Conformidade com o Regulamento da UE sobre IA para pequenas e médias empresas. Disposições específicas para PME, acesso a sandboxes, taxas reduzidas e orientações práticas para utilizadores e desenvolvedores de IA.
Regulamento da UE sobre IA e PME — As Boas Notícias
O Regulamento da UE sobre IA (Regulamento (UE) 2024/1689) aplica-se a todas as organizações que colocam ou utilizam sistemas de IA no mercado da UE, independentemente da sua dimensão. No entanto, a realidade regulatória para a maioria das pequenas e médias empresas é consideravelmente menos onerosa do que os títulos sugerem, por uma razão fundamental: a grande maioria das PME utiliza IA em vez de a desenvolver.
Uma PME que subscreve um CRM com funcionalidades de IA, disponibiliza um chatbot de um fornecedor SaaS, ou utiliza software de previsão de procura baseado na nuvem é, na terminologia do Regulamento da UE sobre IA, um utilizador — e não um fornecedor. As obrigações dos utilizadores são sistematicamente menos exigentes do que as dos fornecedores. Os fornecedores suportam o encargo principal da avaliação de conformidade, da documentação técnica, da marcação CE e do registo. Os utilizadores têm um conjunto de obrigações mais circunscrito, centrado na utilização correta, na supervisão humana e na notificação de incidentes.
Para além da distinção utilizador/fornecedor, o Regulamento da UE sobre IA contém um conjunto específico de disposições para PME que oferecem apoio estrutural: acesso prioritário a sandboxes regulatórios, taxas reduzidas de avaliação de conformidade e um ponto de contacto único dedicado a nível nacional. Estas disposições refletem a intenção explícita do legislador de impedir que o Regulamento da UE sobre IA se torne um obstáculo desproporcionado para os participantes mais pequenos do mercado.
O presente guia expõe o que o Regulamento da UE sobre IA significa na prática para uma PME — quer utilize ferramentas de IA de terceiros, disponibilize IA em contextos orientados para clientes, ou esteja ela própria a desenvolver e comercializar um produto de IA.
Disposições Específicas para PME no Regulamento
O Regulamento da UE sobre IA inclui quatro disposições que se aplicam especificamente às PME (empresas que cumprem o limiar da Recomendação da Comissão 2003/361/CE: menos de 250 trabalhadores e volume de negócios anual não superior a 50 milhões de euros ou balanço total não superior a 43 milhões de euros) e às startups.
Art. 55.º — Acesso Prioritário a Sandboxes Regulatórios
O Art. 55.º estabelece que os sandboxes regulatórios de IA — ambientes supervisionados para o desenvolvimento e teste de IA antes da colocação no mercado — devem ser acessíveis prioritariamente às PME e às startups. O acesso é gratuito ou sujeito a taxas reduzidas, e as organizações participantes recebem orientação direta da autoridade competente. O acesso ao sandbox permite a identificação de riscos antes da entrada no mercado e o diálogo regulatório num contexto protegido, sem as consequências de uma colocação no mercado em situação de não conformidade. As PME que desenvolvem sistemas de IA devem considerar a participação no sandbox simultaneamente como um instrumento de conformidade e um mecanismo de contacto direto com a autoridade de supervisão antes do lançamento do produto.
Art. 96.º — Taxas Reduzidas para a Avaliação de Conformidade
Quando um sistema de IA de alto risco exige avaliação de conformidade por terceiros junto de um organismo notificado (aplicável aos sistemas listados nos pontos 1, 6 e 7 do Anexo III e à IA em dispositivos médicos ao abrigo do Art. 6.º(1)), o Art. 96.º exige que os Estados-Membros estabeleçam taxas reduzidas para as pequenas empresas. As microempresas — aquelas com menos de 10 trabalhadores e volume de negócios anual ou balanço total não superior a 2 milhões de euros — têm direito a reduções ainda mais significativas. Os calendários de taxas exatos são fixados ao nível dos Estados-Membros e variam consoante a jurisdição; a autoridade nacional de IA competente ou a Enterprise Europe Network podem fornecer os valores atuais.
