ChatGPT
Claude
Perplexity
Gemini
GrokEm que categoria de risco se enquadra a sua instituição? A resposta direta
O Regulamento IA da UE (Regulamento 2024/1689) classifica todos os sistemas de IA em quatro níveis de risco. Para uma universidade ou politécnico que utiliza chatbots de admissão, ferramentas de scoring ou algoritmos de recomendação, a regra prática é: chatbots informativos são risco limitado; qualquer ferramenta que influencie decisões de admissão é risco elevado. O prazo para cumprir as obrigações de risco elevado é 2 de agosto de 2026.
Este artigo explica os quatro níveis, situa as aplicações de IA concretas na categoria correta e detalha as obrigações aplicáveis à sua instituição como "utilizador" na aceção do Regulamento IA — a entidade que implementa um sistema de IA de terceiros no seu próprio contexto.
Os quatro níveis de risco do Regulamento IA
O Regulamento IA assenta numa abordagem baseada no risco. Quanto maior o impacto potencial sobre direitos fundamentais, mais rigorosas as obrigações.
Risco inaceitável — sistemas proibidos
Os sistemas desta categoria estão proibidos desde 2 de fevereiro de 2025. Incluem sistemas de pontuação social generalizada, manipulação subliminar e exploração de vulnerabilidades de grupos específicos.
No contexto do ensino superior: um algoritmo de admissão que avalia candidatos com base em comportamentos nas redes sociais, convicções políticas ou dados comportamentais sem relação com a aptidão académica seria enquadrado aqui. Na prática, as aplicações mais críticas nas universidades portuguesas tendem a cair no risco elevado — mas a fronteira exige atenção quando se trata de análise de perfil holístico de candidatos.
Risco elevado — obrigações rigorosas
Esta é a categoria mais relevante para politécnicos e universidades em Portugal. O Anexo III do Regulamento classifica explicitamente como risco elevado: "sistemas de IA utilizados para determinar o acesso ou a admissão a estabelecimentos de ensino e de formação profissional" (Anexo III, ponto 3a).
Concretamente, estão abrangidas todas as ferramentas que influenciam decisões de admissão ou avaliações académicas — mesmo que a decisão final seja confirmada por um ser humano.
Risco limitado — obrigações de transparência
Os chatbots de IA que informam e acompanham candidatos — incluindo assistentes de admissão e orientadores de escolha de cursos — enquadram-se aqui. A obrigação central é a transparência perante o utilizador (Art. 50).
Risco mínimo — sem obrigações específicas
Corretores ortográficos, filtros anti-spam, otimizadores de horários. Sem obrigações regulamentares específicas ao abrigo do Regulamento IA, embora as boas práticas de transparência continuem recomendadas.
Que sistemas de IA nas escolas se enquadram em cada categoria?
| Aplicação de IA no ensino superior em Portugal | Categoria de risco | Obrigação principal |
|---|---|---|
| Chatbot informativo de admissão (FAQ, escolha de curso) | Risco limitado | Transparência (Art. 50): identificação como IA |
| Pré-seleção automatizada de candidatos / ranking | Risco elevado | Art. 29: supervisão humana, dossier de risco, registo UE |
| Detetor de plágio com IA (impacto em classificações) | Risco elevado | Art. 29: documentação técnica completa |
| Algoritmo de recomendação de cursos (sem decisão final) | Risco limitado | Art. 50: transparência sobre utilização de IA |
| IA para gestão de notas ou sistemas de planeamento | Risco mínimo | Sem obrigações específicas |
| Ferramenta de orientação vocacional com IA decisional | Risco elevado (se decisional) | Art. 29: auditável, supervisão humana |
| Chatbot com perfilamento de comportamento de candidatos | Risco elevado | Art. 29 + RGPD Art. 22 |
| Filtro de spam, corretor ortográfico em LMS | Risco mínimo | Sem obrigações |
| Ferramenta de tradução automática de conteúdo pedagógico | Risco limitado | Identificação em geração de texto |
Em caso de dúvida sobre a classificação de uma ferramenta específica, a CNPD (Comissão Nacional de Proteção de Dados) — autoridade competente para o Regulamento IA em Portugal — publicou orientações sobre IA e disponibiliza um canal de esclarecimento para organizações.
Risco elevado: obrigações para instituições como utilizadores (Art. 29)
Como "utilizador" — a organização que implementa um sistema de IA de um fornecedor no seu próprio contexto —, a sua instituição tem obrigações específicas nos termos do Artigo 29.
