A Lei da Inteligência Artificial, a Ética e o Uso Regulado da IA

O que se segue é uma análise do regulamento, da sua relação intrínseca com o pensamento ético europeu sobre a tecnologia e das implicações práticas do uso regulado da IA, com particular atenção ao momento de profunda incerteza jurídica que atravessamos em junho de 2026, quando o calendário original da lei está a ser reescrito praticamente em tempo real.

A natureza jurídica do regulamento: porque a forma importa

O primeiro dado a fixar, e que condiciona tudo o resto, é que o AI Act é um regulamento e não uma diretiva. A distinção não é técnica nem menor. Um regulamento europeu é diretamente aplicável em todos os Estados-Membros, sem necessidade de transposição para a ordem jurídica nacional, produzindo efeitos imediatos e uniformes nos vinte e sete países da União. Isto significa que uma empresa portuguesa que utilize um sistema de triagem automatizada de candidaturas, ou um organismo público que recorra a reconhecimento facial, está vinculada diretamente ao texto europeu, e não a uma lei portuguesa que o reproduza. A escolha do instrumento regulamentar foi deliberada: a Comissão pretendia evitar a fragmentação que resultaria de vinte e sete transposições divergentes, criando antes um mercado único digital com regras unificadas, à imagem do que o Regulamento Geral sobre a Proteção de Dados fez para os dados pessoais.

Com cento e oitenta considerandos, cento e treze artigos e treze anexos, o AI Act é um dos diplomas mais extensos do acervo da União, o que reflete a ambição de cobrir todo o ciclo de vida dos sistemas e toda a cadeia de valor, do fornecedor ao responsável pela implementação. A sua lógica subjacente não é, porém, a de uma lei tecnológica no sentido estrito, mas a de uma lei de segurança de produtos. O regulamento herda a gramática da legislação europeia de harmonização técnica, aquela que regula brinquedos, dispositivos médicos ou máquinas, e aplica-a à IA. Daí decorrem conceitos centrais como a avaliação de conformidade, a documentação técnica, a marcação CE e o registo em bases de dados europeias. Compreender esta filiação é essencial, porque explica porque é que a IA de alto risco é tratada como um produto que tem de ser certificado antes de chegar ao mercado, e não apenas como um serviço fiscalizado a posteriori.

A pirâmide de risco como ideia organizadora

A inovação conceptual mais influente do regulamento é a abordagem baseada no risco. Em vez de definir a IA como um bloco homogéneo a regular de forma idêntica, o legislador europeu construiu uma pirâmide com quatro patamares, em que a intensidade das obrigações é proporcional ao risco que cada utilização representa para a saúde, a segurança e os direitos fundamentais das pessoas.

No topo da pirâmide situam-se as práticas de risco inaceitável, simplesmente proibidas. O artigo 5.º enumera-as com algum detalhe e a sua aplicação tornou-se obrigatória logo a 2 de fevereiro de 2025. Incluem-se aqui a manipulação subliminar ou enganosa que distorça materialmente o comportamento das pessoas em seu prejuízo, a exploração de vulnerabilidades associadas à idade, à deficiência ou à situação socioeconómica, a classificação social generalizada por entidades públicas, o policiamento preditivo baseado exclusivamente em perfilagem, a recolha indiscriminada de imagens faciais para alimentar bases de dados de reconhecimento, o reconhecimento de emoções em contexto laboral e educativo e a identificação biométrica remota em tempo real em espaços acessíveis ao público para fins de aplicação da lei, salvo exceções estritas. Estas proibições traduzem linhas vermelhas civilizacionais, casos em que a Europa decidiu que nenhuma vantagem de eficiência justifica o custo para a dignidade e a autonomia humanas.

O segundo patamar, o do alto risco, é o coração operacional do regulamento e aquele que gera o maior volume de obrigações. Existem aqui duas categorias. A primeira abrange sistemas de IA que são componentes de segurança de produtos já sujeitos a legislação de harmonização da União, como dispositivos médicos, maquinaria, brinquedos ou automóveis, e consta do Anexo I. A segunda, listada no Anexo III, identifica utilizações específicas consideradas sensíveis independentemente do produto em que se inserem, designadamente a IA usada em infraestruturas críticas, na educação e avaliação de alunos, no recrutamento e gestão de trabalhadores, no acesso a serviços essenciais públicos e privados como o crédito e os seguros, na aplicação da lei, na migração e controlo de fronteiras e na administração da justiça e dos processos democráticos. Para estes sistemas, o regulamento exige um sistema de gestão de risco ao longo de todo o ciclo de vida, governação de dados que assegure conjuntos de treino representativos e sem enviesamentos indevidos, documentação técnica detalhada, registo automático de eventos, transparência para o responsável pela implementação, supervisão humana efetiva e níveis adequados de exatidão, robustez e cibersegurança.

