Como Criar um Registo de IA em 90 Minutos (Regulamento da IA da UE)
Uma construção em cinco passos e 90 minutos para o registo de IA de que as PME europeias precisam ao abrigo do art. 26.º do Regulamento da IA da UE e das orientações da ICO. Colunas iniciais, armadilhas, regras de responsabilidade.

A maioria das PME europeias trata o registo de IA como um produto pesado, a elaborar quando a aplicação do Regulamento da IA da UE apertar. É um erro de categoria. Uma v1 funcional leva noventa minutos se for delimitada como um inventário do lado do responsável pela implantação e não como um produto de conformidade. Abaixo fica a construção em cinco passos que conduzimos com os responsáveis de operações nas nossas auditorias — a mesma que coloca um retrato de risco do Anexo III numa página até sexta-feira à tarde e garante margem para fazer o trabalho mais lento como deve ser depois.
Resposta rápida. Um registo de IA é o inventário, do lado do responsável pela implantação, de todos os sistemas de IA da organização, pressuposto pelas obrigações do responsável pela implantação no art. 26.º do Regulamento da IA da UE [1] e alinhado com as orientações da ICO ao abrigo do UK GDPR [2]. Uma v1 funcional leva noventa minutos para PME com menos de 200 colaboradores: 15 minutos para listar, 20 para classificar por risco face ao Anexo III, 25 para preencher as colunas essenciais e 30 para atribuir responsáveis e verificar a supervisão por amostragem.
O que é um registo de IA?
O registo de IA está para as obrigações do responsável pela implantação do art. 26.º como o registo das atividades de tratamento (ROPA) está para o art. 30.º do UK GDPR: um inventário vivo que nomeia cada sistema, classifica o seu nível de risco e atribui uma pessoa responsável. É o documento que um investigador da ICO, um departamento de aquisições ou a equipa de segurança de fornecedores de um cliente empresarial pedirá em primeiro lugar.
O Regulamento da IA da UE não prescreve o formato do registo no texto regulamentar. O art. 26.º, n.º 5, exige que os responsáveis pela implantação de sistemas de risco elevado assegurem a supervisão humana por uma pessoa designada, competente; o art. 26.º, n.º 6, exige a manutenção de registos das utilizações de risco elevado durante, pelo menos, seis meses [1]. O registo é o substrato operacional que torna ambos visíveis. A ICO tem sido clara desde 2023 quanto ao facto de a IA que trata dados pessoais ao abrigo do UK GDPR desencadear a disciplina da avaliação de impacto sobre a proteção de dados (DPIA) e obrigações de responsabilidade [2], e o conjunto de ferramentas de auditoria de IA da ICO enumera os tipos de registos estruturados de que uma PME precisará [3]. Nenhum regulador impõe uma ferramenta específica. Uma folha de cálculo que nomeie as colunas certas e atribua os responsáveis certos passa no teste.
Porque é que noventa minutos resultam (e o que não compram)
O registo não é o destino. É o mapa. Noventa minutos chegam para expor que IA está em utilização, classificar o seu nível de risco e atribuir responsabilidade — o trio de factos que todo o responsável pela implantação tem de comprovar antes de um regulador, cliente ou conselho de administração os pedir. O que noventa minutos não compram: uma avaliação de impacto sobre os direitos fundamentais (FRIA) ao abrigo do art. 27.º para cada sistema do Anexo III, um currículo de literacia no domínio da IA do art. 4.º proporcional à função, um dossiê de devida diligência de fornecedores que cubra contratos de subcontratação e fichas de modelo, ou um protocolo de supervisão humana plenamente redigido [1]. São fluxos de trabalho a jusante, delimitados em função do que o registo expõe.
A disciplina de delimitar o tempo importa mais do que o acabamento. Nas nossas auditorias, as PME que tratam o registo como um projeto de várias semanas normalmente não o produzem; as PME que limitam a v1 a noventa minutos produzem um registo no primeiro dia e depois iteram-no. As obrigações do art. 26.º são contínuas, não pontuais, pelo que uma v1 que se pode atualizar vale estritamente mais do que uma v3 que ainda não se começou.
Como decorre o fluxo de trabalho do registo de IA em 90 minutos?
Passo 1 — Listar todos os sistemas de IA em utilização (15 minutos)
Três fontes cobrem a maior parte do que se vai encontrar. Recolher as subscrições de SaaS pagas a partir do livro-razão financeiro ou do cartão de despesas — qualquer fornecedor com «AI», «ML», «Copilot», «Assistant» ou «Insight» no nome do produto pertence à lista. Recolher a IA incorporada nas plataformas existentes — Microsoft 365 Copilot, funcionalidades Gemini do Google Workspace, Salesforce Einstein, HubSpot Breeze, respostas automáticas do Outlook, resumos de reuniões do Teams estão todos abrangidos, pagos ou não. Recolher a shadow AI a partir de uma mensagem de um parágrafo a toda a empresa, a perguntar que ferramentas de IA o pessoal usa no dia a dia, incluindo contas gratuitas de consumidor.
