ChatGPT
Claude
Perplexity
Gemini
Grok2 de agosto de 2026: que documentos tem a sua instituição prontos?
O Regulamento (UE) 2024/1689 relativo à inteligência artificial — o Regulamento IA ou AI Act — aplica-se diretamente em Portugal enquanto regulamento europeu. Em 2 de agosto de 2026, entram em vigor as obrigações para sistemas de IA de alto risco e a obrigação de transparência do artigo 50. Restam menos de seis semanas.
Para universidades, politécnicos e outras instituições de ensino superior portuguesas — sejam elas públicas ou privadas, do ensino universitário ou politécnico —, a questão já não é saber se o Regulamento IA as abrange. A partir do momento em que uma instituição implementa um chatbot, uma ferramenta de pré-seleção de candidaturas ou um sistema de pontuação para admissões, ela é um utilizador profissional (deployer) nos termos do artigo 3 do regulamento, com obrigações próprias definidas no artigo 26.
Um ponto importante sobre o calendário: o pacote ómnibus de abril-maio de 2026 adiou o Anexo III para 2 de dezembro de 2027 para determinados sistemas de alto risco não críticos. Mas as obrigações de transparência (art. 50) para chatbots de IA mantêm-se para 2 de agosto de 2026, sem adiamento. Este guia detalha os documentos a preparar de acordo com o seu perfil. Para compreender a classificação dos riscos aplicável às suas ferramentas, consulte o nosso guia de classificação de riscos AI Act para instituições de ensino.
O Regulamento IA e o RGPD: dois quadros que se aplicam em simultâneo
O Regulamento IA não substitui o RGPD. Ambos os quadros se aplicam em simultâneo, e em Portugal a Comissão Nacional de Proteção de Dados (CNPD) desempenha um papel central na supervisão de ambos.
A CNPD é a autoridade nacional de controlo no âmbito do RGPD e está igualmente envolvida na governação nacional do Regulamento IA, nomeadamente nos aspetos relacionados com os direitos fundamentais e a proteção de dados. A CNPD já manifestou especial atenção às utilizações de IA no ensino superior.
As instituições de ensino superior em Portugal têm, regra geral, a forma jurídica de pessoas coletivas públicas ou privadas. As universidades e politécnicos públicos estão sujeitos à Lei de Proteção de Dados Pessoais (Lei n.º 58/2019) que executa o RGPD em Portugal, além do próprio RGPD. As instituições privadas ficam igualmente abrangidas pelo RGPD.
Nota PME: as instituições com menos de 250 trabalhadores beneficiam de obrigações simplificadas — nomeadamente documentação técnica mais ligeira. Verifique o seu limiar antes de definir o plano de conformidade.
Checklist de documentação por nível de risco
Chatbot de informação e candidaturas — risco limitado (art. 50)
Os chatbots que respondem às perguntas de futuros estudantes sobre cursos, condições de acesso, propinas ou prazos de candidatura através do concurso nacional de acesso enquadram-se no risco limitado. A única obrigação regulatória específica ao abrigo do Regulamento IA é a transparência do artigo 50: o utilizador deve saber que está a interagir com um sistema de IA.
Documentos a preparar para um chatbot de risco limitado:
1. Aviso de identificação de IA (obrigatório antes de 2 de agosto de 2026) Um texto visível desde a abertura da janela de chat, indicando claramente o carácter artificial do sistema. Exemplo: "Sou o assistente de IA de [Nome da instituição]. Para falar com um técnico, clique aqui." Este texto deve constar da documentação interna e estar visível na interface.
2. Atualização da política de privacidade A política deve mencionar a utilização de um chatbot de IA, os dados recolhidos durante as interações (histórico de conversa, eventualmente endereço IP), a base jurídica ao abrigo do RGPD e os direitos dos utilizadores. Consulte a CNPD (cnpd.pt) para orientações atualizadas sobre estas menções.
3. Registo de tratamento atualizado Qualquer tratamento de dados no âmbito do chatbot deve constar do registo das atividades de tratamento (art. 30 RGPD). Verifique com o seu encarregado de proteção de dados (EPD) se o tratamento está corretamente documentado.
4. Contrato de subcontratação com o fornecedor (DPA) O fornecedor do chatbot trata dados em seu nome. Um acordo de tratamento de dados em conformidade com o artigo 28 do RGPD é obrigatório. Este documento deve também especificar as obrigações do fornecedor ao abrigo do Regulamento IA.
