Obrigações do EU AI Act para IA na administração pública, aplicação da lei, controlo de fronteiras e sistema judicial. Abrange as categorias 5 a 8 do Anexo III e as avaliações de impacto sobre direitos fundamentais de carácter obrigatório.
O Setor Público e o AI Act — Por Que o Governo É o Implementador de Maior Risco
O EU AI Act (Regulamento (UE) 2024/1689) aplica-se horizontalmente em todos os setores, mas a concentração mais elevada de obrigações obrigatórias recai sobre os organismos públicos. As agências governamentais, as autoridades de aplicação da lei, as instituições judiciais e os organismos de gestão de fronteiras são simultaneamente os maiores implementadores de IA com consequências relevantes e as entidades cuja utilização de IA cria o maior risco estrutural para os direitos fundamentais. O Regulamento reflete esta assimetria de duas formas estruturais.
Em primeiro lugar, quatro das oito categorias de alto risco do Anexo III abordam diretamente a IA no setor público — as categorias 5 a 8 abrangem os serviços públicos essenciais, a aplicação da lei, a migração e o controlo de fronteiras, e a administração da justiça. Estas categorias não são cláusulas residuais de alcance geral: enumeram aplicações específicas de IA comummente utilizadas na administração pública que, por definição, implicam um risco ao nível da sua classificação.
Em segundo lugar, o Art. 27 impõe uma avaliação de impacto sobre os direitos fundamentais (AIDF) obrigatória aos organismos públicos antes da implementação de sistemas de IA de alto risco. Para os implementadores do setor privado, a AIDF é fortemente recomendada; para os organismos públicos, constitui uma obrigação legal. A avaliação deve examinar o impacto do sistema de IA sobre os direitos das pessoas ao abrigo da Carta dos Direitos Fundamentais da UE, incluindo o direito à dignidade (Art. 1), a proteção de dados pessoais (Art. 8), o direito a uma ação judicial efetiva (Art. 47) e a presunção de inocência (Art. 48).
O quadro de conformidade para os organismos públicos é ainda mais complexificado pela sobreposição das obrigações do AI Act com os regimes setoriais existentes: a Diretiva Aplicação da Lei 2016/680, o Regulamento do Sistema de Informação de Schengen, o Regulamento Frontex 2019/1896, o Regulamento Geral sobre a Proteção de Dados, e os requisitos constitucionais da Convenção Europeia dos Direitos Humanos tal como interpretados pelo Tribunal Europeu dos Direitos Humanos. Cada um destes instrumentos cria obrigações independentes que devem ser satisfeitas em paralelo com os requisitos do EU AI Act.
Sistemas de IA de Alto Risco — Categorias 5 a 8
Anexo III, Categoria 5 — Serviços Públicos Essenciais e Avaliação de Prestações
O Anexo III, ponto 5(b) classifica como de alto risco qualquer sistema de IA utilizado para avaliar a elegibilidade de pessoas singulares para serviços de prestações públicas essenciais e para tomar decisões nesse contexto. Esta categoria abrange todo o espectro da IA no Estado social:
- Avaliação automatizada de subsídios de desemprego: sistemas de IA que determinam se um requerente preenche os critérios de elegibilidade com base em registos de emprego, atividade de procura de emprego ou avaliações de meios de subsistência.
- Decisões sobre habitação e prestações por incapacidade: instrumentos algorítmicos que pontuam candidaturas para prioridade em habitação social, direito a prestações por incapacidade ou pagamentos de autonomia pessoal.
- Deteção de fraude em prestações sociais: sistemas de criação de perfis por IA que geram pontuações de risco para suspeitas de fraude em prestações, podendo desencadear investigações ou suspensão de pagamentos.
O ponto 5(b) abrange também a IA de avaliação de crédito e de seguros em relação a pessoas singulares, embora a principal exposição do setor público se situe na elegibilidade para prestações e serviços. Em todos os casos, a classificação aplica-se quando o sistema de IA tem influência material no acesso a um serviço público — independentemente de a decisão final ser tomada por um funcionário humano.
