Skip to content

Governança de IA desde o primeiro dia: o custo da conformidade tardia para PME

A regulação da IA está a convergir — Regulamento da IA (agosto de 2026), leis estaduais nos EUA, Ásia. As PME que constroem governança desde o primeiro dia evitam a armadilha do custo de adaptação a posteriori típica do RGPD.

Governança de IA desde o primeiro dia: o custo da conformidade tardia para PME
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Em junho de 2020, um distribuidor britânico de 180 pessoas a que chamaremos Northbridge Trading pagou 142 000 GBP para adaptar o RGPD a posteriori: um registo das atividades de tratamento, três avaliações de impacto sobre a proteção de dados, um manual de resposta a violações, seis contratos com fornecedores e a reconstrução de um CRM com proteção de dados desde a conceção que os mesmos consultores tinham orçado em 28 000 GBP, caso tivesse sido concebido de raiz dois anos antes. O Diretor de Operações que assinou aquelas faturas enfrenta agora o mesmo precipício com a IA.

A fatura da adaptação tardia que ninguém planeou

A Northbridge Trading é um composto, montado a partir de quatro projetos reais entre 2019 e 2021. Mudámos os nomes; os números são reais. O padrão é o que importa, porque está prestes a repetir-se.

Em maio de 2018, a Northbridge cumpriu o RGPD com um modelo de política de 200 GBP e a sensação de que o trabalho estava feito. Em maio de 2020, chegou o primeiro pedido de acesso de um titular dos dados; seguiu-se uma quase-violação na integração da folha de salários; uma queixa à ICO surgiu quinze dias depois. Até ao 3.º trimestre de 2020, a empresa tinha contratado consultoria jurídica externa e um engenheiro de privacidade para construir um registo das atividades de tratamento, três avaliações de impacto sobre a proteção de dados, um manual de resposta a incidentes, seis contratos de subcontratação com fornecedores e a reconstrução de um CRM com controlos de proteção de dados desde a conceção, adaptados a fluxos de dados já em produção. A conta ascendeu a cerca de cinco vezes a base de referência da concepção de raiz que a mesma consultoria tinha orçado para a arquitetura de 2017, paga sob pressão regulatória.

Seis anos depois, o mesmo Diretor de Operações opera três ferramentas de IA implantadas ao longo de 2025: um assistente de triagem de CV, um sumarizador de chamadas de vendas e um chatbot de apoio ao cliente. Sem registo de IA, sem classificação de risco por caso de utilização, sem documentação do art. 26.º, sem currículo de literacia do art. 4.º. O Regulamento da Inteligência Artificial (Regulamento (UE) 2024/1689, «AI Act») entrou em vigor em 1 de agosto de 2024 [1]; o calendário da Comissão coloca a aplicabilidade plena, incluindo a maioria das obrigações para sistemas de risco elevado, em 2 de agosto de 2026 [2]. A ferramenta de triagem de CV é de risco elevado ao abrigo do anexo III. As orientações da ICO sobre IA vinculam as PME britânicas ao abrigo do UK GDPR desde 2023 [7]. «Recuso-me», diz-nos ele, «a passar esse cheque uma segunda vez.»

A convergência: porque o «esperar para ver» deixou de ser prudente em 2024

A «convergência global» que sustenta o argumento da concepção de raiz não é um slogan de marketing. Em 2024, o volume regulatório tornou-se mensurável e a espinha técnica partilhada tornou-se visível.

Os números que os reguladores não querem que se ignorem

O AI Index de 2025 do Stanford HAI regista 59 regulamentações federais de IA emitidas nos EUA em 2024, mais do dobro de 2023, em duas vezes mais agências [3]. Os estados dos EUA aprovaram 131 leis de IA num único ano, face a 49 acumuladas até 2023 [3]. As menções legislativas a IA subiram 21,3 % em 75 países em 2024 [3]. Para um Diretor de Operações que decide se atua já ou espera, esse volume não é ruído de fundo. É o sinal.

O Regulamento (UE) 2024/1689 produziu efeitos em 1 de agosto de 2024 [1]. O calendário faseado da Comissão é o roteiro publicado mais claro disponível: práticas proibidas em vigor desde 2 de fevereiro de 2025; obrigações relativas aos modelos de IA de finalidade geral desde 2 de agosto de 2025; aplicabilidade plena ao risco elevado a partir de 2 de agosto de 2026; regras para produtos de risco elevado incorporados estendidas até 2 de agosto de 2027 [2]. Isto não é um único precipício. É uma escada. As PME que esperam pelo degrau de cima já falharam dois.