72% das perguntas feitas a chatbots de escolas são questões simples de FAQ automatizáveis (Fonte: análise de 12.000 conversações Skolbot, 2025-2026). Para esta utilização maioritária, as obrigações documentais são leves e proporcionadas.
Ferramentas de pré-seleção e pontuação de candidaturas — alto risco (Anexo III)
Se a sua instituição utiliza uma ferramenta de IA que produz uma pontuação, uma classificação ou uma recomendação que intervém na decisão de acesso a um curso de licenciatura, mestrado ou outro, essa ferramenta enquadra-se no Anexo III, ponto 3a do Regulamento IA: sistemas utilizados para determinar o acesso ou a admissão a estabelecimentos de ensino.
Nota sobre o calendário: para os sistemas abrangidos pelo Anexo III, o adiamento para 2 de dezembro de 2027 (ómnibus de maio de 2026) pode aplicar-se. Consulte o seu assessor jurídico para confirmar se as suas ferramentas específicas beneficiam deste adiamento. Os documentos abaixo devem ser preparados independentemente do prazo final.
Documentos exigidos para sistemas de alto risco (Anexo IV do Regulamento IA):
1. Documentação técnica (Anexo IV) O fornecedor da ferramenta deve fornecer-lhe documentação técnica descrevendo: a descrição geral do sistema, os dados de treino utilizados, as medidas de gestão de riscos, o desempenho do sistema e as métricas de validação, os enviesamentos identificados e as medidas de mitigação.
2. Declaração de conformidade UE Solicite ao seu fornecedor a declaração de conformidade UE, que atesta que o sistema satisfaz os requisitos do Regulamento IA. Um fornecedor que não possa apresentar este documento é um sinal de alerta sério.
3. Procedimento de supervisão humana documentado O artigo 26 §2 impõe que o utilizador profissional garanta que a supervisão humana é efetiva. Documente o processo: quem valida as pontuações produzidas pela ferramenta? Segundo que critérios pode ser ignorado ou contestado? Qual é o procedimento se um candidato contestar a decisão?
4. Política de registo de atividade (logging) Os registos produzidos pelo sistema devem ser conservados. Estabeleça uma política especificando a duração de conservação (recomendação prática: mínimo de 12 meses), o local de armazenamento e as condições de acesso.
5. Informação aos candidatos avaliados Os estudantes cujos processos são tratados por um sistema de alto risco devem ser informados (art. 26 §6). Esta informação pode constar das condições de candidatura, desde que redigida em termos claros.
Um chatbot de IA responde em 3 segundos, 24 horas por dia — contra 72 horas para um formulário de contacto (Fonte: auditoria Skolbot 2025). Este ganho operacional não deve ser comprometido por um incumprimento evitável. A atualização da interface para identificar o chatbot como sistema de IA é uma intervenção técnica ligeira — geralmente 1 a 3 dias de trabalho.
Tabela síntese: que documentos para que ferramenta
| Ferramenta de IA | Nível de risco | Documentos obrigatórios antes de 2/08/2026 |
|---|---|---|
| Chatbot FAQ / candidaturas | Limitado (art. 50) | Aviso de identificação IA, DPA com fornecedor, registo de tratamento |
| Ferramenta de pontuação/pré-seleção de candidaturas | Alto risco (Anexo III) | Documentação técnica Anexo IV, declaração conformidade, procedimento supervisão humana, política logging, informação candidatos |
| Ferramenta de geração de conteúdo pedagógico | Limitado se outputs marcados IA | Aviso de identificação se outputs apresentados como humanos |
| Proctoring IA (vigilância de exames online) | Alto risco (Anexo III) | Idem alto risco + AIPD recomendada |
| CRM com recomendação de percurso | A qualificar | Análise de classificação a realizar com EPD |
| Corretor ortográfico, filtro anti-spam | Mínimo | Sem obrigação específica Regulamento IA |
A3ES e DGES: conformidade IA no contexto da acreditação
A Agência de Avaliação e Acreditação do Ensino Superior (A3ES) coordena os processos de acreditação das instituições de ensino superior em Portugal. A gestão dos dados dos estudantes e a governação digital são cada vez mais aspectos considerados nos processos de avaliação institucional.
A Direção-Geral do Ensino Superior (DGES) gere os processos de candidatura do concurso nacional de acesso. As instituições que integram ferramentas de IA nos seus processos de seleção devem assegurar que estas ferramentas são compatíveis com os princípios de igualdade de acesso e não discriminação que regem o ensino superior público em Portugal.