Anexo III, Categoria 6 — Aplicação da Lei
A categoria 6 abrange a IA utilizada pelas autoridades de aplicação da lei em três domínios:
Avaliação de risco e criação de perfis: sistemas de IA que avaliam a probabilidade de um indivíduo praticar uma infração penal, reincidência ou constituir uma ameaça à segurança — incluindo ferramentas de pontuação de reincidência utilizadas em audiências de detenção preventiva, decisões de liberdade condicional e recomendações de sentença. Estes sistemas são de alto risco ao abrigo do Anexo III, ponto 6(a).
Deteção e análise em investigações: IA para detetar estados emocionais, traços de personalidade ou comportamento enganoso a partir de expressões faciais, voz ou indicadores fisiológicos utilizados em investigações criminais. O Art. 5(1)(f) proíbe separadamente os sistemas de IA que inferem emoções de indivíduos em contextos de aplicação da lei e gestão de fronteiras, exceto para fins específicos de segurança, estabelecendo um limite externo firme para este caso de utilização.
Deteção de deepfakes e documentos: IA utilizada para detetar conteúdo digital manipulado ou avaliar a autenticidade de documentos em processos penais — classificada como de alto risco ao abrigo do Anexo III, ponto 6(c).
Anexo III, Categoria 7 — Migração, Asilo e Controlo de Fronteiras
A categoria 7 aplica-se à IA implementada no contexto da migração e da gestão de fronteiras:
Avaliação de risco nas fronteiras: sistemas de IA que avaliam o risco de migração irregular ou geram pontuações de ameaça para indivíduos que atravessam fronteiras — incluindo ferramentas de criação de perfis integradas no SIS e sistemas de análise de risco da Frontex que operam ao abrigo do Regulamento 2019/1896.
Verificação de documentos e identidade: sistemas de IA que avaliam a autenticidade de documentos de viagem, vistos, títulos de residência ou documentos de identidade para efeitos de travessia de fronteiras ou de imigração.
Tratamento de pedidos de asilo: IA que examina pedidos de asilo, avalia a credibilidade das declarações individuais ou cria perfis de requerentes para procedimentos acelerados ou de tramitação acelerada.
Todos os sistemas da categoria 7 devem ser avaliados quanto à conformidade não apenas com o AI Act, mas também com a Convenção de Genebra relativa ao Estatuto dos Refugiados (1951), o Art. 18 da Carta da UE (direito de asilo) e o princípio de não repulsão tal como interpretado na jurisprudência do TEDH — uma restrição constitucional que a AIDF ao abrigo do Art. 27 deve abordar explicitamente.
Anexo III, Categoria 8 — Administração da Justiça e Processos Democráticos
A categoria 8 abrange a IA implementada no próprio sistema judicial:
IA de apoio judicial: sistemas que assistem na pesquisa de jurisprudência, na identificação de disposições legais aplicáveis ou na estruturação do raciocínio jurídico para juízes, magistrados do Ministério Público ou funcionários judiciais — de alto risco ao abrigo do Anexo III, ponto 8(a).
Ferramentas de justiça preditiva: sistemas de IA que preveem o resultado provável de litígios, intervalos de pena ou decisões judiciais com base em dados de processos históricos. Estes sistemas suscitam preocupações graves ao abrigo do Art. 47 da Carta da UE quanto ao direito a um processo equitativo, uma vez que a sua utilização na tomada de decisões judiciais pode desfavorecer estruturalmente as partes cujos perfis diferem das normas históricas.
A categoria 8 não proíbe o trabalho judicial assistido por IA; sujeita-o ao regime de conformidade para sistemas de alto risco e exige que os tribunais e ministérios da justiça assegurem que os resultados produzidos pela IA estão sempre sujeitos a revisão humana substantiva — o juiz ou o decisor deve poder, e na prática deve, desconsiderar o resultado da IA quando tal não for adequado.
Obrigações Obrigatórias para os Organismos Públicos Implementadores
Os organismos públicos que atuam como implementadores de sistemas de IA de alto risco ao abrigo do AI Act assumem um conjunto definido e intransmissível de obrigações ao abrigo do Art. 26 e do Art. 27.
Avaliação de Impacto sobre os Direitos Fundamentais (Art. 27)
A AIDF é a obrigação mais distintiva dos implementadores públicos. Deve ser realizada antes da implementação e deve abordar: os fins específicos que afetam direitos do sistema; as categorias de indivíduos cujos direitos podem ser afetados; os riscos previsíveis de dano e a probabilidade e gravidade desses riscos; a forma como as salvaguardas legais existentes atenuam esses riscos; e as medidas adotadas para monitorizar o sistema após a implementação. A AIDF concluída deve ser disponibilizada à autoridade nacional de supervisão de IA mediante pedido e deve ser atualizada sempre que o sistema seja modificado ou implementado num novo contexto.
