Há uma falácia perigosa a circular nos corredores das organizações públicas e privadas portuguesas, e também além-fronteiras. Diz-se, com a leveza de quem repete um lugar comum, que a ética da inteligência artificial é uma matéria filosófica, distinta da engenharia e marginal à operação. Diz-se que cabe aos comités, aos gabinetes de conformidade, aos professores universitários. Diz-se, sobretudo, que se resolverá depois, quando a tecnologia estabilizar. Esta tese é falsa em todos os seus pressupostos e, mais grave, é operacionalmente perigosa. A ética da inteligência artificial não é uma camada de verniz aplicada sobre sistemas já construídos, é a própria estrutura de governação que determina se esses sistemas servem ou destroem direitos fundamentais, se preservam ou comprometem a confidencialidade institucional, se reforçam ou subvertem o Estado de direito.

Quem trabalha diariamente em cibersegurança sabe que a fronteira entre o tecnicamente possível e o juridicamente permitido se redesenha a uma cadência que nenhum manual consegue acompanhar. Em IA, essa fronteira move-se ainda mais depressa. Modelos de linguagem que há dois anos eram brinquedos académicos descobrem hoje vulnerabilidades autonomamente, geram exploits funcionais, produzem deepfakes indistinguíveis de testemunhos reais e reconstroem identidades a partir de fragmentos textuais aparentemente inócuos. Este artigo propõe-se a fazer aquilo que raramente se faz com a profundidade devida: cruzar três planos que costumam ser tratados em silos, o plano ético, o plano da responsabilidade jurídica e operacional, e o plano técnico da anonimização. São planos indissociáveis, e a ilusão de que se podem separar é precisamente o que está na origem de muitos dos incidentes que enchem hoje as páginas dos relatórios de fuga de dados.

O quadro ético: dos princípios às obrigações exigíveis

O primeiro instrumento global de ética em inteligência artificial é a Recomendação sobre a Ética da Inteligência Artificial adotada pela UNESCO em Novembro de 2021, subscrita pelos 193 Estados-membros. Esta Recomendação estabelece quatro valores fundacionais e dez princípios operativos. Os valores são o respeito pelos direitos humanos e dignidade humana, a promoção de sociedades pacíficas, justas e interligadas, a diversidade e inclusão, e o florescimento do ambiente e dos ecossistemas. Os princípios concretizam estes valores em obrigações exigíveis, designadamente proporcionalidade e dever de não causar dano, segurança e proteção, equidade e não discriminação, sustentabilidade, direito à privacidade e à proteção de dados, supervisão e determinação humanas, transparência e explicabilidade, responsabilidade e prestação de contas, sensibilização e literacia, e governação multilateral e adaptativa

A Recomendação da UNESCO não é, formalmente, um instrumento vinculativo. É, contudo, a referência axiológica que informa a generalidade dos quadros nacionais e regionais subsequentes, incluindo o Regulamento Europeu da Inteligência Artificial. A sua relevância prática reside no facto de oferecer uma grelha de avaliação ética que pode ser invocada em sede de conformidade, de litígio e de auditoria. Quando uma organização é confrontada com a pergunta de saber se está a usar IA eticamente, a resposta começa por demonstrar que considerou cada um dos dez princípios e que documentou as decisões tomadas. A ausência dessa documentação é, em si mesma, uma violação ética e, crescentemente, uma violação jurídica

O Regulamento Europeu da IA: a ética codificada

O Regulamento (UE) 2024/1689, vulgarmente designado por Regulamento da Inteligência Artificial ou AI Act, entrou em vigor em 1 de Agosto de 2024 e torna-se plenamente aplicável em 2 de Agosto de 2026, com exceções pontuais. As proibições e as obrigações de literacia em IA aplicam-se desde 2 de Fevereiro de 2025. As regras aplicáveis a sistemas de risco elevado entram em vigor em fases, em Agosto de 2026 e Agosto de 2027 [2]. Esta arquitetura faseada não é uma cortesia ao mercado, é uma necessidade técnica imposta pela complexidade da matéria. A Comissão Europeia tem vindo a publicar orientações interpretativas e códigos de prática voluntários, designadamente o Código de Prática sobre Marcação e Etiquetagem de Conteúdos Gerados por IA, cujo segundo projeto foi divulgado em Março de 2026

