Obrigações do Regulamento da IA da UE para sistemas de IA em educação: admissões, classificação automatizada, vigilância em exames e plataformas de aprendizagem. Abrange a categoria 3 do Anexo III e as proteções especiais para estudantes.

O Setor da Educação e o Regulamento da IA da UE — Por que os Direitos dos Estudantes São Centrais

O Regulamento da IA da UE (Regulamento (UE) 2024/1689) identifica a educação e a formação profissional como um domínio de risco elevado, classificando aplicações específicas de IA neste domínio como de alto risco ao abrigo do Anexo III, categoria 3. Esta classificação reflete um julgamento fundamental do legislador europeu: os sistemas de IA que condicionam o acesso a oportunidades educativas ou determinam resultados académicos envolvem direitos de profunda relevância individual — o direito à educação (Art. 14 da Carta dos Direitos Fundamentais da UE), o direito à não discriminação (Art. 21) e, para a grande proporção de estudantes que são menores, as proteções reforçadas do Art. 8 do GDPR e dos instrumentos internacionais, incluindo a Convenção da ONU sobre os Direitos da Criança (UNCRC).

O setor da educação apresenta um perfil de conformidade distinto. A maioria das instituições de ensino — universidades, escolas e organismos de formação profissional — ocupa o papel de utilizador ao abrigo do Regulamento da IA da UE: adquirem e operam sistemas de IA desenvolvidos por fornecedores de EdTech, em vez de desenvolverem IA internamente. Esta distinção não reduz as suas obrigações. Os utilizadores de IA de alto risco ao abrigo do Art. 26 têm deveres legais independentes que não podem ser cumpridos simplesmente pela aquisição de um produto com marcação CE. Ao mesmo tempo, as empresas de EdTech que desenvolvem e colocam sistemas de IA no mercado da UE são fornecedores sujeitos ao regime completo de avaliação de conformidade ao abrigo do Capítulo III, Secção 2.

O setor caracteriza-se igualmente por uma concentração significativa de dados pessoais sensíveis. Dados comportamentais de estudantes, registos de avaliação, padrões de participação, dificuldades de aprendizagem e perfis demográficos são processados em larga escala por plataformas de aprendizagem adaptativa e ferramentas de análise. Esta concentração de dados significa que a conformidade com o Regulamento da IA da UE em contexto educativo não pode ser concebida de forma isolada do GDPR — os dois instrumentos devem ser abordados como uma obrigação de conformidade integrada.

IA de Alto Risco em Educação — Admissões, Classificação e Vigilância em Exames

O Anexo III, categoria 3 define duas categorias distintas de IA educativa de alto risco. Compreender o âmbito de cada categoria é essencial para as decisões de classificação.

IA para Admissões — Determinação do Acesso a Instituições de Ensino

O Anexo III, categoria 3(a) abrange os sistemas de IA destinados a ser utilizados para a determinação do acesso ou da atribuição a instituições ou programas de ensino e formação profissional. Esta categoria inclui a IA que pontua, classifica ou filtra candidatos em processos de admissão universitária, a IA que avalia qualificações anteriores ou o reconhecimento de credenciais profissionais, e a IA que determina a elegibilidade para percursos académicos específicos ou programas especializados.

A classificação de alto risco aplica-se quando o resultado do sistema de IA tem um efeito significativo no acesso de um candidato a uma oportunidade educativa. Este limiar é preenchido pela maioria dos sistemas de IA de admissão operacionalmente implementados: um modelo de pontuação cujos resultados são analisados e utilizados pelos responsáveis pelas admissões sem reavaliação sistemática da avaliação subjacente determina efetivamente os resultados, mesmo que um ser humano aprove formalmente cada decisão. Os fornecedores destes sistemas devem cumprir os Arts. 9 a 15 (governação de dados, documentação técnica, registo de operações, transparência, supervisão humana, exatidão e robustez). As instituições utilizadoras devem verificar a conformidade e implementar as obrigações do utilizador previstas no Art. 26 antes de o sistema ser utilizado em qualquer processo de admissão.

O risco de enviesamento é particularmente agudo nos sistemas de IA para admissões. Os sistemas treinados com dados históricos de admissão e de sucesso académico podem codificar desigualdades existentes — disparidades de género em determinadas áreas disciplinares, desigualdades socioeconómicas na preparação académica, diferenças de desempenho entre candidatos nacionais e internacionais. O Art. 10 exige que os dados de treino estejam sujeitos a práticas de governação que abordem os enviesamentos conhecidos, e o Art. 9 impõe medidas de gestão do risco calibradas em função da gravidade do dano potencial, que neste contexto inclui a negação de oportunidades educativas a candidatos qualificados provenientes de grupos desfavorecidos.

