Kit S6 · Checklist RGPD + Guia AI Act + Template Política de Uso

⚖️ Os 6 princípios de IA responsável

1. Transparência

Os utilizadores devem saber que estão a interagir com IA e como as decisões são tomadas.

Como aplicar: informar quando o conteúdo foi gerado por IA · não apresentar outputs de IA como se fossem de um humano

2. Equidade (Fairness)

O sistema não deve discriminar com base em género, etnia, idade, deficiência ou outra característica protegida.

Como aplicar: auditar dados de treino para viés · testar o modelo em grupos diferentes · monitorizar resultados por segmento

3. Privacidade

Dados pessoais recolhidos com base legal, minimizados, protegidos e não partilhados sem consentimento.

Como aplicar: RGPD compliance · não introduzir dados pessoais reais em LLMs públicos · usar dados anonimizados para treino

4. Segurança e Robustez

O sistema deve funcionar de forma fiável mesmo em condições adversas ou inputs inesperados.

Como aplicar: testar cenários de falha · implementar guardrails (filtros de output) · monitorizar erros em produção

5. Responsabilidade (Accountability)

Deve existir uma pessoa responsável pelas decisões do sistema de IA, capaz de explicar e corrigir.

Como aplicar: designar um AI owner · documentar decisões de design · manter registo de alterações ao modelo

6. Benefício social

A IA deve servir o bem comum e não causar dano ao ambiente, à sociedade ou a grupos vulneráveis.

Como aplicar: avaliar impacto além do utilizador directo · considerar consumo energético · evitar amplificar desinformação

🇪🇺 Guia AI Act — Classificação de risco

🚫 Risco Inaceitável — PROIBIDO

Sistemas que violam direitos fundamentais. Completamente proibidos na UE.

Scoring social · manipulação subliminar · identificação biométrica em tempo real em espaços públicos · exploração de vulnerabilidades

⚠️ Risco Alto — Obrigações estritas

Registo obrigatório na UE · documentação técnica · gestão de risco · supervisão humana.

Triagem de CVs e decisões de emprego · crédito · diagnóstico médico · sistemas de segurança crítica · educação e avaliação

⚡ Risco Limitado — Transparência obrigatória

Obrigatório informar o utilizador que está a interagir com IA.

Chatbots de atendimento · geração de texto/imagem · filtros de spam · sistemas de recomendação

✅ Risco Mínimo — Livre

Sem obrigações legais específicas. A maioria das aplicações de IA cai nesta categoria.

Filtros de spam simples · jogos com IA · tradução básica · recomendações de conteúdo sem impacto em direitos

LLMs de uso geral (GPT-4, Claude, Gemini) têm obrigações de transparência próprias ao abrigo do AI Act (GPAI Rules).

🔒 Checklist RGPD para sistemas com IA

1. Base legal e finalidade

Identifiquei que dados pessoais são processados (nomes, emails, comportamentos, dados de saúde...)

Definida a base legal RGPD: consentimento / contrato / obrigação legal / interesse legítimo

A finalidade do processamento está documentada e é específica (não vaga)

Os dados recolhidos são os mínimos necessários (princípio da minimização)

2. Ferramentas externas (LLMs cloud)

Li os termos: os dados que introduzo são usados para treino do modelo?

Se há dados pessoais, uso o plano enterprise (que garante que os dados não são usados para treino)

O fornecedor tem DPA (Data Processing Agreement) disponível para assinar

O fornecedor tem servidores na UE ou garante adequação por cláusulas contratuais standard

3. Direitos dos titulares

Processo definido para responder a pedidos de acesso, rectificação, eliminação e portabilidade

Se há decisões automatizadas com impacto significativo, o titular tem direito a revisão humana

Prazo de retenção dos dados definido — apagados quando já não são necessários

4. Segurança

Acesso restrito ao pessoal que precisa (princípio do mínimo privilégio)

Dados em trânsito e em repouso encriptados

Procedimento de notificação de violação em 72h à CNPD definido

Em Portugal, a autoridade de supervisão é a CNPD (cnpd.pt). Violações de dados: notificação obrigatória em 72h.

📄 Template — Política de uso de IA na organização

POLÍTICA DE USO DE INTELIGÊNCIA ARTIFICIAL GENERATIVA [Nome da organização] · Versão 1.0 · Data: __/__/2026 Aprovada por: [Nome e cargo] 1. Âmbito Aplica-se a todos os colaboradores que utilizem ferramentas de IA generativa (ChatGPT, Claude, Gemini, Copilot e similares) no exercício das suas funções. 2. Ferramentas autorizadas com dados da organização ☐ [Microsoft Copilot integrado no M365] ☐ [ChatGPT Team / Enterprise] ☐ [Outra ferramenta aprovada pelo departamento de TI] ⚠ As versões gratuitas não podem ser usadas com dados confidenciais. 3. PERMITIDO ✅ Redigir primeiras versões de textos, emails e apresentações (sempre com revisão humana) ✅ Resumir documentos públicos ou internos não confidenciais ✅ Pesquisa e síntese de informação geral ✅ Apoio à programação e análise de código ✅ Brainstorming e geração de ideias 4. PROIBIDO 🚫 Introduzir dados pessoais de clientes em ferramentas de IA não autorizadas 🚫 Partilhar informação confidencial em versões gratuitas de LLMs 🚫 Publicar conteúdo gerado por IA sem revisão humana e aprovação 🚫 Tomar decisões sobre pessoas (contratação, crédito) sem revisão humana obrigatória 🚫 [Acrescenta proibições específicas do teu sector] 5. Supervisão humana obrigatória [Lista de decisões que ficam sempre com revisão humana] 6. Como reportar problemas [Email / canal Slack / formulário do responsável] 7. Revisão Esta política é revista a cada 6 meses ou sempre que existam alterações significativas.

Nota legal: este template é um ponto de partida. Para sectores regulados (saúde, finanças) recomenda-se revisão por advogado especializado em privacidade.