O coração ético do Regulamento reside no artigo 50.º, que estabelece obrigações de transparência aplicáveis a fornecedores e a entidades implementadoras de determinados sistemas de IA. Os utilizadores devem ser informados de que estão a interagir com um sistema de IA, salvo se tal for óbvio para uma pessoa razoavelmente informada. Os conteúdos gerados ou manipulados por IA, incluindo áudio, imagem, vídeo e texto, devem ser marcados em formato legível por máquina e detetáveis como artificialmente gerados. Os deepfakes e os textos publicados com finalidade informativa sobre matérias de interesse público devem ser visivelmente etiquetados. As entidades que utilizam sistemas de reconhecimento de emoções ou de categorização biométrica devem informar as pessoas expostas. Estas obrigações tornam-se aplicáveis em Agosto de 2026

Para os sistemas classificados como de risco elevado, o Regulamento exige avaliação de impacto sobre os direitos fundamentais antes da entrada em operação, gestão de risco contínua, governação de dados que assegure qualidade e representatividade, documentação técnica completa, registos automáticos de funcionamento, transparência face aos utilizadores profissionais, supervisão humana significativa, robustez, exactidão e cibersegurança. Os fornecedores devem registar os sistemas na base de dados europeia gerida pela Comissão, e as entidades implementadoras devem conduzir avaliações de impacto sobre direitos fundamentais antes do uso, sobretudo em domínios sensíveis como avaliação de solvabilidade, decisões em matéria de seguros ou tomada de decisão no sector público.

A posição da CNPD e do Comité Europeu de Proteção de Dados

A Comissão Nacional de Proteção de Dados, no exercício das suas competências enquanto autoridade nacional independente para a proteção de dados pessoais, tem vindo a manifestar uma posição clara sobre a utilização de dados pessoais no contexto da IA. Em Maio de 2025, a CNPD alertou publicamente para a utilização de dados de utilizadores europeus pela Meta para treino dos seus modelos de linguagem, recordando que o tratamento de dados pessoais para essa finalidade tem de cumprir o Regulamento Geral sobre a Proteção de Dados. Em Setembro de 2025, no contexto de uma conferência sobre regulação da IA, a CNPD frisou que a IA generativa coloca questões particularmente complexas em matéria de opacidade algorítmica, supervisão humana, riscos de discriminação e direito ao esquecimento, designadamente quanto a dados que possam ter sido absorvidos por modelos durante a fase de treino.

Em Fevereiro de 2026, a CNPD juntou-se a sessenta e uma autoridades de proteção de dados de vários países, no âmbito da Global Privacy Assembly, na assinatura de uma declaração internacional sobre os riscos de privacidade colocados pelos sistemas de IA capazes de gerar imagens, vídeos e outros conteúdos altamente realistas de pessoas identificáveis, frequentemente sem o seu conhecimento ou consentimento. As autoridades signatárias estabeleceram um conjunto de expectativas dirigidas às organizações que desenvolvem e utilizam estes sistemas, designadamente a implementação de salvaguardas robustas, a garantia de transparência sobre as capacidades e limitações dos sistemas, a disponibilização de mecanismos eficazes para a remoção de conteúdos prejudiciais e a adoção de medidas reforçadas para mitigar riscos específicos para crianças.

O Comité Europeu de Proteção de Dados, por sua vez, lançou em Maio de 2025 dois projetos no âmbito da iniciativa Support Pool of Experts dedicados especificamente à interação entre IA e proteção de dados, um deles dirigido a profissionais com perfil jurídico, designadamente Encarregados de Proteção de Dados, e outro orientado para profissionais técnicos, incluindo especialistas em cibersegurança e criadores de sistemas de IA de risco elevado [9]. Esta iniciativa reflete uma constatação que merece sublinhado: a regulação da IA não pode ser eficaz sem uma articulação direta com os princípios consolidados do RGPD, designadamente a privacidade desde a conceção e por defeito, a minimização de dados, a finalidade específica e a responsabilidade demonstrável.

