AI Act para PME: O Que Muda a 2 de Agosto de 2026

Há uma data a aproximar-se que muitas PME portuguesas ainda não têm no radar: 2 de agosto de 2026. É a partir daí que entram em vigor as obrigações para sistemas de IA de alto risco e que o regulador ganha poderes plenos de fiscalização, incluindo coimas. Não é o fim do mundo, e para a maioria das pequenas empresas não exige um exército de juristas. Mas exige saber em que pé está, e a maior parte ainda não sabe.

A confusão é compreensível. O AI Act entrou em aplicação por fases, e isso faz parecer que "ainda falta muito". Não falta. Algumas obrigações já estão em vigor desde fevereiro de 2025, nomeadamente a proibição de certas práticas e o dever de literacia em IA. Em Portugal, a ANACOM foi designada em setembro de 2025 como autoridade nacional de supervisão, a coordenar 14 autoridades setoriais. Este guia explica, sem alarmismo e em português simples, o que muda em agosto, o que se aplica a uma PME que apenas usa IA, e o que deve fazer já para não ser apanhado de surpresa.

O AI Act aplica-se à sua PME, mesmo que só use ChatGPT

O primeiro mito a desfazer é o de que isto é "para as grandes tecnológicas". O regulamento aplica-se a quem coloca sistemas de IA no mercado e também a quem os utiliza. Se a sua empresa usa ChatGPT, Copilot ou qualquer assistente de IA no dia a dia, é um utilizador profissional de IA aos olhos da lei, e tem pelo menos uma obrigação já em vigor: a literacia em IA.

Na prática, literacia significa garantir que as pessoas que mexem nestas ferramentas percebem o que estão a fazer, os limites do sistema e os riscos. Não é um curso certificado nem papelada complexa. É formação básica e bom senso documentado. As obrigações pesadas, documentação técnica, avaliações de conformidade, marcação, recaem sobre quem desenvolve ou vende sistemas de alto risco, não sobre quem usa uma ferramenta comum para escrever emails.

As quatro categorias de risco, sem juridiquês

O AI Act classifica os sistemas por risco, e o nível decide as obrigações. Vale a pena perceber em qual encaixa o que a sua empresa faz.

• Risco inaceitável. Práticas proibidas desde fevereiro de 2025, como o "social scoring" ou a manipulação que explora vulnerabilidades. Proibidas e ponto final.
• Alto risco. Sistemas usados em áreas sensíveis: recrutamento e gestão de trabalhadores, acesso a crédito, educação, infraestruturas críticas. É aqui que entram as obrigações pesadas a 2 de agosto de 2026. Se usa IA para filtrar candidaturas, atenção a esta categoria.
• Risco limitado. Sobretudo deveres de transparência. Um chatbot tem de deixar claro que é uma máquina; conteúdo gerado por IA deve ser identificável.
• Risco mínimo. A esmagadora maioria dos usos do dia a dia, de filtros de spam a sugestões de texto. Sem obrigações específicas.

A maioria das PME vive no risco mínimo ou limitado. O cuidado real é com o alto risco, e o exemplo mais comum numa PME é usar IA no recrutamento. Se faz triagem automática de candidatos, está a entrar em território regulado.

O que muda exatamente a 2 de agosto de 2026

Nesta data acontecem duas coisas. Primeiro, aplicam-se as obrigações para os sistemas de alto risco do Anexo III, os tais ligados a emprego, crédito e afins. Segundo, e tão importante, a autoridade passa a ter poderes plenos: pode pedir informação, exigir correções e aplicar coimas.

Houve um ajuste recente que deu mais fôlego a parte das obrigações de alto risco para sistemas mais complexos, empurrando alguns prazos para mais tarde. Mas não se deixe enganar pela manchete: as proibições (desde fevereiro de 2025) e o dever de literacia continuam de pé e sem adiamento. Quem usa IA não tem desculpa para não ter já o básico tratado.

Coimas: proporcionais, e mais suaves para PME

A parte que assusta toda a gente são os valores das coimas, que no topo chegam a percentagens do volume de negócios global. Convém pôr isto em contexto. Esses tetos foram pensados para grandes infratores e para práticas proibidas. Para PME, o regulamento prevê expressamente que se apliquem os valores mais baixos e que se pondere a dimensão da empresa, com orientação para usar percentagens em vez de montantes fixos quando estes sejam desproporcionados.

Há mais boas notícias para quem é pequeno. Estão previstas sandboxes regulatórias gratuitas, ambientes onde pode testar sistemas de IA com acompanhamento do regulador, e medidas de apoio específicas. A lógica europeia não é multar a padaria que usa um chatbot. É travar abusos graves e dar às PME espaço para adotar IA com responsabilidade.

O plano mínimo para uma PME, em quatro passos

Não precisa de um projeto de seis meses. Para uma empresa que apenas usa IA, o essencial faz-se em quatro a oito semanas e resume-se a quatro passos.

1. Faça o inventário. Liste onde a IA já é usada na empresa, incluindo as ferramentas que entraram "pela porta dos fundos" sem aprovação formal. Não pode gerir o que não conhece.
2. Classifique o risco. Para cada uso, identifique a categoria. A pergunta-chave: alguma destas ferramentas toca em recrutamento, crédito ou outra área de alto risco? Se sim, é prioridade.
3. Trate a literacia. Dê formação básica a quem usa estas ferramentas e escreva uma política interna simples sobre o que pode e não pode ser feito, sobretudo com dados de clientes. Isto liga-se diretamente ao RGPD, que continua a aplicar-se quando a IA trata dados pessoais.
4. Garanta a transparência. Se tem um chatbot ou gera conteúdo com IA, deixe claro ao utilizador que está a falar com uma máquina ou a ver conteúdo gerado.

Feito isto, a sua PME está em boa posição para 2 de agosto sem dramas. A conformidade aqui não é um obstáculo, é uma forma de adotar IA com confiança, o mesmo princípio que defendemos quando ajudamos empresas a começar a usar IA por onde faz sentido. Se tem IA no recrutamento ou noutra área sensível e não sabe ao certo onde está, fale connosco. Fazemos o levantamento consigo e dizemos-lhe, sem rodeios, o que precisa mesmo de tratar.