BEACON Guia

O EU AI Act, explicado.

O Regulamento de IA da UE (AI Act, Regulamento (UE) 2024/1689) é a primeira lei abrangente de IA do mundo. Entrou em vigor a 1 de agosto de 2024 e aplica-se por fases — proibindo por completo algumas práticas de IA, impondo deveres rigorosos aos sistemas de “alto risco” e exigindo transparência sempre que as pessoas interagem com IA ou veem conteúdo gerado por IA. Em 2026, o “Digital Omnibus sobre IA” adiou vários prazos, por isso eis o quadro atualizado: o que o regulamento cobre, quem deve cumprir e até quando, as coimas e o que significa para um site comum.

Começar grátis Fazer uma verificação gratuita
Baseado no risco, não generalizadoQuatro níveis: práticas proibidas, sistemas de alto risco, risco limitado (deveres de transparência) e risco mínimo — a maioria da IA cai no último nível, sem novas obrigações.
Calendário faseadoProibições e deveres de literacia em IA desde fevereiro de 2025; regras para a IA de finalidade geral (GPAI) desde agosto de 2025; deveres de transparência a partir de agosto de 2026; deveres de alto risco agora adiados para dezembro de 2027 / agosto de 2028.
Alcance extraterritorialAplica-se a fornecedores e responsáveis pela implantação fora da UE sempre que o output do sistema de IA é utilizado na UE — tal como o GDPR, não precisa de escritório na UE para estar abrangido.
Proibições absolutasClassificação social (social scoring), técnicas manipuladoras, recolha indiscriminada de imagens faciais, reconhecimento de emoções no trabalho e na escola (com exceções restritas) — proibidos desde fevereiro de 2025.
Transparência para sitesOs chatbots devem revelar que são IA; o conteúdo gerado e manipulado por IA (deepfakes) deve ser rotulado, com marcação legível por máquinas para os média sintéticos.
Coimas à escala do GDPRAté €35 milhões ou 7% do volume de negócios global para práticas proibidas; até €15 milhões ou 3% para a maioria das outras infrações; até €7,5 milhões ou 1% pelo fornecimento de informações enganosas.
Os quatro níveis de risco num relance
Risco inaceitável
Proibido
Alto risco
Deveres rigorosos + registo
Risco limitado
Deveres de transparência
Risco mínimo
Sem novas obrigações
Coimas máximas
Práticas proibidas€35M / 7%
A maioria das outras infrações€15M / 3%
Informações enganosas às autoridades€7.5M / 1%
do volume de negócios anual mundial (o valor mais alto)
O calendário — atualizado após o Omnibus Digital de 2026
1.8.2024Entrada em vigor
2.2.2025Proibições + literacia em IA
2.8.2025Regras dos modelos GPAI
2.8.2026Transparência + coimasHoje
2.12.2026Novas proibições de conteúdo
2.12.2027Alto risco — anexo III
2.8.2028Alto risco — anexo I

O que o AI Act é (e não é)

O AI Act é um regulamento ao estilo da segurança de produtos para sistemas de IA colocados no mercado da UE ou cujo output é utilizado na UE. Não regula a “IA” enquanto tecnologia — regula utilizações específicas em função do risco. Quanto maior o risco para a saúde, a segurança ou os direitos fundamentais, mais pesadas as obrigações. A maioria da IA do dia a dia (filtros de spam, widgets de recomendação, corretores ortográficos, funcionalidades de IA em ferramentas de produtividade) é de risco mínimo e não ganha qualquer novo dever.

Os quatro níveis de risco

Tudo no regulamento decorre desta classificação:

  • Risco inaceitável — proibido por completo desde 2 de fevereiro de 2025: classificação social, técnicas exploratórias ou manipuladoras, recolha indiscriminada de imagens faciais, reconhecimento de emoções nos locais de trabalho e nas escolas (exceções restritas de segurança), categorização biométrica para inferir atributos sensíveis e identificação biométrica remota em tempo real em espaços públicos para fins de aplicação da lei (exceções limitadas). A partir de 2 de dezembro de 2026, a alteração de 2026 proíbe também explicitamente sistemas de IA para gerar imagens íntimas não consentidas ou CSAM.
  • Alto risco — permitido mas estritamente regulado: IA usada como componente de segurança de produtos regulados (Anexo I — máquinas, dispositivos médicos, elevadores…) ou em casos de uso sensíveis (Anexo III — recrutamento e gestão de trabalhadores, avaliação na educação, pontuação de crédito, serviços essenciais, aplicação da lei, migração, justiça). Os deveres incluem gestão de risco, governação de dados, documentação técnica, registo de atividade (logging), supervisão humana, testes de exatidão/robustez e registo numa base de dados da UE.
  • Risco limitado — deveres de transparência (artigo 50.º): informar as pessoas quando interagem com um sistema de IA (chatbots), rotular conteúdo de imagem/áudio/vídeo gerado ou manipulado por IA (deepfakes), marcar o conteúdo sintético de forma legível por máquinas e revelar o texto gerado por IA publicado para informar o público sobre questões de interesse público.
  • Risco mínimo — tudo o resto: sem novas obrigações; códigos de conduta voluntários incentivados.

