O RGPD (Regulamento Geral sobre a Protecção de Dados) estabelece as regras para o tratamento de dados pessoais na União Europeia. Quando uma empresa utiliza inteligência artificial que processa dados pessoais (nomes, emails, moradas, dados de clientes, dados de colaboradores), deve garantir que esse processamento cumpre os princípios e obrigações do RGPD. O AI Act europeu, em vigor desde 2024, acrescenta requisitos específicos para sistemas de IA de alto risco.
A utilização de IA nas empresas não é, por si só, incompatível com o RGPD. A questão é como é implementada. Uma implementação bem planeada pode ser totalmente conforme. Uma implementação descuidada pode expor a empresa a multas significativas e danos reputacionais.
O contexto regulatório da IA em 2026
Em 2026, as empresas que utilizam IA devem considerar dois regulamentos principais:
- RGPD (2018): regula o tratamento de dados pessoais. Aplica-se sempre que a IA processa dados que identificam ou podem identificar uma pessoa.
- AI Act (2024): regula a utilização de sistemas de IA na UE. Classifica os sistemas por nível de risco e impõe obrigações proporcionais. A maioria das aplicações empresariais (automação de processos, chatbots, processamento de documentos) enquadra-se no risco limitado ou mínimo.
Princípios do RGPD aplicáveis à IA
| Princípio | O que significa na prática com IA |
|---|---|
| Licitude e finalidade | Os dados pessoais só podem ser processados pela IA para finalidades específicas e legítimas. |
| Minimização | A IA deve receber apenas os dados pessoais estritamente necessários. Não alimentar o modelo com dados desnecessários. |
| Exactidão | Os dados devem estar correctos. Respostas da IA baseadas em dados incorrectos podem violar este princípio. |
| Limitação de conservação | Os dados processados pela IA não devem ser retidos indefinidamente. Definir políticas de retenção. |
| Segurança | Proteger os dados processados pela IA com medidas técnicas adequadas (encriptação, controlo de acesso). |
| Transparência | Os titulares dos dados devem saber que os seus dados são processados por IA e para que finalidade. |
Obrigações concretas para empresas
- Avaliação de Impacto (DPIA): obrigatória quando o processamento por IA envolve dados pessoais em grande escala ou categorias sensíveis.
- Registo de actividades de tratamento: documentar que dados a IA processa, para que finalidade e com que base legal.
- Contratos com fornecedores: se utiliza APIs de IA de terceiros (ex: Azure OpenAI), garantir que o contrato inclui cláusulas de protecção de dados adequadas.
- Direitos dos titulares: garantir que os titulares podem exercer os seus direitos (acesso, rectificação, apagamento, oposição) sobre dados processados pela IA.
- Decisões automatizadas: o Artigo 22 do RGPD dá aos titulares o direito de não ficarem sujeitos a decisões exclusivamente automatizadas com efeitos significativos. Se a IA toma decisões que afectam pessoas (ex: aprovação de crédito, selecção de candidatos), é necessário garantir intervenção humana.
Medidas práticas de conformidade
- Processar dados na UE: utilizar serviços de IA com data centres na Europa (ex: Azure West Europe). Evitar que dados pessoais saiam do espaço europeu.
- Não usar dados para treino: garantir contratualmente que o fornecedor de IA não utiliza os dados da empresa para treinar modelos. O Azure OpenAI oferece esta garantia por defeito.
- Anonimizar quando possível: se a IA não precisa de dados pessoais para funcionar, anonimizar ou pseudonimizar antes de processar.
- Controlo de acesso: limitar quem pode aceder e interagir com os sistemas de IA que processam dados pessoais.
- Logs e auditoria: registar todas as interacções com sistemas de IA para rastreabilidade.
- Revisão humana: manter um humano no loop para decisões com impacto significativo em pessoas.
Erros frequentes e como evitá-los
- Usar ChatGPT gratuito com dados de clientes. Os dados podem ser usados para treino e não há garantias de conformidade. Usar serviços empresariais (ver Azure OpenAI).
- Não informar os titulares. Se processa dados de clientes com IA, os clientes devem ser informados (política de privacidade actualizada).
- Ignorar o Artigo 22. Decisões automáticas com impacto em pessoas requerem salvaguardas específicas.
- Não documentar. A conformidade exige documentação. Processos, avaliações de impacto, medidas de segurança.
- Assumir que o fornecedor trata de tudo. A responsabilidade é da empresa que decide utilizar a IA. O fornecedor é sub-contratante.
Checklist de conformidade
- Base legal para o processamento de dados pessoais por IA identificada e documentada.
- DPIA realizada (se aplicável).
- Registo de actividades de tratamento actualizado.
- Contrato com fornecedor de IA com cláusulas de protecção de dados.
- Dados processados em data centres na UE.
- Garantia de que dados não são usados para treino de modelos.
- Política de privacidade actualizada para incluir utilização de IA.
- Mecanismos para exercício dos direitos dos titulares implementados.
- Revisão humana garantida para decisões automatizadas com impacto significativo.
- Logs e auditoria activos.
Na Engibots, a conformidade regulatória é um requisito de base em qualquer projecto de IA. Priorizamos infraestrutura europeia, dados que não são partilhados com terceiros, e documentação completa de todas as medidas de protecção.