EU AI Act por Sector — Guia de Conformidade por Indústria

Guias de conformidade com o EU AI Act por sector para saúde, recursos humanos, sector público, transportes, seguros, retalho, PME e educação.

Como o Sector Determina a Exposição ao EU AI Act

O EU AI Act é legislação horizontal — aplica-se aos sistemas de IA colocados no mercado ou postos em serviço em todos os sectores da economia na União Europeia. Contudo, o ónus prático de conformidade não é uniforme. O sector determina quais as categorias de alto risco do Anexo III que são relevantes, quais os quadros regulatórios pré-existentes que criam obrigações sobrepostas e quais as autoridades de supervisão nacionais ou de nível europeu que terão jurisdição sobre as implementações de IA.

O regulamento estabelece uma arquitectura de risco por níveis: práticas proibidas ao abrigo do Art. 5, IA de alto risco ao abrigo do Art. 6 e do Anexo III, obrigações relativas a IA de Uso Geral (GPAI) ao abrigo do Art. 51 a Art. 55, e obrigações de transparência ao abrigo do Art. 50. Todos os sectores estão sujeitos à proibição de práticas proibidas e à camada de transparência do Art. 50. As obrigações de alto risco do Anexo III aplicam-se seletivamente, em função do tipo de IA que a organização implementa e da finalidade dessa implementação.

A compreensão da exposição sectorial começa pelo mapeamento dos casos de uso operacional de IA em relação às categorias do Anexo III. As organizações devem ainda avaliar se a IA implementada constitui um modelo GPAI nos termos do Art. 3(63) e se alguma relação com fornecedores gera obrigações enquanto utilizador ou fornecedor de GPAI.

Compreender o Anexo III por Sector

O Anexo III do EU AI Act define 8 categorias de IA de alto risco autónomas. Cada categoria corresponde a sectores e casos de uso específicos de IA.

Categoria 1 — Biometria (Transversal)

O Art. 6 lido em conjugação com o ponto 1 do Anexo III abrange os sistemas de IA para identificação biométrica e categorização biométrica de pessoas singulares. A identificação biométrica remota em tempo real em espaços acessíveis ao público pelas autoridades responsáveis pela aplicação da lei é proibida ao abrigo do Art. 5(1)(h), não sendo meramente de alto risco. Os sistemas de identificação biométrica post-hoc e de categorização biométrica utilizados no emprego, controlo de fronteiras, aplicação da lei (dentro dos limites permitidos) e controlo de acesso permanecem na categoria de alto risco. Qualquer organização que implemente reconhecimento facial, correspondência de impressões digitais, reconhecimento de voz ou sistemas similares para decisões com consequências significativas está no âmbito de aplicação.

Categoria 2 — Infraestruturas Críticas (Transportes, Energia, Água)

O ponto 2 do Anexo III abrange a IA utilizada como componente de segurança na gestão e operação de infraestruturas digitais críticas, tráfego rodoviário, abastecimento de água, gás, aquecimento e eletricidade. Os operadores de transportes, gestores de redes de energia, empresas de serviços de água e prestadores de infraestruturas digitais devem avaliar se os seus sistemas de IA se qualificam. O Anexo I do EU AI Act também intersecta aqui: os componentes de segurança de IA incorporados em produtos regulamentados pelo Anexo I (maquinaria, veículos, equipamento de aviação civil, sistemas ferroviários) são de alto risco ao abrigo do Art. 6(1), e não do Anexo III.

Categoria 3 — Educação e Formação Profissional

O ponto 3 do Anexo III abrange a IA que determina o acesso a estabelecimentos de ensino, aloca estudantes a percursos educativos, avalia o desempenho em exames ou testes, avalia o aproveitamento escolar com impacto substancial nas oportunidades futuras, e monitoriza o comportamento dos estudantes durante as avaliações. As plataformas EdTech, universidades, prestadores de formação profissional e entidades examinadoras devem avaliar as suas ferramentas baseadas em IA em função destes critérios.

Categoria 4 — Emprego e Recursos Humanos

O ponto 4 do Anexo III abrange a IA utilizada no recrutamento e seleção (triagem de currículos, classificação de candidatos, análise automatizada de entrevistas), decisões sobre promoção, rescisão, afetação de tarefas a trabalhadores de plataformas, monitorização do comportamento dos trabalhadores e avaliação de desempenho. Esta categoria é uma das mais abrangentes — praticamente todas as organizações que utilizam processos de RH assistidos por IA devem avaliar a conformidade. A obrigação aplica-se à IA utilizada por empregadores, agências de trabalho temporário e plataformas da economia de trabalho por conta de outrem.