A âncora partilhada: OCDE, NIST, ISO/IEC 42001

Por baixo do volume há uma espinha partilhada que torna a governança concebida cedo durável entre jurisdições. Os Princípios da OCDE sobre IA (OECD AI Principles), revistos em maio de 2024, foram adotados por 47 ou mais países [4]. Constituem a base explícita do alinhamento entre a UE, o Reino Unido, os EUA e o G7. O NIST AI Risk Management Framework 1.0 organiza as obrigações em torno de quatro funções: Govern, Map, Measure e Manage [5]. O programa de normas do Regulamento da IA remete para esse núcleo; o UK AI Playbook (fevereiro de 2025) codifica 10 princípios para a IA do Estado e sinaliza normas equivalentes para a sua cadeia de fornecimento [6].

A ISO/IEC 42001 tornou-se a certificação de nível de aquisição que os compradores do segmento intermédio passaram a exigir. A governança concebida na interseção dos princípios da OCDE, das funções do NIST e dos requisitos da ICO sobrevive a qualquer aperto de um único regime. A espinha partilhada absorve a variação.

Cronologia do Regulamento da IA: entrada em vigor em agosto de 2024; práticas proibidas e obrigações de literacia no domínio da IA em fevereiro de 2025; regras dos modelos de IA de finalidade geral em agosto de 2025; obrigações plenas de risco elevado em agosto de 2026; produtos de risco elevado incorporados em agosto de 2027.
A cronologia do Regulamento da IA, da entrada em vigor às obrigações plenas de risco elevado em agosto de 2026.

Porque é que «o fornecedor trata da conformidade» se desmorona perante o art. 26.º?

A frase mais difícil de escrever na página de marketing de qualquer fornecedor é: «Não podemos assumir por si o trabalho do responsável pela implantação.» Ao abrigo do Regulamento da IA, a fronteira entre prestador e responsável pela implantação é explícita, e não se move por se ter comprado um plano empresarial.

O modelo de responsabilidade partilhada em linguagem clara

O art. 16.º define o que o prestador tem de fazer: avaliação da conformidade, documentação técnica, monitorização pós-comercialização [1]. O art. 26.º define o que cabe ao responsável pela implantação: usar o sistema conforme as instruções, assegurar a supervisão humana, manter os dados de entrada pertinentes, conservar os registos das utilizações de risco elevado durante, pelo menos, seis meses, e informar os trabalhadores e clientes afetados [1]. O art. 4.º acrescenta um dever de literacia no domínio da IA a cada membro do pessoal que use IA, proporcional à sua função, independentemente do modelo subjacente [1]. O art. 50.º exige que os utilizadores saibam quando interagem com IA, em todos os níveis de risco [1].

Esses quatro artigos descrevem obrigações que recaem sobre a PME. O contrato de subcontratação que um fornecedor assina não as reatribui.

O que o ChatGPT Enterprise e o Copilot não externalizam

No momento em que uma PME britânica cola um CV no ChatGPT para triar candidatos, torna-se responsável pela implantação de um sistema de risco elevado ao abrigo do anexo III [1]. Essa classificação do caso de utilização compete ao responsável pela implantação. A página Enterprise Privacy da OpenAI cobre garantias do lado do modelo: nenhum treino com dados do negócio, cifragem, registos de auditoria. Não classifica o seu caso de utilização, não escreve o seu protocolo de supervisão humana, não forma o seu pessoal nem mantém os seus registos enquanto responsável pela implantação (art. 26.º, n.º 6). Uma PME de 40 pessoas que opere IA de triagem de CV carrega as mesmas obrigações do art. 26.º que um empregador do FTSE 100. A dimensão da empresa não consta da regra de classificação.

Ao abrigo do UK GDPR, a relação com o responsável pelo tratamento segue a mesma lógica. Dados pessoais num prompt fazem da PME o responsável pelo tratamento. Os direitos dos titulares dos dados não são delegáveis num fornecedor.

A ICO foi clara desde 2023

As orientações da ICO sobre IA cobrem a forma como os princípios do UK GDPR se aplicam ao tratamento de dados pessoais por IA, incluindo os requisitos de avaliação de impacto sobre a proteção de dados, a mitigação de enviesamentos e as decisões individuais automatizadas [7]. As orientações estão em revisão na sequência do Data (Use and Access) Act 2025, que produziu efeitos em 19 de junho de 2025 [7]. O kit de auditoria de IA da ICO disponibiliza listas de verificação concretas em matéria de governança, responsabilidade, transparência e direitos individuais [8]. Essas listas descrevem o que o responsável pela implantação precisa de ter antes de a ICO visitar, não depois. As três ferramentas da Northbridge não têm nada disso. O contrato de subcontratação do fornecedor cobre o fornecedor. A lacuna pertence ao responsável pela implantação.

