Quick Answer
A checklist de conformidade com o EU AI Act resume-se a seis passos: confirmar o seu papel (fornecedor ou responsável pela implementação), inventariar os sistemas de IA, classificar o risco, preparar documentação e governação, executar a avaliação de conformidade e a marcação CE para alto risco, e alinhar tudo com o calendário faseado. Comece pelo inventário. É fornecedor ou responsável pela implementação? O primeiro passo da conformidade com o Regulamento de IA é saber em que papel atua, porque as obrigações diferem. O fornecedor desenvolve um sistema de IA ou um modelo e coloca-o no mercado da UE sob o seu nome ou marca. O responsável pela implementação (deployer) utiliza um sistema de IA sob a sua autoridade, no contexto de uma atividade profissional. Atenção: pode tornar-se fornecedor sem o saber. Se colocar a sua marca num sistema de alto risco, o modificar substancialmente ou alterar a sua finalidade, assume as obrigações de fornecedor.
A checklist de conformidade com o EU AI Act resume-se a seis passos: confirmar o seu papel (fornecedor ou responsável pela implementação), inventariar os sistemas de IA, classificar o risco, preparar documentação e governação, executar a avaliação de conformidade e a marcação CE para alto risco, e alinhar tudo com o calendário faseado. Comece pelo inventário.
É fornecedor ou responsável pela implementação?
O primeiro passo da conformidade com o Regulamento de IA é saber em que papel atua, porque as obrigações diferem. O fornecedor desenvolve um sistema de IA ou um modelo e coloca-o no mercado da UE sob o seu nome ou marca. O responsável pela implementação (deployer) utiliza um sistema de IA sob a sua autoridade, no contexto de uma atividade profissional.
Atenção: pode tornar-se fornecedor sem o saber. Se colocar a sua marca num sistema de alto risco, o modificar substancialmente ou alterar a sua finalidade, assume as obrigações de fornecedor. Importadores e distribuidores têm deveres próprios de verificação. Fornecedores fora da UE que sirvam o mercado europeu devem designar um mandatário (representante autorizado) na União.
Inventariar e classificar o risco
Não é possível cumprir o que não se conhece. Crie um inventário de todos os sistemas e modelos de IA em uso ou em desenvolvimento, incluindo ferramentas de fornecedores terceiros e funcionalidades de IA embebidas em software existente. Para cada um, classifique o nível de risco do AI Act.
Como classifico o nível de risco de cada sistema?
Verifique, por ordem: o sistema cai numa prática proibida (risco inaceitável)? Está integrado num produto regulado do Anexo I ou enquadra-se num domínio sensível do Anexo III (alto risco)? Interage com pessoas ou gera conteúdo, exigindo transparência (risco limitado)? Caso contrário, é risco mínimo. Registe a justificação de cada classificação, pois a documentação do raciocínio é, ela própria, parte da conformidade.
Precisa de ajuda com cloud?
Agende uma reunião gratuita de 30 minutos com um dos nossos especialistas em cloud. Analisamos a sua necessidade e damos recomendações concretas — sem compromisso.
Checklist passo a passo
A tabela seguinte resume as ações por nível de risco. Use-a como ponto de partida e adapte ao seu contexto.
| Nível de risco | Ação principal | Quem é responsável |
|---|---|---|
| Inaceitável (proibido) | Cessar imediatamente o uso ou a comercialização | Fornecedor e responsável pela implementação |
| Alto risco | Gestão de risco, governação de dados, documentação técnica, supervisão humana, avaliação de conformidade e marcação CE | Sobretudo o fornecedor; o deployer assegura uso conforme e supervisão |
| Limitado (transparência) | Informar que há IA; identificar conteúdo gerado por IA (deepfakes, chatbots) | Fornecedor e responsável pela implementação |
| Mínimo | Boas práticas voluntárias; manter inventário atualizado | Responsável pela implementação |
| GPAI (finalidade geral) | Documentação técnica, resumo dos dados de treino, conformidade com direitos de autor; deveres reforçados se houver risco sistémico | Fornecedor do modelo |
Garanta também a literacia em IA das equipas que desenvolvem ou utilizam estes sistemas, uma obrigação transversal já aplicável.
Avaliação de conformidade e marcação CE para alto risco
Os sistemas de alto risco exigem uma avaliação de conformidade antes de entrarem no mercado. Na maioria dos casos do Anexo III, o fornecedor realiza uma autoavaliação com base nos requisitos do regulamento; em certos domínios (como a biometria) ou quando o sistema está integrado em produtos já sujeitos a avaliação por terceiros, pode ser necessário um organismo notificado.
O que preciso para a marcação CE?