A shadow AI deve ser tratada como abrangida. Um colaborador que cole um CV numa conta gratuita de ChatGPT torna a PME um responsável pela implantação de risco elevado do Anexo III ao abrigo das disposições do Regulamento da IA da UE relativas ao emprego [1], e os dados saem do seu ambiente ao abrigo do UK GDPR [2]. A função do registo é expô-la, não policiá-la. O policiamento vem no passo 4, uma vez que se saiba o que existe.
Passo 2 — Classificar cada sistema por nível de risco face ao Anexo III (20 minutos)
O Anexo III do Regulamento da IA da UE enumera oito domínios de risco elevado [1]: identificação biométrica, infraestruturas críticas, educação e formação profissional, emprego e gestão de trabalhadores, acesso a serviços essenciais, aplicação da lei, migração e controlo de fronteiras, e administração da justiça. Para as PME, os fatores que se ativam na prática são normalmente o emprego (triagem de CV, classificação de desempenho, agendamento automático), o acesso a serviços (decisões de crédito, tarifação de seguros) e a educação (avaliações de formação, certificações).
Para cada sistema da lista, etiquetá-lo como um de: risco elevado (correspondência com o Anexo III), risco limitado (obrigações de transparência ao abrigo do art. 50.º), risco mínimo (sem obrigações específicas para além da literacia do art. 4.º) ou responsável pela implantação de IA de finalidade geral (a usar um modelo de IA de finalidade geral como base de um chatbot ou assistente) [1]. A maioria dos conjuntos tecnológicos das PME distribui-se por dois ou três níveis. A classificação cabe ao responsável pela implantação; não é delegável no fornecedor e não é afetada pela dimensão da empresa.
Passo 3 — Preencher as dez colunas essenciais (25 minutos)
As colunas que merecem o seu lugar num registo do responsável pela implantação:
- Nome do sistema — como o pessoal lhe chama no dia a dia.
- Fornecedor — a entidade jurídica por detrás do produto.
- Modelo ou versão — quando conhecido (por exemplo, GPT-4o, Claude 3.5, Gemini 1.5, interno).
- Caso de utilização — uma frase a descrever o que o sistema decide ou gera.
- Nível de risco — elevado / limitado / mínimo / responsável pela implantação de IA de finalidade geral.
- Dados pessoais envolvidos — S/N, mais as categorias ao abrigo do UK GDPR.
- Fundamento de licitude — fundamento do art. 6.º do UK GDPR (interesse legítimo, contrato, consentimento, etc.).
- Pessoa responsável — uma pessoa designada, não uma equipa ou um cargo.
- Manutenção de registos do art. 26.º, n.º 6 — S/N/N.A. para as implantações de risco elevado.
- Data de implantação — mês e ano, no mínimo.
Uma folha de cálculo com estas dez colunas responde à primeira pergunta que qualquer regulador, cliente ou membro do conselho de administração fará. Tudo o que vai além é trabalho iterativo, não trabalho de v1. É preciso resistir ao impulso de acrescentar colunas até ter preenchido as dez em todas as linhas.
Passo 4 — Designar uma pessoa responsável por sistema (15 minutos)
O art. 26.º, n.º 5, exige que os responsáveis pela implantação de sistemas de risco elevado assegurem a supervisão humana por uma pessoa competente, responsável, com autoridade para suspender ou anular o sistema [1]. Traduzir isso para o registo significa nomear uma pessoa concreta em cada linha do Anexo III — não um cargo como «responsável de TI» ou «diretor de operações». A pessoa responsável precisa de três propriedades: consegue ler os resultados do sistema, tem autoridade para o desligar e é contactável pelo nome no registo.
Para os sistemas que não constam do Anexo III, designar um responsável na mesma. A obrigação formal é mais leve; a disciplina é a mesma. Os responsáveis de operações e os quadros superiores são os responsáveis naturais na maioria das PME; um diretor de tecnologia ou de dados não é necessário.
Passo 5 — Verificar por amostragem a supervisão humana num sistema de risco elevado (15 minutos)
Para a linha de maior risco do Anexo III, percorrer três perguntas: há uma pessoa a rever o resultado da IA antes de este afetar alguém (o teste do humano no circuito)? Consegue essa pessoa anular a decisão da IA na prática (o teste da autoridade)? Recebeu essa pessoa formação adequada à função ao abrigo do art. 4.º (o teste da literacia) [1]? As respostas vão para uma coluna de texto livre de «notas de supervisão humana» adjacente às dez colunas essenciais.
