Atualização publicada em 7 de maio de 2026.

Artigo original:

A janela de adiamento, de que tanto se falou, fechou, pelo menos à data de criação e publicação deste texto.

As negociações em Bruxelas para ajustar o calendário do Regulamento da Inteligência Artificial fracassaram, segundo relatos recentes da imprensa especializada e de meios internacionais, pelo que o prazo de 2 de agosto de 2026 se mantém inalterado.

A certeza quanto à data, porém, convive com uma incerteza técnica desconfortável. Vários atos de execução, orientações, normas harmonizadas e instrumentos práticos de conformidade continuam incompletos ou sem versão final, obrigando as organizações a preparar-se para um regime cujos contornos operacionais ainda não estão totalmente fechados.  

A data que não se alterará

Ao longo do último ano, a hipótese de um adiamento da entrada em vigor de diversas normas e obirgações do AI Act tornou-se recorrente nas conversas entre responsáveis de compliance, advogados e fornecedores de tecnologia.

Essa expectativa foi alimentada pela pressão da indústria, pelas preocupações de competitividade levantadas em vários Estados-Membros e pelo atraso visível da própria infraestrutura normativa de apoio ao regulamento.  

Segundo a PPC Land, as negociações mais recentes em Bruxelas para alterar o calendário do regulamento terminaram sem acordo. A Reuters e a IAPP reportaram, no mesmo sentido, o bloqueio das conversações em torno da reforma das regras de IA, deixando intacto o prazo de 2 de agosto de 2026. 

Essa data corresponde ao momento em que a maioria das regras do AI Act entra em vigor, incluindo o núcleo central do regime dos sistemas de IA de risco elevado do Anexo III. É também o marco temporal que mais preocupa fornecedores e utilizadores profissionais, porque concentra a parte mais exigente e mais cara do esforço de conformidade.  

Para departamentos jurídicos e equipas de compliance, a consequência prática é simples. Qualquer plano interno que ainda assentasse, mesmo tacitamente, na hipótese de um adiamento deve ser revisto já, porque o calendário deixou de ter folga credível.  

O que tem de estar pronto

O AI Act aplica-se de forma faseada, tendo o regulamento entrado em vigor em 1 de agosto de 2024; a partir de 2 de fevereiro de 2025 passaram a aplicar-se as proibições do artigo 5.º relativas a práticas de risco inaceitável, e em 2 de agosto de 2025 começaram a aplicar-se as regras dirigidas aos modelos de finalidade geral (GPAI), juntamente com outras componentes do regime de execução e fiscalização. 

O prazo de 2 de agosto de 2026 é, no entanto, o verdadeiro ponto de rutura para a maior parte das organizações.

Nessa data passam a aplicar-se, em larga escala, as obrigações centrais relativas a sistemas de IA de risco elevado abrangidos pelo artigo 6.º e pelo Anexo III. 

Até essa data, e em conformidade com este calendário faseado de entrada em vigor de normas do AI Act, os fornecedores de sistemas de risco elevado devem ter implementado, pelo menos, os seguintes pilares de conformidade:

• Um sistema de gestão de risco documentado, contínuo e iterativo ao longo de todo o ciclo de vida do sistema, apto a identificar, avaliar e mitigar riscos previsíveis para saúde, segurança e direitos fundamentais.  

• Medidas de governação de dados para conjuntos de treino, validação e teste, incluindo critérios de qualidade, análise de enviesamentos e medidas corretivas adequadas.  

• Documentação técnica conforme ao Anexo IV, suficiente para demonstrar conformidade perante autoridades competentes antes da colocação no mercado ou entrada em serviço.  

• Capacidades de registo automático e rastreabilidade proporcionais à finalidade do sistema, em linha com os requisitos funcionais previstos no regulamento e nas futuras normas aplicáveis.  

• Instruções de utilização claras e informação adequada ao utilizador sobre capacidades, limitações e condições previsíveis de uso. 

• Medidas de supervisão humana efetiva que permitam intervenção, correção ou interrupção por pessoas qualificadas.  

• Níveis adequados de exatidão, robustez e cibersegurança ao longo do ciclo de vida do sistema.  

• Um sistema de gestão da qualidade documentado nos termos do artigo 17.º, cobrindo procedimentos, responsabilidades, testes, controlo documental e mecanismos internos de monitorização.  

• O procedimento de avaliação de conformidade aplicável, seguido de declaração UE de conformidade, marcação CE e registo na base de dados europeia quando o regime assim o exigir.  

