O Regulamento da UE para a AI e o seu Sistema de Gestão Documental
Um guia prático, funcionalidade por funcionalidade, sobre o que o Regulamento da UE para a AI significa para sistemas de gestão documental com AI — OCR, etiquetagem automática, chatbots e tudo o resto.
Última atualização: abril de 2026
A Resposta Rápida
- → A maioria das funcionalidades de AI num sistema de gestão documental — OCR, classificação automática, extração de metadados, pesquisa — enquadra-se na categoria de risco mínimo e não acarreta obrigações específicas além da formação em literacia de AI.
- → Se o seu DMS tiver um chatbot de AI ou gerar texto (resumos, traduções), essas funcionalidades são de risco limitado e requerem rotulagem de transparência até 2 de agosto de 2026.
- Conclusão: O Regulamento da UE sobre IA (EU AI Act) não é tão assustador quanto sugerem as manchetes — mas o prazo de 2 de agosto é real, e o Artigo 4 (literacia em IA) já se aplica desde fevereiro de 2025. Continue a ler para ver a análise completa.
O que acontece a 2 de agosto de 2026?
O Regulamento da UE sobre IA (Regulamento 2024/1689) entrou em vigor a 1 de agosto de 2024, mas as suas obrigações são introduzidas de forma gradual. A maior vaga de aplicação prática chega a 2 de agosto de 2026 — é quando as obrigações de transparência para sistemas de risco limitado, o regime completo de conformidade para alto risco, as obrigações dos utilizadores profissionais (deployers) e a aplicação de coimas entram em vigor em simultâneo.
Se opera ou utiliza um sistema de gestão documental (DMS) com funcionalidades de IA na UE, este calendário é importante. Algumas obrigações já se aplicam. Outras chegam em meses, não em anos.
| Data | O que se aplica | Estado |
|---|---|---|
| 1 de ago. de 2024 | Entrada em vigor do Regulamento sobre IA (Regulamento UE 2024/1689 publicado no Jornal Oficial) | Concluído |
| 2 de fev. de 2025 | Proibição das práticas proibidas do Artigo 5 — a obrigação de literacia em IA do Artigo 4 aplica-se a todos os fornecedores e utilizadores profissionais | Em vigor |
| 2 de ago. de 2025 | Obrigações para modelos de IA de uso geral (Arts. 51–56) — aplica-se a fornecedores de modelos de fundação como OpenAI, Google, Anthropic | Em vigor |
| 2 de ago. de 2026 | Obrigações de transparência do Artigo 50, requisitos para sistemas de alto risco do Anexo III (Arts. 8–15), obrigações dos utilizadores profissionais (Art. 26), registo na base de dados da UE, poderes de fiscalização e coimas | Faltam 97 dias |
| 2 de ago. de 2026 | Transparência: todos os chatbots de IA devem revelar a sua natureza de IA; todo o conteúdo gerado por IA deve conter marcações legíveis por máquina | Prazo limite |
| 2 de ago. de 2027 | Sistemas de alto risco do Anexo I — IA integrada em produtos regulados (dispositivos médicos, veículos, máquinas) | Futuro |
O Digital Omnibus Act, atualmente em negociações de trílogo, poderá adiar os prazos de alto risco (Anexo III) para dezembro de 2027. No entanto, as obrigações de transparência ao abrigo do Artigo 50 e o requisito de literacia em IA ao abrigo do Artigo 4 não são afetados por qualquer proposta de adiamento. Planeie tudo para 2 de agosto de 2026.
Os quatro níveis de risco, explicados
O Regulamento da UE sobre IA classifica os sistemas de IA em quatro níveis com base no dano potencial. Quanto maior o risco, mais rigorosas são as obrigações. Para a gestão documental, compreender estes níveis é essencial — porque o nível determina se não precisa de fazer nada, se deve adicionar uma etiqueta de aviso ou se tem de passar por uma avaliação de conformidade completa.