Supervisão Humana e Responsabilidade Designada
O Art. 26(1) exige que os implementadores atribuam a supervisão humana dos sistemas de IA de alto risco a pessoas singulares com a competência, autoridade e recursos necessários para intervir. Na administração pública, isto significa que cada processo automatizado que afeta indivíduos — seja a elegibilidade para prestações, a pontuação de risco fronteiriço ou os resultados de apoio judicial — deve ter um funcionário identificado que possa substituir o resultado do sistema e que não esteja estruturalmente incentivado a deferir perante ele.
Transparência perante as Pessoas Afetadas
O Art. 13 exige que os implementadores assegurem que as pessoas sujeitas a decisões assistidas por IA sejam claramente informadas de que está a ser utilizado um sistema de IA. Na administração pública, esta obrigação exige tipicamente a inserção de divulgações sobre a utilização de IA em cartas de decisão, comunicações administrativas e procedimentos de audiência. O Art. 86 protege a confidencialidade dos dados submetidos às autoridades de supervisão no contexto da monitorização da conformidade, proporcionando uma via para que a documentação interna sensível seja divulgada sem exposição pública.
Registo, Conservação de Dados e Comunicação de Incidentes
Os implementadores devem manter registos operacionais da atividade do sistema de IA por um período mínimo — pelo menos seis meses para a maioria dos sistemas de alto risco, com retenção alargada quando o quadro jurídico que rege o processo administrativo subjacente o exija. Os incidentes graves — incidentes que resultem em morte, lesões graves, danos materiais significativos ou violações de direitos fundamentais — devem ser comunicados à autoridade nacional de supervisão de IA competente sem atraso injustificado.
Práticas Proibidas na Administração Pública
Certas práticas de IA são absolutamente proibidas ao abrigo do Art. 5 do EU AI Act. Para as autoridades públicas, três proibições têm relevância operacional direta.
Art. 5(1)(c) — Pontuação social por autoridades públicas: Os sistemas de IA que avaliam ou classificam indivíduos com base no seu comportamento social ou características de personalidade para gerar uma pontuação utilizada para determinar o acesso a serviços públicos, prestações ou tratamento jurídico são proibidos. Esta proibição é especificamente dirigida às autoridades públicas e visa os mecanismos de crédito social, independentemente da forma como são designados ou estruturados.
Art. 5(1)(d) — Identificação biométrica remota em tempo real em espaços públicos: A utilização de sistemas de identificação biométrica remota em tempo real baseados em IA (reconhecimento facial, análise de marcha ou outras ferramentas biométricas) em espaços acessíveis ao público pelas autoridades de aplicação da lei é proibida, com sujeição a três exceções restritas: buscas direcionadas de crianças desaparecidas; prevenção de ameaças terroristas específicas e iminentes; e identificação de suspeitos em crimes graves em que tenha sido obtida autorização judicial ou administrativa independente prévia. Estas exceções são taxativas; nenhum programa de vigilância geral se qualifica.
Art. 5(1)(e) — Técnicas subliminares e manipuladoras: Os sistemas de IA que empregam técnicas que operam abaixo do limiar da consciência para manipular o comportamento individual, ou que exploram vulnerabilidades de grupos específicos, são proibidos para todos os implementadores, incluindo as autoridades públicas.
Execução — Autoridades de Supervisão e Mecanismos de Controlo
A arquitetura de execução do AI Act no setor público envolve múltiplas camadas de autoridade competente.
As autoridades nacionais de supervisão de IA designadas ao abrigo do Art. 70 são os principais organismos de execução do Regulamento em cada Estado-Membro. Na maioria das jurisdições, estas autoridades estão ou estarão integradas ou estreitamente alinhadas com as autoridades de proteção de dados existentes. Dispõem de poderes para realizar auditorias, solicitar documentação técnica e resultados de AIDF, emitir ordens corretivas e impor coimas administrativas.