A evidência do custo da adaptação ao RGPD: o que sabemos empiricamente

O argumento empírico a favor de conceber a governança de raiz não assenta na intuição. Assenta no que aconteceu às empresas da UE que trataram o RGPD como um pensamento tardio em 2018.

MIT Sloan / Bessen et al. — o único estudo de adaptação com N grande de que dispomos

O estudo do MIT Sloan / Bessen, Janßen, Peukert e Seamans comparou empresas da UE e de fora da UE depois de a aplicação ter começado em maio de 2018. As conclusões são diretas: as empresas da UE reduziram os dados armazenados em 26 % e a utilização de computação em 15 %, face aos controlos de fora da UE [9]. A redução concentrou-se no grupo que não tinha concebido a privacidade desde o início — o grupo da adaptação tardia. Não foram coimas nem honorários jurídicos. Foram perturbações operacionais: produtos descontinuados, conjuntos de dados de marketing expurgados, integrações reconstruídas de raiz. As empresas que tinham concebido a privacidade desde 2016 absorveram a mesma regulação sem esses cortes.

A Northbridge Trading seguiu o caminho da adaptação tardia. Cumpriu o RGPD em 2018 com um modelo de política de 200 GBP e descobriu o custo real dois anos depois. Os dados do MIT Sloan descrevem exatamente aquilo por que pagou: o retrabalho arquitetural que surge quando se introduzem obrigações de conformidade num sistema que não foi concebido para as suportar.

O multiplicador de 2,4× da adaptação tardia

Os valores de referência do setor para o custo da adaptação tardia chegam à mesma conclusão pelo lado do custo: as PME tardias pagaram cerca de 2,4 vezes o que pagaram os concorrentes que conceberam de raiz, entre registo das atividades de tratamento, avaliações de impacto sobre a proteção de dados, registos de fundamentos de licitude, processos de violação, renegociação de contratos de subcontratação e retrabalho do CRM.

Cada uma dessas categorias do RGPD mapeia diretamente para uma análoga do Regulamento da IA. Um registo de IA substitui o registo das atividades de tratamento. Uma avaliação de impacto sobre os direitos fundamentais (art. 27.º) substitui a avaliação de impacto sobre a proteção de dados do RGPD. A manutenção de registos do art. 26.º, n.º 6, substitui o registo de violações. As categorias são as mesmas; o entrelaçamento é mais profundo. Os modelos de IA, os prompts e os fluxos de trabalho estão arquiteturalmente acoplados de formas que os fluxos de dados não estavam. Retirar pontos de captura de registos ou controlos de supervisão de uma cadeia de IA já implantada é uma reescrita de engenharia, não um documento de política. É por isso que o multiplicador da Northbridge, de cerca de 5×, se situa bem dentro do intervalo que os dados do setor preveem sob pressão de aplicação.

Aritmética de custos para uma PME: concepção de raiz vs adaptação tardia, linha a linha

O multiplicador da adaptação tardia e os dados operacionais do MIT Sloan são âncoras úteis, mas um Diretor de Operações precisa de números que possa pôr num documento para o conselho de administração. Eis a aritmética para uma PME de 180 pessoas que opera três ferramentas de IA.

Base de referência da concepção de raiz para uma PME de 180 pessoas com 3 ferramentas de IA

Conceber a governança de IA de raiz, distribuída ao longo de doze semanas, custa, segundo a nossa experiência de projetos:

  • Registo de IA e classificação de risco por caso de utilização: 4 a 6 dias de esforço interno, mais uma revisão por consultor de 2 000 a 4 000 GBP
  • Currículo de literacia no domínio da IA (art. 4.º) (base de 90 minutos para todo o pessoal; dia completo para os responsáveis pela IA): 3 000 a 5 000 GBP
  • Protocolo de supervisão humana e manutenção de registos do art. 26.º, n.º 6, integrados na arquitetura: 4 000 a 6 000 GBP de engenharia, mais uma revisão jurídica de 2 dias
  • Dossiê de devida diligência de fornecedores com contratos de subcontratação, fichas de modelos e trilho de divulgação dos modelos de IA de finalidade geral: 2 000 a 3 000 GBP

Valor total indicativo da concepção de raiz: 18 000 a 32 000 GBP ao longo de doze semanas.