A grande maioria das funcionalidades de IA em software de gestão documental — OCR, autoclassificação, extração de metadados, pesquisa de texto integral — enquadra-se perfeitamente na categoria de risco mínimo. São tarefas procedimentais estreitas que não tomam decisões sobre pessoas. A próxima secção detalha isto funcionalidade por funcionalidade.
| Nível de risco | O que se enquadra aqui | Obrigações | Coima máx. |
|---|---|---|---|
| Proibido | Classificação social (social scoring), manipulação subliminar, identificação biométrica em tempo real em espaços públicos, reconhecimento de emoções no local de trabalho | Totalmente proibido (Art. 5) | 35 M€ / 7% |
| Alto risco | IA em biometria, infraestruturas críticas, emprego, avaliação de crédito, educação, aplicação da lei, migração | Conformidade total: gestão de riscos, governação de dados, documentação técnica, registo de logs, supervisão humana, avaliação de conformidade, marcação CE (Arts. 8–15) | 15 M€ / 3% |
| Risco limitado | Chatbots de IA, conteúdo gerado por IA (texto, imagens, áudio, vídeo), reconhecimento de emoções, deepfakes | Apenas transparência: revelar a natureza de IA aos utilizadores, marcar o conteúdo gerado por IA como legível por máquina (Art. 50) | 15 M€ / 3% |
| Risco mínimo | Filtros de spam, IA em videojogos, classificação de pesquisas, OCR, autoclassificação, a maioria dos softwares empresariais | Sem obrigações obrigatórias — apenas a literacia em IA do Art. 4 (aplica-se a todos os níveis). Códigos de conduta voluntários são incentivados | 7,5 M€ / 1% |
Uma nuance importante: a classificação de risco depende do que a IA faz, não de quem a desenvolve. Uma startup de 3 pessoas e uma empresa da Fortune 500 enfrentam as mesmas obrigações para o mesmo sistema de IA. A lei regula a tecnologia, não a organização.
Onde se enquadra o seu DMS? Classificação funcionalidade por funcionalidade
É aqui que a maioria dos guias sobre o Regulamento de IA da UE falha. Explicam os níveis de risco de forma abstrata, mas nunca associam funcionalidades específicas de software a níveis específicos. Se gere um sistema de gestão documental com IA, eis exatamente onde cada funcionalidade se enquadra.
A classificação abaixo assume uma gestão geral de documentos de negócios — faturas, contratos, recibos, correspondência, apólices de seguro. Se o seu DMS for utilizado num domínio de alto risco (recrutamento, decisões de crédito, triagem médica), a classificação pode subir. O contexto importa.
| Funcionalidade do DMS | Nível de risco | O que deve fazer |
|---|---|---|
| OCR (extração de texto de digitalizações) | Mínimo | Sem obrigações específicas. O OCR é uma ferramenta de reconhecimento de texto — não toma decisões sobre pessoas. |
| Autoclassificação (fatura, contrato, recibo) | Mínimo | Sem obrigações específicas. O reconhecimento de padrões para arquivo é uma "tarefa procedimental estreita" ao abrigo do Art. 6(3)(a) — não se enquadra em nenhuma categoria do Anexo III. |
| Extração de metadados (datas, valores, entidades) | Mínimo | Sem obrigações específicas. A extração de dados estruturados de documentos é um processamento preparatório, não um sistema de tomada de decisões. |
| Chatbot de IA (perguntas e respostas sobre documentos, encontrar documentos) | Limitado | Art. 50(1): Os utilizadores devem ser informados de que estão a interagir com uma IA antes ou no início da interação. Uma etiqueta visível como "Assistente de IA" ou um ícone de faíscas com texto explicativo cumpre este requisito. |
| Resumos e textos gerados por IA | Limitado | Art. 50(2): O texto sintético deve ser marcado como gerado por IA num formato legível por máquina. Exceção: "função de assistência para edição padrão" que não altere substancialmente a semântica do input. |
| Tradução de documentos por IA | Limitado | Art. 50(2): O resultado traduzido é texto gerado por IA. Marque-o como tal com metadados legíveis por máquina — a menos que o resultado siga de perto o material de origem (exceção de edição assistida). |
| Decisões de emprego ou crédito baseadas em IA | Alto risco | Conformidade total com os Arts. 8–15: sistema de gestão de riscos, governação de dados, documentação técnica, registo automático de logs, supervisão humana, avaliação de conformidade, marcação CE, registo na base de dados da UE. |
O principal mecanismo legal que mantém a maioria das funcionalidades de DMS fora do território de alto risco é o Artigo 6(3). Este prevê derrogações explícitas para sistemas de IA que realizam "tarefas procedimentais estreitas" (6(3)(a)), tarefas que "melhoram o resultado de uma atividade humana anteriormente concluída" (6(3)(b)), ou "tarefas preparatórias para uma avaliação relevante para efeitos dos casos de utilização enumerados no Anexo III" (6(3)(d)). A autoclassificação que organiza faturas em categorias é uma tarefa procedimental estreita. A extração de metadados que retira datas e valores de contratos é uma tarefa preparatória. Nenhuma delas influencia materialmente uma decisão sobre uma pessoa.
Contudo: se a autoclassificação do seu DMS for utilizada para ordenar candidaturas a emprego num processo de recrutamento, ou para encaminhar reclamações de seguros para aprovação ou rejeição, essa mesma funcionalidade poderá ser reclassificada como de alto risco — porque o contexto a desloca para um domínio do Anexo III (emprego ou acesso a serviços essenciais). A funcionalidade em si não determina o nível de risco. O caso de utilização sim.
Artigo 50: As obrigações de transparência que se aplicam ao seu chatbot de IA
Se o seu sistema de gestão documental inclui um chatbot de IA, uma funcionalidade de resumo ou qualquer forma de texto gerado por IA, o Artigo 50 aplica-se. Esta é a obrigação mais relevante para a maioria dos produtos de DMS — e torna-se aplicável a 2 de agosto de 2026.
O Artigo 50 tem três subobrigações importantes para a gestão documental:
Revelação de interação com IA
Qualquer sistema de IA concebido para interagir com pessoas deve informá-las de que se trata de IA — antes ou no início da interação. Não deve estar escondido nos termos de serviço, mas sim no ponto de contacto. Exceção: quando for "óbvio dadas as circunstâncias" — um critério difícil de cumprir.
Marcação de conteúdo gerado por IA
Texto, áudio, imagem ou vídeo sintéticos devem ser marcados como gerados por IA num formato legível por máquina (metadados C2PA, marcas de água ou semelhante). Deve ser eficaz, interoperável, robusto e fiável. Exceção: edição assistida que não altere substancialmente o input.
Revelação de deepfake / texto de IA
O conteúdo gerado por IA publicado para consumo público deve ser visivelmente etiquetado. Os utilizadores profissionais devem preservar as marcações legíveis por máquina dos fornecedores e adicionar etiquetas visíveis no momento da publicação.
Para um DMS, o impacto prático é simples. Se o seu sistema tem uma funcionalidade de chat com IA, mostre um indicador claro de que o utilizador está a interagir com uma IA — uma etiqueta, um ícone de faíscas ou outro elemento visual semelhante. Se o seu sistema gera resumos, traduções ou explicações, marque-os como gerados por IA na interface e, idealmente, nos metadados do documento. Estes não são requisitos pesados. A maioria dos produtos modernos de DMS com IA já o faz ou pode implementá-lo em poucas horas.
A distinção entre fornecedor (provider) e utilizador profissional (deployer) é importante. O Regulamento sobre IA atribui a obrigação de conceber as funcionalidades de transparência ao fornecedor (a empresa que desenvolve o software) e a obrigação de as configurar e exibir ao utilizador profissional (a empresa que utiliza o software). Se é um fornecedor de DMS SaaS, é o fornecedor — deve integrar o mecanismo de revelação no seu produto. Se é uma empresa que utiliza um DMS, é o utilizador profissional — deve garantir que a revelação está visível para os seus utilizadores.
Artigo 4: A literacia em IA já é obrigatória
Esta é a obrigação que a maioria das organizações ignorou. O Artigo 4 exige que todos os fornecedores e utilizadores profissionais de sistemas de IA — independentemente do nível de risco — garantam um "nível suficiente de literacia em IA" entre a sua equipa e qualquer pessoa que opere a IA em seu nome. Está em vigor desde 2 de fevereiro de 2025.
Já em vigor desde 2 de fevereiro de 2025
O Artigo 4 aplica-se a todas as empresas que utilizam IA — incluindo o seu sistema de gestão documental. Se ainda não iniciou a formação em literacia em IA, já está atrasado. Não é necessária certificação, mas a formação deve ser documentada e demonstrável em caso de auditoria.
O que significa realmente "literacia em IA"? As orientações da Comissão Europeia clarificam que limitar-se a apontar para o manual do utilizador do sistema de IA não é suficiente. Um programa em conformidade deve abranger:
- 1.O que é a IA e como funciona — adequado ao público (executivos, engenheiros e utilizadores finais precisam de níveis de detalhe diferentes)
- 2.Capacidades e limitações dos sistemas de IA específicos que a sua organização utiliza
- 3.Riscos, incluindo enviesamentos, erros, alucinações e implicações de privacidade
- 4.Responsabilidades de supervisão humana — o que fazer quando a IA produz resultados inesperados, incorretos ou prejudiciais
- 5.A relevância do Regulamento sobre IA da UE para a função específica da pessoa
- 6.Documentação: uma política escrita de literacia em IA com âmbito, funções, áreas de conteúdo, registos de presença na formação e uma cadência de revisão
Para uma pequena equipa que utiliza um DMS com IA, isto não exige um programa de formação formal. Pode ser tão simples como uma reunião interna documentada onde explicam: quais as funcionalidades de IA nas ferramentas que utilizamos, o que podem e não podem fazer, e o que fazer quando os resultados parecerem errados. Documente a sessão, registe os participantes e agende uma atualização anual. Isso é suficiente para a maioria dos cenários de risco mínimo e limitado.
O Digital Omnibus Act: os prazos vão mudar?
A 19 de novembro de 2025, a Comissão Europeia propôs o Digital Omnibus Act — um pacote de simplificação legislativa que altera o Regulamento sobre IA juntamente com outros regulamentos digitais (RGPD, Regulamento de Dados, NIS 2). Entre outras alterações, propõe adiar o prazo para alto risco do Anexo III de 2 de agosto de 2026 para 2 de dezembro de 2027.
Em abril de 2026, o Omnibus está em negociações de trílogo. O Parlamento Europeu adotou a sua posição com 569 votos a favor e 45 contra em março de 2026. O Conselho também adotou o seu mandato em março. Ainda não foi adotado como lei. As datas originais continuam a ser legalmente vinculativas.
NÃO afetado pelo Omnibus — mantém-se a 2 de agosto de 2026
- ×Obrigações de transparência do Artigo 50 (revelação de chatbot, marcação de conteúdo)
- ×Literacia em IA do Artigo 4 (já em vigor desde fev. de 2025)
- ×Práticas proibidas do Artigo 5 (já em vigor desde fev. de 2025)
- ×Obrigações de modelos GPAI (em vigor desde ago. de 2025)
Poderá ser adiado SE o Omnibus for aprovado
- ✓Obrigações de sistemas de alto risco do Anexo III (Arts. 8–15) — proposta de adiamento para dez. de 2027
- ✓Sistemas de alto risco integrados em produtos do Anexo I — proposta de adiamento para ago. de 2028
O conselho prático: não utilize o Omnibus como desculpa para adiar. Mesmo que os prazos de alto risco mudem, o trabalho de governação — inventário de IA, classificação de risco, documentação, registo de logs, desenho de supervisão — é idêntico. E as obrigações que mais importam para os produtos de DMS (transparência e literacia) não são afetadas. Prepare-se agora, e um eventual adiamento passará a ser tempo de margem em vez de tempo perdido.
O que fazer este mês: uma lista de verificação prática
Quer desenvolva, venda ou utilize um sistema de gestão documental com funcionalidades de IA, eis o que deve fazer antes de 2 de agosto de 2026. Os passos estão ordenados por urgência — comece pelo topo.
Trate da literacia em IA agora (já está atrasado)
O Artigo 4 está em vigor desde fevereiro de 2025. Realize uma sessão interna sobre as ferramentas de IA que a sua equipa utiliza. Documente o que foi abordado, quem participou e quando. Pode ser uma reunião de 90 minutos — não um curso de várias semanas. Agende uma atualização anual.
Faça um inventário das suas funcionalidades de IA
Liste todas as funcionalidades baseadas em IA no seu conjunto de software: OCR, autoclassificação, chatbot, resumos, tradução, motor de recomendação. Para cada uma, note se interage diretamente com utilizadores e se gera conteúdo.
Classifique cada funcionalidade por nível de risco
Utilize a tabela na Secção 3 deste guia. Associe cada funcionalidade de IA a um nível de risco. Documente o seu raciocínio — este é o registo que um auditor iria solicitar. A maioria das funcionalidades de DMS será de risco mínimo ou limitado.
Implemente a etiquetagem de transparência
Para qualquer funcionalidade de risco limitado (chatbot, geração de texto): adicione um aviso visível de IA no ponto de interação. Para texto gerado por IA: adicione metadados legíveis por máquina que o identifiquem como sintético. Teste se os avisos estão visíveis na primeira interação — não escondidos nas definições.
Reveja o seu registo de auditoria (audit trail)
Embora não seja obrigatório para sistemas de risco mínimo, manter logs de resultados gerados por IA, correções de utilizadores e decisões do sistema é uma excelente prática. Se o seu DMS já tem um registo de auditoria (a maioria tem), verifique se este cobre as ações de IA — e não apenas o acesso a documentos.
Documente tudo
Crie um registo de conformidade simples: o seu inventário de IA, classificação de risco, comprovativo de formação em literacia em IA e implementação de transparência. Este documento não precisa de ser extenso — um resumo interno de 2 a 3 páginas é suficiente para a maioria das PME que operam sistemas de risco mínimo/limitado.
Realidade das PME: o que uma pequena equipa realmente precisa de fazer
Não há isenção por dimensão no Regulamento de IA da UE. Uma startup de 3 pessoas enfrenta as mesmas obrigações que uma empresa da Fortune 500 para o mesmo sistema de IA. A lei regula o que a IA faz, não quem a opera.
Dito isto, o Regulamento sobre IA não ignora a realidade das PME. Várias disposições acomodam especificamente empresas mais pequenas — coimas reduzidas, documentação simplificada, acesso prioritário a sandboxes regulatórias e taxas reduzidas de avaliação de conformidade.
Eis o que o Regulamento de IA da UE oferece especificamente para pequenas e médias empresas:
| Disposição | O que significa para as PME |
|---|---|
| Art. 99(6) — Limites de coimas | Para as PME, aplica-se o valor mais baixo das duas alternativas de sanção. Infrações proibidas: limitadas a 35 M€ (não 7% da faturação). Alto risco: limitadas a 15 M€ (não 3%). Isto significa que uma pequena empresa nunca será multada numa percentagem da receita se o limite fixo for inferior. |
| Art. 63 — SGQ simplificado | As microempresas (<10 colaboradores, <2 M€ de faturação) podem cumprir partes do Sistema de Gestão da Qualidade de forma simplificada. Menos burocracia, os mesmos princípios. |
| Art. 62–63 — Sandboxes regulatórias | Cada Estado-Membro da UE deve estabelecer pelo menos uma sandbox regulatória até agosto de 2026. As PME e startups têm acesso prioritário com taxas reduzidas ou isentas. |
| Art. 11(2) — Documentação simplificada | A Comissão tem o poder de criar um formato simplificado de documentação técnica do Anexo IV especificamente para PME e startups. |
Para uma empresa típica de 5 pessoas que utiliza um DMS com IA: o seu esforço total de conformidade resume-se provavelmente a uma sessão documentada de literacia em IA, um inventário de funcionalidades de IA (uma página), uma classificação de risco (a maioria das funcionalidades será de risco mínimo) e a verificação de que o seu fornecedor de DMS implementou a etiquetagem de transparência. Custo direto estimado: zero a algumas centenas de euros. Tempo estimado: 10 a 15 horas de trabalho distribuídas por algumas semanas. Esta é a realidade honesta para a maioria das pequenas empresas que utilizam IA na gestão documental.
Como a Veluvanto ajuda na conformidade com o Regulamento de IA da UE
A Veluvanto foi concebida tendo em conta os requisitos regulamentares da UE desde o primeiro dia. Eis o que a plataforma já oferece para a conformidade com o Regulamento sobre IA — sem necessidade de configuração adicional:
- ✓Revelação de interação com IA: cada resposta gerada por IA no chat da Veluvanto é marcada com um ícone de faíscas, indicando claramente o conteúdo gerado por IA. Os utilizadores sabem sempre quando estão a interagir com IA.
- ✓Registo de auditoria (audit trail): todas as ações de IA — análise de documentos, consultas no chat, atribuição de etiquetas, criação de lembretes — são registadas com carimbos de data/hora, IDs de utilizador e detalhes da ação. Isto cumpre as melhores práticas de registo para sistemas de risco limitado.
- ✓Acompanhamento de utilização de IA: registos de utilização por utilizador acompanham o consumo de créditos de IA, o modelo utilizado e o tipo de ação — fornecendo o registo detalhado que apoia os requisitos de responsabilidade.
- ✓Residência de dados na UE: todos os dados são armazenados e processados em centros de dados na UE. Sem encaminhamento flexível, sem recurso aos EUA, sem exceções. Os seus documentos nunca saem da UE.
- ✓Controlo do utilizador sobre ações de IA: os utilizadores podem rever, editar e anular qualquer classificação, etiqueta ou metadado gerado por IA a qualquer momento. A IA trabalha em segundo plano para lhe poupar tempo, mas o utilizador mantém o controlo dos seus documentos.
- ✓Sem treino com os seus dados: a Veluvanto nunca utiliza os documentos dos clientes para treinar modelos de IA. Os seus dados são processados apenas para seu benefício.
Estas funcionalidades não tornam a conformidade automática — ainda precisa de tratar da formação em literacia em IA e de manter a sua própria documentação. Mas significam que a plataforma em que confia já está preparada para o ambiente regulatório que se avizinha.
Fontes e leituras adicionais
Este guia baseia-se no texto oficial do Regulamento de IA da UE e em análises autorizadas. Para consultar o regulamento completo e os artigos específicos referenciados, consulte as fontes abaixo.
- Texto completo do Regulamento de IA da UE — Regulamento (UE) 2024/1689 — Jornal Oficial da União Europeia (eur-lex.europa.eu)
- Artigo 50 (Obrigações de transparência para sistemas de risco limitado) — artificialintelligenceact.eu/article/50
- Artigo 6 e Anexo III (Classificação de alto risco e derrogações) — artificialintelligenceact.eu/article/6 e artificialintelligenceact.eu/annex/3
- Perguntas e Respostas sobre Literacia em IA da Comissão Europeia — digital-strategy.ec.europa.eu
- Digital Omnibus Act — Posição do Parlamento Europeu adotada a 26 de março de 2026 (europarl.europa.eu)
- Artigo 99 (Sanções e disposições relativas às PME) — artificialintelligenceact.eu/article/99
- Ficha informativa da Accountancy Europe sobre o Regulamento de IA para PME — accountancyeurope.eu
Guias Relacionados
Gestão Documental com IA
Como a IA lê, etiqueta e organiza documentos — e o que procurar ao escolher um sistema
Gestão Documental e o RGPD
Como a Veluvanto o ajuda a manter-se em conformidade com o RGPD através de armazenamento de documentos encriptado e alojado na UE
Diretiva NIS2 e Gestão Documental
O outro grande quadro de conformidade da UE para 2026 — e por que razão a maior parte se resume a documentação