O calendário em 2026 — atualizado com o Digital Omnibus

O regulamento entrou em vigor a 1 de agosto de 2024 e deveria aplicar-se quase na totalidade a 2 de agosto de 2026. Em novembro de 2025, a Comissão propôs o “Digital Omnibus sobre IA” para simplificar e escalonar essas datas; o Parlamento aprovou-o a 16 de junho de 2026 e o Conselho deu a aprovação final a 29 de junho de 2026. As datas-chave agora:

  • 2 de fevereiro de 2025 — passaram a aplicar-se as proibições de práticas de risco inaceitável e os deveres de literacia em IA.
  • 2 de agosto de 2025 — obrigações para os fornecedores de modelos de IA de finalidade geral (GPAI): documentação técnica, política de direitos de autor, resumos dos dados de treino (deveres adicionais para modelos de risco sistémico), além do EU AI Office e das estruturas de governação.
  • 2 de agosto de 2026 — o regulamento torna-se geralmente aplicável: deveres de transparência (artigo 50.º), coimas e a maioria das restantes disposições. A marcação legível por máquinas do conteúdo sintético tem um período de tolerância até 2 de dezembro de 2026 para os sistemas já no mercado antes de 2 de agosto de 2026.
  • 2 de dezembro de 2026 — passam a aplicar-se as novas proibições de IA que gera imagens íntimas não consentidas e CSAM.
  • 2 de dezembro de 2027 — deveres de alto risco para os casos de uso do Anexo III (recrutamento, pontuação de crédito, educação…) — adiados 16 meses face à data original de agosto de 2026.
  • 2 de agosto de 2028 — deveres de alto risco para a IA integrada em produtos do Anexo I (dispositivos médicos, máquinas…) — adiados um ano face a agosto de 2027. As sandboxes regulatórias nacionais deverão existir até 2 de agosto de 2027.

Quem tem de cumprir

As obrigações associam-se a papéis na cadeia de valor: fornecedores (que desenvolvem ou colocam um sistema de IA no mercado da UE em nome próprio), responsáveis pela implantação (que utilizam um sistema de IA a título profissional), além de importadores e distribuidores. O alcance é extraterritorial — um SaaS norte-americano ou britânico cujo output de IA é utilizado dentro da UE está abrangido. As PME têm algum alívio: documentação simplificada, acesso prioritário às sandboxes e coimas limitadas ao menor dos dois montantes em vez do maior.

O que o AI Act significa para o seu site

Para a maioria das empresas, os primeiros pontos de contacto reais são as regras de transparência aplicáveis a partir de agosto de 2026 — dizem respeito ao que os visitantes veem no seu site:

  • Os chatbots e assistentes de IA no seu site devem deixar claro que o visitante está a falar com uma máquina (salvo se for óbvio pelo contexto).
  • As imagens, o áudio e o vídeo gerados ou manipulados por IA (deepfakes) que publica devem ser visivelmente rotulados como gerados ou manipulados artificialmente.
  • Os média sintéticos devem ter marcação legível por máquinas (ex.: metadados/marca de água) — o dever de marcação para sistemas anteriores a agosto de 2026 aplica-se a partir de 2 de dezembro de 2026.
  • O texto escrito por IA publicado para informar o público sobre questões de interesse público deve ser revelado como gerado por IA, salvo se passou por revisão editorial humana com assunção de responsabilidade.
  • Se usa IA no recrutamento, no crédito ou noutros casos de uso do Anexo III, prepare-se para o regime de alto risco aplicável a partir de 2 de dezembro de 2027.
  • Literacia em IA: as organizações que utilizam IA profissionalmente devem tomar medidas para que o pessoal compreenda os sistemas que opera.