Obrigação 1 — Supervisão humana: nenhuma decisão de admissão pode ser totalmente automatizada. Um colaborador deve poder avaliar, contestar e corrigir o resultado da IA. Esta obrigação aplica-se mesmo que o software seja fornecido por um terceiro.
Obrigação 2 — Sistema de gestão de riscos: a sua instituição deve dispor de um sistema de gestão de riscos documentado que descreva os riscos específicos do sistema de risco elevado no seu contexto particular. Um documento do fornecedor não é suficiente — é necessário avaliar os riscos de aplicação para a sua própria população de candidatos.
Obrigação 3 — Governação de dados e viés: deve verificar que os dados utilizados pelo sistema são representativos e não reforçam padrões históricos de discriminação. A CNPD tem prestado especial atenção ao viés em contextos educativos nas suas orientações sobre IA.
Obrigação 4 — Documentação técnica e registo: registo completo de entradas e saídas, conservado no mínimo 6 meses. Acessível para supervisão pela CNPD.
Obrigação 5 — Registo na base de dados europeia: os sistemas de risco elevado devem ser registados na base de dados europeia de IA (EUID). O fornecedor é o principal responsável pelo registo, mas o utilizador deve verificar se está concluído.
Obrigação 6 — Transparência para os titulares: os candidatos devem saber que um sistema de IA está envolvido numa decisão que os afeta, e têm o direito de solicitar explicações.
Os custos de conformidade com obrigações de risco elevado situam-se geralmente entre 15.000 e 50.000 euros, consoante a complexidade da ferramenta e o nível de documentação já fornecida pelo fornecedor. Para uma análise aprofundada dos riscos de discriminação, consulte o nosso artigo sobre viés de IA no recrutamento estudantil.
Risco limitado: chatbot de admissões e obrigação de transparência (Art. 50)
A maioria dos chatbots de IA utilizados por politécnicos e universidades para orientação de candidatos enquadra-se no risco limitado. O Artigo 50 estabelece a obrigação de transparência.
O que o Artigo 50 exige: o utilizador deve ser informado de forma imediata e inequívoca de que está a interagir com um sistema de IA. Esta obrigação aplica-se a qualquer chatbot que possa ser confundido com um interlocutor humano.
Uma mensagem de abertura como "Sou o assistente de IA da [nome da instituição]. Respondo a questões sobre cursos, candidaturas e o Concurso Nacional de Acesso. Um conselheiro humano está disponível em [contacto]" cumpre plenamente o Artigo 50.
O que o Artigo 50 não exige: documentação técnica detalhada, registo na base de dados europeia ou sistema de gestão de riscos. A categoria de risco limitado foi intencionalmente concebida como de baixo esforço para aplicações informativas.
72% das questões dos candidatos são automatizáveis por FAQ — apenas 7% requerem intervenção humana (Fonte: classificação automática de 12.000 conversas Skolbot, 2025). Isto torna os chatbots de IA transparentes não apenas conformes, mas também operacionalmente eficientes — desde que os 7% de questões complexas sejam corretamente encaminhados para um colaborador humano.
Para os requisitos técnicos de um chatbot conforme com o RGPD, consulte o nosso guia sobre chatbot de IA e recolha de dados nas escolas.
A CNPD como autoridade competente em Portugal
A CNPD é a autoridade nacional de controlo e supervisão do mercado para o Regulamento IA em Portugal. A CNPD já demonstrou uma postura ativa na fiscalização das obrigações de proteção de dados no setor educativo e tem intensificado a sua atuação no domínio da IA desde 2025.
A CNPD tem poderes para inspecionar, impor medidas corretivas e aplicar coimas. Os máximos são: até 35 milhões de euros (ou 7% do volume de negócios anual) para práticas proibidas; 15 milhões de euros (3%) para violações de obrigações de risco elevado; 7,5 milhões de euros (1%) para informações incorretas.
A CNPD articula-se com a A3ES (Agência de Avaliação e Acreditação do Ensino Superior) — e a conformidade com o Regulamento IA pode tornar-se um elemento avaliado nos processos de acreditação que contemplam a governação digital das instituições.
Para questões sobre a classificação de ferramentas específicas, a CNPD disponibiliza um canal de orientação no seu sítio. Para decisões jurídicas sobre a posição concreta da sua instituição, recomenda-se o apoio de um especialista em direito de dados.
Roteiro de conformidade para instituições portuguesas
As etapas seguintes são adequadas para a maioria dos politécnicos e universidades que não utilizam sistemas de risco elevado, e constituem a base para as que utilizam.
