AI Act: Perguntas Frequentes e Respostas Oficiais

O AI Act da UE é a primeira lei abrangente sobre IA do mundo. O seu objetivo é promover a inovação e adoção de IA, garantindo simultaneamente um elevado nível de proteção da saúde, segurança e direitos fundamentais, incluindo democracia e Estado de direito.

A adoção de sistemas de IA tem um forte potencial para trazer benefícios sociais, crescimento económico e melhorar a inovação e competitividade global da UE. No entanto, em certos casos, as características específicas de certos sistemas de IA podem criar riscos relacionados com a segurança do utilizador, incluindo segurança física, e direitos fundamentais.

O AI Act aplica-se progressivamente, com implementação total até 2 de agosto de 2027:

• 2 de fevereiro de 2025: As proibições, definições e disposições relacionadas com literacia em IA tornaram-se aplicáveis
• 2 de agosto de 2025: As regras de governança e obrigações para modelos GPAI tornaram-se aplicáveis
• 2 de agosto de 2026: As obrigações para sistemas de alto risco listados no Anexo III, os requisitos de transparência (Artigo 50) e as medidas de apoio à inovação aplicam-se. Esta é também a data em que a aplicação do AI Act começa
• 2 de agosto de 2027: As obrigações para sistemas de IA de alto risco incorporados em produtos regulados, listados no Anexo I, entram em vigor

O AI Act foi concebido como um regulamento flexível e preparado para o futuro que permite adaptar as regras ao ritmo rápido do desenvolvimento tecnológico, bem como às potenciais mudanças no uso de sistemas de IA e riscos emergentes.

Embora em geral o AI Act só possa ser alterado através do procedimento legislativo, em certos casos, a Comissão está habilitada a alterar certas partes do AI Act:

• A lista de casos de uso de alto risco no Anexo III: A Comissão é obrigada a realizar uma revisão anual para avaliar se são necessárias mudanças na lista
• O limiar acima do qual os modelos GPAI são presumidos ter capacidades de alto impacto e são classificados como apresentando riscos sistémicos

O AI Act não se aplica a todas as soluções de IA, mas apenas àquelas que cumprem a definição de 'sistema de IA' nos termos do Artigo 3(1) do AI Act.

O AI Act segue uma abordagem baseada em risco e introduz regras para sistemas de IA com base no nível de risco que podem representar:

• Risco inaceitável: Práticas proibidas (por exemplo, sistemas de IA usados para detetar emoções de funcionários no trabalho, exceto por razões médicas e de segurança; certas práticas de pontuação social)
• Alto risco: Necessitam cumprir certos requisitos para garantir que são seguros e confiáveis (por exemplo, sistemas usados na gestão de controlo fronteiriço, aplicação da lei, ou veículos autónomos)
• Risco de transparência: Devem cumprir requisitos de transparência (por exemplo, deepfakes devem ser rotulados como gerados por IA; chatbots devem informar que uma pessoa não está a comunicar com um humano)
• Risco mínimo ou nulo: Todos os outros sistemas permanecem não regulados e podem ser colocados no mercado sem quaisquer requisitos – estimava-se que representariam 85% dos sistemas

O AI Act não se aplica automaticamente a todos os sistemas de IA colocados no mercado antes da sua data de aplicação. Em vez disso, as obrigações de conformidade são implementadas gradualmente, dependendo da categoria e se o sistema sofre modificações significativas.

Regras específicas:

• O AI Act aplicar-se-á a partir de 31 de dezembro de 2030 a sistemas de IA que são componentes de sistemas de TI de grande escala estabelecidos pelos atos jurídicos listados no Anexo X que foram colocados no mercado ou postos em serviço antes de 2 de agosto de 2027
• O AI Act também se aplicará a sistemas de IA de alto risco colocados no mercado antes de 2 de agosto de 2026 apenas se esses sistemas forem significativamente modificados
• O AI Act aplicar-se-á a partir de 2 de agosto de 2027 a modelos GPAI que foram colocados no mercado antes de 2 de agosto de 2025
• IMPORTANTE: As regras sobre práticas proibidas de IA (Artigo 5) aplicam-se a todos os sistemas de IA, sem ter em conta a data da sua colocação no mercado

Sim. O Considerando 12 do AI Act clarifica que as técnicas que permitem inferência enquanto se constrói um sistema de IA incluem abordagens de machine learning e abordagens baseadas em lógica e conhecimento que inferem a partir de conhecimento codificado ou representação simbólica da tarefa a resolver.

