Hoje, 16 de junho de 2026, foi aprovado o Digital Omnibus on AI.
O Digital Omnibus on AI, aprovado em primeira leitura pelo Parlamento Europeu hoje mesmo, ficou conhecido por duas decisões.
Primeiro, adiou as obrigações para sistemas de risco elevado para 2 de dezembro de 2027 e 2 de agosto de 2028. Depois, introduziu a primeira proibição nova desde a adoção do Regulamento (UE) 2024/1689, dirigida aos sistemas que geram imagens íntimas não consentidas e material de abuso sexual de crianças.
Foi por aí que o pacote entrou na imprensa, e com razão.
O problema é que essa leitura deixa de fora metade do diploma. O regulamento modificativo não se limita a mexer no calendário e a acrescentar uma proibição. Recalibra o AI Act em várias frentes: definições, obrigações horizontais, base de tratamento de dados, registo, governação. E algumas dessas alterações tocam a substância do Regulamento de forma mais profunda do que o próprio adiamento.
Quem leu o comunicado não as notou. Mas vale a pena lê-las.
A literacia que perdeu o patamar
O artigo 4.º do AI Act obrigava todos os prestadores e responsáveis pela implantação, independentemente do nível de risco, a adotar medidas para garantir, na medida do possível, que o seu pessoal dispunha de um nível suficiente de literacia no domínio da IA. É uma das disposições já em vigor, desde 2 de fevereiro de 2025. O Omnibus Digital reescreve-a.
Na nova redação, prestadores e responsáveis pela implantação passam a ter de tomar medidas para apoiar o desenvolvimento da literacia do pessoal e de outras pessoas que operem os sistemas em seu nome.
A diferença não é cosmética — mas também não é a que uma leitura apressada sugere. O artigo nunca foi uma obrigação de resultado pura: já era um dever de adotar medidas, temperado pelo “na medida do possível”. O que muda é o alvo dessas medidas. Deixam de visar que o pessoal disponha de um nível suficiente de literacia, um patamar, e passam a visar apoiar o desenvolvimento dessa literacia, um processo. O patamar de suficiência desaparece do enunciado.
O fundamento invocado é a desproporção da exigência original, sobretudo para as empresas mais pequenas. O texto acrescenta que a Comissão e os Estados-Membros devem facilitar esse esforço, com formação e recursos, e que o Comité Europeu para a Inteligência Artificial adotará recomendações.
Para o jurista que aconselha empresas, o efeito prático segue na mesma direção, ainda que por via mais subtil: o incumprimento torna-se mais difícil de aferir. Uma obrigação de apoiar um desenvolvimento é menos verificável do que uma de assegurar um nível, mesmo quando esta estava limitada ao possível.
Quem montou programas internos de formação para cumprir o artigo 4.º não desperdiçou o esforço; quem ainda não o fez ganhou margem.
Componente de segurança: a definição que encolhe o risco elevado
Esta é a alteração tecnicamente mais relevante — e, provavelmente, a mais sensata. A noção de “componente de segurança” é decisiva na classificação de um sistema como de risco elevado por força do artigo 6.º, n.º 1: um sistema de IA que seja componente de segurança de um produto abrangido pela legislação de harmonização da União é, em princípio, de risco elevado. O problema é que a definição original do artigo 3.º, n.º 14, não conferia clareza suficiente sobre o que conta como componente de segurança, com o risco de arrastar para a categoria de risco elevado sistemas que aí não deviam estar.
O Omnibus Digital aperta o conceito. Introduz a noção de “função de segurança” como finalidade prevista do sistema, determinada pelo prestador: um sistema cumpre uma função de segurança quando a sua finalidade prevista é prevenir ou mitigar riscos para a saúde e a segurança de pessoas ou bens. Ficam expressamente de fora os sistemas destinados apenas a assistência ao utilizador, otimização de desempenho, eficiência, automação ou conveniência. E fixa-se um princípio que faltava: o mero facto de um sistema estar integrado num produto sujeito a legislação de harmonização não significa, só por si, que cumpra uma função de segurança.