IA de Avaliação Automatizada — Classificação e Atribuição de Percursos Académicos

O Anexo III, categoria 3(b) abrange os sistemas de IA que avaliam e examinam estudantes, incluindo ferramentas de classificação automatizada e sistemas que atribuem estudantes a percursos académicos diferenciados, quando esses sistemas têm um efeito significativo nos seus percursos educativos. Uma ferramenta de classificação automática de redações que produz notas finais determinando se um estudante é aprovado ou reprovado numa unidade curricular, obtém uma qualificação ou tem acesso ao nível académico seguinte é de alto risco. Do mesmo modo, a IA que coloca estudantes em percursos de recuperação, padrão ou avançado com base em dados de desempenho tem um efeito significativo nos percursos educativos e enquadra-se nesta categoria.

O limite para as ferramentas de avaliação formativa — ferramentas utilizadas exclusivamente para fornecer feedback aos estudantes em que um educador humano mantém controlo pleno e efetivo sobre todos os resultados classificados — é mais restrito. Tais ferramentas podem ficar fora da categoria 3(b), mas esta classificação deve ser documentada e fundamentada, e as instituições devem garantir que a supervisão humana é genuinamente substantiva e não uma mera validação formal dos resultados gerados pela IA.

IA de Vigilância Remota em Exames

Os sistemas de vigilância remota em exames que monitorizam o comportamento dos estudantes durante as avaliações através de análise de vídeo, rastreio ocular, bloqueio do navegador, registo de teclas ou deteção de anomalias comportamentais representam uma das aplicações de IA juridicamente mais complexas em contexto educativo. Quando tais sistemas sinalizam ou desqualificam estudantes com base na sua análise automatizada — ou quando os seus resultados são utilizados por revisores humanos de formas que determinam substancialmente os resultados — constituem IA de alto risco ao abrigo do Anexo III, categoria 3, enquanto IA que avalia estudantes e tem efeitos significativos nos seus percursos académicos.

A IA de vigilância em exames também envolve a proibição do Art. 5(1)(d) relativa à identificação biométrica remota em tempo real em espaços acessíveis ao público. Quando os sistemas de vigilância utilizam reconhecimento facial para verificar continuamente a identidade do estudante durante um exame em tempo real, tal constitui identificação biométrica proibida, salvo se se aplicar uma exceção legislativa muito restrita de um Estado-Membro ao abrigo do Art. 5(2) a (6). As instituições que implementam IA de vigilância em exames devem distinguir cuidadosamente entre a verificação de identidade no momento de acesso ao exame (potencialmente lícita quando em conformidade) e a vigilância biométrica contínua em tempo real ao longo de toda a sessão de exame (sujeita à proibição do Art. 5).

Fornecedor vs. Utilizador — Empresas de EdTech e Instituições de Ensino

O Regulamento da IA da UE distribui as obrigações de forma assimétrica entre fornecedores e utilizadores. Compreender esta distribuição é fundamental para o planeamento da conformidade, tanto para os fornecedores de EdTech como para as instituições que utilizam os seus produtos.

Obrigações dos Fornecedores de EdTech

As empresas de EdTech que desenvolvem e colocam sistemas de IA de alto risco no mercado da UE são fornecedores ao abrigo do Art. 3(3) e devem cumprir os requisitos completos de IA de alto risco previstos no Capítulo III, Secção 2:

Os fornecedores devem também disponibilizar às instituições utilizadoras instruções de utilização suficientemente específicas para que estas possam cumprir as suas próprias obrigações enquanto utilizadoras — incluindo informações sobre os subgrupos da população estudantil para os quais o sistema foi testado, limitações de desempenho conhecidas, resultados dos testes de enviesamento e procedimentos de gestão de registos.

Obrigações das Instituições Utilizadoras

As universidades, escolas e organismos de formação profissional que implementam IA EdTech de alto risco ao abrigo do Art. 26 devem:

Interação com o GDPR, os Direitos das Crianças e o Direito Nacional da Educação

GDPR e o Tratamento de Dados de Estudantes

A IA educativa opera sobre dados intrinsecamente sensíveis. As plataformas de análise de aprendizagem, os sistemas de tutoria adaptativa e as ferramentas de vigilância comportamental em exames tratam dados que podem incluir registos de desempenho académico, métricas de participação, sinais comportamentais e comunicações — todos associados a estudantes identificáveis.