Categoria 5 — Serviços Privados e Públicos Essenciais (Finanças, Seguros, Adjacente à Saúde, Prestações Sociais)

O ponto 5 do Anexo III é a categoria mais ampla, englobando a IA utilizada na avaliação de solvabilidade e pontuação de crédito de pessoas singulares, avaliação e fixação de preços de risco de seguros, avaliação da elegibilidade para prestações públicas e serviços sociais, e decisões de despacho de emergência. Esta categoria afeta diretamente bancos, seguradoras, administrações públicas e prestadores de serviços sociais. A IA relacionada com a saúde que avalia indivíduos para fins de elegibilidade para seguros também se enquadra aqui, criando sobreposição entre as obrigações dos sectores financeiro e da saúde.

Categorias 6, 7 e 8 — Aplicação da Lei, Migração, Justiça

Os pontos 6, 7 e 8 do Anexo III visam as autoridades do sector público e os seus fornecedores de tecnologia. A IA aplicada à aplicação da lei (pontuação de risco, previsão de reincidência, previsão de crimes, avaliação de provas), a IA no domínio da migração e controlo de fronteiras (avaliação de risco em matéria de asilo, verificação de documentos, processamento de requerimentos), e a IA no domínio da justiça e processos democráticos (ferramentas de investigação judicial, IA relacionada com eleições) são todas de alto risco. Estas categorias afetam principalmente as autoridades policiais, as agências de fronteiras, os tribunais de imigração, os tribunais judiciais e os seus fornecedores de IA.

Guias por Sector

Cada um dos guias dedicados a seguir apresentados mapeia as obrigações do EU AI Act para o contexto regulatório específico, os casos de uso típicos de IA e a arquitectura de aplicação do sector.

Saúde e Ciências da Vida

A IA no sector da saúde opera na intersecção do EU AI Act com o Regulamento relativo aos Dispositivos Médicos (MDR) e o Regulamento relativo aos Dispositivos Médicos de Diagnóstico In Vitro (IVDR). Os sistemas de IA que se qualificam como dispositivos médicos são regulamentados principalmente ao abrigo do MDR/IVDR, mas permanecem sujeitos às obrigações em matéria de direitos fundamentais e transparência do EU AI Act. O ponto 5 do Anexo III abrange a IA utilizada para pontuação de risco de saúde em seguros e elegibilidade para prestações públicas. O apoio à decisão clínica, a IA de diagnóstico, as ferramentas de triagem de doentes e a IA de descoberta de fármacos implicam obrigações específicas em função da sua classificação regulatória.

RH e Recrutamento

O ponto 4 do Anexo III coloca praticamente todos os processos de RH assistidos por IA na categoria de alto risco. As ferramentas de triagem de currículos, as plataformas de avaliação psicométrica, a análise automatizada de vídeo de entrevistas, os sistemas de gestão de desempenho e a IA de planeamento de recursos humanos devem cumprir as obrigações de fornecedores e utilizadores. Este guia aborda as obrigações dos empregadores enquanto utilizadores nos termos do Art. 26, os requisitos de governação de dados ao abrigo do Art. 10 e a interação com as restrições de perfilagem do GDPR.

Sector Público e Justiça

As autoridades públicas são simultaneamente utilizadoras de IA de alto risco e as entidades que as autoridades nacionais competentes irão escrutinar mais atentamente. Os pontos 5 a 8 do Anexo III abrangem coletivamente uma grande parte da IA do sector público: determinação da elegibilidade para prestações, IA nos serviços de emergência, ferramentas de aplicação da lei, sistemas de gestão de fronteiras e IA judicial. Este guia aborda as obrigações específicas dos utilizadores públicos, os mandatos de transparência para decisões automatizadas que afetam os cidadãos, e a intersecção com o GDPR e a Diretiva relativa à Aplicação da Lei.