A cadeia de responsabilidade: ninguém é espectador

A repartição de papéis no Regulamento da IA

O Regulamento da IA distribui responsabilidades entre fornecedores, entidades implementadoras, importadores, distribuidores e operadores. Esta distribuição não é meramente formal, traduz uma compreensão da realidade técnica e organizacional segundo a qual o risco de uma utilização indevida de IA pode emergir em qualquer ponto da cadeia. O fornecedor é responsável pela conceção, treino, validação e colocação no mercado de um sistema seguro, transparente e conforme. A entidade implementadora, frequentemente designada por deployer, é responsável pela utilização concreta do sistema no seu contexto operacional, incluindo a adequação dos dados de entrada, a supervisão humana, a manutenção dos registos e a comunicação atempada de incidentes graves. O importador e o distribuidor têm obrigações de verificação de conformidade. Esta arquitetura escalonada significa que a responsabilidade não pode ser empurrada para a montante nem diluída na cadeia, cada interveniente responde pela sua parte.

A responsabilidade individual: o utilizador final como agente moral

Há, contudo, uma camada de responsabilidade que tende a ser ignorada pela literatura regulatória, e que é precisamente aquela que mais incidentes provoca: a responsabilidade do utilizador individual, do colaborador da organização, do cidadão que abre uma janela de chat e introduz informação sensível. Esta responsabilidade não é juridicamente irrelevante, embora seja frequentemente difusa. Quando um colaborador de uma instituição pública cola num chatbot público um excerto de um relatório classificado, está a praticar simultaneamente uma violação de deveres laborais, eventualmente uma quebra de sigilo profissional, possivelmente uma violação do dever de proteção de dados imposto pelo RGPD e, dependendo do conteúdo, pode estar a cometer um ilícito criminal. A invocação da boa-fé ou do desconhecimento técnico não exclui a ilicitude, embora possa atenuar a culpa.

Esta dimensão individual da responsabilidade é tanto mais importante quanto os dados estatísticos disponíveis revelam um problema sistémico. Segundo o relatório de 2025 da Menlo Security, sessenta e oito por cento dos colaboradores de organizações analisadas utilizam ferramentas de IA gratuitas através de contas pessoais, e cinquenta e sete por cento desses utilizadores admitem introduzir dados sensíveis nesses sistemas. O estudo da LayerX referente a 2025 conclui que quarenta por cento dos uploads para ferramentas de IA generativa contêm informação pessoal identificável ou dados de cartões de pagamento, e que quase quatro em cada dez desses uploads são feitos a partir de contas não corporativas, sem visibilidade nem controlo da organização. O IBM Cost of a Data Breach Report 2025 atribui aos incidentes envolvendo shadow AI um sobrecusto médio de seiscentos e cinquenta mil dólares por incidente, e estima que vinte por cento das violações de dados estão hoje associadas a uso não autorizado de IA.

O caso paradigmático: Samsung e a aprendizagem dolorosa

Em Abril de 2023, escassas semanas depois de a Samsung ter autorizado o uso do ChatGPT pelos seus engenheiros da divisão de semicondutores, a empresa identificou três incidentes distintos de fuga de informação confidencial. Num primeiro caso, um engenheiro inseriu código-fonte de um programa interno para descarga da base de dados de medições de uma instalação industrial, procurando uma solução para um defeito. Num segundo caso, outro colaborador inseriu código de um programa de identificação de equipamento defeituoso, com a finalidade de obter otimização. No terceiro caso, um colaborador converteu uma gravação áudio de uma reunião interna em texto, recorrendo a uma ferramenta de transcrição, e introduziu o resultado no ChatGPT para gerar a ata da reunião.

O resultado foi a transferência irreversível de propriedade intelectual estratégica para servidores de terceiros, com retenção indefinida e sem qualquer mecanismo contratual de reversão.

A Samsung respondeu primeiro com a proibição liminar do uso de IA generativa em dispositivos e redes corporativas, e depois com o desenvolvimento de soluções internas com controlo de dados próprio. O caso é hoje estudado em escolas de cibersegurança porque ilustra três realidades. Primeira, o vetor de fuga não foi malicioso, foi a tentativa bem-intencionada de aumentar produtividade. Segunda, os colaboradores envolvidos eram engenheiros qualificados, com formação técnica avançada, o que demonstra que a sensibilização não pode assentar na suposição de que o conhecimento técnico previne o risco. Terceira, uma vez submetidos os dados, não há retorno, não há eliminação, não há direito ao esquecimento operacionalizável quando o destinatário é um modelo cujas garantias de não-utilização para treino dependem inteiramente do contrato comercial subscrito.

