A perspetiva da Cyber Academy
O EU AI Act é o primeiro regulamento abrangente sobre IA no mundo. Quatro níveis de risco: inaceitável (proibido), elevado (obrigações pesadas e avaliação de conformidade), limitado (transparência), mínimo. Aplica-se por fases até agosto de 2027. Combine-o com a ISO 42001 se pretender uma resposta baseada em sistema de gestão em vez de uma checklist. As regras para modelos GPAI acrescem ao restante.
Uma lei baseada no risco, não uma proibição tecnológica
O EU AI Act regula a inteligência artificial pelo que um sistema faz e por quem pode afetar, não pelo algoritmo que está por trás dele. A mesma técnica de aprendizado de máquina pode estar não regulamentada num contexto e estritamente controlada noutro. Essa é a ideia central dos quatro níveis de risco: as práticas inaceitáveis são proibidas de imediato, os sistemas de alto risco carregam as obrigações mais pesadas, os sistemas de risco limitado devem transparência às pessoas que interagem com eles, e os sistemas de risco mínimo ficam em grande parte intocados. A maior parte da IA de uso cotidiano situa-se nessa faixa mínima, razão pela qual o Act se compreende melhor como uma regulamentação direcionada de usos relevantes do que como um regime de licença generalizado para toda a IA.
O Act é um regulamento, por isso aplica-se diretamente em cada Estado-Membro sem que cada país tenha de o transpor para o direito nacional. O seu alcance é também extraterritorial em espírito: fornecedores e implementadores fora da UE entram no âmbito de aplicação quando o seu sistema de IA é colocado no mercado da UE ou os seus resultados são utilizados na União. Os profissionais devem mapear os seus sistemas face aos níveis desde cedo, porque a classificação determina tudo o que se segue, da documentação à avaliação da conformidade.
Onde as obrigações realmente pesam
Quase todo o peso operacional recai sobre os sistemas de alto risco. Trata-se tipicamente de IA utilizada em produtos regulamentados ou em domínios sensíveis como as infraestruturas críticas, o emprego, o acesso a serviços essenciais, a aplicação da lei e a administração da justiça.
Para estes, o Act espera um conjunto de disciplinas operacionais em vez de um formulário pontual: um sistema de gestão de riscos mantido ao longo do ciclo de vida, governança dos dados de treino e de teste, documentação técnica, registo, transparência e instruções de utilização, supervisão humana que permita a uma pessoa intervir de forma significativa, e um nível adequado de exatidão, robustez e cibersegurança.
Antes de um sistema de alto risco chegar ao mercado, deve passar por uma avaliação da conformidade, e os fornecedores realizam uma monitorização pós-comercialização assim que ele entra em funcionamento.
GPAI, transparência e o calendário faseado
Acima dos níveis situa-se um regime separado para os modelos de IA de uso geral, os modelos fundacionais que impulsionam muitas aplicações a jusante. Os fornecedores de GPAI enfrentam deveres de transparência e documentação, com requisitos mais rigorosos para os modelos mais capazes considerados portadores de risco sistémico. Esta camada foi acrescentada precisamente porque um único modelo de uso geral pode fluir para inúmeros usos de alto risco e de risco limitado, de modo que regulamentar apenas a aplicação final deixaria uma lacuna.
As obrigações de risco limitado são mais leves, mas reais. Centram-se na transparência: as pessoas devem saber quando estão a interagir com um sistema de IA, e certos conteúdos sintéticos ou manipulados devem ser marcados como gerados artificialmente. O Act entra em vigor e aplica-se por fases, com as proibições, as regras de GPAI e as obrigações de alto risco a ativarem-se em momentos distintos até 2027, o que dá às organizações uma margem, mas também uma sequência de prazos rígidos a planear.
Como os profissionais o operacionalizam
Na prática, o Act é uma lista de obrigações legais, não um método de gestão, por isso as equipas combinam-no com um sistema capaz de sustentar essas obrigações no dia a dia. A ISO/IEC 42001 é a resposta comum: um sistema de gestão de IA dá-lhe as avaliações de risco, a governança de dados, as rotinas de supervisão humana e de monitorização pós-comercialização que o Act espera, conduzidas como um sistema repetível em vez de improvisadas sob a pressão do prazo.
O NIST AI Risk Management Framework é frequentemente utilizado em paralelo como estrutura voluntária para identificar e tratar o risco de IA. Nenhum destes torna, por si só, um sistema legalmente conforme. Tornam a conformidade alcançável e auditável, que é a diferença entre demonstrar a devida diligência e esperar que ninguém pergunte.
Frequently asked questions
01O EU AI Act aplica-se a empresas fora da UE?
Sim, pode aplicar-se. O Act alcança fornecedores e implementadores estabelecidos fora da União quando o seu sistema de IA é colocado no mercado da UE ou quando o resultado do sistema é utilizado dentro da UE. A localização da empresa não é o fator decisivo; são o mercado e o uso.
02O que torna um sistema de alto risco?
De modo geral, a IA utilizada como componente de segurança de um produto regulamentado, ou a IA utilizada em áreas sensíveis listadas pelo Act, como as infraestruturas críticas, o emprego, a educação, os serviços essenciais, a aplicação da lei e a justiça. A classificação de alto risco aciona o conjunto completo de obrigações e uma avaliação da conformidade antes da entrada no mercado.
03Como o AI Act se relaciona com a ISO 42001?
O AI Act estabelece as obrigações legais; a ISO/IEC 42001 dá-lhe um sistema de gestão certificável para as cumprir de forma estruturada. Possuir a 42001 não equivale à conformidade legal, mas institucionaliza a gestão de riscos, a governança de dados, a supervisão e a monitorização que o Act espera.
04O que é a GPAI e por que é regulada separadamente?
GPAI significa modelos de IA de uso geral, os modelos fundacionais que alimentam muitas aplicações a jusante. Recebem as suas próprias regras de transparência e documentação, com obrigações adicionais para os modelos mais capazes portadores de risco sistémico, porque um único modelo pode propagar-se para muitos usos regulamentados.
05Quando o AI Act entra em vigor?
Aplica-se por fases em vez de tudo de uma vez. As práticas proibidas, as regras sobre IA de uso geral e as obrigações de alto risco ativam-se em momentos escalonados após a entrada em vigor do regulamento, dando às organizações tempo para se prepararem, mas uma sequência clara de prazos até 2027.