Transportes e Infraestruturas Críticas

Os operadores de transportes devem navegar simultaneamente pelo ponto 2 do Anexo III (componentes de segurança em infraestruturas críticas) e pela regulamentação de segurança de produtos do Anexo I. A IA em sistemas de veículos autónomos, gestão do tráfego ferroviário, gestão do tráfego aéreo, operações portuárias e encaminhamento logístico pode desencadear a classificação de alto risco por múltiplas vias. Este guia aborda a interação com os regulamentos da EASA, a Diretiva relativa à Segurança Ferroviária e o papel dos organismos notificados na avaliação de conformidade.

PME

As pequenas e médias empresas enfrentam as mesmas obrigações do EU AI Act que as grandes organizações quando são fornecedoras de IA de alto risco ou utilizadoras de IA de alto risco. Contudo, o regulamento prevê mecanismos de proporcionalidade. Este guia explica as opções de documentação técnica simplificada, o acesso a sandboxes regulatórias ao abrigo do Art. 57 a Art. 63, e como estruturar um programa de conformidade mínimo mas juridicamente suficiente. Aborda igualmente a exposição das PME enquanto utilizadoras de ferramentas de IA de terceiros.

Seguros

A IA no sector segurador está sujeita ao ponto 5(b) do Anexo III (avaliação de riscos e fixação de preços em seguros de vida e saúde de pessoas singulares) e intersecta com os requisitos de Solvência II em matéria de governação de modelos e utilização de modelos internos. A IA de fixação de preços em seguros automóvel, de saúde, multirriscos e de vida, as ferramentas de decisão de subscrição e os sistemas automatizados de liquidação de sinistros exigem avaliação. Este guia aborda os papéis da EIOPA e dos supervisores nacionais de seguros em articulação com o quadro das ANC do EU AI Act.

Retalho e Centros de Contacto

As operações de retalho e serviço ao cliente são afetadas principalmente pelas obrigações de transparência do Art. 50 — divulgação de conteúdo gerado por IA, identificação de chatbots e rotulagem de deepfakes — e pela IA relacionada com o emprego ao abrigo do ponto 4 do Anexo III. Os sistemas de reconhecimento de emoções utilizados em contextos de interação com clientes são expressamente regulamentados. Este guia aborda a IA no retalho online, os motores de recomendação, o serviço automatizado ao cliente e a gestão de recursos humanos em centros de contacto.

Educação e EdTech

O ponto 3 do Anexo III coloca a IA educativa na categoria de alto risco quando determina ou influencia substancialmente o acesso a percursos educativos ou avalia o aproveitamento. Este guia aborda as obrigações dos fornecedores de EdTech, universidades, organismos de formação profissional e autoridades de exames públicos. Cobre plataformas de aprendizagem adaptativa, software de monitorização de exames, correção automatizada de redações e ferramentas de previsão de risco escolar.

Sector Financeiro (Banca)

O guia do sector bancário aborda a pontuação de crédito e avaliação de solvabilidade ao abrigo do ponto 5(b) do Anexo III, a IA de deteção de fraude, os sistemas de negociação algorítmica, as ferramentas de AML/KYC e as plataformas de consultoria automatizada (robo-advisory). Examina a sobreposição das obrigações do EU AI Act com o DORA, a MiFID II, o CRR/CRD e as orientações da EBA. A intersecção entre os requisitos de governação de modelos do EU AI Act e os quadros de gestão de risco de modelos existentes ao abrigo das orientações da EBA constitui o foco principal.

Obrigações Transversais

Várias obrigações do EU AI Act aplicam-se independentemente do sector. Todas as organizações que operam na UE devem compreender estes requisitos de base.

Práticas Proibidas — Art. 5

O Art. 5 estabelece proibições absolutas em vigor desde 2 de fevereiro de 2025. Estas aplicam-se a todos os sectores sem exceção: técnicas de manipulação subliminar causadoras de dano, exploração das vulnerabilidades de pessoas singulares, pontuação social por autoridades públicas, identificação biométrica remota em tempo real pelas autoridades responsáveis pela aplicação da lei em espaços públicos (sujeita a exceções restritas), reconhecimento de emoções em locais de trabalho e estabelecimentos de ensino (fora das utilizações especificadas), categorização biométrica com base em características sensíveis, e policiamento preditivo baseado exclusivamente em perfilagem. Nenhuma isenção sectorial prevalece sobre estas proibições.

