O Regulamento Omnibus Digital em matéria de IA introduz alterações relevantes ao AI Act, incluindo o adiamento dos prazos aplicáveis aos sistemas de IA de risco elevado, novas proibições relativas a aplicações de geração de imagens íntimas não consensuais e material de abuso sexual de menores, ajustamentos às obrigações de transparência, mecanismos de simplificação para PME, alterações aos critérios de classificação e avaliação de risco, reforço das competências do Serviço para a IA e maior articulação com outra legislação europeia. Embora a data geral de aplicação do AI Act (2 de agosto de 2026) se mantenha para a maioria das obrigações, os operadores económicos deverão avaliar o impacto das novas regras, adaptar os seus sistemas aos novos requisitos e preparar-se para o calendário revisto de conformidade.
Em 29 de junho de 2026, o Conselho da União Europeia aprovou definitivamente o Regulamento Omnibus Digital em matéria de IA (PE-CONS 30/26), completando o processo legislativo iniciado com a proposta da Comissão Europeia em novembro de 2025. O regulamento, que altera o Regulamento (UE) 2024/1689 (AI Act), o Regulamento (UE) 2018/1139 (Aviação Civil) e o Regulamento (UE) 2023/1230 (Máquinas) entra em vigor no terceiro dia após a sua publicação no Jornal Oficial da União Europeia.
Apresentam-se de seguida as principais alterações introduzidas:
- Adiamento dos prazos para sistemas de IA de risco elevado:as datas de aplicação das obrigações relativas a sistemas de IA de risco elevado (Capítulo III, Secções 1 a 3 do AI Act) foram adiadas face ao calendário originalmente previsto. Em particular: (i) os sistemas de IA de risco elevado autónomos, que abrangem, entre outros, usos nas áreas da biometria, infraestruturas críticas, recrutamento, educação, aplicação da lei e controlo fronteiriço, estarão sujeitos às respetivas obrigações a partir de 2 de dezembro de 2027; e (ii) os sistemas de IA integrados em produtos regulamentados por legislação setorial da União Europeia (UE), tais como dispositivos médicos, brinquedos e equipamentos de proteção individual, passam a estar sujeitos às respetivas obrigações, a partir de 2 de agosto de 2028;
- Novas proibições aplicáveis a nudifier apps e CSAM: o artigo 5.º passa a proibir a colocação no mercado, colocação em serviço ou utilização de sistemas de IA que gerem ou manipulem imagens íntimas realistas não consensuais e material de abuso sexual de menores (CSAM). A proibição aplica-se aos prestadores cujos sistemas se destinem a gerar esse material ou em que tal resultado seja razoavelmente previsível sem salvaguardas técnicas adequadas, bem como aos responsáveis pela implantação que utilizem esses sistemas. Os operadores económicos terão até 2 de dezembro de 2026 para adaptar os seus sistemas;
- Marcação de conteúdos gerados por IA (watermarking):os prestadores de sistemas de IA generativa que gerem conteúdos sintéticos de áudio, imagem, vídeo ou texto, colocados no mercado antes de 2 de agosto de 2026, beneficiam de um período de carência de quatro meses (i.e. até 2 de dezembro de 2026) para implementarem a obrigação de marcação legível por máquina prevista no artigo 50.º, n.º 2, do AI Act (prazo este, que foi encurtado face aos seis meses inicialmente previstos);
- Mecanismo de limitação de requisitos face à legislação setorial: é introduzido um novo mecanismo (artigo 2.º, n.º 13) que permite limitar a aplicação dos requisitos de risco elevado dos artigos 9.º a 25.º do AI Act, quando a legislação de harmonização da UE enumerada na Secção A do Anexo I proporcione proteção equivalente ou superior. A Comissão fica habilitada a adotar atos delegados para identificar os casos de limitação, devendo fazê-lo até 2 de agosto de 2027;