Anonimização: arquitetura técnica de uma obrigação ética

Anonimização e pseudonimização: a distinção que muda tudo

A anonimização e a pseudonimização são frequentemente confundidas, sobretudo em ambientes não jurídicos. A confusão tem consequências sérias, porque o regime aplicável é radicalmente distinto. Dados anonimizados são dados que não podem, por nenhum meio razoável, ser associados a uma pessoa identificável, mesmo quando combinados com informação adicional. Estes dados saem do âmbito do RGPD, deixam de ser dados pessoais para efeitos do regulamento. Dados pseudonimizados são dados em que os identificadores diretos foram substituídos por identificadores artificiais, mas em que a reversão é possível através de informação adicional, normalmente mantida em separado e sob proteção. Estes dados continuam a ser dados pessoais, sujeitos a todas as obrigações do RGPD, embora a pseudonimização constitua uma medida técnica e organizativa adequada nos termos do artigo 32.º

A relevância prática desta distinção para a IA é imediata. Quando uma organização introduz num modelo de linguagem dados em que substituiu nomes próprios por códigos alfanuméricos, mas em que mantém datas, locais, identificadores funcionais, contextos profissionais ou padrões textuais que permitem a re-identificação, está a fazer pseudonimização, não anonimização. A literatura técnica recente, designadamente o levantamento publicado em 2025 sobre técnicas de anonimização de texto, demonstra que os modelos de linguagem actuais têm uma capacidade notável de re-identificação a partir de quasi-identificadores, ou seja, de combinações de atributos que isoladamente parecem inócuos mas que, agregados, reduzem drasticamente o anonimato.

Técnicas de anonimização e o seu enquadramento

O catálogo de técnicas disponíveis cobre um espectro amplo de soluções, com diferentes graus de complexidade, custo e impacto na utilidade analítica. A tabela seguinte sintetiza as principais abordagens reconhecidas na literatura técnica e regulatória, com o respetivo mecanismo e aplicação típica em contextos de IA.

Anonimização aplicada a prompts: o que fazer antes de carregar em Enter

Para o profissional ou organização que utiliza modelos de linguagem comerciais, a questão prática mais imediata não é o treino de modelos próprios, é a gestão dos prompts diários. A regra essencial pode formular-se com clareza: nada do que é introduzido num modelo de linguagem público deve ser considerado privado, salvo garantias contratuais robustas em contrário. Mesmo com essas garantias, a prudência aconselha que a sensibilidade dos dados seja minimizada antes da submissão, por aplicação literal do princípio da minimização do artigo 5.º, n.º 1, alínea c), do RGPD.

Um pipeline de anonimização para prompts começa pela classificação prévia da informação a tratar, distinguindo dados pessoais de não pessoais e, dentro dos primeiros, dados especialmente protegidos (saúde, biometria, condenações, opiniões políticas, origem étnica, orientação sexual, convicções religiosas) de dados pessoais comuns. Segue-se a aplicação de reconhecimento de entidades nomeadas com substituição por placeholders estáveis, de modo a preservar a coerência referencial sem expor identificadores diretos. Onde a tarefa o permita, recorre-se a generalização de datas, locais e contextos. Os resultados produzidos pelo modelo são posteriormente reinseridos no contexto identificado, num processo de re-identificação controlada que ocorre integralmente no perímetro da organização. Esta arquitectura, vulgarmente designada por proxy de anonimização ou tokenização contextual, é descrita em literatura recente sobre anonimização agnóstica em LLM e está hoje implementada em diversas soluções comerciais e de código aberto.

É fundamental compreender que a anonimização não é um problema resolvido. A literatura demonstra que a re-identificação a partir de texto é possível mesmo quando todos os identificadores directos foram removidos, sobretudo quando o adversário dispõe de informação contextual suplementar e de capacidades de modelação avançadas. O princípio operacional deve ser, portanto, o de defesa em profundidade, combinando múltiplas técnicas, e o de avaliação contínua do risco residual, com testes adversariais regulares destinados a identificar vectores de re-identificação.