Para uma visão completa das obrigações RGPD sobre dados dos estudantes, consulte o nosso guia RGPD dados de estudantes. Para os aspetos específicos da escolha de um fornecedor de chatbot conforme, consulte o nosso artigo sobre fornecedores de chatbot IA conformes com RGPD.
Plano de ação em seis semanas para uma instituição portuguesa
Semana 1: inventário completo das ferramentas de IA em uso Liste todos os sistemas de IA implementados: chatbot, CRM com pontuação automática, ferramenta de deteção de plágio, gerador de conteúdo, ferramentas de RH se o seu âmbito incluir estudantes ou candidatos. Inclua as ferramentas de prestadores de serviços que tratam dados em seu nome.
Semana 2: classificação de cada ferramenta Para cada ferramenta listada, determine o seu nível de risco aplicando os Anexos I e III do regulamento. Em caso de dúvida, contacte o fornecedor para obter a sua própria classificação documentada.
Semanas 3-4: conformidade do chatbot (risco limitado) A atualização da interface e da política de privacidade para um chatbot de informação é a intervenção mais rápida — geralmente 1 a 3 dias de trabalho.
Semanas 5-6: documentação dos fornecedores e DPA Contacte cada fornecedor para obter a documentação técnica, a declaração de conformidade e verificar ou assinar um DPA conforme. Para as ferramentas de alto risco, inicie a documentação do procedimento de supervisão humana e da política de registo de atividade.
Após 2 de agosto de 2026: revisão anual A conformidade com o Regulamento IA é um processo contínuo. Alinhe a revisão anual com o ciclo RGPD existente. Envolva o seu EPD desde já, se ainda não o fez.
Experimente o Skolbot na sua instituição em 30 segundosPerguntas frequentes
O Regulamento IA aplica-se diretamente às universidades e politécnicos portugueses?
Sim. O Regulamento IA é um regulamento europeu de aplicação direta em todos os Estados-Membros, incluindo Portugal. Não é necessária transposição nacional. As universidades, politécnicos e todas as outras instituições de ensino superior portuguesas que implementam sistemas de IA estão sujeitas às obrigações de utilizador profissional definidas no artigo 26 do regulamento.
A CNPD é a autoridade competente para o Regulamento IA em Portugal?
A CNPD é a autoridade nacional de proteção de dados (ao abrigo do RGPD) e desempenha um papel na governação nacional do Regulamento IA, nomeadamente nos aspetos relacionados com os direitos fundamentais e a proteção de dados. Para qualquer questão relacionada com a proteção de dados no âmbito da IA, a CNPD (cnpd.pt) é o interlocutor privilegiado.
A nossa instituição tem menos de 250 trabalhadores. Beneficiamos de obrigações simplificadas?
Sim. O Regulamento IA prevê disposições específicas para PME e micro-empresas (instituições com menos de 250 pessoas). As obrigações de documentação técnica são simplificadas, e certos prazos podem ser ajustados. Tal não dispensa das obrigações de transparência (art. 50) nem da supervisão humana para ferramentas de alto risco, mas aligeira a carga documental formal.
Que riscos corre uma instituição não conforme em 2 de agosto de 2026?
As sanções previstas pelo Regulamento IA ascendem a 15 milhões de euros ou 3% do volume de negócios anual mundial para as violações das obrigações de alto risco, e a 7,5 milhões de euros ou 1,5% para as violações da obrigação de transparência (art. 50). Além das coimas, o risco reputacional é significativo para instituições acreditadas pela A3ES.
É necessário informar os candidatos da utilização de um chatbot de IA no site da instituição?
Sim, a partir de 2 de agosto de 2026. O artigo 50 impõe uma identificação clara do chatbot como sistema de IA. Uma mensagem visível desde a abertura da interface — por exemplo, quando um futuro estudante coloca uma questão sobre condições de acesso ou propinas — é suficiente para cumprir esta obrigação, desde que seja legível e não esteja dissimulada.
Este artigo tem uma finalidade informativa geral e não constitui aconselhamento jurídico. Para qualquer decisão relativa às suas obrigações específicas ao abrigo do Regulamento IA ou da legislação portuguesa sobre proteção de dados, consulte um profissional do direito dos dados ou o seu encarregado de proteção de dados.
Experimente o Skolbot na sua instituição em 30 segundos