- Maquinaria excluída da aplicação direta do AI Act: o Regulamento das Máquinas (UE) 2023/1230 é transferido da Secção A para a Secção B do Anexo I do AI Act, passando os sistemas de IA de risco elevado (que estejam incorporados em máquinas) a estar sujeitos apenas a um conjunto limitado de disposições do AI Act. A Comissão fica obrigada a adotar atos delegados para incorporar os requisitos pertinentes do AI Act no Regulamento das Máquinas até 2 de agosto de 2028;
- Definição restrita de “componente de segurança”: a definição de “componente de segurança” (artigo 3.º, n.º 14) é clarificada no sentido de que apenas integram este conceito os componentes cuja finalidade seja prevenir ou atenuar riscos para a saúde e segurança de pessoas ou bens. Sistemas utilizados exclusivamente para assistência ao utilizador, otimização do desempenho, eficiência do serviço, automatização ou conveniência ficam expressamente excluídos, com impacto direto na classificação de sistemas como de risco elevado, ao abrigo do artigo 6.º, n.º 1;
- Deteção e correção de enviesamentos:o novo artigo 4.º-A alarga a base jurídica para o tratamento excecional de categorias especiais de dados pessoais para deteção e correção de enviesamentos a todos os sistemas e modelos de IA, sujeitando-os a garantias rigorosas de necessidade e proporcionalidade;
- Simplificações para PME e pequenas empresas de média capitalização: são introduzidas as definições de PME (artigo 3.º, n.º 14-A) e de “pequena empresa de média capitalização” (artigo 3.º, n.º 14-B), estendendo-lhes medidas de simplificação, nomeadamente quanto a documentação técnica; proporcionalidade nos requisitos do sistema de gestão da qualidade; grau de cumprimento do sistema de gestão da qualidade aplicável a todas as PME, incluindo empresas juridicamente enquadráveis como startups e delimitação do regime sancionatório;
- Literacia em IA:passa a ser uma obrigação aliviada, sendo o artigo 4.º reformulado no sentido de esta obrigação passar, de uma obrigação de garantia para a literacia em IA, para uma obrigação de meios (i.e. os operadores económicos devem “adotar medidas para promover” essa literacia), afastando-se expressamente a obrigação de garantir que as pessoas atinjam qualquer nível específico de literacia;
- Sandboxes regulatórios e testes em condições reais: o prazo para os Estados-Membros estabelecerem pelo menos um ambiente de teste regulatório de IA é adiado para 2 de agosto de 2027. O âmbito dos testes em condições reais fora das sandboxes é alargado para abranger os sistemas cobertos pela Secção A do Anexo I. O Serviço para a IA fica habilitado a criar um ambiente de teste a nível da União, com acesso prioritário a PME, startups e pequenas empresas de média capitalização;
- Serviço para a IA: é clarificada a competência exclusiva e o núcleo de poderes de execução do Serviço para a IA sobre sistemas baseados em modelos de IA de finalidade geral (onde o modelo e o sistema são desenvolvidos pelo mesmo prestador ou por entidades da mesma empresa) e sobre sistemas integrados em plataformas online de muito grande dimensão. Os novos artigos 75º-A a 75º-D conferem ao Serviço poderes de investigação, inspeção, compromissos vinculativos e aplicação de coimas e sanções pecuniárias compulsórias de até 5% do volume de negócios diário médio por dia;
- Alinhamento com o Cyber Resilience Act:o novo artigo 42.º n.º 3 estabelece que os sistemas de IA de risco elevado que cumpram os requisitos essenciais de cibersegurança do Regulamento (UE) 2024/2847 (Cyber Resilience Act) são considerados conformes com o artigo 15.º do AI Act, eliminando duplicação de avaliações de conformidade.