As abordagens baseadas em lógica e conhecimento incluem, por exemplo:

• Representação de conhecimento
• Programação lógica indutiva
• Bases de conhecimento
• Motores de inferência e dedução
• Raciocínio (simbólico)
• Sistemas especialistas
• Métodos de pesquisa e otimização

O AI Act distingue entre um sistema de IA, definido no Artigo 3(1), e um modelo de IA de propósito geral definido no Artigo 3(63).

Modelos de IA: São componentes essenciais dos sistemas de IA. Não constituem sistemas de IA por si só. Os modelos de IA requerem a adição de componentes adicionais, como por exemplo uma interface de utilizador, para se tornarem sistemas de IA (Considerando 97).

Sistemas de IA: Um sistema baseado em máquinas que é concebido para operar com níveis variáveis de autonomia e que pode exibir adaptabilidade após a implementação, e que, para objetivos explícitos ou implícitos, infere, a partir da entrada que recebe, como gerar saídas como previsões, conteúdo, recomendações ou decisões que podem influenciar ambientes físicos ou virtuais (Artigo 3(1)).

O Artigo 16 do AI Act dá uma visão geral das obrigações que os fornecedores de sistemas de IA de alto risco devem seguir:

Antes de colocar o sistema no mercado:

• Garantir que o sistema de IA de alto risco está em conformidade com os Artigos 8-15 do AI Act
• Realizar uma avaliação de conformidade
• Elaborar uma declaração UE de conformidade
• Afixar a marcação CE no sistema (ou na sua embalagem ou documentação de acompanhamento)
• Registar o sistema de alto risco na base de dados da UE
• Indicar informações de contacto no sistema de IA de alto risco

Obrigações contínuas (Artigos 17-20):

• Sistema de gestão da qualidade
• Manter documentação durante 10 anos
• Manter logs gerados automaticamente pelo sistema de IA de alto risco
• Tomar ações corretivas necessárias e fornecer informações relacionadas
• Garantir que o sistema cumpre os requisitos de acessibilidade relevantes

O AI Act enfatiza a importância da supervisão humana para sistemas de IA de alto risco. Isto significa que estes sistemas devem ser concebidos e desenvolvidos de modo a que os humanos possam monitorizá-los enquanto estão em uso.

Requisitos:

• Ferramentas e medidas apropriadas devem estar em vigor para ajudar as pessoas a supervisionar a IA eficazmente
• Garantir que quaisquer riscos para a saúde, segurança ou direitos fundamentais sejam prevenidos ou minimizados
• Quando o sistema está em uso, a supervisão humana também inclui medidas apropriadas a serem implementadas pelo utilizador
• As medidas devem ser descritas nas instruções de uso e ser eficazes e proporcionais ao risco, nível de autonomia do sistema e contexto de uso

Responsabilidade dos utilizadores:

Os utilizadores devem implementar medidas de supervisão humana e atribuir esta tarefa a pessoas singulares que tenham a competência, formação e autoridade necessárias, bem como o apoio necessário.

Sim. O AI Act introduz uma série de medidas de apoio adaptadas a pequenas e médias empresas (PME):

• Documentação técnica simplificada: Possibilidade de preparar documentação técnica simplificada para sistemas de IA de alto risco
• Sistemas de gestão da qualidade simplificados
• Acesso gratuito a sandboxes regulatórias de IA: Permitindo testar e desenvolver sistemas de IA num ambiente controlado
• Medidas de apoio específicas: A Comissão Europeia e autoridades nacionais são obrigadas ao abrigo do Artigo 62 a fornecer medidas de apoio específicas às PME
• Representação no fórum consultivo: Através de uma categoria especial de membros, garantindo que as suas necessidades são tidas em conta no processo regulatório
• Consideração especial nas penalidades: Refletindo a sua posição particular no mercado e o impacto potencial das sanções

O AI Act não requer qualquer governança interna específica dentro da empresa. No entanto, de acordo com o Artigo 17(1)(m), os fornecedores de sistemas de IA de alto risco devem implementar um sistema de gestão da qualidade.