Quando os estudantes são menores, o Art. 8 do GDPR restringe o tratamento de dados pessoais com base no consentimento: os Estados-Membros fixaram entre 13 e 16 anos a idade abaixo da qual é exigido o consentimento dos pais ou representantes legais. As plataformas de EdTech que se baseiam no consentimento do estudante como fundamento jurídico para o tratamento devem implementar mecanismos de verificação de idade e obter e registar o consentimento parental quando exigido. As instituições que atuam como responsáveis pelo tratamento ao abrigo do GDPR devem garantir que os seus contratos com fornecedores de EdTech incluem acordos de tratamento de dados adequados ao abrigo do Art. 28 do GDPR e que os dados dos estudantes não são transferidos para fora do EEE sem garantias adequadas.

O tratamento de categorias especiais de dados — que pode ocorrer quando estão envolvidas avaliações de dificuldades de aprendizagem, rastreio de saúde mental ou elaboração de perfis demográficos — exige um fundamento jurídico explícito ao abrigo do Art. 9(2) do GDPR e, tipicamente, uma avaliação de impacto sobre a proteção de dados ao abrigo do Art. 35.

Art. 50 — Transparência para Chatbots de Tutoria com IA

O Art. 50 do Regulamento da IA da UE impõe uma obrigação específica de transparência aos sistemas de IA concebidos para interagir diretamente com pessoas singulares. Os chatbots de tutoria com IA, os assistentes virtuais de aprendizagem e as ferramentas de feedback gerado por IA implementados em contexto educativo devem divulgar claramente a sua natureza de IA aos estudantes no início de cada interação. Quando o público estudantil inclui menores, a divulgação deve ser adaptada para ser adequada à idade e genuinamente compreensível. As instituições que implementam ferramentas de tutoria com IA devem verificar que a implementação do fornecedor satisfaz esta obrigação e não devem configurar o sistema de formas que suprimam ou obscureçam a divulgação da natureza de IA.

Direito Nacional da Educação

A legislação nacional de educação nos Estados-Membros da UE pode impor obrigações adicionais à utilização de IA em contexto académico — por exemplo, requisitos relativos à integridade das provas de avaliação, retenção de dados para registos académicos e equidade processual nos recursos relativos a admissões. Os programas de conformidade para instituições de ensino devem mapear as obrigações do Regulamento da IA da UE e do GDPR em relação ao direito nacional aplicável, incluindo as orientações ministeriais setoriais emitidas pelos ministérios nacionais da educação. Quando os sistemas de IA produzem resultados utilizados em processos formalmente regulados (exames nacionais, qualificações acreditadas), a articulação entre as obrigações do Regulamento da IA e o direito nacional dos exames requer uma análise jurídica específica.

Fiscalização — Autoridades de Proteção de Dados e Autoridades da Educação

A fiscalização no setor da educação envolve uma estrutura multicamada de autoridades competentes. As autoridades nacionais de supervisão da IA (designadas ao abrigo do Art. 70) têm jurisdição primária sobre a conformidade com o Regulamento da IA da UE, incluindo a avaliação de conformidade, a vigilância do mercado e as sanções. Para as instituições de ensino, esta autoridade pode ser uma autoridade geral de supervisão da IA ou, em alguns Estados-Membros, um organismo setorial designado.

As Autoridades de Proteção de Dados (APD) desempenham um papel de fiscalização independente de grande relevo. Dado o volume e a sensibilidade dos dados de estudantes tratados pela IA educativa, as APD supervisionam ativamente as implementações de IA em escolas e universidades. As infrações ao GDPR relacionadas com a IA educativa — tratamento ilícito de dados de crianças, acordos de tratamento de dados inadequados com fornecedores de EdTech, omissão das AIPD exigidas — acarretam coimas das APD de até 20 milhões de euros ou 4% do volume de negócios global anual ao abrigo do Art. 83 do GDPR. As ações de fiscalização das APD têm historicamente precedido a fiscalização formal ao abrigo do Regulamento da IA em domínios regulados, e a IA no setor da educação deve ser planeada tendo em conta o escrutínio das APD como um risco a curto prazo.