Os perigos de carregar dados pessoais e institucionais em IA

A retenção e o reúso para treino

O risco mais imediato e frequentemente subestimado é a retenção dos dados submetidos pelos fornecedores dos modelos. As condições contratuais variam consideravelmente entre fornecedores e entre planos comerciais. Em termos genéricos, as ofertas gratuitas e dirigidas ao consumidor reservam-se o direito de utilizar os inputs e outputs para melhorar os modelos, ao passo que as ofertas empresariais incluem normalmente cláusulas de não-utilização para treino e de eliminação programada. Esta diferença é crítica, e ignorá-la é uma das principais causas de incidentes em ambiente corporativo. O Cisco AI Readiness Index de 2025 reporta que quarenta e seis por cento das organizações relataram fugas internas de dados através de IA generativa, e o relatório do estado da shadow AI da Reco em 2025 conclui que oitenta e seis por cento das organizações não têm visibilidade real sobre os fluxos de dados de e para ferramentas de IA.

A memorização do modelo e a exfiltração por prompt

Um risco menos óbvio é o da memorização dos dados pelo modelo durante o treino. Estudos de privacidade em LLM demonstraram repetidamente que os modelos podem memorizar literalmente fragmentos do seu conjunto de treino, sobretudo dados raros ou repetidos, e podem reproduzi-los em resposta a prompts adequadamente construídos. Este fenómeno, designado por extraction attack, foi demonstrado em modelos comerciais e académicos, e implica que a inserção de dados pessoais em prompts utilizados para fine-tuning pode resultar na exposição desses mesmos dados a utilizadores externos posteriores. A questão é particularmente sensível para organizações que recorrem a fine-tuning sobre os seus dados internos sem aplicar técnicas de privacidade diferencial.

A injeção de prompt e a manipulação adversarial

A injeção de prompt, direta ou indireta, é hoje considerada o vetor de ataque mais relevante em sistemas baseados em LLM. Na injeção direta, o atacante manipula o input para induzir o modelo a ignorar instruções de sistema, revelar dados confidenciais ou executar ações não autorizadas. Na injeção indireta, o conteúdo malicioso é incorporado em fontes que o modelo consulta autonomamente, como páginas web, documentos partilhados ou mensagens de e-mail. Em arquiteturas agênticas, em que o modelo executa ferramentas e acede a recursos externos, a injeção indireta pode resultar em exfiltração silenciosa de dados, em movimento lateral entre sistemas integrados e em comprometimento da cadeia de fornecimento. Esta superfície de ataque é qualitativamente nova e exige modelos de ameaça específicos, distintos dos tradicionais para aplicações web.

O direito ao esquecimento e a impossibilidade prática

Um problema jurídico-técnico de difícil resolução é o do direito ao apagamento previsto no artigo 17.º do RGPD aplicado a modelos de IA já treinados. Como sublinhou o Consultor-Coordenador da CNPD em 2025, mesmo quando um cidadão solicita a remoção de informação dos motores de busca, os modelos podem ter já absorvido esses dados durante a fase de treino, perpetuando conteúdos eventualmente incorretos ou desatualizados. As soluções técnicas conhecidas, designadamente o machine unlearning, estão ainda em fase experimental e não oferecem garantias suficientes em modelos de larga escala. A CNPD propôs, em sede de controlo prévio, a criação de mecanismos que permitam excluir determinados nomes ou perfis dos resultados gerados por IA, abordagem considerada tecnicamente viável pelos operadores ouvidos.

Recomendações práticas: um roteiro para organizações sérias

Uma organização que pretenda usar IA com responsabilidade deve construir uma arquitetura de governação que combine política, técnica e cultura. No plano da política, exige-se a aprovação de uma política formal de utilização de IA, vinculativa para todos os colaboradores, que defina expressamente as ferramentas autorizadas, as categorias de dados que podem ou não ser submetidas, os procedimentos de validação prévia para casos sensíveis e as consequências disciplinares em caso de incumprimento. Esta política deve ser articulada com a política de proteção de dados, com o regulamento interno, com os acordos de confidencialidade aplicáveis e, no caso de organismos públicos, com o regime do segredo profissional dos trabalhadores em funções públicas.