Este sistema deve incluir um enquadramento de responsabilização, definindo as responsabilidades da gestão e outro pessoal no que diz respeito a todos os aspetos relacionados com o sistema de gestão da qualidade listados no Artigo 17 do AI Act.

As proibições do Artigo 5 do AI Act incluem 8 práticas específicas:

• Práticas manipulativas: Certos tipos de manipulação e engano prejudiciais baseados em IA
• Pontuação social (social scoring)
• Policiamento preditivo: Baseado exclusivamente em profiling
• Scraping: Recolha não direcionada da internet e material de CCTV para construir ou expandir bases de dados de reconhecimento facial
• Reconhecimento de emoções: No local de trabalho e educação (com exceções para razões médicas e de segurança)
• Categorização biométrica: Para inferir atributos sensíveis como opinião política ou orientação sexual
• Identificação biométrica remota em tempo real: Para fins de aplicação da lei em espaços acessíveis ao público (com algumas exceções limitadas)
• Exploração de vulnerabilidades: Baseada em IA de forma prejudicial

A colocação no mercado, a colocação em serviço para este fim específico, ou o uso de sistemas de IA para inferir emoções de uma pessoa singular nas áreas de local de trabalho e instituições de ensino, é proibido.

Exceção: Esta proibição não se aplica ao uso de um sistema de IA quando o sistema de IA se destina a ser colocado em funcionamento ou no mercado para razões médicas ou de segurança.

A maioria dos sistemas biométricos de IA não são proibidos ao abrigo do AI Act. As práticas proibidas de IA relativamente a sistemas biométricos são limitadas e incluem em particular:

• Reconhecimento de emoções no local de trabalho
• Certos sistemas de categorização biométrica
• Identificação biométrica remota em tempo real em espaços acessíveis ao público para fins de aplicação da lei (sujeito a exceções estreitamente definidas)

Regras adicionais para sistemas biométricos permitidos:

Certas aplicações biométricas são consideradas de alto risco (sistemas de identificação biométrica remota, certos sistemas de IA destinados à categorização biométrica, e sistemas de IA destinados ao reconhecimento de emoções). O AI Act estabelece requisitos específicos para sistemas de IA de alto risco relacionados com dados e governança de dados, documentação, transparência, supervisão humana, robustez, precisão e segurança.

Verificação biométrica: O uso de sistemas de IA para verificação biométrica – isto é, confirmar que um indivíduo é quem afirma ser – não é proibido ao abrigo do AI Act e não se enquadra na categoria de sistemas de alto risco.

Quando um modelo de IA de propósito geral é integrado ou faz parte de um sistema de IA, o sistema resultante deve ser considerado um sistema de IA de propósito geral se ganhar a capacidade de servir múltiplos propósitos através desta integração.

Os sistemas de IA de propósito geral podem ser usados diretamente ou incorporados noutros sistemas de IA. Dada a sua versatilidade, os sistemas de IA de propósito geral podem ser usados como sistemas de IA de alto risco por direito próprio ou como componentes de outros sistemas de IA de alto risco.

O Artigo 3(63) do AI Act define um modelo de IA de propósito geral como um modelo que exibe generalidade significativa e é capaz de realizar competentemente uma ampla gama de tarefas distintas.

Critério indicativo das Orientações:

Um modelo é considerado um modelo de IA de propósito geral se os recursos computacionais usados para o seu treino excederem 10^23 operações de ponto flutuante (FLOPs) e puder gerar linguagem (texto ou áudio), texto para imagem, ou texto para vídeo.

Este limiar de compute corresponde à quantidade típica de compute usada para treinar modelos com mil milhões de parâmetros em grandes conjuntos de dados. No entanto, esta não é uma regra absoluta:

• Modelos que cumprem este critério podem excecionalmente não se qualificar como modelos GPAI se carecerem de generalidade significativa
• Modelos abaixo deste limiar podem ainda ser modelos GPAI se exibirem generalidade significativa e puderem realizar competentemente uma ampla gama de tarefas

Um modelo de IA de propósito geral é classificado como tendo risco sistémico se cumprir uma de duas condições:

1. Limiar de compute (presumção automática):

O AI Act presume que modelos treinados com uma quantidade cumulativa de recursos computacionais que excede 10^25 operações de ponto flutuante têm capacidades de alto impacto (Artigo 51(2)).