Art. 85.º — Ponto de Contacto Único
O Art. 85.º obriga as autoridades nacionais de supervisão da IA a estabelecer um ponto de contacto único dedicado às PME. Isto significa que uma PME que procure orientação sobre as obrigações do Regulamento da UE sobre IA não precisa de navegar por múltiplos departamentos regulatórios ou coordenar com autoridades fragmentadas. O ponto de contacto único fornece informação, encaminha consultas para a função adequada e facilita as candidaturas aos sandboxes. Esta disposição reduz significativamente o custo administrativo de compreensão das obrigações regulatórias.
Art. 9.º(5) — Gestão de Riscos Proporcional
O Art. 9.º(5) prevê que o sistema de gestão de riscos exigido aos fornecedores de sistemas de IA de alto risco pode ser implementado de forma proporcionada, tendo em conta a dimensão e a estrutura da organização. Para uma PME que atue como fornecedora de um sistema de alto risco, isto significa que, embora todos os requisitos substantivos do sistema de gestão de riscos devam ser cumpridos, o formato da documentação, a complexidade dos processos e a estrutura de governação podem ser adaptados à capacidade efetiva da organização — desde que tal não prejudique os objetivos de proteção do quadro regulatório.
É Fornecedor ou Utilizador? — Quadro de Decisão para PME
A determinação preliminar mais importante para qualquer PME que se relacione com o Regulamento da UE sobre IA é saber se atua como fornecedor ou como utilizador relativamente a cada sistema de IA que utiliza ou oferece.
Fornecedor (Art. 3.º(3)): Uma organização que desenvolve um sistema de IA, ou manda desenvolver um sistema de IA, e o coloca no mercado ou disponibiliza sob o seu próprio nome ou marca — com ou sem fins comerciais. Inclui as PME que:
- Desenvolvem um produto de software que incorpora IA (incluindo modelos de IA acedidos via API) e vendem ou licenciam esse produto a clientes;
- Desenvolvem um modelo ou aplicação de IA internamente e o disponibilizam como serviço a utilizadores finais externos à organização;
- Modificam substancialmente um sistema de IA de terceiros de forma a alterar a sua finalidade prevista.
Utilizador (Art. 3.º(4)): Uma organização que utiliza um sistema de IA sob a sua própria responsabilidade, para fins profissionais. Abrange as PME que:
- Subscrevem produtos SaaS com funcionalidades de IA integradas (CRM, ERP, software de contabilidade com IA);
- Utilizam um chatbot ou IA conversacional de terceiros no seu sítio web;
- Acedem a APIs de IA na nuvem (processamento de linguagem natural, classificação de imagens, motores de recomendação) exclusivamente para automatizar fluxos de trabalho internos ou melhorar os seus próprios serviços, sem oferecer a capacidade de IA como funcionalidade de produto a terceiros;
- Adquirem ferramentas de software de RH, previsão de inventário ou análise de clientes a fornecedores externos.
O caso-limite crítico: Uma PME que integra uma API de IA externa no seu próprio produto orientado para clientes e comercializa essa capacidade como uma funcionalidade do seu produto é fornecedora relativamente a essa funcionalidade de IA — e não meramente utilizadora da API subjacente. A entidade jurídica que define a finalidade prevista, controla a experiência do utilizador e coloca o produto no mercado suporta as obrigações do fornecedor ao abrigo do Art. 16.º, independentemente da origem do modelo de IA.
Principais Obrigações dos Utilizadores de IA de Terceiros no Âmbito das PME
Para a maioria das PME — as que disponibilizam ferramentas de IA de terceiros em vez de desenvolverem as suas próprias — aplicam-se as seguintes obrigações ao abrigo do Art. 26.º e disposições conexas.
Utilizar os Sistemas de IA de Acordo com as Instruções do Fornecedor
Os utilizadores devem utilizar os sistemas de IA de alto risco apenas em conformidade com as instruções de utilização do fornecedor, tal como fornecidas ao abrigo do Art. 13.º. A utilização de um sistema de IA para fins que excedam a finalidade prevista documentada, ou em configurações não validadas pelo fornecedor, transfere uma parte da responsabilidade de conformidade para o utilizador e pode invalidar a avaliação de conformidade do sistema.