A supervisão humana não se conclui em quinze minutos. O objetivo é expor onde está a lacuna, não fechá-la. Uma linha que diga «sem revisão humana na triagem de CV; lacuna a fechar em 30 dias» é exatamente o resultado certo. A função do registo é tornar a lacuna visível; fechá-la é um fluxo de trabalho à parte e um orçamento à parte.

Que cinco armadilhas matam uma v1 de registo de IA?
- Tratar o registo como um documento de uma só vez. As obrigações do art. 26.º são contínuas; o registo é um artefacto vivo, revisto pelo menos trimestralmente e atualizado sempre que se implanta um novo sistema de IA ou um fornecedor lança uma mudança de modelo relevante.
- Falhar a shadow AI. As contas gratuitas de consumidor e as sessões pessoais de Copilot são a categoria de maior incidência e menor visibilidade. Se o registo não as expõe, mente.
- Comprar uma «ferramenta de conformidade» antes de listar. O SaaS de conformidade de um fornecedor não vai classificar os seus casos de utilização — só a sua equipa o pode fazer. Primeiro a folha de cálculo, a ferramenta depois (ou nunca; para PME com menos de 200 colaboradores, uma folha de cálculo mantida é suficiente).
- Atribuir um cargo em vez de uma pessoa. A «equipa de TI» não pode ser contactada. Uma pessoa designada com um número de telefone pode. O art. 26.º, n.º 5, pressupõe esta última [1].
- Ignorar por completo a literacia do art. 4.º. O art. 4.º aplica-se desde 2 de fevereiro de 2025 a todos os colaboradores que usem IA, de forma proporcional à sua função [1]. Não é um nível — cada sistema faz surgir uma obrigação do art. 4.º. Registá-la, mesmo quando o currículo em si seja trabalho a jusante.
O que fazer depois dos noventa minutos
O registo é a camada de descoberta. Habitualmente, descolam dele três fluxos de trabalho de seguimento:
- Delimitação da FRIA para cada linha do Anexo III, ao abrigo do art. 27.º do Regulamento da IA da UE [1] — um documento separado e mais profundo que a coluna de nível de risco do registo inicia em vez de substituir.
- Currículo de literacia no domínio da IA do art. 4.º — proporcional à função, delimitado em função da coluna de pessoa responsável do registo e não do número de efetivos.
- Dossiê de devida diligência de fornecedores — contratos de subcontratação, fichas de modelo, proveniência de IA de finalidade geral, delimitado em função da coluna de fornecedor do registo e atualizado na renovação das aquisições.
São os fluxos de trabalho que uma abordagem concebida de raiz cobre em cerca de doze semanas por 18 000-32 000 £ na nossa experiência de auditorias, e os mesmos fluxos de trabalho que uma abordagem de adaptação a posteriori cobre em seis semanas comprimidas por 85 000-145 000 £ — um multiplicador consistente com os dados do MIT Sloan pós-RGPD sobre empresas da UE a reduzir os dados armazenados em 26 % e a computação em 15 % sob pressão de fiscalização [4]. O registo é a primeira medida mais barata possível contra esta aritmética.
Síntese
AI Register in 90 Minutes — a deployer-side inventory │ ├─ The five-step build │ ├─ List (15m) — paid, embedded, and shadow AI in scope │ ├─ Risk-tier (20m) — match each system to Annex III │ ├─ Ten columns (25m) — the audit-ready floor, no more │ ├─ Name owners (15m) — a person per system, not a team │ └─ Spot-check (15m) — surface the oversight gap, don't close it │ ├─ Why timebox v1 │ ├─ A living map — Article 26 duties are continuous │ └─ v1 you update beats v3 you never start │ └─ What it doesn't buy └─ Downstream — FRIA, Article 4 literacy, vendor due diligence
Insights relacionados
- Governação de IA desde o primeiro dia: o custo para as PME de adaptar a conformidade a posteriori — o artigo-pilar que este guia apoia. Leia-o para a aritmética dos custos, o caso Northbridge e os sete artefactos da governação desde o primeiro dia.
- A sua PME não precisa de mais ferramentas de IA. Precisa de uma estratégia de IA.EN — a peça a montante sobre por que razão uma lista de IA sancionada importa mais do que qualquer subscrição individual, e a sequência de auditar-e-consolidar que produz uma.
Última atualização: maio de 2026. Versão 1.0.
Frequently Asked Questions
Um registo de IA substitui o registo das atividades de tratamento do RGPD?
O nosso pessoal usa ChatGPT gratuito e Copilot de consumidor. Isso conta para o registo?
A nossa PME está sediada fora da UE. O Regulamento da IA aplica-se ao nosso registo?
Quem deve assumir o registo de IA numa PME sem diretor de tecnologia?
Com que frequência devemos atualizar o registo?
Uma folha de cálculo é suficiente, ou precisamos de uma ferramenta de GRC dedicada?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 3.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.