Do lado dos utilizadores profissionais, ou responsáveis pela implantação (deployers), também não há espaço para passividade. O regulamento impõe-lhes deveres próprios de utilização conforme instruções, monitorização do funcionamento, conservação de registos em certas situações e informação a pessoas ou trabalhadores afetados, consoante o contexto de uso.  

O artigo 27.º do AI Act, em especial

Entre essas obrigações, merece destaque a avaliação de impacto sobre os direitos fundamentais prevista no artigo 27.º (FRIA).

Essa obrigação entrará em vigor em 2 de agosto de 2026 e recai, antes da entrada em serviço, sobre responsáveis pela implantação de sistemas de risco elevado do artigo 6.º, n.º 2, quando sejam entidades públicas, entidades privadas que prestem serviços públicos, ou responsáveis pela implantação de sistemas abrangidos por pontos específicos do Anexo III, designadamente os ligados à avaliação de crédito e à fixação de preços ou elegibilidade em seguros de vida e saúde. 

O próprio texto do artigo 27.º exclui desta obrigação específica os sistemas de risco elevado destinados à área listada no ponto 2 do Anexo III, isto é, certas utilizações em infraestruturas críticas.

Essa exclusão merece ser sublinhada, porque é um detalhe técnico frequentemente omitido em textos de divulgação.  

A avaliação de impacto sobre direitos fundamentais não se confunde com a AIPD (avaliação de impacto na proteção de dados) do RGPD, ainda que as duas partilhem uma lógica preventiva.

A FRIA (do Inglês, Fundamental Rights Impact Assessment e, em Português, no texto oficial, denominada como “avaliação de impacto nos direitos fundamentais”) do AI Act tem um escopo mais amplo, porque olha não apenas para proteção de dados, mas também para não discriminação, dignidade, liberdade de expressão, acesso a serviços essenciais e outros direitos potencialmente afetados pelo uso do sistema.  

Nos termos do artigo 27.º, a avaliação deve cobrir pelo menos a descrição do processo em que o sistema será usado, o período e frequência da sua utilização, as categorias de pessoas e grupos suscetíveis de ser afetados, os riscos específicos para direitos fundamentais e as medidas de supervisão humana e mitigação a adotar caso esses riscos se concretizem.

O deployer deve ainda notificar a autoridade de fiscalização do mercado competente, e pode, em certos casos, apoiar-se em avaliações já realizadas ou existentes, desde que tal seja adequado ao caso concreto.  

Na prática, o artigo 27.º deve ser lido como uma obrigação autónoma de governance pública e quasi-pública, e não como mero anexo documental da conformidade técnica do fornecedor. Para organizações portuguesas sujeitas a essa regra, a preparação da FRIA deve começar cedo, com envolvimento jurídico, técnico, de compliance e, quando aplicável, de equipas com responsabilidade em direitos fundamentais, igualdade e relações laborais.  

O que continua por regulamentar

A manutenção da data não significa que o quadro normativo esteja completo. O AI Act assenta numa arquitetura em que o regulamento de base define princípios e obrigações nucleares, mas remete uma parte importante da operacionalização para normas harmonizadas, especificações comuns, atos de execução, orientações e códigos de prática.  

O ponto mais crítico continua a ser o das normas harmonizadas elaboradas no âmbito do pedido de normalização M/593. A Comissão explica que essas normas deverão cobrir domínios como gestão de risco, governação de dados, logging, transparência, supervisão humana, robustez, cibersegurança, gestão da qualidade e avaliação de conformidade, precisamente os elementos de que as organizações precisam para demonstrar cumprimento com segurança jurídica acrescida.  

O problema é que essas normas não chegaram a tempo útil. O próprio CEN-CENELEC reconheceu a necessidade de acelerar o processo e anunciou, em 2025, um pacote extraordinário para desenvolver os standards pedidos pela Comissão, com horizonte que se estende até ao quarto trimestre de 2026.  

A ausência de normas harmonizadas não suspende a aplicação do regulamento. O que desaparece é a presunção de conformidade prevista no artigo 40.º para sistemas que sigam standards publicados no Jornal Oficial da União Europeia, obrigando os operadores económicos a construir, por sua conta, a demonstração técnica de que cumprem o regulamento.  