Orçamento de adaptação tardia sob pressão de aplicação (3.º trimestre de 2026)

Adaptar o mesmo conjunto a posteriori, sob a pressão do 3.º trimestre de 2026, custa substancialmente mais:

  • Consultoria jurídica externa para delimitar a exposição ao anexo III após um incidente: 15 000 a 25 000 GBP
  • Avaliação de impacto sobre os direitos fundamentais (art. 27.º) e atualização das avaliações de impacto sobre a proteção de dados em três ferramentas já implantadas: 20 000 a 35 000 GBP
  • Adaptação da manutenção de registos e reconstrução do fluxo de trabalho de supervisão humana: 40 000 a 70 000 GBP
  • Consulta dos trabalhadores, avisos de transparência e divulgações aos clientes: 8 000 a 12 000 GBP

Valor total indicativo da adaptação tardia: 85 000 a 145 000 GBP em seis a doze semanas de remediação comprimida. O rácio vai de cerca de 2,7× a 5,1×, reproduzindo o limite inferior do valor de referência do setor e atingindo o limite superior da Northbridge.

Porque é que o multiplicador é pior do que o do RGPD

Três razões estruturais empurram o multiplicador da adaptação de IA acima do número do RGPD. Primeira: os fluxos de trabalho de IA estão entrelaçados — os prompts, as versões dos modelos e as ações automatizadas a jusante estão acoplados por conceção, pelo que a superfície de refatoração é maior do que reconfigurar as ligações de fluxos de dados. Segunda: as reconstruções nas aquisições decorrem em paralelo com o prazo do regulador. Uma PME que perde concursos enquanto remedeia paga ambos os custos em simultâneo. Terceira: o limite máximo das sanções é mais alto. O art. 99.º fixa coimas até 7 % do volume de negócios anual mundial ou 35 milhões de EUR para as práticas proibidas [1]. A AI Liability Directive acrescenta uma exposição a ações cíveis que o RGPD não gerava.

Para uma PME britânica com 25 milhões de GBP de volume de negócios anual, um cálculo de base conservador (antes de reduções para PME) atinge 750 000 EUR [1]. O custo da concepção de raiz não é uma despesa de conformidade. É uma cobertura contra uma coima que é um múltiplo de si mesmo.

Conceber a governança de raiz custa, a título ilustrativo, entre 18 000 e 32 000 libras ao longo de 12 semanas; adaptá-la a posteriori custa entre 85 000 e 145 000 libras, cerca de um multiplicador de 2,7 a 5,1 vezes.
Conceber a governança de raiz vs adaptá-la a posteriori, um multiplicador de custo ilustrativo de 2,7× a 5,1×.

Que sete artefactos compõem a governança de IA de primeiro dia?

A governança de IA de primeiro dia para uma PME de 50 a 500 trabalhadores não é abstrata. São sete artefactos que se podem montar em quinze dias.

1-3: Inventário e classificação

Artefacto 1 — Registo de IA. Um esquema de uma página: nome do sistema, fornecedor, modelo, caso de utilização, classes de dados, nível de risco, responsável, protocolo de supervisão e data de revisão. Não exige um consultor para o construir; exige disciplina para o manter.

Artefacto 2 — Árvore de decisão de classificação de risco por caso de utilização. Mapeada às categorias do anexo III: triagem para emprego, avaliação da solvabilidade, acesso à educação, identificação biométrica e infraestruturas críticas [1]. Se uma ferramenta tocar em qualquer um desses fluxos de trabalho, desencadeia as obrigações de risco elevado.

Artefacto 3 — Dossiê de devida diligência de fornecedores. Contrato de subcontratação, ficha do modelo, divulgação do modelo de IA de finalidade geral, síntese da avaliação da conformidade e lista de subcontratantes. O estatuto de signatário do GPAI Code of Practice por parte do prestador subjacente é relevante aqui [13].

4-5: Operar e proteger

Artefacto 4 — Protocolo de supervisão humana. O art. 26.º, n.º 5, exige uma pessoa designada que possa rever e anular qualquer decisão automatizada [1]. O protocolo especifica quem é essa pessoa, o fluxo de anulação, os critérios de escalonamento e a cadência de revisão.

Artefacto 5 — Currículo de literacia no domínio da IA (art. 4.º). Uma base de 90 minutos para todo o pessoal, meio dia para utilizadores avançados e dia completo para os responsáveis pela IA, renovado anualmente [1]. O art. 4.º aplica-se a todos os responsáveis pela implantação, independentemente do fornecedor, e a proporcionalidade escala com a função, não com o número de efetivos.

