WhatsApp Button


Regulamento IA (AI Act): o que muda para a sua PME em agosto de 2026 — e o que foi adiado


Se ouviu dizer que a União Europeia adiou o AI Act, ouviu apenas metade da verdade. E a parte que ficou de fora da notícia é precisamente a que pode afetar a sua empresa.

Em junho de 2026, as instituições europeias aprovaram um pacote de simplificação que adiantou para 2027 e 2028 as obrigações mais exigentes do Regulamento da Inteligência Artificial, nomeadamente as que recaem sobre os sistemas de risco elevado. 
A imprensa resumiu-o a três palavras: o AI Act foi adiado. Muitos gestores leram a notícia, respiraram de alívio e esqueceram o assunto.


No entanto, as obrigações que afetam a generalidade das pequenas e médias empresas, nomeadamente as de transparência, não foram adiadas. Mantêm-se para 2 de agosto de 2026.

Este guia explica, numa linguagem simples, o que muda nessa data, o que ficou para depois, quem fiscaliza em Portugal e o que a sua empresa deve verificar. E esclarece algo que quase ninguém diz: para uma PME, as obrigações são menos do que se teme e as coimas são muito menores do que se tem vindo a repetir.


 Calendário de aplicação do AI Act: práticas proibidas desde 2025, transparência a partir de agosto de 2026, e risco elevado adiado para 2027 e 2028


Resposta rápida

A partir de 2 de agosto de 2026, entram em vigor as obrigações de transparência previstas no Regulamento (UE) 2024/1689, também conhecido como AI Act. Quem interagir com um sistema de IA deverá ser informado, e os conteúdos gerados por IA deverão ser devidamente identificados. Foram adiadas as obrigações aplicáveis a sistemas de risco elevado, que passarão a ser exigíveis em dezembro de 2027 e agosto de 2028. Em Portugal, a supervisão cabe à ANACOM. 

A maioria das utilizações de IA numa PME é de risco mínimo e não gera novas obrigações — e, quando existem, resumem-se, na prática, a indicar que se trata de IA.

O AI Act foi mesmo adiado?

Em parte. Foram adiadas as obrigações aplicáveis aos sistemas de risco elevado. As obrigações de transparência, que afetam a maioria das empresas, mantêm-se para 2 de agosto de 2026.


A confusão nasce de um equívoco compreensível. O regulamento está em vigor desde 1 de agosto de 2024, mas as suas obrigações nunca foram aplicadas de uma só vez: entram em vigor por fases, ao longo de vários anos. Em junho de 2026, o que aconteceu foi o adiamento de algumas dessas fases, não de todas.


O Parlamento Europeu aprovou o pacote a 16 de junho e o Conselho deu-lhe luz verde final a 29 de junho. As alterações só produzem efeitos jurídicos após a respetiva publicação no Jornal Oficial da União Europeia, a qual se aguarda antes de agosto.

Se a sua empresa utiliza um chatbot no site, cria conteúdos com inteligência artificial ou tem um agente de voz a atender chamadas, o adiamento não a abrange.

O que muda a 2 de agosto de 2026

O Artigo 50.º do Regulamento (UE) 2024/1689 passa a exigir transparência em quatro situações. Não se trata de um regime oneroso: não há avaliação de conformidade, nem documentação técnica, nem registo numa base de dados europeia. Trata-se de uma obrigação direta: é necessário declarar de forma clara e atempadamente que se trata de IA.


Situação Quem tem a obrigação
Sistema que interage diretamente com pessoas (chatbot, assistente de voz) O fornecedor, na conceção do sistema
Sistema que gera conteúdo sintético (texto, imagem, áudio, vídeo) O fornecedor, marcando o conteúdo
Reconhecimento de emoções ou categorização biométrica Quem usa o sistema
Deepfakes, e texto gerado por IA publicado para informar o público sobre matérias de interesse público Quem usa o sistema


Duas leituras desta tabela e nenhuma é óbvia.