Designar Supervisão Humana Responsável
O Art. 26.º(1) exige que os utilizadores atribuam a responsabilidade pela supervisão da IA a uma pessoa qualificada dentro da organização. Para a maioria das PME, trata-se de um indivíduo identificado (não necessariamente um responsável dedicado pela conformidade em matéria de IA) que compreende a função do sistema, as suas limitações conhecidas e as circunstâncias em que a intervenção humana é necessária. Esta designação deve ser documentada.
Conservar Registos Operacionais
Quando os sistemas de IA de alto risco geram registos automaticamente (Art. 12.º), os utilizadores devem conservá-los pelo período legalmente exigido — em geral, seis meses ao abrigo do Regulamento da UE sobre IA, salvo se a legislação setorial exigir um período de conservação mais longo. Os utilizadores devem verificar que o contrato com o fornecedor concede acesso aos registos e confirmar o seu formato e integridade.
Notificar o Fornecedor de Incidentes Graves
O Art. 26.º(5) exige que os utilizadores notifiquem o fornecedor de quaisquer incidentes graves ou avarias detetados durante a utilização. Quando a organização utilizadora for um organismo público, as obrigações de notificação estendem-se à autoridade nacional de supervisão da IA. Para as PME utilizadoras no setor privado, o canal principal é a notificação direta ao fornecedor, que tem então as suas próprias obrigações de notificar a autoridade ao abrigo do Art. 73.º.
Realizar uma Avaliação de Impacto sobre os Direitos Fundamentais Quando Aplicável
O Art. 27.º exige que os organismos públicos que disponibilizem IA de alto risco realizem uma avaliação de impacto sobre os direitos fundamentais antes da disponibilização. As PME do setor privado que disponibilizem IA de alto risco — em particular em contextos de RH, avaliação de crédito ou decisão orientada para clientes — são fortemente recomendadas a realizar uma avaliação equivalente, uma vez que demonstra diligência devida e reduz materialmente o risco de aplicação coerciva.
Rever os Contratos com Fornecedores
As PME utilizadoras devem garantir que os seus contratos com fornecedores de IA incluam: documentação de conformidade e instruções de utilização; confirmação do registo na base de dados da UE quando tal seja exigido; especificação da capacidade de registo e dos direitos de acesso; compromisso do fornecedor quanto à notificação de incidentes e à remediação; e informação sobre as obrigações de atualização ou modificação que possam afetar o estatuto de conformidade do sistema.
Para PME que Desenvolvem IA — Obrigações dos Fornecedores e Apoio Disponível
As PME que desenvolvem e comercializam sistemas de IA são fornecedoras e suportam as obrigações plenas dos fornecedores ao abrigo do Capítulo III para qualquer sistema que seja de alto risco. O âmbito dessas obrigações é substancial: sistema de gestão da qualidade (Art. 17.º), documentação técnica nos termos do Anexo IV, governação de dados nos termos do Art. 10.º, registo ao abrigo do Art. 12.º, requisitos de transparência ao abrigo do Art. 13.º, conceção de supervisão humana ao abrigo do Art. 14.º, e normas de exatidão e robustez ao abrigo do Art. 15.º. Para os sistemas do Anexo III que exijam avaliação por organismo notificado, a via de conformidade segue o Art. 43.º.
O ponto de entrada prático para uma PME fornecedora é a determinação da classificação de risco:
- O sistema de IA está abrangido pelo Art. 5.º (práticas proibidas)? Se assim for, o desenvolvimento deve cessar ou ser fundamentalmente reestruturado antes de qualquer atividade de mercado.
- O sistema qualifica como de alto risco ao abrigo do Art. 6.º(1) (componente de segurança de um produto regulamentado) ou do Anexo III (domínios de aplicação listados, incluindo identificação biométrica, infraestruturas críticas, educação, emprego, serviços essenciais, aplicação da lei, migração, justiça)?