6-7: Documentar e responder

Artefacto 6 — Processo de manutenção de registos e incidentes. Registos do responsável pela implantação (art. 26.º, n.º 6), monitorização da deriva do modelo e os controlos do ciclo de vida de segurança das Guidelines for Secure AI System Development do NCSC, orientação conjunta com a CISA e 21 agências de cibersegurança internacionais [10]. Integre o registo na arquitetura; documentos de política sem pontos de captura de engenharia falham na auditoria.

Artefacto 7 — Pacote de transparência e informação aos trabalhadores. Avisos aos utilizadores do art. 50.º para a IA virada ao cliente, informação aos trabalhadores do art. 26.º, n.º 7, para qualquer IA que monitorize empregados, e uma via de reclamação clara [1].

Ancorado em referenciais validados pelos reguladores

Cada artefacto mapeia para as listas de verificação de governança e responsabilidade do referencial de auditoria de IA da ICO [8] e para o núcleo do NIST AI RMF: Govern, Map, Measure e Manage [5]. A ISO/IEC 42001 mapeia para o mesmo conjunto de sete artefactos. Construa-os uma vez e satisfazem múltiplos regimes em simultâneo.

A aquisição é o mecanismo de aplicação que os seus clientes anteciparam

Todos os resultados de pesquisa enquadram a aplicação do Regulamento da IA pela lente das coimas dos reguladores. Nenhum menciona o que as PME britânicas que vendem ao segmento intermédio e a grandes empresas já constatam em 2026: o questionário do comprador chegou primeiro.

O que os compradores do segmento intermédio e as grandes empresas passaram a exigir

Os questionários de fornecedores nos concursos britânicos em fase final remetem agora para famílias de controlos da ISO/IEC 42001 e para o núcleo de quatro funções do NIST AI RMF [5]. Pedem prova de um registo de IA e de classificação de risco por caso de utilização, de um protocolo de supervisão humana documentado face ao art. 26.º, n.º 5 [1], e de divulgação de subcontratantes com a linhagem do modelo de IA de finalidade geral: que modelo fundacional, que prestador, que signatário do Code of Practice [13]. As equipas de aquisições não estão à espera de orientações de aplicação. Estão a proteger as suas próprias cadeias de fornecimento contra a responsabilidade que flui a montante quando a ferramenta de IA de um fornecedor desencadeia um incidente.

Os sete artefactos da secção anterior são exatamente o que um questionário de fornecedor da Secção 9 pede.

A Northbridge perde um concurso no 2.º trimestre de 2026

A Northbridge Trading concorreu a um contrato trienal de 420 000 GBP com um cliente regulado do segmento intermédio no 2.º trimestre de 2026. A Secção 9 dizia: «Mantenha um registo de IA, um processo de avaliação de impacto sobre os direitos fundamentais e um protocolo de supervisão humana — apresente prova.» A Northbridge não conseguiu responder. O contrato foi para um concorrente com um registo de uma página e uma pilha de políticas moldada pelo NIST. A reconstrução motivada pela aquisição assenta agora sobre o prazo do regulador. Ambos os relógios estão a correr.

Herança do setor público

As PME britânicas que vendem ao Estado enfrentam o mesmo padrão por um canal diferente. O AI Playbook do Estado, publicado em fevereiro de 2025, estabelece 10 princípios que cobrem o uso ético, a responsabilidade, a transparência e a gestão do ciclo de vida, e os fornecedores herdam-nos como condições contratuais [6]. O AI Opportunities Action Plan da DSIT, aceite na íntegra em janeiro de 2025, reforça a implantação responsável de IA como expectativa da cadeia de fornecimento [11]. O AI Foundation Models: Initial Report da CMA acrescenta uma lente de proteção do consumidor e de concorrência que se sobrepõe a qualquer implantação de modelo fundacional [12].

Passar despercebido ao radar do regulador não o salva do questionário do comprador. A Northbridge descobriu-o pela via cara.

O que o Digital Omnibus adia — e o que NÃO adia

A manchete do Digital Omnibus de novembro de 2025 («a UE adia o Regulamento da IA») não sobrevive a uma leitura atenta da proposta efetiva. A confusão é compreensível. A manchete não é exata.

O que já está em vigor e não se moveu

Quatro obrigações já vigoram e nenhum desfecho do Omnibus lhes toca. A proibição das práticas proibidas está em vigor desde 2 de fevereiro de 2025 [2]. O dever de literacia no domínio da IA (art. 4.º) está em vigor desde 2 de fevereiro de 2025 [1]. As obrigações dos prestadores de modelos de IA de finalidade geral e o regime do Code of Practice entraram em vigor em 2 de agosto de 2025 [2]. E o UK GDPR já vincula todas as organizações britânicas que tratam dados pessoais, PME incluídas; as orientações da ICO sobre IA e proteção de dados são a interpretação do regulador sobre como esse diploma se aplica aos sistemas de IA — não um código legal, mas a base prática de conformidade face à qual a ICO avaliará [7].