A primeira. A obrigação de avisar que se está a falar com uma IA, segundo a lei, recai sobre quem fornece o sistema. No entanto, isso não isenta de responsabilidade quem o utiliza. Muitas empresas partem do princípio que, se foi a agência que construiu o chatbot ou uma ferramenta externa que gerou o conteúdo, a questão legal está tratada. Trata-se de uma suposição arriscada, pois quem usa continua exposto. Na prática, cabe-lhes confirmar que o aviso está ativo, visível e documentado.


Em segundo lugar, a obrigação de rotular o texto gerado por IA não se aplica a cada artigo de blogue ou peça de marketing. Aplica-se a texto publicado com o propósito de informar o público sobre matérias de interesse público — e nem aí se aplica quando houve revisão humana e alguém assume a responsabilidade editorial pela publicação. A generalidade do conteúdo comercial de uma PME fica de fora.


Duas notas de execução, dado que a Comissão Europeia tem adotado uma interpretação restritiva. O aviso escondido nos termos e condições não cumpre a obrigação. Além disso, a exceção do "é óbvio que é uma IA" está a ser interpretada de forma restritiva: um chatbot de apoio ao cliente que imita a conversa humana não se livra com isso.


A informação tem de ser clara, distinguível e prestada, no máximo, no momento da primeira interação. No caso de um chatbot, isso significa antes ou logo no início da conversa.

O que foi adiado, e para quando

O quadro completo, depois das alterações de junho de 2026:

Obrigação Data de aplicação
Práticas proibidas e literacia em IA 2 de fevereiro de 2025 (já em vigor)
Modelos de IA de uso geral, governação e regime sancionatório 2 de agosto de 2025 (já em vigor)
Transparência (Artigo 50.º) 2 de agosto de 2026
Marcação de conteúdo sintético, para sistemas já no mercado 2 de dezembro de 2026
Sistemas de risco elevado do Anexo III (recrutamento, crédito, educação) 2 de dezembro de 2027
Ambientes de teste regulamentares nacionais 2 de agosto de 2027
Sistemas de risco elevado embebidos em produtos regulados (Anexo I) 2 de agosto de 2028


O adiamento mais falado — o dos sistemas de risco elevado do Anexo III — concedeu às empresas dezasseis meses adicionais. No entanto, é importante compreender o que abrange: recrutamento, avaliação de crédito, educação e aplicação da lei. 

Se a sua PME não utilizar IA para decidir quem contratar ou a quem conceder crédito, este adiamento não lhe diz respeito. O que lhe diz respeito é a linha a negrito.

A sua PME está abrangida?

O Regulamento classifica os sistemas de IA por nível de risco e as obrigações são proporcionais a esse nível. A esmagadora maioria dos sistemas atualmente utilizados na União Europeia é de risco mínimo, categoria para a qual o regulamento não estabelece regras.


Risco inaceitável. As práticas proibidas a partir de fevereiro de 2025 incluem técnicas manipuladoras, a exploração de vulnerabilidades e o reconhecimento de emoções no local de trabalho, entre outras. Embora sejam raras na operação corrente de uma empresa, convém confirmar que nenhum dos seus sistemas se enquadra nesta categoria, visto ser o único patamar com coimas de até 35 milhões de euros ou 7% do volume de negócios.


Risco elevado. Aplica-se a sistemas que decidem sobre pessoas em domínios sensíveis, como a contratação, o crédito e o acesso ao ensino superior. Embora existam obrigações exigentes, como a documentação técnica, a gestão de risco e a supervisão humana, estas foram adiadas para dezembro de 2027. Se utiliza IA para a triagem de candidaturas, é aqui que se enquadra.


Risco de transparência. Chatbots, assistentes de voz e geração de conteúdo. É aqui que a maioria das PME se encontra e é aqui que a situação mudará em agosto de 2026. As obrigações resumem-se a divulgar.