Coimas

A estrutura de coimas é deliberadamente semelhante à do GDPR: até €35 milhões ou 7% do volume de negócios anual mundial (o que for mais elevado) para práticas proibidas; até €15 milhões ou 3% para a maioria das outras infrações, incluindo os deveres de alto risco e de GPAI; até €7,5 milhões ou 1% pelo fornecimento de informações incorretas ou enganosas às autoridades. Para as PME, cada limite é o menor dos dois montantes. A aplicação é partilhada entre as autoridades nacionais de fiscalização do mercado e, para os modelos GPAI, o EU AI Office.

Como o Beacon se enquadra

O Beacon já analisa o que os motores de pesquisa e os crawlers de IA veem realmente no seu site — as políticas do robots.txt, o conteúdo renderizado, os dados estruturados e as divulgações. Sobre essa base, estamos a construir uma análise de preparação para o AI Act: uma verificação automática dos sinais de transparência voltados para os visitantes do seu site (divulgação do chatbot, rotulagem de conteúdo de IA, marcação legível por máquinas e metadados relacionados) com uma lista de correções priorizada. Não será aconselhamento jurídico — mas mostrar-lhe-á, em concreto, o que o seu site expõe hoje e o que corrigir primeiro.

FAQ

O EU AI Act aplica-se a empresas fora da UE?

Sim. Tal como o GDPR, tem alcance extraterritorial: se coloca um sistema de IA no mercado da UE ou o output do sistema é utilizado na UE, está abrangido, independentemente de onde a sua empresa está estabelecida.

Quando é que as principais obrigações se aplicam de facto?

Proibições e literacia em IA desde 2 de fevereiro de 2025; deveres dos modelos GPAI desde 2 de agosto de 2025; deveres de transparência e coimas a partir de 2 de agosto de 2026. Após o Digital Omnibus de 2026, os deveres de alto risco foram adiados para 2 de dezembro de 2027 (casos de uso do Anexo III) e 2 de agosto de 2028 (IA integrada em produtos do Anexo I).

Tenho de rotular o conteúdo gerado por IA no meu site?

Se publica imagens, áudio ou vídeo gerados ou manipulados por IA (deepfakes), sim — devem ser rotulados, e os média sintéticos devem ter marcação legível por máquinas. Os chatbots de IA devem revelar que são IA. O texto escrito por IA sobre questões de interesse público deve ser revelado, salvo se um editor humano assumir a responsabilidade.

O ChatGPT ou o meu fornecedor de IA é responsável em vez de mim?

As responsabilidades dividem-se por papel. O fornecedor do modelo (ex.: OpenAI) tem os deveres de fornecedor de GPAI; quem coloca um chatbot no seu site ou publica conteúdo de IA — o responsável pela implantação — tem os deveres de transparência perante os visitantes.

Usar IA para SEO ou marketing de conteúdo é proibido?

Não. Gerar textos de marketing com IA é risco mínimo/limitado — perfeitamente legal. O regulamento só exige transparência em casos específicos (deepfakes, texto de interesse público, chatbots) e proíbe uma pequena lista de práticas nocivas sem relação com o marketing normal.

O que deve o dono de um site fazer já?

Faça o inventário de onde a IA toca o seu site (chatbot, imagens/texto gerados), adicione divulgações e rótulos de IA claros, verifique a marcação dos seus média sintéticos e informe a sua equipa. Depois, fique atento a 2 de dezembro de 2027 se usa IA no recrutamento ou noutras áreas do Anexo III.

Autoavaliação rápida: onde está?

Seis afirmações — responda com honestidade. As respostas ficam no seu navegador.

Os visitantes sabem quando conversam com uma IA (ou não temos chat de IA).
Imagens, áudio ou vídeo gerados por IA estão visivelmente rotulados (ou não publicamos nenhum).
Artigos escritos por IA sobre interesse público são divulgados ou revistos por humanos.
Verificámos que nenhum uso de IA é uma prática proibida (art. 5.º).
Sabemos se algum uso de IA é de alto risco (anexo III).
A nossa equipa recebeu formação básica em IA.
0/6 respondidasObter o meu scan gratuitoA conta gratuita Beacon inclui o scan de sinais e a checklist interativa — sem cartão.

Verifique o que o seu site expõe hoje — grátis

Faça já a análise de visibilidade gratuita do Beacon. As verificações de preparação para o AI Act chegam em breve ao Beacon.

Começar grátis Fazer uma verificação gratuita