Passo 1 — Inventário de IA (semana 1–2): liste todas as ferramentas de IA em utilização — chatbots, módulos de scoring em CRM, detetores de plágio, recomendações de cursos, sistemas de proctoring. Inclua ferramentas integradas em software existente (módulos de LMS, add-ons de CRM).
Passo 2 — Classificação de risco por ferramenta (semana 2–3): avalie cada ferramenta com base no Anexo III do Regulamento. Quando uma ferramenta influencia decisões de admissão ou avaliações académicas, o risco elevado é a classificação por defeito, salvo prova em contrário.
Passo 3 — Auditoria de fornecedores (semana 3–6): solicite a cada fornecedor de IA uma declaração de conformidade datada, classificação de risco justificada e documentação técnica. Os fornecedores de sistemas de risco elevado são legalmente obrigados a fornecer estas informações.
Passo 4 — Implementar transparência do chatbot (semana 4–5): adicione uma identificação clara como IA a cada interface de chatbot. Verifique também a política de privacidade: estão documentados os tratamentos de dados realizados pelo chatbot? O nosso guia sobre direito ao apagamento e RGPD para dados de candidatos é relevante para os aspetos de retenção de dados.
Passo 5 — Garantir supervisão humana (contínuo): documente quem tem a responsabilidade final pelas decisões assistidas por IA. Nenhum candidato pode ser recusado com base apenas no resultado de uma IA, sem avaliação humana.
Passo 6 — Revisão anual: o Regulamento IA é um quadro em evolução. Planeie uma revisão anual de conformidade, idealmente alinhada com a auditoria RGPD regular. O nosso artigo sobre o Regulamento IA no ensino superior fornece o quadro mais amplo.
FAQ
O meu chatbot de admissão enquadra-se no risco elevado?
Não, desde que o chatbot apenas informe. Um chatbot que responde a questões sobre cursos, candidaturas, o Concurso Nacional de Acesso e propinas é risco limitado. A única obrigação é o Artigo 50: informar o utilizador de que está a interagir com uma IA. O chatbot passa para risco elevado apenas se participar na decisão de aceitar ou rejeitar um candidato — que é um uso fundamentalmente diferente.
Que obrigações tem a minha instituição como utilizador de um sistema de risco elevado de um fornecedor externo?
A sua instituição partilha responsabilidade. O fornecedor é o principal responsável pela declaração de conformidade e documentação técnica; a sua instituição como utilizador é responsável pela supervisão humana, pela utilização da ferramenta de acordo com os fins previstos e pela comunicação de incidentes. As obrigações de risco elevado não podem ser totalmente transferidas para o fornecedor.
O Regulamento IA aplica-se à deteção de plágio com IA?
Sim, quando o resultado da deteção influencia a classificação ou uma decisão académica. Se um professor ou comissão decide com base na deteção por IA sem avaliação independente, existe uma aplicação de risco elevado. A supervisão humana não é opcional neste caso — é uma obrigação legal.
O Regulamento IA aplica-se a instituições internacionais que recrutam em Portugal?
Sim. O Regulamento tem alcance extraterritorial: qualquer sistema de IA cujos resultados sejam utilizados na UE está abrangido — independentemente de onde o fornecedor ou utilizador está estabelecido. Uma instituição britânica ou americana que utilize um algoritmo de ranking para selecionar candidatos portugueses está vinculada ao Regulamento.
Quais são as sanções por incumprimento da obrigação de transparência (Art. 50)?
Até 7,5 milhões de euros ou 1,5% do volume de negócios anual por violações do Artigo 50. Na prática, a CNPD tende a iniciar com uma medida corretiva numa primeira infração. Contudo, o impacto reputacional junto de candidatos e famílias que descobrem que um chatbot não estava identificado como IA pode ser tão prejudicial quanto a coima.
Para o quadro jurídico completo de proteção de dados no ensino superior em Portugal, consulte o nosso guia RGPD para dados de estudantes. Para entender como os sistemas de IA influenciam as recomendações dos motores de busca e chatbots, consulte também o nosso artigo sobre chatbot de IA e recolha de dados nas escolas.
Teste o Skolbot na sua escola em 30 segundosEste artigo tem carácter informativo geral e não constitui aconselhamento jurídico. Para decisões sobre as obrigações específicas da sua instituição ao abrigo do Regulamento IA, consulte um especialista em direito de dados ou o seu encarregado de proteção de dados.