É aqui que o artigo 41.º ganha importância estratégica. Se a Comissão concluir que as normas harmonizadas são insuficientes, inadequadas ou intempestivas, pode adotar especificações comuns por ato de execução; e os sistemas que lhes deem cumprimento beneficiam, em princípio, de uma via funcionalmente próxima da presunção de conformidade, ainda que por um instrumento diferente do standard harmonizado clássico. 

Persistem também zonas cinzentas quanto à orientação prática sobre classificação de sistemas do Anexo III, articulação com regimes setoriais já existentes e capacidade real dos organismos notificados para absorver pedidos de avaliação de conformidade em tempo útil.

Esse défice de infraestrutura regulatória é particularmente sensível para fornecedores que dependam de avaliação por terceiros nos meses imediatamente anteriores ao prazo.  

5 Prioridades para os próximos meses

A primeira prioridade continua a ser o inventário dos sistemas de IA realmente utilizados, integrados ou desenvolvidos pela organização. É nessa fase que muitas entidades descobrem ferramentas classificáveis como IA que até então tratavam como software corrente, ou concluem que determinados usos entram potencialmente em domínios do Anexo III.  

A segunda prioridade é a classificação regulatória de cada sistema. Sem essa triagem inicial entre práticas proibidas, risco elevado, risco limitado, risco mínimo e modelos de finalidade geral, qualquer programa de conformidade corre o risco de consumir recursos no sítio errado.  

A terceira é a revisão contratual com fornecedores, distribuidores, importadores e outros intervenientes da cadeia de valor. O AI Act distribui responsabilidades de forma funcional entre vários operadores, e essa repartição ainda está sub-representada nos contratos-tipo usados no mercado.  

A quarta é a construção do sistema de gestão da qualidade do artigo 17.º e da documentação de suporte necessária para prova de conformidade. Em muitas organizações, este será o ponto em que o esforço deixa de ser apenas jurídico e passa a exigir coordenação efetiva entre jurídico, engenharia, segurança da informação, produto e gestão de risco. 

Por fim, é indispensável manter monitorização ativa sobre standards harmonizados, orientações da Comissão, atividade do AI Office e eventuais especificações comuns adotadas ao abrigo do artigo 41.º

A conformidade com o AI Act será, durante os próximos meses, um processo de atualização contínua, não um exercício fechado de checklist. 

Ambiente regulador

A confirmação do prazo encerra apenas a discussão imediata sobre adiamento. O ambiente regulador em torno do AI Act continua, porém, em movimento, com debate crescente sobre o impacto das regras de IA de uso geral na inovação europeia e sobre a necessidade de afinações técnicas futuras sem alterar a arquitetura central do regulamento.  

Para organizações portuguesas, a mensagem prática é inequívoca. A conformidade com o AI Act deixou de ser um exercício abstrato de planeamento de longo prazo e passou a ser uma operação executiva, com decisões sequenciais, dependências técnicas e prazos curtos.  

Quem ainda não começou, está atrasado. Quem começou, deve rever pressupostos, sobretudo se o plano assentava, ainda que implicitamente, na expectativa de que Bruxelas acabaria por dar mais tempo.  

Referências

1. PPC Land, “Brussels AI Act talks collapse – but the August 2026 deadline holds”. https://ppc.land/brussels-ai-act-talks-collapse-but-the-august-2026-deadline-holds/

2. IAPP, “EU AI Act reform talks stall as key compliance deadline looms”. https://iapp.org/news/a/eu-ai-act-reform-talks-stall-as-key-compliance-deadline-looms

3. Reuters, “EU countries, lawmakers fail to reach deal on watered-down AI rules”. https://www.reuters.com/sustainability/boards-policy-regulation/eu-countries-lawmakers-fail-reach-deal-watered-down-ai-rules-2026-04-29/

4. CEN-CENELEC, “Update on CEN and CENELEC’s Decision to Accelerate the Development of Standards for Artificial Intelligence”. https://www.cencenelec.eu/news-events/news/2025/brief-news/2025-10-23-ai-standardization/

5. Comissão Europeia, “Standardisation of the AI Act”. https://digital-strategy.ec.europa.eu/en/policies/ai-act-standardisation

6. JRC, “Harmonised Standards for the European AI Act”. https://publications.jrc.ec.europa.eu/repository/handle/JRC139430

7. Cloud Security Alliance, “EU AI Act High-Risk Deadline: Enterprise Readiness Gap”. https://labs.cloudsecurityalliance.org/research/csa-research-note-eu-ai-act-high-risk-compliance-deadline-20/