- O sistema qualifica apenas como modelo de IA de uso geral regido pelos Art. 51.º a 56.º, sem classificação de alto risco?
- O sistema está sujeito apenas às obrigações de transparência do Art. 50.º (reconhecimento de emoções, deepfakes, chatbots)?
Para as PME cujos sistemas não se enquadrem nas categorias de alto risco e proibidas, a conformidade é consideravelmente mais ligeira: divulgações de transparência ao abrigo do Art. 50.º, alinhamento com o GDPR e obrigações setoriais específicas ao abrigo do direito nacional ou da UE aplicável.
Para as PME que desenvolvem IA de alto risco, o sandbox regulatório do Art. 55.º é o instrumento mais importante disponível. A participação no sandbox permite testes antes da entrada no mercado sob supervisão regulatória, fornece evidência documentada de esforço de boa-fé em matéria de conformidade, e pode identificar ações corretivas antes de se tornarem matérias de aplicação coerciva. As candidaturas são apresentadas ao ponto de contacto único nacional (Art. 85.º).
Passos Práticos para a Conformidade das PME
Passo 1 — Inventariar todos os sistemas de IA em utilização ou em desenvolvimento. Listar todas as ferramentas de IA, produtos SaaS, APIs na nuvem e modelos desenvolvidos internamente. Indicar o fornecedor, a função e se a PME atua como fornecedor ou utilizador relativamente a cada um.
Passo 2 — Classificar cada sistema por categoria de risco. Aplicar o quadro Art. 5.º / Art. 6.º / Anexo III / Art. 50.º a cada sistema. Em caso de incerteza quanto à classificação, recorrer ao ponto de contacto único do Art. 85.º para obter orientação.
Passo 3 — Para funções de utilizador: auditar os contratos com fornecedores. Verificar se cada fornecedor de IA disponibilizou a documentação exigida ao abrigo do Art. 13.º e se o contrato abrange o registo, a notificação de incidentes e as obrigações de atualização. Sinalizar lacunas para renegociação.
Passo 4 — Para funções de fornecedor: iniciar o processo de conformidade. Determinar se o vosso sistema de IA de alto risco exige autoavaliação (Art. 43.º(2)) ou avaliação por organismo notificado terceiro (Art. 43.º(1)). Candidatar-se ao acesso ao sandbox ao abrigo do Art. 55.º se o sistema estiver em desenvolvimento. Contactar o organismo notificado antecipadamente para compreender os prazos e as implicações em termos de taxas, tendo em conta o vosso direito a reduções de taxas para PME ao abrigo do Art. 96.º.
Passo 5 — Implementar as obrigações dos utilizadores do Art. 26.º em todos os sistemas de alto risco. Designar responsáveis pela supervisão, documentar as suas responsabilidades, verificar os procedimentos de conservação de registos e confirmar os canais de notificação de incidentes.
Passo 6 — Estabelecer um ciclo de revisão do Regulamento da UE sobre IA. O Regulamento da UE sobre IA é um quadro em evolução. Designar um responsável para acompanhar as orientações do Gabinete de IA da UE, as atualizações das autoridades nacionais e as alterações às classificações do Anexo III. Programar uma revisão interna anual do inventário de sistemas e do estatuto de conformidade.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Sim. Se a vossa PME integrar um modelo de IA de terceiros (inclusive via API) num produto ou serviço que colocam no mercado ou disponibilizam sob o vosso próprio nome ou marca, são classificados como **fornecedores** ao abrigo do **Art. 3.º(3)** do Regulamento da UE sobre IA. Esta classificação aplica-se independentemente de o modelo subjacente ter sido desenvolvido por outra empresa. As obrigações do fornecedor — incluindo documentação técnica, avaliação de conformidade, marcação CE (para sistemas de alto risco) e registo — são da vossa responsabilidade. Quando o fornecedor do modelo de base disponibiliza documentação de conformidade e instruções de utilização, esses documentos apoiam o esforço de conformidade, mas não o substituem. Os Art. 55.º e Art. 96.º preveem mecanismos de apoio específicos para PME, com vista a reduzir o encargo de conformidade.