Os órgãos de governo das universidades e as autoridades nacionais de acreditação podem impor consequências institucionais — incluindo sanções reputacionais, suspensão de processos automatizados e exigências de auditorias independentes — quando a utilização de IA em admissões ou avaliação for considerada injusta ou discriminatória. A governação académica institucional, incluindo os processos de recurso dos estudantes, deve ser concebida de forma a acomodar contestações a decisões influenciadas pela IA.

Roteiro de Conformidade para Instituições de Ensino e Fornecedores de EdTech

Para Fornecedores de EdTech

  1. Classificar cada produto em relação ao Anexo III, categoria 3 — documentar a fundamentação da classificação com referência específica à finalidade prevista do sistema e à relevância do seu efeito nos resultados educativos.
  2. Implementar o regime completo de avaliação de conformidade de alto risco ao abrigo dos Arts. 9 a 15 para todos os produtos classificados como de alto risco, incluindo testes de enviesamento em subgrupos demográficos representativos da população estudantil da UE.
  3. Registar os sistemas de alto risco na base de dados da IA da UE (Art. 49) antes da colocação no mercado.
  4. Preparar documentação completa dirigida aos utilizadores: instruções de utilização, documentação de conformidade, resultados dos testes de enviesamento e exatidão, orientações de gestão de registos.
  5. Implementar a transparência prevista no Art. 50 em todos os sistemas de IA que interagem diretamente com estudantes.
  6. Rever os acordos de tratamento de dados para garantir a conformidade com o Art. 28 do GDPR, incluindo mecanismos de consentimento parental quando exigido ao abrigo do Art. 8.

Para Instituições de Ensino

  1. Auditar todos os sistemas de IA em uso — admissões, classificação, vigilância em exames, análise de dados, tutoria — e classificá-los em relação ao Anexo III, categoria 3.
  2. Solicitar e analisar a documentação de conformidade de todos os fornecedores de EdTech para qualquer sistema classificado ou potencialmente classificável como de alto risco.
  3. Realizar avaliações de impacto sobre os direitos fundamentais ao abrigo do Art. 27 antes de implementar ou continuar a implementar sistemas de IA de admissão ou avaliação.
  4. Designar nominalmente a responsabilidade pela supervisão de cada sistema de IA de alto risco a pessoal qualificado com competência técnica genuína e autoridade institucional.
  5. Rever os processos de recurso em matéria de admissões e avaliação para garantir que acomodam contestações a decisões influenciadas pela IA e proporcionam uma revisão humana efetiva.
  6. Auditar a conformidade com o GDPR para todos os dados de estudantes tratados por plataformas de EdTech — confirmar que os acordos de tratamento de dados, os fundamentos jurídicos e os mecanismos de consentimento parental estão em vigor.
  7. Verificar as configurações da IA de vigilância em exames quanto à conformidade com a proibição do Art. 5 relativa à identificação biométrica em tempo real — se qualquer configuração envolver reconhecimento facial contínuo durante as sessões de exame, obter aconselhamento jurídico urgente antes do próximo período de avaliação.

Official AI Act Compliance Deadline Calendar

Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation Applies to Original date New date Status Countdown Legal basis
Prohibited Practices (Art. 5) All providers and deployers active AI Act Art. 5
GPAI Rules (Chapter 5) GPAI model providers active AI Act Art. 51-56
High-risk AI — Annex III (standalone) Providers of standalone Annex III systems deferred AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded) AI embedded in Annex I regulated products deferred AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking Providers of generative GPAI systems active AI Act Art. 50(2)
Regulatory Sandboxes National competent authorities active AI Act Art. 57

Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Sim, em praticamente todas as configurações operacionalmente relevantes. Os sistemas de IA que pontuam, classificam ou filtram candidatos para determinar o acesso a instituições de ensino ou formação profissional enquadram-se claramente no Anexo III, categoria 3(a). Esta classificação aplica-se independentemente de o sistema de IA produzir uma decisão final de admissão ou apenas gerar uma pontuação que os responsáveis pelas admissões utilizam como elemento de análise — se o resultado do sistema tiver um efeito significativo sobre a admissão de um candidato, a classificação de alto risco é aplicável. As universidades devem garantir que o sistema ostenta a marcação CE, está registado na base de dados da IA da UE e que as obrigações dos utilizadores ao abrigo do Art. 26 estão integralmente implementadas antes de o sistema ser utilizado em qualquer processo de admissão.