O resultado é um estreitamento da porta de entrada para o risco elevado por via do Anexo I. Menos sistemas embebidos em produtos serão classificados como de risco elevado apenas por estarem lá dentro. Esta é uma correção a uma sobreinclusão real do texto original, e dificilmente se lhe pode chamar desregulação no sentido pejorativo. É clarificação — do tipo que devia ter constado da versão inicial.
Dados sensíveis para detetar enviesamentos: a base que se alargou
O artigo 10.º, n.º 5, do AI Act já continha uma solução elegante para um problema espinhoso: para detetar e corrigir enviesamentos, é por vezes necessário tratar precisamente os dados sobre as características protegidas — origem, saúde, orientação sexual — que se quer evitar que sirvam de base à discriminação. O Regulamento autorizava, por isso, os prestadores de sistemas de risco elevado a tratar categorias especiais de dados pessoais para esse fim, na medida do estritamente necessário e com garantias adequadas.
O Omnibus Digital alarga essa base jurídica. Através de um novo artigo, estende a autorização aos prestadores e responsáveis pela implantação de outros sistemas e modelos de IA — não apenas de risco elevado — e aos responsáveis pela implantação de sistemas de risco elevado, sujeitando-os às mesmas limitações, condições e salvaguardas do artigo 10.º, n.º 5. O fundamento é sólido: o enviesamento não se limita aos sistemas de risco elevado, nem só os prestadores o produzem. Ferramentas de pontuação de elegibilidade para serviços públicos, por exemplo, podem restringir direitos de certos grupos.
A leitura crítica é igualmente legítima. Trata-se de alargar o tratamento de categorias especiais de dados pessoais — o núcleo mais protegido do RGPD — a um universo muito mais vasto de operadores. A articulação com o artigo 9.º, n.º 2, alínea g), do RGPD é expressamente ressalvada, e as salvaguardas do artigo 10.º, n.º 5, transitam para a nova base. Mas o jurista de proteção de dados fará bem em olhar para esta extensão com atenção: a finalidade é virtuosa, o instrumento é sensível, e a fronteira entre detetar enviesamentos e construir perfis sobre características protegidas exige rigor na aplicação.
O registo que ficou mais leve
O artigo 49.º obriga ao registo de sistemas na base de dados da UE. Um dos seus pontos mais interessantes em termos de prestação de contas é o registo dos sistemas que o prestador, ao abrigo do artigo 6.º, n.º 3, considera não serem de risco elevado apesar de constarem do Anexo III. O Omnibus Digital simplifica o conteúdo exigido para esse registo, aligeirando o Anexo VIII.
O texto sublinha que o registo se mantém — continua a ser crucial para a fiscalização do mercado e para a prestação de contas pública — e que o prestador que invoca o artigo 6.º, n.º 3, permanece obrigado a documentar a sua avaliação antes da colocação no mercado, podendo as autoridades exigi-la. Mas o conteúdo público desse registo torna-se mais reduzido.
Foi este ponto, entre outros, que motivou a crítica de organizações de direitos digitais como a Liberties, que viram no Omnibus Digital um recuo nas garantias. O argumento é compreensível: a obrigação de declarar publicamente a decisão de não classificar como risco elevado um sistema que poderia sê-lo é um mecanismo de escrutínio com valor próprio, e tudo o que o aligeira reduz a transparência sobre as decisões que mais escapam à supervisão.
A defesa do legislador é a da proporcionalidade. A questão é onde se traça a linha — e o Omnibus Digital traçou-a um pouco mais perto da conveniência do operador.
O Serviço para a IA estende-se
A última frente é a da governação, e aponta numa direção que merece atenção autónoma: a centralização. O Omnibus Digital refina a competência exclusiva do AI Office (Serviço para a IA) sobre os sistemas construídos a partir de modelos de IA de finalidade geral. Até agora, essa competência cobria sobretudo os casos em que o sistema e o modelo eram do mesmo prestador. Passa a abranger também os casos em que sistema e modelo são desenvolvidos por prestadores que integram a mesma empresa — o conceito amplo de empresa do direito da União, que apanha grupos societários.