O que o Digital Omnibus efetivamente propõe

O Omnibus propõe um adiamento restrito do regime de avaliação da conformidade do risco elevado (anexo III), dos requisitos de documentação técnica e de registo na base de dados da UE para os prestadores de categorias específicas de sistemas de IA de risco elevado. Não propõe adiar as obrigações dos responsáveis pela implantação (art. 26.º), os requisitos de transparência (art. 50.º), os deveres de literacia (art. 4.º) nem a disciplina documental da avaliação de impacto sobre os direitos fundamentais. Essas obrigações mantêm-se no calendário publicado.

O trílogo ficou bloqueado em 28 de abril de 2026. Um novo agendamento estava pendente à data de redação. O prazo publicado pela Comissão permanece, por isso, o padrão juridicamente operativo [2]. As PME que leram «adiado para 2027» e adiaram a concepção da governança com base nessa leitura já estão atrasadas face às obrigações do lado da implantação, que nunca se moveram.

O núcleo estável que nenhum desfecho do Omnibus toca

A governança concebida face ao núcleo estável (classificação de risco por caso de utilização, supervisão humana, manutenção de registos pelo responsável pela implantação, documentação da avaliação de impacto sobre os direitos fundamentais e da avaliação de impacto sobre a proteção de dados, formação em literacia no domínio da IA, divulgação de transparência) sobrevive a qualquer versão do Omnibus que venha a vingar. O que muda entre versões do Omnibus é em que anexo um caso de utilização se enquadra, não se uma PME precisa de um registo, de um protocolo de supervisão e de um processo de incidentes. «Temos até 2027» não é uma leitura que o texto sustente.

Como pode uma PME construir governança de IA em 90 dias?

Doze semanas chegam para entregar uma governança concebida de raiz, desde que o trabalho seja sequenciado. Eis o plano semana a semana para uma PME de 50 a 500 trabalhadores que parte do zero.

Semanas 1-3 — Inventariar e classificar

Descubra todas as ferramentas de IA em uso, incluindo a shadow AI (IA não autorizada): o Copilot embutido no Microsoft 365, IA em extensões de navegador, módulos de SaaS de nicho com funcionalidades de IA que a sua equipa de aquisições nunca avaliou explicitamente. Monte o registo de IA e atribua um responsável por sistema. Aplique a árvore de classificação de risco por caso de utilização face ao anexo III e assinale qualquer exposição em triagem de RH, avaliação da solvabilidade, educação, identificação biométrica ou infraestruturas críticas [1]. Faça uma rápida revisão do fundamento de licitude ao abrigo do UK GDPR para cada sistema que trate dados pessoais [7].

Semanas 4-7 — Operar e documentar

Redija o protocolo de supervisão humana para cada sistema de risco elevado e de risco limitado: pessoa designada, fluxo de anulação, critérios de escalonamento, cadência de revisão (Artefacto 4). Implemente a manutenção de registos do art. 26.º, n.º 6, sempre que a plataforma o suporte; caso contrário, construa o registo do lado do responsável pela implantação. Não deixe isto para documentos de política [8]. Aplique o currículo de literacia no domínio da IA (art. 4.º): primeiro a base de 90 minutos para todo o pessoal, depois as sessões aprofundadas para utilizadores avançados e responsáveis pela IA [1]. Atualize as avaliações de impacto sobre a proteção de dados e as avaliações de impacto sobre os direitos fundamentais face ao kit da ICO para cada sistema de risco elevado [8].

Semanas 8-12 — Prontos para a aquisição e revisão

Construa o dossiê de devida diligência de fornecedores: contratos de subcontratação, fichas de modelos, linhagem dos modelos de IA de finalidade geral, listas de subcontratantes e estatuto de signatário do Code of Practice para cada prestador de modelo fundacional [13]. Publique os avisos de transparência do art. 50.º na IA virada ao cliente; informe os trabalhadores afetados ao abrigo do art. 26.º, n.º 7 [1]. Mapeie os sete artefactos face ao formato de questionário de aquisição que os compradores do segmento intermédio enviam: famílias de controlos da ISO/IEC 42001 e funções do NIST AI RMF [5]. Agende a primeira revisão trimestral de governança e nomeie um responsável da direção de topo, conforme exige o kit da ICO [8].

Dois antipadrões a evitar

Primeiro: comprar uma subscrição de ferramentas de 40 000 GBP antes de o registo estar preenchido. Ferramentas sem âmbito de governança são teatro. A ferramenta expõe riscos que a PME ainda não definiu.

Segundo: tratar a literacia do art. 4.º como um webinar pontual. O dever é contínuo e proporcional à função [1]. Uma sessão de lançamento de 90 minutos satisfaz a base; não satisfaz a renovação anual nem as sessões mais profundas para os responsáveis pela IA. A reescrita arquitetural que os adaptadores tardios do RGPD pagaram surgiu porque se escreveram documentos de política e se saltou a engenharia. O mesmo padrão, aplicado à IA, produz o mesmo resultado.

Lição aprendida

A lição que a Northbridge já pagou

Em junho de 2020, o Diretor de Operações da Northbridge assinou 142 000 GBP de faturas para adaptar o RGPD a posteriori, face a uma base de referência de concepção de raiz de 28 000 GBP. Não foi uma falha de aquisições. Foi o que acontece quando um operador competente trata a conformidade como algo a sobrepor depois de o produto funcionar. Os dados do MIT Sloan transformam essa experiência num padrão: as empresas da UE reduziram os dados armazenados em 26 % e a computação em 15 % depois de 2018, com o impacto mais pesado nas empresas que não tinham concebido a privacidade desde o primeiro dia [9]. O Regulamento da IA está prestes a ensinar essa lição uma segunda vez.

As adaptações tardias da governança de IA correm pior porque a manutenção de registos, a supervisão humana e os prompts estão entrelaçados com a arquitetura dos fluxos de trabalho. A aquisição está a aplicar o Regulamento antes dos reguladores. Os sete artefactos custam 18 000 a 32 000 GBP a conceber de raiz; custam 85 000 a 145 000 GBP a adaptar a posteriori, sob pressão de aplicação e de aquisições em conjunto. A aritmética não é subtil.

Síntese

AI governance from day one — why retrofitting costs more
│
├─ The retrofit trap
│   ├─ GDPR precedent — one SMB paid ~5x to bolt it on late
│   ├─ AI Act is worse — prompts & logs entangle with workflow
│   └─ The numbers — design-in £18-32k vs retrofit £85-145k
│
├─ You can't outsource it
│   ├─ Article 26 — the deployer's job stays with the SMB
│   └─ Buying Copilot — vendor covers the model, not your use case
│
└─ Act now, not in 2027
    ├─ Procurement first — RFP questionnaires enforce before fines
    ├─ Omnibus myth — it defers providers, not deployer duties
    └─ Seven artefacts — register, oversight, logging, literacy

Insights relacionados

Frequently Asked Questions

Quando entra em vigor o Regulamento da IA para as PME do Reino Unido e que obrigações já estão em vigor?
É uma escada, não um único precipício. O Regulamento entrou em vigor em 1 de agosto de 2024. As práticas de IA proibidas aplicam-se desde 2 de fevereiro de 2025; os deveres de literacia no domínio da IA (art. 4.º) desde a mesma data; as obrigações dos prestadores de modelos de IA de finalidade geral desde 2 de agosto de 2025; a aplicabilidade plena ao risco elevado chega a 2 de agosto de 2026; as regras para produtos de risco elevado incorporados a 2 de agosto de 2027. As PME britânicas que servem clientes da UE são abrangidas extraterritorialmente, e as orientações da ICO sobre IA vinculam ao abrigo do UK GDPR desde 2023.
Quanto custa adaptar a governança de IA a posteriori, face a concebê-la de raiz, numa PME de 180 pessoas?
Conceber de raiz, ao longo de doze semanas, custa entre 18 000 e 32 000 GBP: registo de IA, currículo de literacia (art. 4.º), protocolo de supervisão humana com a manutenção de registos do art. 26.º, n.º 6, e dossiê de devida diligência de fornecedores. Adaptar o mesmo conjunto a posteriori, sob a pressão de aplicação e de aquisições do 3.º trimestre de 2026, custa entre 85 000 e 145 000 GBP em seis a doze semanas comprimidas — um multiplicador de 2,7 a 5,1 vezes. O precedente RGPD da Northbridge pagou cerca de 5×, e o MIT Sloan apurou que as empresas da UE reduziram os dados armazenados em 26 % e a computação em 15 % depois de 2018 — concentrado no grupo da adaptação tardia.
Comprar o ChatGPT Enterprise ou o Microsoft Copilot transfere a conformidade com o Regulamento da IA para o prestador?
Não. O art. 16.º define o que o prestador tem de fazer: avaliação da conformidade, documentação técnica, monitorização pós-comercialização. O art. 26.º define o que cabe ao responsável pela implantação: usar o sistema conforme as instruções, assegurar a supervisão humana, manter os dados de entrada pertinentes, conservar os registos das utilizações de risco elevado durante, pelo menos, seis meses e informar os trabalhadores e clientes afetados. No momento em que uma PME britânica cola um CV no ChatGPT para triar candidatos, torna-se responsável pela implantação de um sistema de risco elevado ao abrigo do anexo III. A dimensão da empresa não consta da regra de classificação.
Como é, na prática, a governança de IA de primeiro dia para uma PME?
Sete artefactos montáveis em quinze dias: um registo de IA que liste cada sistema com fornecedor, modelo, caso de utilização, nível de risco e responsável; uma árvore de classificação de risco mapeada ao anexo III; um dossiê de devida diligência de fornecedores com contrato de subcontratação, ficha do modelo e linhagem do modelo de IA de finalidade geral; um protocolo de supervisão humana que designe a pessoa responsável do art. 26.º, n.º 5; um currículo de literacia no domínio da IA (art. 4.º); processo de manutenção de registos e incidentes (art. 26.º, n.º 6); avisos de transparência para a IA virada ao cliente e pacotes de informação aos trabalhadores.
O Digital Omnibus de novembro de 2025 adia o Regulamento da IA o suficiente para uma PME poder esperar?
Não. O Omnibus propõe um adiamento restrito da avaliação da conformidade do risco elevado (anexo III) para os prestadores. Não adia as obrigações dos responsáveis pela implantação (art. 26.º), a transparência (art. 50.º), os deveres de literacia (art. 4.º) nem a disciplina documental da avaliação de impacto sobre os direitos fundamentais. As práticas proibidas, as obrigações relativas aos modelos de IA de finalidade geral e as orientações da ICO ao abrigo do UK GDPR já vigoram. O trílogo ficou bloqueado em 28 de abril de 2026, pelo que o prazo publicado pela Comissão continua a ser o padrão juridicamente operativo. «Temos até 2027» não é uma leitura que o texto sustente.
O que é uma avaliação de impacto sobre os direitos fundamentais (FRIA) ao abrigo do art. 27.º do Regulamento da IA, e quem a deve realizar?
A FRIA é a obrigação do art. 27.º que exige a certos responsáveis pela implantação — organismos públicos e operadores privados de sistemas de risco elevado do anexo III em funções reguladas, como a solvabilidade e a tarifação de seguros — avaliar o impacto sobre os direitos fundamentais antes da primeira utilização e atualizá-la quando mudem condições materiais. O âmbito cobre as pessoas afetadas, a frequência e duração do uso, os tipos de dano, as medidas de supervisão humana e os mecanismos de reclamação. As PME britânicas que servem a UE são abrangidas extraterritorialmente. O Omnibus não adia esta disciplina; concebê-la com o registo de IA evita o multiplicador da adaptação tardia.
A certificação ISO 42001 ajuda na preparação para o Regulamento da IA, ou são percursos de conformidade distintos?
A ISO 42001 e o Regulamento da IA são complementares, não redundantes. A ISO 42001 especifica um sistema de gestão de IA — funções de governança, registo de IA, identificação de riscos, auditoria interna — que acelera o percurso de concepção de raiz: registo de IA, dossiê de devida diligência, currículo de literacia (art. 4.º), registos do art. 26.º, n.º 6. Por si só, não satisfaz a avaliação da conformidade do prestador (art. 16.º), a avaliação de impacto sobre os direitos fundamentais (art. 27.º) nem a transparência (art. 50.º). Trate a ISO 42001 como a espinha de gestão e o Regulamento como a superfície legal; ambos são necessários.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Regulatory Framework on AIEuropean Commission · 2024
  3. 3.2025 AI Index Report — Chapter 6: Policy and GovernanceStanford Institute for Human-Centered AI (HAI) · 2025
  4. 4.AI Principles (revised May 2024)OECD · 2024
  5. 5.Artificial Intelligence Risk Management Framework (AI RMF 1.0)NIST · 2023
  6. 6.Artificial Intelligence Playbook for the UK GovernmentUK Government Digital Service / DSIT · 2025
  7. 7.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  8. 8.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  9. 9.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022
  10. 10.Guidelines for Secure AI System DevelopmentNational Cyber Security Centre (NCSC) · 2023
  11. 11.AI Opportunities Action PlanUK Department for Science, Innovation and Technology (DSIT) · 2025
  12. 12.AI Foundation Models: Initial ReportCompetition and Markets Authority (CMA) · 2023
  13. 13.Guidelines for Providers of General-Purpose AI ModelsEuropean Commission · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.