8. Tech Policy Press, “EU’s AI Act Delays Let High-Risk Systems Dodge Oversight”. https://techpolicy.press/eus-ai-act-delays-let-highrisk-systems-dodge-oversight

9. Comissão Europeia, AI Act Service Desk, “Timeline for the Implementation of the EU AI Act”. https://ai-act-service-desk.ec.europa.eu/en/ai-act/timeline/timeline-implementation-eu-ai-act

10. ArtificialIntelligenceAct.eu, “Implementation Timeline”. https://artificialintelligenceact.eu/implementation-timeline/

11. Pitch.Law, “AI Act Compliance Timeline: What Applies When”. https://www.pitch.law/knowledge-base/ai-act-compliance-timeline

12. Delbion, “EU AI Act Compliance Calendar”. https://www.delbion.com/en/insights/eu-ai-act-compliance-calendar/

13. Nemko Digital, “Prepare Now: EU AI Act Rules on GPAI 2025 Update”. https://digital.nemko.com/insights/eu-ai-act-rules-on-gpai-2025-update

14. ArtificialIntelligenceAct.eu, “Annex III: High-Risk AI Systems Referred to in Article 6(2)”. https://artificialintelligenceact.eu/annex/3/

15. AI Act Service Desk, “Article 9: Risk management system”. https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-9

16. ArtificialIntelligenceAct.eu, “Article 9: Risk Management System”. https://artificialintelligenceact.eu/article/9/

17. Practical AI Act, “Risk Management System”. https://practical-ai-act.eu/latest/conformity/risk-management-system/

18. ArtificialIntelligenceAct.eu, “Article 40: Harmonised Standards and Standardisation Documents”. https://artificialintelligenceact.eu/article/40/

19. ArtificialIntelligenceAct.eu, “Article 17: Quality Management System”. https://artificialintelligenceact.eu/article/17/

20. Streamlex, “AIA Article 17. Quality management system”. https://streamlex.eu/articles/aia-en-art-17/

21. EU AI Risk, “Building Your Quality Management System for AI”. https://euairisk.com/resources/building-quality-management-system-article-17

22. AddComply, “EU AI Act Compliance Timeline”. https://addcomply.com/eu-ai-act-compliance-timeline/

23. ArtificialIntelligenceAct.eu, “Article 27: Fundamental Rights Impact Assessment for High-Risk AI Systems”. https://artificialintelligenceact.eu/article/27/

24. Streamlex, “AIA Article 27. Fundamental rights impact assessment”. https://streamlex.eu/articles/aia-en-art-27/

25. European Journal of Law and Technology, “Fundamental Rights Impact Assessments in the EU’s AI Act”. https://ejlt.org/index.php/ejlt/article/view/1065

26. AI Acto, “AI Act FRIA: Fundamental Rights Impact Assessment Guide”. https://www.aiacto.eu/en/blog/fria-ai-act-fundamental-rights-impact-assessment

27. Lund University, “Fundamental Rights Impact Assessments in the EU’s AI Act”. https://www.law.lu.se/eduardo-gill-pedro/publication/e7e6be85-c198-4c8c-ba0a-6c6ae482a306

28. Archer IRM, “EU AI Act Article 27: What Is a Fundamental Rights Impact Assessment”. https://www.archerirm.com/post/eu-ai-act-article-27-what-is-a-fundamental-rights-impact-assessment-fria-and-who-needs-one

29. ArtificialIntelligenceAct.eu, “Article 41: Common Specifications”. https://artificialintelligenceact.eu/article/41/

30. AI Act made searchable, “Article 41: Common Specifications”. https://aiact.algolia.com/article-41/

31. McKenna Consultants, “EU AI Act High-Risk Compliance: A Technical Readiness Guide for August 2026”. https://www.mckennaconsultants.com/eu-ai-act-high-risk-compliance-a-technical-readiness-guide-for-august-2026/

32. EU AI Risk, “Complete Guide to EU AI Act High-Risk Classification”. https://euairisk.com/resources/eu-ai-act-high-risk-classification-guide

33. ArtificialIntelligenceAct.eu. https://artificialintelligenceact.eu

34. LinkedIn article, “August 2026 Is Closer Than You Think: EU AI Act Deadline”. https://www.linkedin.com/pulse/august-2026-closer-than-you-think-eu-ai-act-deadline-could-buonomo-lmwsf

35. Comissão Europeia, “AI Act”. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai