5.º).
  • Até 15 M€ ou 3 % do volume de negócios — para o incumprimento das obrigações dos fornecedores ou utilizadores profissionais (transparência, gestão de risco, governança de dados).
  • Até 7,5 M€ ou 1 % do volume de negócios — para informações incorrectas ou incompletas prestadas às autoridades.

Para as PMEs e as start-ups, o artigo 99.º prevê uma proporcionalidade: as autoridades devem ter em conta a dimensão da empresa e a sua viabilidade económica. Mas atenção: «proporcional» não significa «zero». Uma coima de 50 000 € para uma PME de Aveiro com 4 M€ de volume de negócios continua a ser estruturalmente devastadora.

Em Portugal: quem fiscaliza? CNPD, AMA e o ecossistema regulatório

Portugal designou a sua arquitectura de governança da IA durante o ano de 2025. O quadro institucional é o seguinte:

  • CNPD (Comissão Nacional de Proteção de Dados) — autoridade competente para os sistemas de IA que tratem dados pessoais, ou seja, na prática a esmagadora maioria dos casos de uso em PMEs (CRM, RH, marketing, atendimento ao cliente). A CNPD herda a sua competência do RGPD e estende-a aos sistemas de IA.
  • AMA (Agência para a Modernização Administrativa) — actua como ponto de contacto nacional para a transformação digital e a IA na administração pública, com missões de sensibilização e apoio às PMEs.
  • ANACOM — competência para as IA integradas em serviços de comunicações electrónicas.
  • Banco de Portugal e CMVM — supervisão dos sistemas de IA no sector financeiro.

Para o gerente de uma PME portuguesa, a interlocutora privilegiada em 90 % dos casos será a CNPD. Já tem o reflexo do RGPD? Bom. Acrescente-lhe o reflexo do AI Act. A boa notícia: a CNPD já anunciou que pretende articular as suas linhas de orientação RGPD existentes com as novas obrigações IA, para evitar a duplicação de procedimentos.

Casos de uso típicos numa PME portuguesa: o que está em risco?

Vejamos cinco cenários concretos que encontramos regularmente em PMEs portuguesas, e o seu nível de exposição ao AI Act:

1. Chatbot de apoio ao cliente baseado em GPT/Claude

A sua PME instalou um chatbot no site para responder às perguntas frequentes. Obrigação principal: transparência (artigo 50.º). O utilizador deve ser informado claramente de que está a interagir com uma IA. Mais: se o chatbot gera conteúdo (texto, imagens), este deve ser marcado como gerado por IA num formato legível por máquina.

2. Triagem automatizada de currículos

Utiliza uma ferramenta de IA para pré-seleccionar candidaturas? Cuidado: o Anexo III do Regulamento classifica isto como alto risco. Obrigações reforçadas: gestão de risco, governança de dados, documentação técnica, supervisão humana, registo dos eventos, avaliação de impacto sobre os direitos fundamentais.

3. Geração automática de conteúdos marketing

O seu social media manager utiliza Midjourney, DALL·E ou Sora para gerar visuais? A obrigação é a marcação dos conteúdos sintéticos. Os deepfakes (mesmo benignos) devem ser identificados como tais.

4. Análise preditiva do churn ou da pontuação de leads

Se o modelo trata dados pessoais, aplica-se o RGPD. Sob o AI Act, é geralmente classificado como risco limitado, com obrigações de transparência. Para descobrir como integrar a IA na sua estratégia de marketing-comunicação em conformidade, é necessária uma abordagem estruturada.

5. Cópia-piloto de código (GitHub Copilot, Cursor)

Caso de uso interno, baixo risco. As principais questões estão do lado dos direitos de autor e das fugas de informação confidencial (segredos comerciais, dados de clientes em prompts).

O template de governança IA para a sua PME

Não precisa de um departamento jurídico inteiro para estar em conformidade. Eis a base mínima viável de governança IA a implementar antes de 2 de agosto de 2026:

Documento 1: Política interna de utilização da IA (5 páginas)

Definir quais as ferramentas autorizadas, quais os dados que podem ser introduzidos (e quais nunca devem sê-lo), quem é o referente IA na empresa, qual o procedimento em caso de dúvida.

Documento 2: Inventário dos sistemas de IA utilizados

Uma simples folha de cálculo: nome do sistema, fornecedor, finalidade, categoria de risco (proibido / alto / limitado / mínimo), dados tratados, responsável interno, data da última revisão. Mantenha-a actualizada trimestralmente.

Documento 3: Avaliação de risco para cada sistema de alto risco

Se utilizar um sistema do Anexo III (RH, biometria, infra-estruturas críticas, educação, etc.), produza uma avaliação documentada antes de o pôr em produção. Inclua: descrição do sistema, finalidade, dados utilizados, riscos identificados, medidas de mitigação, modalidades de supervisão humana.

Documento 4: Registo dos incidentes IA

Um registo simples de incidentes (resposta errada do chatbot, alucinação manifesta, fuga de dados, viés observado) com data, descrição, ação corretiva. Esta é a prova da sua diligência em caso de controlo.

Documento 5: Programa de formação

O artigo 4.º exige que os utilizadores profissionais de IA assegurem um «nível suficiente de literacia em IA» dos seus colaboradores. Uma manhã de formação anual interna, com presenças assinadas, é o mínimo defensável.

Checklist de conformidade AI Act para o verão de 2026

Abaixo, a checklist condensada que pode utilizar a partir desta semana. Recomendamos atribuí-la a um responsável interno com um prazo claro.

  • ☐ Inventário completo dos sistemas de IA utilizados (incluindo as ferramentas «shadow IT» que os colaboradores utilizam sem autorização formal).
  • ☐ Classificação de cada sistema segundo as 4 categorias de risco do Regulamento.
  • ☐ Verificação de que nenhum sistema utilizado é proibido (artigo 5.º).
  • ☐ Para os sistemas de alto risco (Anexo III): conformidade reforçada documentada.
  • ☐ Política interna de utilização da IA redigida, validada pela direção, comunicada às equipas.
  • ☐ Cláusulas IA integradas nos contratos com os fornecedores de soluções SaaS.
  • ☐ Aviso de transparência nos canais que utilizem IA (chatbot, gerador de conteúdos, sistema automatizado).
  • ☐ Marcação dos conteúdos sintéticos publicados (imagens, vídeos, áudios).
  • ☐ Articulação documentada com o RGPD (registo de tratamentos actualizado).
  • ☐ Plano de formação dos colaboradores em literacia IA.
  • ☐ Designação de um referente IA interno (pode ser cumulativo com o encarregado de proteção de dados).
  • ☐ Registo de incidentes IA criado e mantido.
  • ☐ Revisão anual da governança IA agendada na agenda da direção.

A ligação com o RGPD: dois regimes, uma única cultura

Boa notícia para as PMEs portuguesas que já trabalharam a sua conformidade RGPD desde 2018: o esforço não foi em vão. O AI Act foi concebido para se articular com o Regulamento Geral sobre a Proteção de Dados, não para o substituir.

Em concreto:

  • Se a sua IA tratar dados pessoais (CRM, candidaturas, dados de clientes), o RGPD aplica-se em pleno. A CNPD continua a ser a sua autoridade de controlo.
  • A avaliação de impacto sobre a proteção de dados (AIPD, artigo 35.º RGPD) pode servir de base à avaliação de impacto sobre os direitos fundamentais exigida pelo AI Act para os sistemas de alto risco. Não duplique, articule.
  • A base jurídica do tratamento (artigo 6.º RGPD) deve ser identificada antes do lançamento de um sistema de IA. O consentimento, o interesse legítimo, a execução de um contrato — cada caso de uso exige uma base sólida.
  • Os direitos dos titulares (acesso, rectificação, oposição, decisão automatizada do artigo 22.º RGPD) aplicam-se aos sistemas de IA. O artigo 22.º é particularmente relevante para os sistemas de triagem automatizada.

Conclusão prática: se a sua empresa nomeou um DPO (Data Protection Officer) ou um referente de proteção de dados, alargue o seu mandato para incluir o AI Act. Se ainda não o fez, é o momento. As nossas equipas acompanham regularmente PMEs portuguesas neste duplo enquadramento; pode pedir um orçamento para um diagnóstico inicial.

O que fazer antes de 2 de agosto de 2026: plano em 90 dias

Se ainda não fez nada, eis um plano realista em 12 semanas para chegar a 2 de agosto de 2026 com uma postura defensável.

Semanas 1 a 3: inventário e classificação

Convoque uma reunião transversal (direção, RH, marketing, IT, comercial) e levante todos os sistemas de IA utilizados, mesmo os mais discretos. Classifique-os segundo as 4 categorias de risco.

Semanas 4 a 6: redação documental

Política interna, inventário formalizado, registo de tratamentos RGPD atualizado, cláusulas contratuais com os fornecedores. Não invente: existem modelos sectoriais disponíveis junto da AICEP, das câmaras de comércio e da CNPD.