Obrigações de Transparência — Art. 50

O Art. 50 exige que os fornecedores e utilizadores de sistemas de IA que interagem com pessoas singulares divulguem a natureza artificial da interação. Esta obrigação aplica-se a chatbots, assistentes virtuais, sistemas automatizados de centros de contacto e qualquer sistema de IA concebido para aparentar ser humano. O conteúdo gerado por IA — meios de comunicação sintéticos, deepfakes, texto — deve ser rotulado de forma legível por máquina. Estas obrigações aplicam-se ao retalho, aos serviços financeiros, às ferramentas de saúde destinadas aos doentes, aos serviços públicos destinados aos cidadãos e a todos os outros sectores que implementam IA conversacional ou generativa.

Obrigações relativas a Modelos GPAI — Art. 51 a Art. 55

As organizações que implementam modelos GPAI — grandes modelos de linguagem, modelos de base, IA multimodal — devem avaliar se são utilizadoras de um modelo GPAI de terceiros ou fornecedoras de um sistema integrado com GPAI. Os fornecedores de GPAI têm obrigações ao abrigo do Art. 53 (transparência para fornecedores a jusante, política de direitos de autor, resumo dos dados de treino). Os modelos GPAI com risco sistémico têm obrigações adicionais ao abrigo do Art. 55. Todos os sectores que utilizam APIs de modelos de base comerciais ou modelos de base alojados internamente devem avaliar estas obrigações.

PME e Obrigações Proporcionadas

As PME representam a maioria das empresas da UE e uma proporção crescente dos fornecedores e utilizadores de sistemas de IA. O EU AI Act não cria uma isenção geral para PME, mas o Art. 9(5), o Art. 11 e o Art. 16 exigem que as obrigações dos fornecedores sejam proporcionais à dimensão e capacidade organizacional.

O quadro de sandboxes regulatórias (Art. 57 a Art. 63) foi especificamente concebido para proporcionar às PME e às empresas em fase de arranque ambientes de desenvolvimento supervisionados, menor incerteza regulatória e acesso direto à orientação das autoridades nacionais competentes. A participação não garante aprovação de conformidade, mas oferece uma via estruturada para a entrada no mercado de produtos de IA inovadores.

Para as PME que atuam como utilizadoras de IA de alto risco fornecida por terceiros, as obrigações do Art. 26 — avaliação do caso de uso, implementação de supervisão humana, avaliação do impacto sobre os direitos fundamentais — aplicam-se. A escala da documentação e monitorização exigida é proporcionada, mas as obrigações jurídicas não são dispensadas.

O guia dedicado às PME fornece um roteiro de conformidade adaptado a organizações de menor dimensão, cobrindo a priorização, a documentação mínima viável, a diligência devida junto dos fornecedores e os procedimentos de acesso às sandboxes.

Aplicação

O EU AI Act cria uma arquitectura de aplicação em múltiplos níveis com dimensões sectoriais significativas.

Autoridades Nacionais Competentes

Cada Estado-Membro da UE designa uma ou mais autoridades nacionais competentes (ANC) ao abrigo do Art. 70. As ANC são responsáveis por autorizar sandboxes regulatórias, realizar vigilância de mercado, receber dados de monitorização pós-comercialização dos fornecedores, investigar suspeitas de infrações e aplicar coimas administrativas ao abrigo do Art. 99 a Art. 101. As coimas máximas atingem 35 milhões de euros ou 7% do volume de negócios anual global por infrações às práticas proibidas do Art. 5.

Reguladores Sectoriais como Autoridades de Vigilância de Mercado

O Art. 74(8) e Art. 74(9) preveem que os reguladores sectoriais atuem como autoridades de vigilância de mercado para a IA nos seus domínios. A Autoridade Bancária Europeia (EBA), a Autoridade Europeia dos Seguros e Pensões Complementares de Reforma (EIOPA), a Autoridade Europeia dos Valores Mobiliários e dos Mercados (ESMA), a Agência Europeia de Medicamentos (EMA) e a Agência da União Europeia para a Segurança da Aviação (EASA) desempenham cada uma um papel na supervisão da IA dentro dos seus perímetros regulatórios. Isto cria uma exposição de aplicação em dupla via: a IA de pontuação de crédito de um banco pode ser examinada tanto por um regulador financeiro nacional que aplica as obrigações do Anexo III como por uma ANC que realiza vigilância de mercado ao abrigo do EU AI Act.