Risco mínimo. Tudo o resto. Redigir e-mails com um assistente, resumir documentos, analisar as vendas da empresa e aplicar IA por área de negócio, sem interação direta com os clientes. Sem novas obrigações.


Há uma zona cinzenta que vale a pena conhecer. Se adquirir um chatbot pronto e o utilizar, será o utilizador do sistema. Se o mandar construir e o apresentar sob a sua marca, pode passar a ser considerado fornecedor, mesmo sem ter escrito uma linha de código, pois encomendar a terceiros conta como "ter mandado desenvolver". 


Se apenas incorporar no seu site uma ferramenta de outra empresa, sem lhe colocar a sua marca, a resposta ainda não está clara e continua a ser alvo de debate entre juristas. As orientações da Comissão sobre o artigo 50.º ainda se encontravam em fase de projeto à data da publicação deste artigo.


Não sabe se a sua empresa está abrangida?

Ajudamo-lo a perceber onde a IA que utiliza é afetada por estas regras 
e o que deve fazer a seguir.

Fale com um consultor


Quem fiscaliza o AI Act em Portugal?

A ANACOM. A 19 de setembro de 2025, foi designada como autoridade nacional de supervisão e ponto de contacto único, com a missão de coordenar catorze autoridades setoriais. A Comissão Nacional de Proteção de Dados mantém o seu papel no que se refere a dados pessoais.


Portugal não aprovou, nem prevê aprovar, uma lei nacional dedicada à inteligência artificial. Não é necessário, visto tratar-se de um regulamento europeu que se aplica diretamente, sem necessidade de transposição. A Agenda Nacional para a Inteligência Artificial, aprovada em Janeiro de 2026, é um documento estratégico e não uma legislação executiva.


Na prática, isto significa que a ANACOM será a porta de entrada para o esclarecimento de dúvidas e a entidade com poder de fiscalização, embora setores como o da banca ou dos seguros tenham orientações próprias das respetivas autoridades.

E as coimas?

Aqui está o valor que tem circulado e assustado os gestores: 15 milhões de euros ou 3% do volume de negócios anual mundial, consoante o valor mais elevado. É verdade, está no Artigo 99.º e aplica-se ao incumprimento das obrigações de transparência.


No entanto, falta a segunda metade da frase, que faz toda a diferença.


O regulamento prevê que, no caso de pequenas e médias empresas e startups, seja aplicado o valor mais baixo dos dois, e não o mais alto. A regra inverte-se. Além disso, ao fixar coimas, as autoridades devem ter em conta a situação das PME e a sua viabilidade económica, bem como fatores como a gravidade da infração, o grau de cooperação e as medidas adotadas para a corrigir.


Traduzindo para a sua realidade: uma empresa portuguesa com dois milhões de euros de faturação não está sujeita a uma coima de quinze milhões de euros. No cenário máximo e antes de qualquer atenuante, o valor máximo a que se poderá ir é de 3% de dois milhões, ou seja, sessenta mil euros. É muito dinheiro. No entanto, não se trata de uma ameaça existencial.


Os três escalões são os seguintes: até 35 milhões ou 7% para práticas proibidas; até 15 milhões ou 3% para obrigações de transparência e outras obrigações dos operadores; e até 7,5 milhões ou 1% para informação incorreta prestada às autoridades. As obrigações de transparência não se encontram no escalão mais elevado.


A mensagem correta não é "todas as PME serão multadas em milhões". Tal seria juridicamente incorreto e comercialmente pouco útil. A mensagem correta é a seguinte: as obrigações são modestas, cumpri-las é barato e não cumpri-las tem um custo associado.

Checklist: cinco passos para a sua empresa

1. Faça o inventário. Liste onde há IA na sua operação. Não se limite às ferramentas óbvias: inclua funcionalidades de IA no software que já utiliza e nas ferramentas adotadas pelas equipas sem passar pelo departamento informático.