2. Designação pela Comissão:

A Comissão Europeia pode designar um modelo como tendo risco sistémico, por iniciativa própria ou após um alerta qualificado do painel científico, se o modelo tiver capacidades ou impacto equivalente aos dos modelos mais avançados (Artigo 51(1)(b)).

Contestação da classificação:

Os fornecedores podem contestar a classificação automática como modelo com risco sistémico quando cumprem o limiar de compute, fornecendo evidências de que as capacidades do seu modelo não igualam ou excedem as dos modelos mais avançados.

Os fornecedores de modelos de IA de propósito geral devem (Artigo 53):

• Elaborar e manter documentação técnica sobre o modelo, incluindo informações sobre o processo de desenvolvimento, para fornecer ao Gabinete de IA mediante pedido
• Fornecer informações e documentação aos fornecedores de sistemas de IA downstream para os ajudar a compreender as capacidades e limitações do modelo
• Implementar uma política de conformidade com a lei de direitos de autor da União, incluindo identificar e respeitar reservas de direitos através de tecnologias de ponta
• Publicar um resumo suficientemente detalhado do conteúdo usado para treinar o modelo
• Nomear um representante autorizado na União antes de colocar o seu modelo no mercado (se estabelecidos fora da UE)

Demonstração de conformidade: Os fornecedores podem demonstrar conformidade através do Código de Prática de IA de Propósito Geral ou através de meios adequados alternativos.

Além das obrigações padrão para todos os modelos GPAI, os fornecedores de modelos GPAI com risco sistémico devem (Artigo 55):

• Realizar avaliação do modelo usando protocolos padronizados e ferramentas de ponta, incluindo testes adversariais para identificar e mitigar riscos sistémicos
• Avaliar e mitigar possíveis riscos sistémicos ao nível da União, incluindo as suas fontes, que possam advir do desenvolvimento, colocação no mercado ou uso destes modelos
• Rastrear, documentar e reportar informações relevantes sobre incidentes graves e possíveis medidas corretivas ao Gabinete de IA e autoridades nacionais sem demora indevida
• Garantir proteção adequada de cibersegurança tanto para o modelo como para a sua infraestrutura física, para prevenir acesso não autorizado, roubo ou fuga

Os fornecedores de modelos GPAI lançados como open-source podem estar isentos de certas obrigações (Artigos 53(2), 54(6)), especificamente:

• O requisito de manter documentação técnica para as autoridades
• O requisito de fornecer documentação aos fornecedores de sistemas de IA downstream
• O requisito de nomear um representante autorizado (para fornecedores não-UE)

Estas isenções requerem que o modelo GPAI:

• Seja lançado sob uma licença livre e open-source, permitindo acesso, uso, modificação e distribuição sem monetização
• Tenha os seus parâmetros, incluindo pesos, arquitetura e informações de uso publicamente disponíveis
• Não seja um modelo GPAI com risco sistémico – fornecedores de modelos com risco sistémico devem cumprir todas as obrigações, independentemente de o modelo ser lançado como open-source

Não isentos: Os fornecedores de modelos open-source não estão isentos da obrigação de política de direitos de autor ou do requisito de publicar um resumo dos dados de treino (Artigo 53(1)(c)(d)).

O Código de Conduta de IA de Propósito Geral é um instrumento, preparado por peritos independentes num processo multistakeholder, concebido para ajudar a indústria a cumprir as obrigações do AI Act para fornecedores de modelos GPAI.

Estrutura do Código - 3 capítulos:

• Transparência: Para todos os fornecedores de modelos GPAI
• Direitos de Autor: Para todos os fornecedores de modelos GPAI
• Segurança e Proteção: Apenas para o número limitado de fornecedores dos modelos mais avançados sujeitos às obrigações para modelos GPAI com risco sistémico

Como aderir: Qualquer fornecedor (ou potencial futuro fornecedor) de um modelo GPAI pode assinar o código preenchendo o Formulário de Signatário e enviando-o para EU-AIOFFICE-CODESIGNATURES@ec.europa.eu

O conceito de literacia em IA mencionado no Artigo 4 do AI Act baseia-se na definição do termo dada no Artigo 3(56), segundo a qual:

"Literacia em IA" significa competências, conhecimentos e compreensão que permitem aos fornecedores, utilizadores e pessoas afetadas, tendo em conta os seus respetivos direitos e obrigações no contexto deste Regulamento, fazer uma implementação informada de sistemas de IA, bem como ganhar consciência sobre as oportunidades e riscos da IA e possível dano que pode causar.

