O EU AI Act: O Que Significa para a Sua Organização

O EU AI Act entrou em vigor em agosto de 2024, e as suas obrigações estão agora a ser introduzidas faseadamente. Até agosto de 2026, a maioria dos sistemas de IA de alto risco deverá cumprir os requisitos completos de avaliação de conformidade. Para organizações que utilizam IA em RH, avaliação de crédito, cuidados de saúde, aplicação da lei e infraestrutura crítica, a questão já não é se cumprir — é como.

O Que o AI Act Realmente Exige

O regulamento classifica os sistemas de IA em quatro níveis de risco:

• Risco inaceitável — proibido integralmente (pontuação social, vigilância biométrica em tempo real em espaços públicos)
• Alto risco — obrigações pesadas: avaliações de conformidade, transparência, supervisão humana, governação de dados
• Risco limitado — deveres de transparência mais ligeiros (os chatbots devem revelar que são IA)
• Risco mínimo — sem obrigações específicas

A maioria das implementações empresariais de LLM enquadra-se nas categorias de alto risco ou risco limitado. Se o seu sistema de IA influencia decisões sobre emprego, crédito, saúde ou educação, é provável que pertença à categoria de alto risco.

Porque é que as APIs de Terceiros Criam Problemas de Conformidade

Quando envia consultas para uma API LLM sediada nos EUA, vários requisitos do AI Act tornam-se estruturalmente difíceis de satisfazer:

Transparência e registo. Os sistemas de IA de alto risco devem manter registos "na medida necessária para garantir que o sistema pode ser monitorizado." Com uma API de terceiros opaca, tem visibilidade limitada sobre o que está realmente a acontecer.

Governação de dados. O regulamento exige que os dados de treino sejam "relevantes, suficientemente representativos e, tanto quanto possível, isentos de erros." Utilizar um modelo de nuvem de uso geral significa aceitar os dados de treino que o fornecedor utilizou — frequentemente sem qualquer ficha de conformidade com o AI Act à vista.

Supervisão humana. Os sistemas devem ser concebidos de forma a permitir que os humanos os "supervisionem eficazmente." Isto é mais difícil quando não controla a pilha de inferência.

Obrigações dos modelos GPAI. Os modelos de IA de uso geral com risco sistémico (aproximadamente aqueles acima de 10^25 FLOPs) enfrentam obrigações específicas, incluindo testes adversariais e comunicação de incidentes. Se construir produtos com base nestes, herda parte desse risco.

A Vantagem da Infraestrutura Soberana

Gerir a sua própria infraestrutura LLM dentro da UE resolve muitos destes problemas de forma estrutural:

• Os registos de auditoria são seus. O EULLM Engine inclui registo integrado concebido para casos de utilização de conformidade — controla o que é registado, armazenado e comunicado.
• Os dados nunca saem do seu perímetro. A ausência de transferência transfronteiriça de dados significa que não há mecanismos do Artigo 46.º do GDPR de que se preocupar.
• Escolhe o modelo. O EULLM Hub fornece fichas de conformidade com o AI Act para cada modelo — para que saiba exatamente o que está a implementar e possa justificá-lo perante uma autoridade de supervisão.

Prazos a Observar

| Data | Obrigação | |------|-----------| | Fev 2025 | Entra em vigor a proibição de práticas de IA inaceitáveis | | Ago 2025 | Entram em vigor as obrigações dos modelos GPAI | | Ago 2026 | Requisitos para sistemas de IA de alto risco totalmente aplicáveis | | Ago 2027 | Determinados sistemas de IA legados devem cumprir |

Se está a ler isto em 2026, o prazo de agosto está próximo. É agora o momento de auditar a sua pilha de IA e avançar para uma infraestrutura que controla de facto.

EULLM é uma plataforma open-source para implementar IA soberana e conforme com o GDPR na UE. Ver no GitHub.