CSRD e AI Act: O Que a Sua PME Precisa Saber em 2025

As PME europeias navegam hoje num ambiente regulatório sem precedentes: dois textos legislativos fundamentais — a CSRD (Diretiva de Relato de Sustentabilidade Empresarial) e a AI Act — convergem para transformar profundamente as obrigações empresariais. Compreender a sua articulação é agora uma prioridade estratégica, não apenas jurídica.

Por Que Esta Dupla Regulação Afeta a Sua PME

Muitos líderes de PME acreditam erroneamente que estas normas se aplicam apenas às grandes empresas. É um erro dispendioso. Se a sua empresa é fornecedora ou subcontratante de uma grande empresa sujeita à CSRD, será indiretamente afetada pelas suas obrigações de relato. E se utiliza ou implementa sistemas de IA — mesmo ferramentas de RH ou de scoring de clientes — a AI Act aplica-se a si agora mesmo.

A CSRD: Calendário e Limiares para as PME

A CSRD introduziu o relato de sustentabilidade obrigatório em três vagas:

• 2025: Grandes empresas (>500 trabalhadores) já sujeitas à NFRD
• 2026: Grandes empresas (>250 trabalhadores OU >40 M€ de volume de negócios OU >20 M€ de balanço)
• 2027: PME cotadas em mercados regulamentados (com cláusula de opt-out até 2028)

As PME não cotadas não estão diretamente sujeitas à CSRD. Mas atenção: as grandes empresas clientes ou parceiras vão pedir-lhe dados ESG para completar o seu próprio relato. A pressão da cadeia de valor é real.

A Norma Voluntária VSME

A EFRAG desenvolveu uma norma simplificada para PME não cotadas: a VSME (Voluntary SME Standard). Permite responder aos pedidos dos parceiros sem suportar a totalidade dos requisitos ESRS. Adotar a VSME agora dá-lhe uma vantagem comercial.

A AI Act: O Que Se Aplica às PME a Partir de 2025

A AI Act entrou em vigor a 1 de agosto de 2024. A sua aplicação é faseada:

• Fevereiro 2025: Proibição de práticas de IA inaceitáveis
• Agosto 2025: Obrigações para os modelos de IA de uso geral (GPAI)
• Agosto 2026: Obrigações completas para os sistemas de IA de alto risco

A Sua PME É Afetada por Sistemas de Alto Risco?

O Anexo III da AI Act enumera os domínios de alto risco. A sua PME pode ser afetada se utilizar ou desenvolver sistemas de IA para:

• Recrutamento e gestão de RH (scoring de CVs, avaliação de desempenho)
• Acesso ao crédito (scoring de solvabilidade)
• Educação e formação profissional
• Serviços essenciais (água, gás, eletricidade)
• Segurança de produtos em setores regulamentados

Se se enquadrar nestas categorias, aplicam-se obrigações de conformidade: gestão de riscos, documentação técnica, registos de eventos, supervisão humana.

Alivios Específicos para PME

O legislador europeu incluiu medidas específicas para aliviar a carga sobre as PME:

1. Sandbox regulatória: Acesso prioritário para testar os seus sistemas de IA num ambiente seguro antes da comercialização
2. Taxas reduzidas junto dos organismos notificados para PME e microempresas
3. Documentação simplificada para determinadas categorias
4. Prazos adicionais para fornecedores de sistemas de alto risco já no mercado

Pontos de Convergência CSRD / AI Act

Os dois textos reforçam-se mutuamente em vários pontos críticos:

1. Governação de Dados

A CSRD exige um relato preciso sobre os seus impactos ambientais e sociais — o que implica uma recolha rigorosa de dados. A AI Act impõe a documentação dos dados de treino para os sistemas de alto risco. Uma arquitetura de dados sólida serve ambas as obrigações.

2. Transparência e Auditabilidade

Ambos os textos exigem que os seus processos sejam rastreáveis e verificáveis por terceiros. Para a CSRD, é o auditor financeiro. Para a AI Act, são as autoridades de vigilância do mercado. Construir processos auditáveis é um investimento partilhado.

3. Supervisão Humana

A AI Act impõe uma supervisão humana efetiva sobre os sistemas de alto risco. Este requisito alinha-se com o espírito da CSRD, que valoriza a governação responsável. Documentar os seus processos de controlo humano sobre as decisões de IA responde a ambos os quadros.

4. Diligência Devida na Cadeia de Valor

A CSRD (através da CSDDD) impõe a diligência devida sobre os seus impactos ao longo de toda a cadeia de valor. A AI Act cria obrigações semelhantes para os utilizadores de sistemas de IA desenvolvidos por terceiros. Ambos os textos tornam-no responsável pelo que compra e utiliza.

Um Plano de Ação Concreto para a Sua PME

Aqui está um roteiro pragmático em três horizontes:

Curto Prazo (Agora — T3 2025)

• [ ] Mapear os seus sistemas de IA: Identifique todas as ferramentas que utilizam IA (incluindo SaaS de terceiros) e a sua classificação de risco
• [ ] Avaliar a sua exposição indireta à CSRD: Analise os seus contratos com grandes empresas para antecipar os seus pedidos ESG
• [ ] Designar um responsável regulatório: Mesmo a tempo parcial, alguém deve gerir estes temas
• [ ] Inventariar os seus dados: Qual é a qualidade, rastreabilidade e governação dos seus dados ESG e IA?

Médio Prazo (T4 2025 — T2 2026)

• [ ] Adotar a norma VSME se solicitado por parceiros sujeitos à CSRD
• [ ] Colocar os seus sistemas de IA de alto risco em conformidade: documentação técnica, gestão de riscos, supervisão humana
• [ ] Formar as suas equipas nos requisitos básicos da AI Act (incluindo a obrigação de literacia em IA para todo o pessoal que utiliza sistemas de IA)
• [ ] Rever os contratos com fornecedores de IA: Os seus fornecedores SaaS devem fornecer-lhe a documentação necessária para a sua conformidade

Longo Prazo (T3 2026 em diante)

• [ ] Integrar a governação ESG e IA na sua estratégia: Estes temas já não são periféricos
• [ ] Valorizar a sua conformidade junto de clientes e investidores
• [ ] Participar em sandboxes regulatórias para testar a inovação num quadro seguro

A Obrigação de Literacia em IA: Frequentemente Ignorada, Mas Imediata

O artigo 4.º da AI Act impõe uma obrigação frequentemente negligenciada: garantir um nível suficiente de literacia em IA para todo o pessoal que utilize ou supervisione sistemas de IA. Esta obrigação aplica-se agora mesmo, sem período de transição.

Na prática, significa que se os seus colaboradores utilizam ferramentas como o ChatGPT, software de recrutamento baseado em IA ou sistemas de previsão de procura, deve poder demonstrar que compreendem as capacidades e limitações dessas ferramentas.

As Nossas Recomendações

Não trate a CSRD e a AI Act como dois projetos separados. As sinergias são reais e a sua capitalização reduz significativamente os seus custos de conformidade. Comece com um diagnóstico rápido da sua exposição a ambos os textos — é a base de qualquer plano de ação realista.

Se tiver questões sobre a sua situação específica, as nossas análises setoriais e ferramentas de diagnóstico estão disponíveis nesta plataforma.

Este artigo é fornecido para fins informativos e não constitui aconselhamento jurídico. Para a sua situação específica, consulte um consultor qualificado.