arqmetrica
·
Saiba a sua pontuação
eu ai act

24 de abril de 2026

AI Act da UE para empresas mid-market europeias — uma checklist prática para 2026

A partir de Agosto de 2026, o AI Act da UE passa a impor classificação de risco, transparência e governance a empresas que utilizem IA na Europa. Esta é a checklist prática de 12 pontos para organizações mid-market que se preparam agora.

8 min de leitura

O que entra em vigor em Agosto de 2026

O AI Act da UE — Regulamento (UE) 2024/1689 — entra em vigor por fases entre 2025 e 2027. O marco de Agosto de 2026 é o que mais interessa à maioria das organizações mid-market: activa as obrigações integrais sobre sistemas de IA de alto risco ao abrigo dos Artigos 6 a 49, os deveres de transparência sobre sistemas de risco limitado previstos no Artigo 50 e o requisito de literacia em IA do Artigo 4, que se aplica a qualquer organização que utilize IA na UE, independentemente do nível de risco.

Para empresas mid-market, a pergunta deixou de ser "devemos preparar-nos?" algures em 2025. Ao longo do 2T 2026, a pergunta é "estaremos prontos para auditoria em Agosto?" O inquérito Capgemini Research Institute do 4T 2024 sobre prontidão para o AI Act concluiu que 31% das empresas mid-market europeias têm um responsável nomeado para a governance da IA. As restantes 69% irão passar o 3T 2026 a construir trilhas de evidência de forma reactiva. É uma conversa muito mais difícil com os reguladores do que construí-las prospectivamente agora.

Os quatro níveis de risco

O Regulamento classifica os sistemas de IA em quatro níveis. O primeiro passo de qualquer organização mid-market é inventariar os seus casos de uso de IA e colocar cada um no nível correcto.

Proibido (Artigo 5). Manipulação subliminar, exploração de vulnerabilidades de grupos específicos, social scoring por autoridades públicas, recolha indiscriminada de imagens faciais, identificação biométrica remota em tempo real em espaços públicos (com excepções restritas para autoridades policiais) e reconhecimento de emoções no local de trabalho ou em estabelecimentos de ensino. Estão fora desde Fevereiro de 2025 — não são lícitos sob qualquer enquadramento de conformidade. As exposições mid-market neste nível são tipicamente involuntárias: ferramentas de people analytics que inferem estados afectivos, ferramentas de apoio ao cliente que classificam quem liga em função de vulnerabilidade emocional.

Alto risco (Artigo 6 + Anexo III). IA usada em decisões de emprego (triagem de CV, avaliação de desempenho, atribuição de tarefas), credit scoring de pessoas singulares, acesso a serviços essenciais públicos e privados, educação (admissões, avaliação), operação de infra-estruturas críticas, aplicação da lei, migração. Activam o regime integral de avaliação de conformidade dos Artigos 16 a 49: documentação técnica, registo automático, transparência, supervisão humana, requisitos de exactidão e robustez, monitorização pós-mercado. Exemplos mid-market: um fornecedor HR-tech que faz triagem de CVs para clientes B2B, uma fintech que executa decisões de crédito, uma EdTech que avalia trabalhos de alunos.

Risco limitado (Artigo 50). Chatbots, conteúdos gerados ou manipulados por IA (texto, imagens, áudio, vídeo), categorização biométrica, reconhecimento de emoções fora dos contextos proibidos. O dever é de divulgação: os utilizadores têm de ser informados de que estão a interagir com IA ou a consumir conteúdos gerados por IA. A maior parte dos chatbots B2B SaaS, dos geradores de conteúdo de marketing e das ferramentas de apoio ao cliente assistidas por IA caem aqui.

Risco mínimo. Filtros de spam, sistemas de recomendação para serviços não essenciais, optimização de inventário, previsão de procura. Sem obrigações específicas no Regulamento, embora o requisito de literacia do Artigo 4 continue a aplicar-se.

A checklist de prontidão de 12 pontos

Cada item abaixo está mapeado a um Artigo específico do Regulamento. A lista é o que esperaríamos que uma organização mid-market conseguisse evidenciar no dia de uma auditoria, independentemente do nível de risco — os pontos 4 a 7 e 9 a 11 restringem-se especificamente a sistemas de alto risco.

  1. Inventário dos casos de uso de IA. Todos os sistemas da organização que usam IA, identificados e classificados ao abrigo do Artigo 6 e do Anexo III. A lista é dinâmica; deve ser revista trimestralmente. A maioria das organizações mid-market subestima o universo num factor de três na primeira passagem — SaaS de fornecedores com IA embutida é a falha habitual.

  2. Classificação de risco por caso de uso. Cada entrada do inventário tem uma classificação formal de risco com fundamentação de um parágrafo. "Achamos que não é alto risco" não é uma classificação. O Artigo 6 tem critérios objectivos; aplicá-los.

  3. Documentação de governance de dados ao abrigo do Artigo 10. Para cada sistema de alto risco, governance demonstrável sobre os dados de treino, validação e teste: opções de design relevantes, processos de recolha de dados, preparação dos dados, exame de enviesamentos, identificação de lacunas. É o item mais difícil para organizações mid-market porque exige evidência que recua até ao momento em que os dados foram pela primeira vez adquiridos.

  4. Documentação técnica ao abrigo do Artigo 11 e Anexo IV. Um dossier técnico mantido por sistema de alto risco, cobrindo finalidade, design, desenvolvimento, avaliação, monitorização e ciclo de vida. É o equivalente a um dossier técnico de marcação CE em segurança de produtos, e o padrão é semelhante.