A isto soma-se uma novidade na articulação com o Regulamento Serviços Digitais (DSA): a Comissão passa a dispor dos poderes de autoridade de fiscalização do mercado, ao abrigo do AI Act, quando um sistema de IA constitui ou está integrado numa plataforma ou motor de pesquisa em linha de muito grande dimensão — as VLOP e VLOSE do DSA, com mais de 45 milhões de destinatários ativos mensais na União. E o Serviço para a IA passa a deter, para os sistemas sob a sua supervisão, o conjunto de poderes de uma autoridade de fiscalização do mercado: pedidos de informação, inspeções, investigações, compromissos vinculativos, coimas e sanções pecuniárias compulsórias.
O sentido é inequívoco. A supervisão dos sistemas mais consequentes — os construídos sobre modelos de finalidade geral, os que vivem dentro das grandes plataformas — desloca-se para Bruxelas, para o Serviço para a IA e para a Comissão, e afasta-se das autoridades nacionais. Para um sistema em que estas ainda não estão sequer todas designadas, há aqui uma escolha estrutural sobre quem fiscaliza a IA na Europa que vai muito para além de uma simplificação.
E ainda: PME, mid-caps e sandboxes
Há um conjunto adicional de alterações de menor visibilidade mas com efeito prático. O Omnibus Digital introduz no AI Act definições de PME e de pequenas empresas de média capitalização — as chamadas small mid-caps — e estende a estas últimas várias medidas de apoio antes reservadas às primeiras. Estende a todas as PME, incluindo startups, a possibilidade de cumprir de forma simplificada a obrigação de sistema de gestão da qualidade, antes limitada às microempresas (artigo 63.º). Reforça a cooperação ao nível da União em matéria de ambientes de testagem regulamentar (sandboxes), prevê um sandbox ao nível da própria União operado pelo Serviço para a IA, e alarga os testes em condições reais, antes circunscritos aos sistemas do Anexo III, aos sistemas de risco elevado abrangidos pela legislação setorial do Anexo I.
Ler o texto, não o comunicado
Vista no conjunto, a letra miúda do Omnibus Digital conta uma história mais rica do que a do adiamento. O pacote é uma recalibração do AI Act em múltiplas frentes, e a esmagadora maioria das alterações aponta na mesma direção: aliviar a carga sobre quem desenvolve e implanta.
Nem todas merecem o mesmo juízo. A clarificação do conceito de componente de segurança corrige um defeito real do texto. O abrandamento da literacia e o aligeiramento do registo trocam exigibilidade por flexibilidade, com perda mensurável de garantias. A extensão da base de tratamento de dados sensíveis é virtuosa na intenção e delicada no instrumento.
O EDPB‑EDPS, embora reconhecendo a necessidade de detetar enviesamentos, a sensibilidade de alargar excepções para categorias especiais de dados e pedem salvaguardas robustas.
E a centralização da supervisão no Serviço para a IA é uma decisão de arquitetura institucional que ultrapassa a etiqueta de “simplificação”.
Fica também o método. As alterações foram aprovadas sem uma avaliação de impacto plena e específica que examinasse de forma adequada os possíveis efeitos adversos de certas mudanças na proteção de direitos fundamentais, algo que o Comité Europeu para a Proteção de Dados e a Autoridade Europeia para a Proteção de Dados assinalam expressamente no seu sobre o Digital Omnibus.
Para quem aconselha clientes sob o AI Act, a conclusão operativa é simples: o que mudou não cabe nas duas manchetes. Cabe no articulado, e é aí que é preciso ir procurá-lo.
Referências
| Tipo | Referência | Hiperligação |
|---|---|---|
| Legislação | Regulamento (UE) 2024/1689 (AI Act) — versão consolidada PT | https://eur-lex.europa.eu/eli/reg/2024/1689/oj |
| Ato preparatório | Posição do PE adotada em 1.ª leitura, 16/6/2026 — P10_TA(2026)0198, proc. 2025/0359(COD) | https://www.europarl.europa.eu/doceo/document/TA-10-2026-0198_PT.html |
| Ato preparatório | Proposta da Comissão COM(2025)0836, de 17/11/2025 (Digital Omnibus on AI) |