Semanas 7 a 9: avaliação dos sistemas de alto risco

Se utiliza ferramentas RH automatizadas, biometria, sistemas de triagem, faça uma análise aprofundada. Considere alternativas com supervisão humana reforçada. Se necessário, suspenda temporariamente os usos mais sensíveis.

Semanas 10 a 12: formação e governança

Forme as equipas, designe o referente IA, agende a revisão anual, comunique externamente (cliente, parceiros). É também o momento de atualizar o seu site institucional: as nossas equipas da agência Go To Agency apoiam as PMEs portuguesas na transição AI Act, com pacotes adaptados à dimensão das empresas.

Conclusão: a conformidade IA, uma vantagem competitiva discreta

A 2 de agosto de 2026, a maioria das PMEs portuguesas chegará sem ter feito o trabalho. Será a sua oportunidade. Os seus clientes B2B, particularmente nos sectores regulados (saúde, banca, sector público, indústria), pedirão cada vez mais provas da conformidade IA dos seus fornecedores. Ter o seu inventário, a sua política, o seu registo e a sua formação prontos, será um diferenciador comercial real.

O AI Act não é uma armadilha. É um quadro. Como o RGPD em 2018, criará um momento de adaptação difícil, depois tornar-se-á invisível, integrado nos reflexos das empresas. As PMEs portuguesas que se posicionem agora — não em julho de 2026 num pânico de última hora — sairão ganhadoras dele.

A nossa recomendação operacional: comece esta semana pelo inventário. É a única tarefa que não pode delegar nem comprar. O resto vem em seguida, e há mão-de-obra qualificada disponível em Portugal para o apoiar.

RM

Sobre o autor

Robin Monteiro

Co-fondateur de Go To Agency

Développeur full-stack et co-fondateur de Go To Agency, Robin conçoit des solutions web performantes avec Next.js, React et les dernières technologies.

Conhecer a equipa

Precisa de ajuda com o seu projeto?

Falemos do seu projeto gratuitamente. Auditoria, conselhos e recomendações personalizadas em 15 minutos.

Solicitar um orçamento gratuito
Partilhar artigo

Questions fréquentes

A minha PME utiliza o ChatGPT pontualmente. Sou afetado pelo AI Act?+

Sim, mesmo que apenas utilize o ChatGPT ocasionalmente num contexto profissional, torna-se utilizador profissional (deployer) na aceção do Regulamento. As obrigações são proporcionais ao caso de uso: para uma utilização limitada à redação interna, ficam reduzidas (transparência, literacia dos colaboradores). Para utilizações com impacto nos clientes ou nos candidatos, são reforçadas. Recomendamos no mínimo um inventário documentado e uma política interna escrita.

Qual a diferença entre o AI Act e o RGPD para uma PME portuguesa?+

O RGPD regula o tratamento dos dados pessoais (desde 2018). O AI Act regula os sistemas de IA, quer tratem dados pessoais quer não. Os dois regimes articulam-se: se a sua IA trata dados pessoais, ambos os regimes se aplicam em paralelo. A CNPD continua a ser a sua autoridade de controlo na maioria dos casos. As avaliações de impacto podem ser articuladas para evitar a duplicação documental.

Quanto custa pôr-se em conformidade com o AI Act para uma PME de 30 colaboradores?+

Para uma PME portuguesa típica de 30 colaboradores com usos de IA padrão (chatbot, geração de conteúdos, ferramentas RH), uma colocação em conformidade defensável custa geralmente entre 4 000 € e 15 000 € em consultoria externa, à qual se acrescenta o tempo interno (uma a duas pessoas a 30% durante 3 meses). Os usos de alto risco (Anexo III) podem fazer subir significativamente este orçamento. É um investimento muito inferior ao risco de coima.

Quem é o responsável legal em caso de incumprimento na minha PME?+

A pessoa coletiva (a empresa) é a primeira responsável e suporta as coimas. Os dirigentes podem ver a sua responsabilidade individual envolvida em caso de incumprimento manifesto e voluntário, em particular se ignorarem alertas internos. Daí o interesse de designar um referente IA, formalizar uma governança escrita e manter um registo dos incidentes: estes elementos demonstram a diligência da direção em caso de controlo da CNPD.

Orçamento gratuito
Regulamento IA 2 Agosto 2026: PMEs Portuguesas GPAI | Go To Agency