Concluída a avaliação, o fornecedor elabora uma declaração UE de conformidade, apõe a marcação CE e regista o sistema na base de dados da UE para sistemas de alto risco. A partir daí, é obrigatória a monitorização pós-comercialização e a comunicação de incidentes graves às autoridades. O responsável pela implementação deve usar o sistema conforme as instruções, assegurar supervisão humana efetiva e, em casos definidos, realizar uma avaliação de impacto sobre os direitos fundamentais.
Documentação e governação
A conformidade vive ou morre na documentação. Para sistemas de alto risco, prepare e mantenha: um sistema de gestão de risco ao longo do ciclo de vida; documentação técnica e registos automáticos de eventos (logs); medidas de governação e qualidade de dados; instruções de utilização claras; e mecanismos de supervisão humana.
A nível organizacional, atribua responsabilidades claras (quem é o dono de cada sistema), defina políticas internas de IA, integre a IA na gestão de risco e na segurança da informação e mantenha registos de decisões. Para quem já tem ISO/IEC 27001, muitos controlos de governação reaproveitam-se; a norma ISO/IEC 42001 (sistema de gestão de IA) ajuda a estruturar este esforço.
Calendário: que prazos cumprir
O calendário do AI Act é faseado e parte dele mudou em 2026. As datas já em vigor são firmes: as práticas proibidas e a literacia em IA aplicam-se desde 2 de fevereiro de 2025; as regras de GPAI e de governação desde 2 de agosto de 2025.
Para o alto risco, o pacote Digital Omnibus, objeto de acordo político em maio de 2026, adiou e flexibilizou os prazos, ligando a aplicação à disponibilidade das normas harmonizadas. Pelo texto acordado, os sistemas autónomos de alto risco (Anexo III) passam de 2 de agosto de 2026 para, no máximo, 2 de dezembro de 2027, e os integrados em produtos regulados (Anexo I) para 2 de agosto de 2028. À data deste artigo (junho de 2026), a publicação no Jornal Oficial estava iminente; confirme o texto final antes de fixar prazos internos e não assuma uma data única e definitiva para o alto risco.
Como começar
Comece pequeno e concreto. Nomeie um responsável interno, faça o inventário de sistemas de IA e classifique o risco de cada um. Priorize qualquer prática potencialmente proibida (ação imediata) e os sistemas de alto risco, onde a documentação leva mais tempo a preparar. Use o tempo extra do calendário para construir governação sólida, não para adiar.
A Opsio acompanha organizações nórdicas e internacionais neste percurso, da classificação à governação operacional, com estratégia de soluções de IA. Para entender o enquadramento jurídico subjacente a esta checklist, consulte o nosso artigo Regulamento de IA (EU AI Act): o que é e como funciona.
Perguntas frequentes
Quando se aplica o EU AI Act à minha empresa?
Depende do nível de risco dos seus sistemas. As práticas proibidas e a literacia em IA já se aplicam (desde fevereiro de 2025) e as regras de GPAI desde agosto de 2025. As obrigações de alto risco foram adiadas em 2026 e aplicam-se, no máximo, a partir de 2 de dezembro de 2027 (Anexo III) e 2 de agosto de 2028 (Anexo I), conforme a prontidão das normas.
O EU AI Act aplica-se à minha empresa se estiver fora da UE?
Sim, se servir o mercado da UE. O regulamento tem alcance extraterritorial: abrange fornecedores fora da UE que coloquem sistemas no mercado europeu ou cujos resultados sejam usados na UE. Nesse caso, fornecedores de alto risco devem designar um mandatário na União.
Qual a diferença entre o EU AI Act e o RGPD?
O RGPD rege o tratamento de dados pessoais; o EU AI Act rege os sistemas de IA por nível de risco. São complementares e cumulativos: um sistema de IA que use dados pessoais tem de cumprir ambos. A avaliação de impacto sobre a proteção de dados do RGPD e a documentação do AI Act reforçam-se mutuamente.
Quais são as sanções por incumprimento?
Até 35 milhões de euros ou 7% do volume de negócios anual mundial pelas práticas proibidas; até 15 milhões de euros ou 3% por outras infrações, incluindo de alto risco; e até 7,5 milhões de euros ou 1% por informação incorreta às autoridades, aplicando-se o valor mais elevado (com limites adaptados para PME).
Esta checklist constitui informação geral e não é aconselhamento jurídico. Para decisões de conformidade específicas, consulte aconselhamento jurídico qualificado e o texto oficial do Regulamento.
Written By
Country Manager, Índia
Praveena lidera as operações da Opsio na Índia, trazendo mais de 17 anos de experiência intersectorial em IA, fabrico, DevOps e serviços geridos.
Editorial standards: Este artigo foi escrito por profissionais cloud e revisto pela nossa equipa de engenharia. Atualizamos o conteúdo trimestralmente. A Opsio mantém independência editorial.