A tabela seguinte ordena cronologicamente o quadro regulatório, por forma a apoiar a agenda de conformidade dos operadores económicos:
|
Data |
Obrigação |
|
2 de fevereiro de 2025 |
ü Capítulos I e II do AI Act aplicáveis ü O novo artigo 4.º-A (tratamento de dados sensíveis para correção de enviesamentos) aplica-se a partir desta data |
|
Entrada em vigor do Omnibus (3.º dia após publicação no JOUE) |
ü Artigos 102.º a 110.º do AI Act aplicáveis ü Início do prazo de 18 meses para organismos notificados ao abrigo da legislação setorial (Secção A do Anexo I) solicitarem designação específica ao abrigo do AI Act |
|
2 de agosto de 2026 |
Data geral de aplicação do AI Act: ü Obrigações de transparência do artigo 50.º (exceto watermarking para sistemas já no mercado) ü Regras sobre modelos de IA de finalidade geral ü Proibições de práticas de risco inaceitável |
|
2 de dezembro de 2026 |
ü Novas proibições relativas a deepfakes íntimos e CSAM (artigo 5.º) aplicáveis ü Prazo-limite para prestadores de sistemas de IA generativa colocados no mercado antes de 2 de agosto de 2026 implementarem a obrigação de marcação de conteúdo sintético (artigo 50.º n.º 2) |
|
1 de agosto de 2027 |
ü Prazo para a Comissão publicar orientações de apoio ao cumprimento pelos operadores de sistemas de risco elevado abrangidos pelo Anexo I, incluindo sobre a articulação com a legislação setorial (artigo 96.º) |
|
2 de agosto de 2027 |
ü Capítulo III, Secções 1 a 3 do AI Act aplicáveis aos sistemas de IA de risco elevado autónomos (Anexo III: biometria, infraestruturas críticas, emprego, educação, aplicação da lei, migração e administração da justiça) ü Sandboxes nacionais devem estar operacionais ü Prazo para a Comissão adotar atos delegados sobre o mecanismo de limitação de requisitos (artigo 2.º n.º 13) |
|
2 de setembro de 2027 |
ü Prazo para a Comissão publicar orientações (incluindo modelo voluntário) sobre o plano de acompanhamento pós-comercialização (artigo 72.º, n.º 3) |
|
2 de agosto de 2028 |
ü Capítulo III, Secções 1 a 3 do AI Act aplicáveis aos sistemas de IA de risco elevado incorporados em produtos (Secção A do Anexo I: dispositivos médicos, brinquedos, equipamentos de proteção individual, entre outros) ü Aplicabilidade dos requisitos do AI Act no Regulamento das Máquinas |
|
18 meses após entrada em vigor do Omnibus |
ü Prazo para organismos notificados ao abrigo da legislação de harmonização da UE (Secção A do Anexo I) solicitarem designação específica ao abrigo do AI Act |
|
2 de agosto de 2030 |
ü Prazo máximo para prestadores e responsáveis pela implantação de sistemas de IA de risco elevado concebidos para utilização por autoridades públicas cumprirem integralmente os requisitos do AI Act |
O que permanece inalterado
A data geral de 2 de agosto de 2026 para a aplicação do AI Act mantém-se como marco relevante de conformidade.
As obrigações de transparência do artigo 50.º permanecem, em larga medida, inalteradas, pelo que as empresas abrangidas devem continuar a preparar-se para essa data.
As proibições de práticas de IA de risco inaceitável (artigo 5.º) aplicam-se igualmente nessa data, com exceção das novas proibições relativas a deepfakes íntimos e CSAM, que entram em vigor em dezembro de 2026.
As regras aplicáveis aos modelos de IA de finalidade geral (artigos 51.º a 56.º) e o regime sancionatório geral, incluindo os limites máximos de coima (até 35 000 000 EUR ou 7% do volume de negócios anual, consoante o montante mais elevado), não sofrem alterações materiais.
Próximos passos
O regulamento entra em vigor no terceiro dia após a sua publicação no Jornal Oficial da União Europeia.
Os operadores económicos devem, em especial:
(i) Avaliar se os seus sistemas de IA são classificados como de risco elevado e identificar a data de aplicação pertinente (dezembro de 2027 ou agosto de 2028);
(ii) Verificar se beneficiam do regime de grandfathering, aplicável se pelo menos uma unidade do tipo e modelo do sistema tiver sido legalmente colocada no mercado antes das novas datas de aplicação e desde que a conceção permaneça inalterada;
(iii) Adaptar os sistemas de IA generativa às novas obrigações de marcação de conteúdo até dezembro de 2026;
(iv) Avaliar o impacto das novas proibições relativas a deepfakes íntimos e CSAM, caso disponibilizem sistemas com capacidades de geração ou manipulação de imagens ou vídeo.
A equipa de Tecnologia da Morais Leitão continuará a acompanhar de perto os desenvolvimentos legislativos e regulamentares aplicáveis ao setor da inteligência artificial, e permanece inteiramente disponível para o esclarecimento de qualquer questão adicional.