Não existe uma abordagem única que funcione para todos. Depende do tipo de sistema de IA com que a empresa lida e do conhecimento do pessoal em questão.

Importante: Não há obrigação de formação externa ou certificação externa.

Recursos disponíveis:

• A Comissão publicou um repositório vivo para promover a aprendizagem e troca sobre literacia em IA
• Perguntas e Respostas sobre literacia em IA
• Webinar gravado sobre literacia em IA
• Existem muitos cursos de formação online gratuitos – a escolha depende das competências individuais do pessoal em questão

O AI Act não exige que as empresas designem AI Officers. No entanto, o AI Act exige que fornecedores e utilizadores de sistemas de IA garantam, na medida do melhor da sua capacidade, um nível suficiente de literacia em IA do seu pessoal e outras pessoas que lidam com a operação e uso de sistemas de IA em seu nome.

Recursos da Comissão:

• Repositório vivo para promover a aprendizagem e troca sobre literacia em IA
• Perguntas e Respostas sobre literacia em IA
• Webinar gravado sobre literacia em IA

O repositório será expandido ao longo do tempo.

As sandboxes regulatórias de IA são ambientes seguros e controlados para a experimentação, desenvolvimento, treino e teste de sistemas inovadores de IA.

Benefícios:

• Autoridades competentes que supervisionam as sandboxes podem fornecer orientação e aconselhamento sobre a interpretação de disposições do AI Act
• Também podem aconselhar sobre outra legislação relevante da União ou nacional

Quem pode participar:

Qualquer fornecedor com um sistema de IA que se enquadre no âmbito do AI Act pode candidatar-se à participação numa sandbox regulatória de IA.

Timeline:

Os Estados-Membros devem ter as suas sandboxes regulatórias de IA em funcionamento até 2 de agosto de 2026, após o que os fornecedores (prospetivos) podem candidatar-se à participação. Pelo menos uma sandbox regulatória de IA estará disponível em cada Estado-Membro.

Qualquer fornecedor com um sistema de IA que se enquadre no âmbito do AI Act pode candidatar-se à participação numa sandbox regulatória de IA.

Isto significa que as sandboxes podem (entre outros) supervisionar:

• Projetos específicos de IA para cumprir os requisitos e obrigações no AI Act
• Avaliação de conformidade de sistemas de IA de alto risco
• Conformidade de sistemas interativos e generativos de IA com os requisitos de transparência no Artigo 50 do AI Act
• Identificação, teste e implementação de medidas preventivas e mitigadoras eficazes
• Garantir que casos limítrofes específicos de sistemas de IA não constituem práticas proibidas

As sandboxes regulatórias de IA e o AI Act Service Desk espera-se que complementem o objetivo um do outro:

• Sandboxes regulatórias de IA: Concebidas para questões regulatórias mais específicas e complexas
• AI Act Service Desk: O objetivo é fornecer respostas a questões mais gerais sobre o AI Act

Os desafios regulatórios tratados e questões respondidas nas sandboxes regulatórias de IA também podem apoiar o objetivo do AI Act Service Desk, fazendo uso das lições aprendidas, da orientação e respostas fornecidas nas sandboxes.

O Portal de Financiamento e Concursos da UE da Comissão Europeia é o local central para encontrar quaisquer oportunidades de financiamento da UE, incluindo as relevantes para IA.

Programas de particular interesse:

• Horizonte Europa – diferentes áreas de interesse:
  • Cluster 4
  • Conselho Europeu de Inovação (EIC)
  • Conselho Europeu de Investigação (ERC) – bottom-up
• Programa Europa Digital

Iniciativa GenAI4EU:

A iniciativa emblemática GenAI4EU oferece amplas oportunidades para desenvolver e implementar IA generativa confiável nos setores estratégicos da Europa. Com quase 700 milhões de euros comprometidos, há muitas oportunidades para ajudar a Europa a tornar-se mais competitiva e inovadora.