Depende de o software avaliar resultados de aprendizagem com um efeito significativo nos percursos académicos dos estudantes. Ao abrigo do Anexo III, categoria 3(b), os sistemas de IA que avaliam estudantes e têm consequências significativas para o seu progresso académico — como determinar se um estudante é aprovado numa unidade curricular, obtém uma qualificação ou avança para o nível académico seguinte — são de alto risco e devem ser registados. As ferramentas de classificação automatizada utilizadas como passo final ou substancialmente determinante na atribuição de notas são de alto risco. As ferramentas utilizadas exclusivamente para feedback formativo, em que um educador humano mantém controlo pleno sobre a nota final, apresentam um perfil de risco mais baixo e podem não se qualificar, mas esta situação deve ser documentada e fundamentada.

Não — não ao abrigo das disposições gerais do Regulamento da IA da UE. O Art. 5(1)(d) proíbe a identificação biométrica remota em tempo real em espaços acessíveis ao público, e as instituições de ensino, como escolas e universidades, qualificam-se como espaços acessíveis ao público para este efeito. A proibição abrange o reconhecimento facial utilizado para identificar indivíduos em tempo real. Exceções limitadas podem ser autorizadas apenas onde um Estado-Membro tenha aprovado legislação que autorize expressamente tal utilização e estritamente nas condições estabelecidas no Art. 5(2) a (6). Na prática, o limiar para essas exceções é elevado, e a maioria das utilizações de reconhecimento facial em contexto educativo para controlo de presenças ou vigilância em exames seria proibida ao abrigo do Art. 5. A categorização biométrica diferida utilizada em sistemas de supervisão de exames pode enquadrar-se nas disposições de alto risco em vez de na proibição do Art. 5, mas ainda assim sujeita ao regime completo de avaliação de conformidade.

Os fornecedores de EdTech que colocam sistemas de IA de alto risco no mercado devem disponibilizar às instituições utilizadoras: uma Declaração de Conformidade da UE concluída e documentação de marcação CE; instruções de utilização detalhadas que abranjam a finalidade prevista do sistema, as suas limitações de desempenho e as condições em que é necessária supervisão humana; informações sobre as características dos dados de treino e os enviesamentos conhecidos, em particular nos grupos demográficos relevantes para a população estudantil; documentação técnica que demonstre a conformidade com os Arts. 9 a 15; e a capacidade do sistema para gerar, conservar e exportar registos de funcionamento conforme exigido pelo Art. 12. As universidades, enquanto utilizadoras ao abrigo do Art. 26, devem verificar que esta documentação está disponível e é adequada antes de implementar qualquer sistema de IA classificado como de alto risco.

O Art. 27 do Regulamento da IA da UE recomenda que as entidades públicas e os utilizadores de sistemas de IA de alto risco em domínios sensíveis realizem uma avaliação de impacto sobre os direitos fundamentais (FRIA) antes da implementação. Para as universidades, a FRIA deve identificar: quais os direitos fundamentais que podem ser afetados (não discriminação ao abrigo do Art. 21 da Carta da UE, direito à educação ao abrigo do Art. 14, proteção de dados ao abrigo do Art. 8); as populações estudantis em risco de impacto adverso, incluindo grupos minoritários, estudantes com deficiência e estudantes internacionais; os mecanismos algorítmicos específicos que podem introduzir ou ampliar desigualdades; medidas de mitigação, como auditorias de enviesamento, requisitos de diversidade nos dados de treino impostos ao fornecedor, e procedimentos de substituição humana; e um plano de monitorização que abranja revisões regulares de exatidão desagregadas por dados demográficos dos estudantes. A FRIA deve ser documentada e atualizada sempre que o sistema de IA sofra alterações significativas ou quando a monitorização revelar resultados inesperados.

Sim. O Art. 50 do Regulamento da IA da UE exige que os sistemas de IA concebidos para interagir com pessoas singulares — incluindo chatbots de tutoria com IA e assistentes virtuais de aprendizagem — informem os utilizadores de forma clara, atempada e eficaz de que estão a interagir com um sistema de IA. Esta obrigação aplica-se tanto ao fornecedor de EdTech que concebe o chatbot como à instituição de ensino que o implementa. Quando os estudantes são menores, esta obrigação de transparência intersecta-se com os requisitos do Art. 8 do GDPR sobre comunicação adaptada à idade. A divulgação deve ser efetuada antes ou no início da interação e deve ser facilmente compreensível para o público em causa, incluindo estudantes que possam ter conhecimentos limitados sobre sistemas de IA.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.