RGPD e Inteligência Artificial: Guia para PME em 2026

A inteligência artificial entrou nas PME portuguesas pela porta dos fundos. Não através de um projeto aprovado pela gestão, mas de um colaborador que cola o email de um cliente no ChatGPT para o reescrever, ou que pede a um assistente de IA para resumir um contrato. É prático, é rápido, e quase ninguém parou para perguntar uma coisa simples: aqueles dados são pessoais, e o RGPD continua a aplicar-se na mesma, esteja a IA pelo meio ou não.

O tema ganhou urgência porque a Europa está a apertar as regras a dois níveis ao mesmo tempo. O RGPD, que já conhecemos desde 2018, e o novo Regulamento Europeu da IA (AI Act), que se sobrepõe ao primeiro quando há tratamento de dados pessoais. Em paralelo, Portugal aprovou a Agenda Nacional para a Inteligência Artificial e o respetivo plano de ação 2026-2030, com instrumentos próprios para ajudar as PME a adotar IA, mas também com a expetativa clara de que essa adoção seja feita com responsabilidade. E os números mostram o tamanho do salto: só 8,6% das PME portuguesas usam IA, contra cerca de 35% nas grandes empresas. Quem começa agora tem a vantagem de começar bem. Este guia explica o que muda, o que é mito, e o que uma PME deve fazer já.

A IA não suspende o RGPD: continua tudo a aplicar-se

O primeiro mal-entendido a desfazer é o mais comum. Usar uma ferramenta de IA não cria uma exceção ao RGPD. Se está a tratar dados pessoais, nome, email, NIF, histórico de compras, dados de saúde, o regime é exatamente o mesmo de sempre: precisa de uma base legal para o tratamento, de informar os titulares, e de garantir que os dados não vão parar a sítios que não controla.

O problema prático é que muitas ferramentas de IA são, do ponto de vista do RGPD, um subcontratante. Quando envia dados de um cliente para um serviço externo, esse serviço passa a tratar dados em seu nome, e isso obriga a um contrato de subcontratação e a saber onde é que os dados são processados. Colar informação de um cliente na versão gratuita de uma ferramenta, sem contrato e sem saber se esses dados vão treinar o modelo, é precisamente o tipo de transferência que a CNPD olha com maus olhos.

O AI Act soma-se ao RGPD, não o substitui

Muita gente trata o AI Act e o RGPD como se fossem a mesma coisa. Não são, e percebê-los como duas camadas que se acumulam evita decisões erradas. O RGPD protege os dados pessoais. O AI Act regula os sistemas de IA conforme o risco que representam, e classifica-os em categorias, do risco mínimo ao risco inaceitável. Quando um sistema de IA trata dados pessoais, e a maioria trata, tem de cumprir os dois ao mesmo tempo.

Para a generalidade das PME, as aplicações do dia a dia, um chatbot de apoio, uma ferramenta que gera texto, um assistente que organiza emails, caem no risco limitado ou mínimo, onde a obrigação principal é a transparência: avisar as pessoas de que estão a interagir com uma IA. As obrigações pesadas recaem sobre os sistemas de alto risco, como os que decidem sobre crédito, recrutamento ou acesso a serviços essenciais. Houve, aliás, um alívio recente no calendário: em março de 2026 o Conselho da UE adiou os prazos principais para os sistemas de alto risco, dando às empresas cerca de 16 meses adicionais para se prepararem. Mais tempo, não menos obrigação.

Os erros que mais expõem uma PME

Na prática, os problemas raramente vêm de sistemas sofisticados. Vêm de hábitos do dia a dia que ninguém formalizou. Os mais frequentes:

• Dados pessoais em ferramentas pessoais. Contas gratuitas, sem contrato de subcontratação, a processar informação real de clientes.
• Falta de base legal para o tratamento por IA. Usar dados recolhidos para um fim (faturar um cliente) para outro (treinar ou alimentar um sistema de IA) sem fundamento.
• Decisões automatizadas sem supervisão humana. O RGPD dá às pessoas o direito de não ficarem sujeitas a decisões puramente automáticas em matérias que as afetam de forma significativa. Um sistema que recusa um cliente sozinho é um risco.
• Ausência de transparência. Não dizer às pessoas que estão a falar com uma IA, ou que os seus dados passam por um sistema automático.
• Nenhum registo de que sistemas de IA a empresa usa. Não se pode controlar o que não se conhece, e a primeira pergunta de qualquer auditoria é essa lista.

O que uma PME deve fazer já

A boa notícia é que a conformidade aqui não exige um departamento jurídico. Exige método. Quatro passos resolvem a maior parte do risco com pouco investimento.

1. Faça o inventário da IA que já usa. Liste as ferramentas, quem as usa, e que dados lhes entrega. Quase sempre a lista é maior do que a gestão imagina, e é impossível proteger o que não se conhece.
2. Separe os dados pessoais do resto. Defina uma regra clara: dados pessoais de clientes só entram em ferramentas com plano empresarial e contrato de tratamento de dados. Para rascunhos e tarefas sem dados reais, à vontade.
3. Escreva uma política de utilização de IA de uma página. O que é permitido, o que não é, e que ferramentas estão aprovadas. Uma página que toda a equipa lê vale mais do que um manual que ninguém abre.
4. Garanta supervisão humana e transparência. Nenhuma decisão importante sobre uma pessoa fica só nas mãos da máquina, e quem interage com a sua IA sabe que é uma IA.

Esta conformidade cruza-se com o resto da transição digital que muitas PME já têm em mãos. Se está a dar os primeiros passos com IA, vale a pena ler também o guia de inteligência artificial para PME, e se a segurança da informação é uma preocupação, o guia da NIS2 para PME em Portugal trata da outra metade do problema.

A Lusivision é um estúdio português de software e ajuda PME a adotar IA de forma útil e em conformidade, sem transformar o tema num bicho de sete cabeças. Se quer perceber que ferramentas pode usar com segurança e como pôr a casa em ordem, fale connosco. A consulta inicial não tem qualquer custo e respondemos em 24 horas.