Depende de dois fatores: a natureza do chatbot e as suas funções. Em primeiro lugar, se o chatbot for um **sistema com recurso a IA de uso geral** que interage com utilizadores, deve cumprir a **obrigação de transparência do Art. 50.º**: os utilizadores devem ser informados de que estão a interagir com um sistema de IA, salvo quando tal seja evidente pelo contexto. Em segundo lugar, se o chatbot desempenhar funções qualificadas como de alto risco — por exemplo, triagem de candidatos a emprego, avaliação de solvabilidade ou tomada de decisões com efeitos jurídicos ou pessoais significativos — aplicam-se obrigações adicionais relativas a sistemas de alto risco. Um simples chatbot de perguntas frequentes ou de navegação em produtos que utilize um fornecedor SaaS de terceiros (em que a PME atua como utilizador) desencadeia principalmente o requisito de transparência do Art. 50.º e as obrigações do utilizador previstas no Art. 26.º, designadamente a utilização correta de acordo com as instruções e a notificação de incidentes.
Um **sandbox regulatório de IA** é um ambiente de teste supervisionado, criado pelas autoridades nacionais de supervisão da IA, no qual os fornecedores de IA — incluindo startups e PME — podem desenvolver, testar e validar sistemas de IA antes da colocação no mercado, com orientação regulatória direta. Os sandboxes são regulados pelos **Art. 57.º a 63.º** do Regulamento da UE sobre IA. O **Art. 55.º concede às PME e às startups acesso prioritário**, sendo a participação gratuita ou sujeita a taxas reduzidas. As candidaturas são apresentadas diretamente à autoridade nacional responsável pelo Regulamento da UE sobre IA no Estado-Membro em causa. No âmbito de um sandbox, a autoridade pode conceder derrogações limitadas a requisitos específicos para permitir testes genuínos; qualquer produto colocado no mercado após o período de sandbox deve cumprir todas as obrigações aplicáveis. Contacte o ponto de contacto único nacional para as PME (**Art. 85.º**) para obter os procedimentos de candidatura.
O registo na **base de dados da UE para sistemas de IA de alto risco** ao abrigo do **Art. 49.º** só é obrigatório se o vosso sistema for classificado como **de alto risco** ao abrigo do Art. 6.º ou do Anexo III. Os fornecedores de sistemas de alto risco devem registar-se antes da colocação no mercado; os utilizadores que sejam organismos públicos devem igualmente registar-se antes da utilização. A maioria das PME que disponibiliza sistemas de IA de terceiros (como consumidores de SaaS ou API) não é obrigada a proceder ao registo — essa obrigação recai sobre o fornecedor. Se a vossa PME for fornecedora de um sistema de IA de alto risco, o registo é obrigatório independentemente da dimensão da empresa, embora as disposições de apoio dos Art. 55.º e 96.º se apliquem para reduzir os custos associados e a complexidade processual. A base de dados é publicamente acessível e gerida pelo Gabinete de IA da UE.
Antes de disponibilizar um sistema de IA de terceiros, em especial um sistema que possa ser de alto risco, a vossa PME deve contratualmente exigir e obter: (1) a **Declaração UE de Conformidade** ou documentação de conformidade equivalente; (2) **instruções de utilização** nos termos do Art. 13.º, incluindo a finalidade prevista, as limitações conhecidas e os requisitos de supervisão humana; (3) confirmação de que o sistema foi **registado na base de dados da UE** quando tal seja obrigatório; (4) informação sobre as **capacidades de registo** do sistema e a forma como os registos podem ser acedidos ou recuperados; (5) os **procedimentos de notificação de incidentes** do fornecedor e as suas obrigações de vos notificar em caso de avarias ou atualizações que afetem a conformidade; e (6) informação sobre as **características de tratamento de dados** do sistema relevantes para as vossas obrigações ao abrigo do GDPR. A ausência destes documentos por parte de um fornecedor que ofereça um sistema de IA num domínio sensível constitui um risco material de conformidade.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.