O Regulamento de IA da UE (AI Act, Regulamento (UE) 2024/1689) é a primeira lei abrangente de IA do mundo. Entrou em vigor a 1 de agosto de 2024 e aplica-se por fases — proibindo por completo algumas práticas de IA, impondo deveres rigorosos aos sistemas de “alto risco” e exigindo transparência sempre que as pessoas interagem com IA ou veem conteúdo gerado por IA. Em 2026, o “Digital Omnibus sobre IA” adiou vários prazos, por isso eis o quadro atualizado: o que o regulamento cobre, quem deve cumprir e até quando, as coimas e o que significa para um site comum.
O AI Act é um regulamento ao estilo da segurança de produtos para sistemas de IA colocados no mercado da UE ou cujo output é utilizado na UE. Não regula a “IA” enquanto tecnologia — regula utilizações específicas em função do risco. Quanto maior o risco para a saúde, a segurança ou os direitos fundamentais, mais pesadas as obrigações. A maioria da IA do dia a dia (filtros de spam, widgets de recomendação, corretores ortográficos, funcionalidades de IA em ferramentas de produtividade) é de risco mínimo e não ganha qualquer novo dever.
Tudo no regulamento decorre desta classificação:
O regulamento entrou em vigor a 1 de agosto de 2024 e deveria aplicar-se quase na totalidade a 2 de agosto de 2026. Em novembro de 2025, a Comissão propôs o “Digital Omnibus sobre IA” para simplificar e escalonar essas datas; o Parlamento aprovou-o a 16 de junho de 2026 e o Conselho deu a aprovação final a 29 de junho de 2026. As datas-chave agora:
As obrigações associam-se a papéis na cadeia de valor: fornecedores (que desenvolvem ou colocam um sistema de IA no mercado da UE em nome próprio), responsáveis pela implantação (que utilizam um sistema de IA a título profissional), além de importadores e distribuidores. O alcance é extraterritorial — um SaaS norte-americano ou britânico cujo output de IA é utilizado dentro da UE está abrangido. As PME têm algum alívio: documentação simplificada, acesso prioritário às sandboxes e coimas limitadas ao menor dos dois montantes em vez do maior.
Para a maioria das empresas, os primeiros pontos de contacto reais são as regras de transparência aplicáveis a partir de agosto de 2026 — dizem respeito ao que os visitantes veem no seu site:
A estrutura de coimas é deliberadamente semelhante à do GDPR: até €35 milhões ou 7% do volume de negócios anual mundial (o que for mais elevado) para práticas proibidas; até €15 milhões ou 3% para a maioria das outras infrações, incluindo os deveres de alto risco e de GPAI; até €7,5 milhões ou 1% pelo fornecimento de informações incorretas ou enganosas às autoridades. Para as PME, cada limite é o menor dos dois montantes. A aplicação é partilhada entre as autoridades nacionais de fiscalização do mercado e, para os modelos GPAI, o EU AI Office.
O Beacon já analisa o que os motores de pesquisa e os crawlers de IA veem realmente no seu site — as políticas do robots.txt, o conteúdo renderizado, os dados estruturados e as divulgações. Sobre essa base, estamos a construir uma análise de preparação para o AI Act: uma verificação automática dos sinais de transparência voltados para os visitantes do seu site (divulgação do chatbot, rotulagem de conteúdo de IA, marcação legível por máquinas e metadados relacionados) com uma lista de correções priorizada. Não será aconselhamento jurídico — mas mostrar-lhe-á, em concreto, o que o seu site expõe hoje e o que corrigir primeiro.
Sim. Tal como o GDPR, tem alcance extraterritorial: se coloca um sistema de IA no mercado da UE ou o output do sistema é utilizado na UE, está abrangido, independentemente de onde a sua empresa está estabelecida.
Proibições e literacia em IA desde 2 de fevereiro de 2025; deveres dos modelos GPAI desde 2 de agosto de 2025; deveres de transparência e coimas a partir de 2 de agosto de 2026. Após o Digital Omnibus de 2026, os deveres de alto risco foram adiados para 2 de dezembro de 2027 (casos de uso do Anexo III) e 2 de agosto de 2028 (IA integrada em produtos do Anexo I).
Se publica imagens, áudio ou vídeo gerados ou manipulados por IA (deepfakes), sim — devem ser rotulados, e os média sintéticos devem ter marcação legível por máquinas. Os chatbots de IA devem revelar que são IA. O texto escrito por IA sobre questões de interesse público deve ser revelado, salvo se um editor humano assumir a responsabilidade.
As responsabilidades dividem-se por papel. O fornecedor do modelo (ex.: OpenAI) tem os deveres de fornecedor de GPAI; quem coloca um chatbot no seu site ou publica conteúdo de IA — o responsável pela implantação — tem os deveres de transparência perante os visitantes.
Não. Gerar textos de marketing com IA é risco mínimo/limitado — perfeitamente legal. O regulamento só exige transparência em casos específicos (deepfakes, texto de interesse público, chatbots) e proíbe uma pequena lista de práticas nocivas sem relação com o marketing normal.
Faça o inventário de onde a IA toca o seu site (chatbot, imagens/texto gerados), adicione divulgações e rótulos de IA claros, verifique a marcação dos seus média sintéticos e informe a sua equipa. Depois, fique atento a 2 de dezembro de 2027 se usa IA no recrutamento ou noutras áreas do Anexo III.
Seis afirmações — responda com honestidade. As respostas ficam no seu navegador.
Faça já a análise de visibilidade gratuita do Beacon. As verificações de preparação para o AI Act chegam em breve ao Beacon.