O terceiro patamar é o do risco limitado, sujeito sobretudo a obrigações de transparência consagradas no artigo 50.º. A lógica aqui é simples e poderosa: as pessoas têm o direito de saber quando estão a interagir com uma máquina e quando o conteúdo que consomem foi gerado ou manipulado artificialmente. Daqui resultam deveres de informar o utilizador de que dialoga com um sistema de IA e de marcar de forma percetível os conteúdos sintéticos, incluindo as chamadas hipertruques, as deepfakes. O quarto e último patamar, o do risco mínimo, abrange a esmagadora maioria das aplicações quotidianas, como filtros de spam ou sistemas de recomendação simples, que ficam livres de obrigações específicas, embora sujeitas ao direito comum.

Os modelos de finalidade geral e o problema das fundações

Quando o texto começou a ser negociado, o paradigma dominante era ainda o dos sistemas de IA concebidos para tarefas específicas. A irrupção dos grandes modelos de linguagem e da IA generativa obrigou a uma revisão tardia mas decisiva, traduzida no regime dos modelos de IA de finalidade geral, os GPAI, cujas obrigações se aplicam desde 2 de agosto de 2025. Estes modelos, treinados em vastos corpora e capazes de desempenhar uma multiplicidade de tarefas a jusante, colocam um desafio regulatório particular, porque o mesmo modelo pode alimentar tanto um inofensivo assistente de escrita como um sistema de alto risco. O regulamento impõe-lhes deveres de documentação técnica, de transparência sobre os dados de treino, de cumprimento da legislação de direitos de autor e de elaboração de resumos do conteúdo utilizado no treino. Para os modelos que apresentem risco sistémico, aferido por critérios como a capacidade computacional empregue no treino, acrescem obrigações reforçadas de avaliação, de teste adversarial, de mitigação de riscos e de comunicação de incidentes graves. A supervisão destes modelos foi centralizada no AI Office da Comissão Europeia, e a sua articulação com a indústria tem-se apoiado num Código de Conduta para a IA de finalidade geral, instrumento de adesão voluntária que funciona como ponte entre o texto legal e a prática técnica.

O calendário e a reviravolta do Digital Omnibus

Aqui reside a dimensão mais delicada e atual de toda a análise, aquela que qualquer jurista que escreva sobre o tema em junho de 2026 não pode ignorar sob pena de produzir um texto desatualizado à nascença. O regulamento foi concebido para entrar em aplicação de forma faseada, nos termos do artigo 113.º. As disposições gerais e as proibições do artigo 5.º, juntamente com o dever de literacia em IA do artigo 4.º, aplicam-se desde 2 de fevereiro de 2025. As regras sobre modelos de finalidade geral, a designação das autoridades nacionais e o regime sancionatório aplicam-se desde 2 de agosto de 2025. O grande marco seguinte estava fixado para 2 de agosto de 2026, data a partir da qual passariam a vincular as obrigações dos sistemas de alto risco do Anexo III e as obrigações de transparência. Por fim, os sistemas de alto risco integrados em produtos regulados, do Anexo I, e os modelos de finalidade geral já existentes no mercado antes de agosto de 2025 teriam até 2 de agosto de 2027 para se conformar.

Este calendário, porém, está a ser reescrito. Tornou-se progressivamente evidente, ao longo de 2025, que a infraestrutura necessária para tornar operacionais as obrigações de alto risco, em particular as normas técnicas harmonizadas a desenvolver pelo CEN-CENELEC e as orientações da Comissão, não estaria pronta a tempo. Perante esta realidade, e sob crescente pressão competitiva, a Comissão apresentou a 19 de novembro de 2025 o chamado Digital Omnibus, um pacote de simplificação do quadro digital europeu que toca não apenas no AI Act mas também no Regulamento Geral sobre a Proteção de Dados, na Diretiva NIS2 e no Data Act. A componente relativa à IA, designada AI Omnibus, foi destacada e acelerada precisamente por causa da proximidade dos prazos de agosto de 2026.

A 7 de maio de 2026, o Parlamento Europeu, o Conselho e a Comissão alcançaram um acordo provisório sobre o AI Omnibus, e a 16 de junho de 2026 o Parlamento Europeu aprovou esse acordo, faltando agora a aprovação formal do Conselho para que se torne lei. As alterações acordadas são substanciais no plano dos prazos. As obrigações dos sistemas de alto risco autónomos do Anexo III são diferidas de 2 de agosto de 2026 para 2 de dezembro de 2027, um adiamento de dezasseis meses. As obrigações dos sistemas de alto risco integrados em produtos do Anexo I passam para 2 de agosto de 2028. As obrigações de transparência e marcação de conteúdos do artigo 50.º, número 2, são adiadas para 2 de dezembro de 2026. A obrigação de os Estados-Membros estabelecerem ao menos um ambiente de testagem regulamentar, as sandboxes nacionais, transita de agosto de 2026 para agosto de 2027. Há ainda uma novidade substantiva relevante, a introdução no artigo 5.º de uma nova proibição dirigida aos sistemas de IA usados para gerar imagens íntimas não consentidas e material de abuso sexual de crianças, incluindo os chamados nudifiers, e o alargamento da possibilidade de tratar dados de categorias especiais para deteção e correção de enviesamentos, anteriormente limitada a certos fornecedores e agora estendida aos responsáveis pela implementação.

