Artigo da autoria de Vera Lúcia Silva, CEO da Lexicode | Gestora da Wescribe | Jurista em Direito Digital e Proteção de Dados.

A Inteligência Artificial (IA) está a transformar a forma como criamos, decidimos e trabalhamos.

Mas, com o AI Act (Regulamento UE 2024/1689), a mensagem da União Europeia é clara: inovar, sim, mas com segurança e respeito pelos direitos fundamentais.
Desconhecer a lei não é desculpa – e as coimas podem ser brutais.

É simples: tal como não conduzimos sem saber que um STOP exige parar, também não devíamos usar IA sem conhecer o mínimo das regras que agora são lei.

Uma IA pode ser de risco – e isso tem consequências

O AI Act adotou uma abordagem baseada no risco. Não é tudo proibido, mas quanto mais impacto a IA tiver sobre a vida das pessoas, mais exigências há:

• Risco inaceitável: IAs que manipulam comportamentos, vigilância em massa ou sistemas de pontuação social são proibidas.
• Alto risco: IAs usadas em recrutamento, crédito, saúde ou justiça são permitidas, mas só com garantias sérias:
  • Supervisão humana obrigatória.
  • Avaliação e mitigação dos riscos.
  • Transparência e documentação do sistema.
• Risco limitado: Chatbots ou ferramentas de IA generativa precisam de transparência. Por exemplo, informar o utilizador de que está a interagir com uma IA.
• Risco mínimo: Filtros de spam ou sistemas de recomendação de produtos exigem menos regras.

Exemplo prático:

• Estás a usar IA para ajudar a escolher candidatos numa vaga de emprego? Sistema de alto risco. Precisa de supervisão humana e de garantir que não está a excluir perfis com base em critérios discriminatórios.
• Usas um chatbot no atendimento ao cliente? Risco limitado. Basta informar claramente que é um assistente virtual.

O preço do erro é alto

As empresas que não cumprirem o AI Act arriscam coimas até 40 milhões de euros ou 7% do volume de negócios anual global – um valor superior ao do RGPD.

Exemplo prático:
Uma empresa que utiliza IA num sistema de avaliação de crédito, mas não consegue explicar como a decisão é tomada ou não permite que o cliente peça revisão por um humano, pode ser sancionada.
E o argumento “não sabia” não serve. Quem usa IA é responsável por garantir que cumpre a lei.

Dados pessoais e IA: menos é mais

Se a tua IA trabalha com dados pessoais, o RGPD continua a aplicar-se – e há um princípio que deve ter sempre presente: a minimização dos dados (artigo 5.º, n.º 1, alínea c)).

Significa que só deve recolher e tratar os dados estritamente necessários para a finalidade que pretende.
A IA pode dar a sensação de que “quanto mais dados, melhor”, mas isso é juridicamente perigoso.

Exemplo prático:

• Estás a treinar um algoritmo para personalizar ofertas aos clientes e recolhe moradas, NIF, género, dados de saúde e até informações sobre religião.
• Problema: muitos desses dados não são necessários para personalizar ofertas e alguns são dados sensíveis (religião, saúde), que exigem bases legais muito específicas.

O que pode correr mal?

A CNPD tem aplicado coimas a empresas que recolhem dados em excesso ou que guardam dados por tempo indefinido (princípio da limitação da conservação).

Dicas práticas:

• Antes de recolher dados para alimentar a IA, pergunta: “Preciso mesmo disto?”
• Evita recolher dados sensíveis (saúde, religião, política) sempre que possível.
• Define um prazo claro para apagar os dados que não são mais necessários.

Usar IA sem conhecer a lei é um risco desnecessário

A IA é uma ferramenta essencial para inovar, mas a regulação chegou e é para cumprir.
Conhecer o AI Act e o RGPD não é um extra, é um requisito para quem quer usar IA sem colocar o negócio em risco.

Na dúvida, informa-te.

Porque, tal como no trânsito, não saber a diferença entre uma coima e uma multa, nunca impediu ter de pagar um pouco simpático valor por ter estacionado em cima do passeio.

---