O Gabinete Europeu de IA

O Gabinete Europeu de IA, criado ao abrigo do Art. 64 a Art. 70, detém autoridade de aplicação direta sobre os fornecedores de modelos GPAI. Para as organizações que implementam modelos GPAI com risco sistémico, o Gabinete de IA é o principal interlocutor regulatório — e não a ANC nacional. Os reguladores sectoriais não têm jurisdição direta sobre os modelos GPAI enquanto tal, embora os sistemas de IA a jusante que integrem GPAI permaneçam sujeitos à supervisão nacional e sectorial.

Calendário de Aplicação

A proibição de práticas ao abrigo do Art. 5 está em vigor desde 2 de fevereiro de 2025. As obrigações relativas a GPAI ao abrigo do Art. 51 a Art. 55 tornaram-se efetivas em 2 de agosto de 2025. As obrigações plenas para os sistemas de IA de alto risco do Anexo III — abrangendo todas as oito categorias e todos os deveres de fornecedores e utilizadores — aplicam-se a partir de 2 de dezembro de 2027 (prazo alargado a partir da data original de 2 de agosto de 2026 pela emenda Digital Omnibus de 2025). As organizações de todos os sectores devem encarar o período até dezembro de 2027 como uma janela de conformidade ativa, e não como um período de carência.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

O EU AI Act aplica-se de forma diferente consoante o sector?

Sim. O EU AI Act aplica-se de forma uniforme em toda a UE, mas o seu impacto prático varia significativamente consoante o sector. O Anexo III do regulamento mapeia diretamente as categorias de IA de alto risco para sectores específicos — a IA em matéria de emprego incide sobre RH e recrutamento, a IA de avaliação de solvabilidade incide sobre finanças e seguros, e os sistemas biométricos incidem sobre as autoridades responsáveis pela aplicação da lei e o controlo de fronteiras. Os operadores em sectores altamente regulamentados (saúde, finanças, transportes) enfrentam ainda o EU AI Act sobreposto à legislação sectorial pré-existente, o que pode gerar obrigações adicionais ou exigir coordenação entre autoridades de supervisão.

Qual o sector com maior volume de obrigações ao abrigo do EU AI Act?

Os sectores da saúde, dos serviços financeiros e o sector público são os que acumulam as obrigações mais pesadas. A IA na área da saúde intersecta com o Regulamento relativo aos Dispositivos Médicos (MDR) e o Regulamento relativo aos Dispositivos Médicos de Diagnóstico In Vitro (IVDR); a IA no sector financeiro intersecta com o DORA, a MiFID II e a Solvência II; a IA no sector público abrange as categorias 5 a 8 do Anexo III (serviços essenciais, aplicação da lei, migração e justiça). Cada um destes sectores deve cumprir simultaneamente o quadro do EU AI Act e a regulamentação sectorial pré-existente, com algumas obrigações a aplicarem-se em simultâneo.

As PME estão isentas das obrigações do EU AI Act?

As PME não estão isentas, mas o regulamento prevê medidas proporcionadas. O Art. 9(5) exige que os sistemas de gestão de riscos sejam proporcionais à dimensão e natureza do fornecedor. O Art. 11 e o Art. 16 permitem documentação técnica simplificada para PME. Os Art. 57 a Art. 63 estabelecem sandboxes regulatórias às quais as PME podem aceder sob supervisão da autoridade nacional competente. As obrigações dos utilizadores nos termos do Art. 26 aplicam-se também às PME que utilizem IA de alto risco, ainda que com requisitos processuais menos onerosos do que os impostos aos fornecedores.

Como interagem as autoridades nacionais de supervisão de IA com os reguladores sectoriais?

Os Art. 70 a Art. 77 do EU AI Act estabelecem uma arquitectura de aplicação em múltiplos níveis. Cada Estado-Membro designa uma autoridade nacional competente (ANC) responsável pela aplicação do regulamento. Nos casos em que os sistemas de IA operam em sectores regulamentados — serviços financeiros, saúde, aviação, ferrovia — os reguladores sectoriais (EBA, EIOPA, ESMA, EMA, EASA) coordenam com as ANC. O Gabinete Europeu de IA assegura a supervisão centralizada dos modelos GPAI. Esta estrutura paralela significa que um sistema de IA de uma instituição financeira pode ser auditado simultaneamente por uma ANC e por um regulador do sector financeiro que aplica quadros distintos mas sobrepostos.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.