  5. Registo automático de eventos ao abrigo do Artigo 12. Obrigatório para sistemas de alto risco; tratamo-lo como boa prática em todo o lado. Os registos têm de permitir o rastreio do funcionamento do sistema até aos inputs que produziram qualquer output, com retenção pelo ciclo de vida do sistema.

  6. Divulgações de transparência. Ao abrigo do Artigo 13 para sistemas de alto risco (instruções de utilização, características, capacidades, limitações) e ao abrigo do Artigo 50 para sistemas de risco limitado (divulgação da interacção com IA, dos conteúdos gerados por IA). Os deveres do Artigo 50 são aqueles em que a maioria das organizações mid-market mais incumpre.

  7. Processos de supervisão humana ao abrigo do Artigo 14. Sobreposições humanas nomeadas para sistemas de alto risco, com as medidas técnicas e organizativas que efectivamente as permitem — não apenas no papel. Inclui condições de paragem claras e SLAs para revisão humana.

  8. Programa de literacia em IA ao abrigo do Artigo 4. Aplica-se a TODAS as organizações que utilizam IA, não apenas àquelas com sistemas de alto risco. Os colaboradores devem ter literacia em IA suficiente para a função; o requisito é diferenciado por função, não uniforme. Documentar o currículo, as coortes e as taxas de conclusão.

  9. Avaliação de conformidade para sistemas de alto risco ao abrigo dos Artigos 43 a 49. Controlo interno (Anexo VI) ou avaliação por terceiros (Anexo VII), consoante o sistema. O resultado é a declaração UE de conformidade e a marcação CE.

  10. Plano de monitorização pós-mercado ao abrigo do Artigo 72. Monitorização contínua e documentada dos sistemas de alto risco em funcionamento, com retroacção para a gestão de risco e para o dossier técnico. Reporte anual esperado.

  11. Processo de reporte de incidentes ao abrigo do Artigo 73. Incidentes graves — definidos no Artigo 3 — têm de ser reportados à autoridade nacional competente em 15 dias. Construir o processo antes do primeiro incidente, não depois.

  12. Comité interno de governance de IA. Não é exigência legal do Regulamento. É a via prática de evidência: um órgão transversal nomeado que revê os pontos 1 a 11 com cadência regular e assina os dossiers técnicos. Sem ele, a documentação tende a desalinhar-se da realidade operacional entre auditorias.

O que significa "documentado"

Os reguladores querem evidência, não afirmações. Especificamente: documentação datada, versionada e assinada, anterior à auditoria. Um documento criado de forma reactiva após um pedido de conformidade parece — e é — um documento reactivo. A trilha de auditoria começa no dia em que o sistema é concebido, não no dia em que o regulador pergunta por ele.

Três propriedades separam a documentação preparada para auditoria daquela que falha em auditoria. Proveniência: cada afirmação é rastreável até aos dados, decisão ou pessoa que a originou. Cadência: a revisão e a assinatura acontecem num calendário definido, não a pedido. Independência: alguém que não é o proprietário do sistema revê a documentação e assina. As 31% das organizações mid-market europeias que têm um responsável nomeado pela governance de IA tipicamente têm pelo menos a terceira propriedade. As outras 69% quase nunca a têm.

Heurística prática: se a sua documentação de IA está em decks de slides, não está pronta para auditoria. Os decks de slides foram desenhados para persuasão, não para evidência. Se vive num registo versionado — Markdown em git, espaço Confluence, wiki estruturado, qualquer um destes serve — tem uma posição inicial.

Onde o mid-market falha tipicamente

Repetem-se três modos de falha em auditorias que observámos.

O primeiro é a lacuna de divulgação do Artigo 50. Sistemas de risco limitado — chatbots, geradores de conteúdo — não parecem IA regulada à maioria das organizações por não serem de alto risco. O dever de divulgação do Artigo 50 aplica-se na mesma e é executável pelas mesmas coimas.

O segundo é a lacuna de literacia em IA do Artigo 4. Organizações sem IA de alto risco assumem que o Artigo 4 não se lhes aplica. Aplica-se a todas. O programa de literacia tem de estar em vigor, documentado e demonstravelmente diferenciado por função.

O terceiro é a lacuna de IA por fornecedor. As organizações mid-market consomem IA sobretudo através de fornecedores SaaS. Quando o fornecedor classifica a IA embutida como alto risco, o utilizador (a organização que a utiliza) herda responsabilidades ao abrigo do Artigo 26. A maioria das organizações mid-market não leu as obrigações do utilizador no Artigo 26 e assume que o fornecedor suporta integralmente o risco. Não suporta.

O que fazer hoje

A dimensão de Governance & ética do Arqmetrica AI Maturity Index avalia-o face a sinais específicos de prontidão para o AI Act da UE: integralidade do inventário, disciplina de classificação de risco, evidência de governance de dados, postura de monitorização pós-mercado, prontidão para reporte de incidentes. A lógica integral de ancoragem — que pergunta corresponde a que Artigo do Regulamento — está documentada na página de metodologia.

Se é o responsável nomeado pela governance de IA na sua organização, esta checklist é a agenda das suas próximas duas revisões trimestrais. Se não é o responsável nomeado e não existe responsável nomeado, nomear um é o item zero da lista — sem ele, os pontos 1 a 12 não serão defensáveis.