2. Identifique o que interage com as pessoas. Chatbots, assistentes de voz e respostas automáticas aos clientes. São estes que geram obrigações de transparência.


3. Verifique os avisos. Em cada sistema que interaja com clientes, confirme que o aviso de que se trata de IA é visível e aparece no início da interação. Não basta constar dos termos e condições.


4. Documente. O ónus da prova de cumprimento é seu. Guarde prova de que o aviso está ativo e de quando foi implementado. Um registo simples é suficiente.


5. Forme a equipa. A obrigação de literacia em IA está em vigor desde fevereiro de 2025. Quem utilizar estas ferramentas deve compreender o seu funcionamento e os respetivos limites. 


Note o que não consta desta lista: avaliações de conformidade, marcação CE, documentação técnica ou registo em bases de dados europeias. Trata-se do regime de risco elevado, que provavelmente não é o seu.

Como o parceiro certo ajuda

Antes de mais, não existe uma "certificação AI Act" para consultoras ou fornecedores. As avaliações de conformidade e a marcação CE aplicam-se aos sistemas de elevado risco e não àqueles que os implementam. Se alguém lhe vender uma "certificação AI Act", desconfie.


O que existe e é útil é um parceiro que conheça os seus processos e saiba onde a IA que implementa é afetada por estas regras. Na prática, isso significa planear a implementação de forma responsável desde o início, com o aviso de IA no local adequado, o registo do que foi feito e a formação dos utilizadores. É muito mais barato do que ter de corrigir mais tarde.


É este o método da ThinkOpen: primeiro, mapeamos os processos, identificamos onde a IA gera um retorno mensurável e, depois, implementamo-la de forma documentada e transparente. Sempre que a questão é jurídica — e há situações em que é — trabalhamos em articulação com o seu apoio legal, em vez de fingir que o substituímos. Enquanto primeiro parceiro oficial Odoo em Portugal desde 2010, conhecemos o tecido das pequenas e médias empresas portuguesas e as ferramentas que utilizam.


Se está a pensar adotar IA e quer fazê-lo bem à primeira, comece pelo nosso guia de IA para PME em Portugal — custos, benefícios e por onde começar.


Quer saber se a IA da sua empresa cumpre estas regras?

15 minutos. Sem compromisso. Com respostas concretas.

Fale com um consultor


Perguntas frequentes (FAQ)

Utilizo o ChatGPT ou o Copilot internamente. Tenho obrigações?

Se a utilização for interna, por exemplo, para redigir textos, resumir documentos ou analisar dados da empresa, e não houver interação direta de clientes com o sistema nem publicação de conteúdo para informar o público sobre matérias de interesse público, o risco será mínimo. O Regulamento não introduz obrigações para esta categoria. Mantém-se, contudo, o dever de literacia em IA: quem usar a ferramenta deve saber o que esta faz e onde falha.

Preciso de alguma certificação para cumprir o AI Act?

Não existe uma certificação genérica. A avaliação de conformidade e a marcação CE aplicam-se a sistemas de elevado risco, que a maioria das PME não utiliza. As obrigações de transparência são cumpridas através da divulgação clara e da conservação da prova disso, não através da obtenção de um certificado.

O AI Act substitui o RGPD?

Não, os dois aplicam-se em simultâneo. Se um sistema de IA tratar dados pessoais, continuará sujeito ao RGPD e a Comissão Nacional de Proteção de Dados manterá competência nessa área. O AI Act acrescenta obrigações, não retirando nenhuma.


Aviso: Este artigo tem uma finalidade meramente informativa e não constitui aconselhamento jurídico. O enquadramento descrito reflete a legislação à data da publicação e pode evoluir. Para decisões que envolvam risco legal, consulte um advogado.

AI by ThinkOpen é o serviço de inteligência artificial da ThinkOpen Solutions, desenvolvido para empresas que pretendem automatizar processos, aumentar a eficiência e crescer com tecnologia de ponta, disponibilizando as ferramentas adequadas a cada negócio.