O Regulamento da IA da UE, em linguagem simples.

O que é o Regulamento, e o que não é

O Regulamento da IA da UE é um regulamento, o que significa que se aplica diretamente aos 27 Estados-Membros sem que cada país tenha de escrever a sua própria versão. Entrou em vigor a 1 de agosto de 2024 e torna-se aplicável por fases até 2027.

Não é uma proibição da IA. Não é um esquema de registo de conclusão. Não é o RGPD da IA, embora aproveite a estrutura. A leitura mais limpa é a de uma lei de segurança de produtos estruturada por níveis de risco, que também impõe obrigações aos empregadores e profissionais que implementam sistemas de IA.

Se desenvolve IA, aplica-se a si. Se implementa IA no seu trabalho, aplica-se a si. Se o seu pessoal usa uma ferramenta de IA de terceiros para fazer o trabalho, as obrigações de implementador aplicam-se a si.

Os quatro níveis de risco

O Regulamento classifica os sistemas de IA em quatro níveis, com regras diferentes para cada.

• Proibido. Uma pequena lista de utilizações que o Regulamento proíbe diretamente - pontuação social por autoridades públicas, identificação biométrica em tempo real em espaços públicos com exceções estritas, reconhecimento de emoções em locais de trabalho e escolas, e algumas outras. Aplicável desde 2 de fevereiro de 2025.
• Alto risco. A lista longa - sistemas usados em scoring de crédito, recrutamento, dispositivos médicos, infraestrutura crítica, decisões educativas, aplicação da lei, e similares. Carregam as obrigações mais pesadas: gestão de risco, governança de dados, documentação técnica, supervisão humana, padrões de exatidão, e registo numa base de dados da UE.
• Risco limitado. Sistemas que interagem com humanos ou geram conteúdo - chatbots, geradores de deepfakes, e similares - com obrigações de transparência (tem de se dizer ao utilizador que está a interagir com IA, os conteúdos sintéticos têm de ser rotulados).
• Risco mínimo. Tudo o resto. Sem obrigações específicas ao abrigo do Regulamento, embora a literacia do Artigo 4.º continue a aplicar-se ao pessoal que os usa.

A maior parte da utilização de IA em PME encaixa em risco mínimo ou limitado. As armadilhas são casos de uso específicos - ferramentas de recrutamento, decisões de crédito, triagem médica - que fazem uma ferramenta genérica saltar para o nível de alto risco assim que a usa para esse fim.

As obrigações que a maioria das PME enfrenta

Para a PME europeia típica que usa IA no trabalho, três grupos de obrigações importam.

Artigo 4.º - literacia em IA. A cláusula curta, de aplicação imediata. Pessoal e contratados envolvidos na operação e uso de sistemas de IA em seu nome têm de ter um nível suficiente de literacia em IA. Aplicável desde 2 de fevereiro de 2025. Tratada em profundidade no nosso pilar do Artigo 4.º.

Transparência sobre conteúdo gerado por IA. Se implementa um chatbot, tem de dizer ao utilizador que está a falar com uma IA. Se publica imagens ou vídeo sintéticos, tem de os rotular como tal. As obrigações de risco limitado aplicam-se independentemente do tamanho da empresa.

Diligência devida sobre ferramentas de alto risco. Se a ferramenta de um fornecedor é de alto risco e a implementa, herda obrigações de implementador - logging, supervisão humana, monitorização. Muitas PME só percebem isto quando leem o contrato SaaS com atenção.

O calendário - o que é aplicável quando

• 2 de fevereiro de 2025. Obrigações de literacia do Artigo 4.º e lista de práticas proibidas em vigor.
• 2 de agosto de 2025. Regras para modelos de IA de uso geral (os modelos subjacentes como sistemas GPT) em vigor.
• 2 de agosto de 2026. Obrigações para sistemas de alto risco em vigor para a maioria das categorias.
• 2 de agosto de 2027. Regras de alto risco para IA integrada em produtos regulados (dispositivos médicos, veículos) em vigor.

O faseamento significa que o Regulamento já é real, mesmo que as principais obrigações de alto risco estejam a mais de um ano de distância.

O que significa “suficiente”

O Artigo 4.º usa a palavra “suficiente” e não a define. É a pergunta que todos os empregadores nos fazem.

A resposta prática que usamos com clientes:

• O pessoal consegue descrever, em linguagem simples, o que o sistema de IA está a fazer em seu nome.
• O pessoal consegue nomear os modos de falha comuns desse sistema - alucinações, enviesamento, fugas de privacidade, dados de treino desatualizados.
• O pessoal sabe quando tratar a saída de IA como rascunho e quando tratar como trabalho acabado.
• O pessoal consegue documentar a decisão assistida por IA, se lhe for pedido depois.

Estas quatro competências, aplicadas função a função, é o que parece um programa de literacia defensável. A formação genérica de “consciência em IA” não cumpre o critério.

O que os reguladores começam a pedir

Autoridades nacionais competentes em vários Estados-Membros começaram a publicar orientações. O padrão é consistente. Espere ser questionado sobre quatro coisas:

1. Uma política escrita de literacia em IA. Que funções, que ferramentas, que formação, que cadência.
2. Registos de formação. Quem foi formado, em quê, por quem, com que materiais, quando.
3. Evidência de avaliação. Como sabe que a formação funcionou - não um resultado de quiz, mas uma amostra de trabalho real revisto.
4. Registo de incidentes. Quando o uso de IA correu mal, o que foi aprendido, como o programa foi ajustado.

Se hoje não consegue produzir esses quatro documentos, essa é a lacuna a fechar antes que a pergunta seja forçada por um incidente, uma revisoria, ou uma comissão de trabalhadores.

Erros comuns

• Tratar isto como problema de TI. As obrigações estão no empregador, não no fornecedor. A contratação por si só não cumpre o Artigo 4.º.
• Formação única. As ferramentas mudam a cada trimestre. Um workshop anual não é um programa.
• Ignorar contratados e pessoal de agência. “Pessoal e outras pessoas envolvidas na operação e uso de sistemas de IA em seu nome” é mais amplo do que a folha de salários.
• Sobre-documentar uma política vaga. Uma política curta e dimensionada a funções reais aguenta melhor do que uma longa e genérica.
• Esperar pelas regras completas de alto risco. O Artigo 4.º já é aplicável. O prazo já passou.

Por onde começar

Três pontos de partida honestos.

• Se quer ver onde a sua equipa está, faça o Scorecard de Prontidão para o Regulamento da IA. 10 perguntas, 4 minutos, um plano de ação de 3 páginas.
• Se quer a leitura profunda do Artigo 4.º, o nosso pilar do Artigo 4.º é a página mais referenciada do site.
• Se quer um formador do outro lado da pergunta, marque uma chamada de descoberta de 20 minutos. Zero pitch.

Fazer o Scorecard Ler o pilar do Artigo 4.º