No plano técnico, é essencial dispor de soluções sancionadas para os principais casos de uso, com contratos empresariais que excluam a utilização para treino e que garantam residência de dados europeia. Recomenda-se a implementação de mecanismos de prevenção de perda de dados (DLP) específicos para IA, capazes de inspecionar prompts e respostas em tempo real, bem como a adoção de proxies de anonimização que apliquem técnicas de pseudonimização e generalização antes da submissão aos modelos externos. A monitorização contínua do tráfego para domínios de IA, incluindo deteção de shadow AI, é hoje uma componente obrigatória da postura de segurança.

No plano cultural, a sensibilização não pode reduzir-se a uma sessão anual de conformidade. A literacia em IA, agora obrigatória nos termos do artigo 4.º do Regulamento da IA desde Fevereiro de 2025, exige formação contínua, diferenciada por função, com componentes técnicas para profissionais de tecnologia, componentes jurídicas para responsáveis de conformidade e componentes operacionais para utilizadores finais. A formação deve incluir exemplos concretos de incidentes, simulações práticas de pseudonimização de prompts e demonstração de técnicas de re-identificação. A experiência de campo demonstra que a maturidade é mais elevada nas organizações que tratam a IA como matéria de cibersegurança crítica e não como mera ferramenta de produtividade.

Em termos de governação, recomenda-se a constituição de um comité multidisciplinar com competência transversal, integrando representantes da segurança, do encarregado de protecção de dados, do gabinete jurídico, da gestão de risco, dos recursos humanos e das áreas operacionais. Este comité deve ter mandato para aprovar novos casos de uso, para conduzir avaliações de impacto sobre os direitos fundamentais nos termos do Regulamento da IA, para analisar incidentes e para propor actualizações da política. A integração com o sistema de gestão de risco empresarial é fundamental, designadamente para garantir que os riscos associados à IA são reportados ao órgão de administração com a periodicidade e a profundidade adequadas.

A consciência não se delega

Há uma frase recorrente no discurso público sobre IA que merece ser desconstruída: a ideia de que a tecnologia é neutra e que tudo depende do uso. Esta tese é meio-verdadeira, e por isso é perigosa. É verdade que a tecnologia não decide por si o seu destino, mas é falso que seja neutra. Toda a tecnologia incorpora opções, valores, hipóteses sobre o que merece ser otimizado. Os modelos de linguagem atuais incorporam decisões sobre quais corpora foram usados no treino, sobre que comportamentos são reforçados em fase de alinhamento, sobre que limites são impostos em produção. Cada uma destas decisões tem implicações éticas, e essas implicações não desaparecem por serem invisíveis.

A responsabilidade pelo uso ético da IA não pode ser delegada nos fornecedores, nem nos reguladores, nem nas autoridades de protecção de dados. É distribuída em todas as camadas, começando no programador que decide que dados pessoais usar para treino, passando pela organização que adquire e implementa o sistema, pelo gestor que aprova o caso de uso, pelo responsável de segurança que define a política de DLP, pelo formador que sensibiliza os utilizadores, e terminando no colaborador individual que escolhe, no momento concreto da interacção, o que partilhar e o que não partilhar. A este último cabe uma responsabilidade que muitas vezes se subestima: a responsabilidade de pensar antes de carregar em Enter.

A anonimização não é a solução para todos os problemas, mas é uma componente essencial. Aplicada com rigor, com defesa em profundidade e com avaliação contínua do risco residual, permite extrair valor da IA sem sacrificar a privacidade dos titulares dos dados nem a confidencialidade institucional. Aplicada de forma superficial ou cosmética, é pior do que a sua ausência, porque cria uma falsa sensação de segurança que conduz a comportamentos ainda menos prudentes. O profissional sério, em qualquer dos planos em que atua, tem o dever de distinguir uma das outras.

Termino com uma observação que pode parecer trivial mas que sintetiza tudo o que foi dito. A consciência de uma máquina, na medida em que esta a tem, é a consciência que nela colocarmos. Os princípios éticos que invocamos para regular a IA são, em última análise, os princípios éticos que aceitamos para nós próprios. Se exigimos transparência aos sistemas, devemos praticar transparência nos processos decisórios em que os usamos. Se exigimos não-discriminação, devemos auditar os nossos dados e os nossos critérios. Se exigimos responsabilidade, devemos saber quem responde, como e perante quem, em cada uso que fazemos da tecnologia. A inteligência artificial é, no melhor e no pior dos sentidos, um espelho do nosso tempo. Cabe-nos garantir que o reflexo seja digno.