É decisivo, do ponto de vista jurídico, sublinhar que estas alterações só produzem efeitos com a adoção formal e a publicação no Jornal Oficial, entrando em vigor três dias depois. Até esse momento, e apesar da aprovação parlamentar, a base legal publicada continua a ser o Regulamento (UE) 2024/1689 na sua versão original, e a data de 2 de agosto de 2026 permanece tecnicamente ativa. A publicação é esperada antes de agosto de 2026, precisamente para evitar o vácuo de uma data que se tornaria aplicável durante o intervalo. A lição prática para qualquer organização é que o adiamento não deve ser lido como uma pausa. As tarefas de inventariação de sistemas, mapeamento de papéis, recolha de provas junto de fornecedores, revisão das obrigações de transparência, registos de supervisão humana, evidência de literacia e registos de decisão devem prosseguir, porque o que mudou foi a sequência temporal e não a existência da obrigação.

O regime sancionatório como espinha dorsal da efetividade

Uma regulação só é levada a sério quando o incumprimento custa. O AI Act estabelece um regime de coimas deliberadamente mais severo do que o do Regulamento Geral sobre a Proteção de Dados. A violação das práticas proibidas pode acarretar coimas até trinta e cinco milhões de euros ou sete por cento do volume de negócios anual mundial, consoante o que for mais elevado, ultrapassando o teto de vinte milhões de euros ou quatro por cento previsto para as infrações mais graves em matéria de proteção de dados. O incumprimento das obrigações aplicáveis aos sistemas de alto risco e a outros operadores situa-se num escalão intermédio, e a prestação de informações incorretas, incompletas ou enganosas às autoridades configura o escalão inferior. Esta gradação revela uma intenção político-jurídica clara, a de calibrar a sanção pela gravidade do bem jurídico afetado, reservando o castigo máximo para as utilizações que a Europa considera incompatíveis com os seus valores fundadores.

A ética como camada anterior e mais profunda do que a lei

Seria um erro de perspetiva tratar o AI Act como o ponto de partida da reflexão europeia sobre IA. O regulamento é, na verdade, a cristalização normativa de um longo trabalho ético que o precedeu e que continua a fornecer-lhe sentido. Em 2019, o Grupo de Peritos de Alto Nível sobre Inteligência Artificial, criado pela Comissão, publicou as Orientações Éticas para uma IA de Confiança, documento que estabeleceu o vocabulário conceptual de toda a abordagem europeia. A tese central dessas orientações é que uma IA de confiança assenta em três componentes que devem verificar-se ao longo de todo o ciclo de vida do sistema. Deve ser lícita, cumprindo todas as leis e regulamentos aplicáveis. Deve ser ética, respeitando princípios e valores. E deve ser robusta, tanto do ponto de vista técnico como social, porque mesmo com boas intenções um sistema pode causar danos não intencionais.

A genialidade discreta desta formulação reside na sua distinção entre legalidade e eticidade. Um sistema pode ser perfeitamente lícito e, ainda assim, eticamente problemático, porque a lei estabelece pisos mínimos e não tetos de excelência. É por isto que a conformidade com o AI Act é condição necessária mas não suficiente para o uso responsável da IA. As mesmas orientações traduziram estes princípios em sete requisitos operacionais que continuam a ser a melhor grelha prática para avaliar qualquer sistema. São eles a agência e supervisão humanas, a robustez técnica e a segurança, a privacidade e a governação dos dados, a transparência, a diversidade, a não discriminação e a equidade, o bem-estar social e ambiental e, por fim, a responsabilização. Estes sete requisitos não são listas de verificação burocrática, mas dimensões interligadas de igual importância, que se sustentam mutuamente e devem ser avaliadas em conjunto ao longo de toda a vida do sistema. Quem leia o Anexo III e os requisitos de alto risco do regulamento reconhecerá imediatamente a sua origem nestes sete pilares, agora vertidos de princípio ético em obrigação jurídica vinculativa.

Esta matriz europeia não está isolada no plano internacional. Os Princípios da OCDE sobre Inteligência Artificial, adotados em 2019 e atualizados em 2024, consagraram conceitos próximos de crescimento inclusivo, valores centrados no ser humano, transparência, robustez e responsabilização, e foram subscritos por dezenas de países. A Recomendação da UNESCO sobre a Ética da Inteligência Artificial, adotada em novembro de 2021 por cento e noventa e três Estados-Membros, constitui o primeiro instrumento normativo verdadeiramente global na matéria, ancorando a reflexão em valores como o respeito pelos direitos humanos, a dignidade, a sustentabilidade ambiental e a diversidade cultural. O AI Act pode assim ser entendido como a versão juridicamente vinculativa e regionalmente densa de um consenso ético mais amplo que se foi formando à escala planetária, ainda que com geometrias e intensidades muito diferentes consoante as jurisdições.