As coimas aplicáveis a organismos públicos estão sujeitas à discricionariedade dos Estados-Membros ao abrigo do Art. 99(6): os Estados-Membros podem estabelecer que as autoridades públicas não estão sujeitas a sanções pecuniárias, mas devem assegurar que existam mecanismos alternativos de supervisão e correção — incluindo auditorias obrigatórias, publicação das conclusões de incumprimento e suspensão da utilização de sistemas de IA. Esta discricionariedade não se estende a permitir o incumprimento; diz respeito apenas ao mecanismo de sanção financeira.
As autoridades de proteção de dados (APD) e o CEPD conservam competência paralela sobre as dimensões de tratamento de dados pessoais da IA no setor público ao abrigo do GDPR e da DAL. O incumprimento das obrigações do GDPR ou da DAL no contexto da operação de sistemas de IA está sujeito à execução pelas APD, independentemente da autoridade de supervisão do AI Act.
O Tribunal Europeu dos Direitos Humanos constitui uma restrição constitucional externa: as decisões tomadas com base em processos algorítmicos — nomeadamente na justiça penal e na imigração — devem satisfazer os padrões da Convenção para o Art. 6 (processo equitativo) e o Art. 8 (vida privada), tal como interpretados na jurisprudência evolutiva do TEDH sobre a tomada de decisões automatizada.
Roteiro de Implementação para Organismos Públicos
Fase 1 — Inventário e Classificação de Sistemas de IA (Meses 1-3)
Os organismos públicos devem, em primeiro lugar, estabelecer um inventário abrangente de todos os sistemas de IA atualmente em uso ou em processo de aquisição. Cada sistema deve ser avaliado relativamente às categorias 5 a 8 do Anexo III e às disposições de proibição do Art. 5. Os sistemas que envolvam tratamento de dados pessoais devem ser avaliados simultaneamente face aos requisitos do GDPR e da DAL. O resultado desta fase é um inventário classificado — proibido, de alto risco, de risco limitado ou de risco mínimo — que orienta o programa de conformidade.
Fase 2 — Avaliações de Impacto sobre os Direitos Fundamentais (Meses 3-6)
Para cada sistema de alto risco identificado, os organismos públicos devem encomendar e concluir uma AIDF ao abrigo do Art. 27. Isto exige contributos jurídicos, técnicos e de política pública: análise jurídica dos direitos em causa; documentação técnica do funcionamento do sistema, dados de treino e modos de falha conhecidos; e uma avaliação de política das medidas de mitigação disponíveis. As AIDF devem ser documentadas e estar prontas para submissão às autoridades de supervisão.
Fase 3 — Verificação de Fornecedores e Reforma da Contratação Pública (Meses 3-9)
Os procedimentos de contratação pública devem ser atualizados para exigir que os fornecedores de IA demonstrem conformidade com o EU AI Act como condição de adjudicação do contrato. Os implementadores devem verificar a marcação CE, a Declaração de Conformidade, a documentação técnica e os compromissos de monitorização pós-comercialização antes da implementação. Os organismos públicos que atuem como operadores conjuntos ou co-desenvolvedores com fornecedores de tecnologia devem clarificar contratualmente a repartição de responsabilidades pelas obrigações de avaliação de conformidade.
Fase 4 — Salvaguardas Operacionais e Formação de Pessoal (Meses 6-12)
Os responsáveis designados pela supervisão humana devem ser identificados para cada sistema de IA de alto risco, receber formação sobre as capacidades e limitações do sistema, e ser dotados de procedimentos de substituição. Os avisos de transparência para as pessoas afetadas devem ser redigidos e integrados nos procedimentos administrativos existentes. A infraestrutura de registo deve ser verificada ou estabelecida. Os protocolos de comunicação de incidentes devem ser integrados nos processos existentes de gestão de incidentes administrativos e de proteção de dados.
Fase 5 — Monitorização Contínua e Revisão Anual
A conformidade dos sistemas de IA de alto risco não é um exercício de certificação único. As obrigações de monitorização pós-comercialização exigem que os organismos públicos acompanhem ativamente o desempenho do sistema, documentem quaisquer alterações na precisão, enviesamento ou comportamento, e atualizem as AIDF quando ocorram alterações materiais. Os relatórios anuais às autoridades de supervisão, quando exigidos pela legislação nacional, devem ser suportados pela documentação gerada através do programa de monitorização.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Sim. Os sistemas de IA utilizados para determinar a elegibilidade para serviços de prestações públicas essenciais — incluindo subsídios de desemprego, apoio à habitação, prestações por incapacidade e assistência social — estão expressamente listados como de alto risco no **Anexo III, ponto 5(b)** do EU AI Act. Os organismos públicos que implementem tais sistemas devem cumprir o conjunto integral das obrigações dos implementadores de sistemas de alto risco previstas no **Art. 26** e devem realizar uma **avaliação de impacto sobre os direitos fundamentais (AIDF) obrigatória** ao abrigo do **Art. 27** antes da implementação. As pessoas sujeitas a decisões automatizadas de elegibilidade conservam o direito à explicação e à revisão por intervenção humana.
Os organismos públicos que implementem sistemas de IA de alto risco devem: verificar que o sistema ostenta a marcação CE e é acompanhado de uma Declaração de Conformidade UE; realizar uma **avaliação de impacto sobre os direitos fundamentais (AIDF) obrigatória** ao abrigo do **Art. 27**, que deve ser submetida à autoridade nacional de supervisão de IA competente quando exigido; implementar as instruções de utilização do fornecedor e designar pessoal qualificado responsável pela supervisão humana ao abrigo do **Art. 26(1)**; manter registos operacionais durante pelo menos seis meses; notificar as pessoas de que um sistema de IA está a ser utilizado em decisões que as afetam, conforme exigido pelo **Art. 13**; e registar a implementação na **base de dados UE para IA de alto risco (EUAI DB)** quando aplicável ao abrigo do **Art. 49(2)**.
A IA de policiamento preditivo — sistemas que geram avaliações de risco ou pontuações de perfil para indivíduos com base em comportamento passado, características sociais ou dados geográficos — é classificada como de alto risco ao abrigo do **Anexo III, ponto 6(a)**. A utilização não é proibida de forma absoluta, mas desencadeia o regime completo de conformidade para sistemas de alto risco, incluindo a avaliação de conformidade obrigatória, a AIDF ao abrigo do **Art. 27**, as obrigações de supervisão humana e a documentação técnica. Separadamente, o **Art. 5(1)(c)** proíbe a pontuação social baseada em IA por parte de autoridades públicas para fins gerais não relacionados com a aplicação da lei. Adicionalmente, o **Art. 5(1)(d)** proíbe a identificação biométrica remota em tempo real em espaços acessíveis ao público para fins de aplicação da lei, exceto em três circunstâncias estritamente definidas com autorização judicial ou administrativa independente prévia.
Não, mas é estreitamente regulada. Os sistemas de IA utilizados para pesquisar factos, interpretar legislação aplicável ou prever resultados judiciais são classificados como de alto risco ao abrigo do **Anexo III, ponto 8**. Só podem ser implementados por tribunais e autoridades judiciárias se superarem a avaliação de conformidade, forem acompanhados de documentação técnica completa, incluírem mecanismos robustos de supervisão humana e estiverem sujeitos a uma AIDF ao abrigo do **Art. 27**. Os sistemas de IA não podem emitir decisões judiciais de forma autónoma; qualquer resultado deve estar sujeito a revisão judicial substantiva. O **Art. 47 da Carta dos Direitos Fundamentais da UE** (direito a um processo equitativo) e a jurisprudência do Tribunal Europeu dos Direitos Humanos impõem restrições constitucionais adicionais à justiça algorítmica.
A Diretiva Aplicação da Lei (DAL) 2016/680 rege o tratamento de dados pessoais pelas autoridades competentes para fins de prevenção, investigação, deteção ou repressão de infrações penais. Funciona em paralelo com o EU AI Act — e não é substituída por este. Quando as autoridades de aplicação da lei implementam sistemas de IA de alto risco que envolvem tratamento de dados pessoais (criação de perfis, pontuação de risco, análise biométrica), ambos os regimes aplicam-se simultaneamente. A DAL exige uma base jurídica e a limitação de finalidade para o tratamento de dados; o AI Act impõe obrigações adicionais sobre o próprio sistema de IA — governação de dados, documentação técnica, monitorização pós-comercialização, transparência perante as pessoas afetadas. O cumprimento da DAL não satisfaz as obrigações do AI Act, e vice-versa. Os implementadores devem manter uma análise jurídica que demonstre o cumprimento dual.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.