A Contagem Regressiva Começou
Atualizado para 2026
O prazo da Lei de IA da UE é real. As regras do Artigo 10 aplicam-se a partir de 2 de agosto de 2026. Se a sua equipe constrói ou opera um sistema de IA de alto risco, precisa agir agora. O tempo é curto.
As multas superam o RGPD. O máximo é €35 milhões ou 7% do volume de negócios anual global, o que for maior. O RGPD tem um teto de €20 milhões ou 4%. Nenhuma outra lei de IA tem multas mais altas.
Quais Sistemas de IA São de Alto Risco?
A Lei de IA classifica os sistemas por nível de risco. Os sistemas de alto risco (Anexo III) cobrem IA utilizada em:
- Educação — acesso a escolas ou avaliação de estudantes
- Emprego — triagem de CVs, pontuação de entrevistas, monitorização de trabalhadores
- Serviços essenciais — pontuação de crédito, preços de seguros, despacho de emergência
- Aplicação da lei — previsão criminal, identificação biométrica
- Saúde — software de dispositivos médicos, triagem de pacientes
- Infraestrutura — gestão de energia, água ou transporte
- Justiça — ferramentas de pesquisa jurídica, sistemas de recomendação de sentenças
Trabalha em alguma dessas áreas? O Artigo 10 aplica-se a si.
Artigo 10: Quatro Regras Chave
O Artigo 10 estabelece regras para os conjuntos de dados utilizados por sistemas de IA de alto risco. Aqui estão as quatro principais.
1. Governança Escrita
Os conjuntos de dados devem seguir "práticas adequadas de governança e gestão de dados." Precisa de passos escritos para recolha, verificações de qualidade e revisão contínua.
2. Testes de Viés
Os registos devem ser verificados para detetar "possíveis vieses" que possam causar resultados injustos. São necessários testes ativos. Evitar viés intencional não é suficiente.
3. Exatidão e Cobertura
Os conjuntos de dados devem ser "relevantes, suficientemente representativos e sem erros." Os crawls web que omitem certos grupos podem não cumprir este padrão.
4. Categorias Especiais
O Artigo 10(5) é a regra mais direta. Quando um sistema de alto risco usa registos de categoria especial — saúde, etnia, religião, política, biometria — só pode processá-los quando for "estritamente necessário" para verificações de viés. Deve também aplicar "salvaguardas adequadas." A anonimização é uma das salvaguardas mais robustas.
Em resumo: a maioria dos conjuntos de dados de modelos de IA contém registos pessoais. O Artigo 10 diz para usar o mínimo necessário, com fortes salvaguardas técnicas.
Consulte a nossa página de conformidade legal e a visão geral de segurança para mais detalhes.
Níveis de Multas
A Lei de IA da UE tem três níveis de multas. Todos superam o RGPD para o mesmo tipo de infração:
| Regulação | Multa Máx. | Teto de Volume de Negócios |
|---|---|---|
| RGPD | €20 milhões | 4% global |
| Lei IA UE (alto risco) | €15 milhões | 3% global |
| Lei IA UE (proibido) | €35 milhões | 7% global |
As infrações de conjuntos de dados enquadram-se no nível de alto risco (€15M / 3%). Se um regulador determinar que usar registos pessoais sem salvaguardas é uma prática proibida, aplica-se o nível superior.
Exemplos reais: €500M de volume de negócios × 3% = €15M de multa. €5B × 3% = €150M de multa.
Por Que a Anonimização Resolve o Problema
Os registos corretamente anonimizados ficam fora do âmbito do RGPD. Isso remove a maior parte do encargo do Artigo 10.
As regras mais difíceis — tratamento de categorias especiais, monitorização de viés, direitos dos titulares de dados — só se aplicam quando um conjunto de dados contém registos pessoais. Remova esses registos primeiro. O encargo desaparece em grande parte.
A CNIL (autoridade francesa de proteção de dados) deixou isso claro no início de 2026. As suas orientações de IA indicam que a anonimização de informações pessoais não estritamente necessárias para o desempenho do modelo é a principal medida técnica para cumprir o Artigo 10.
Esta não é uma posição marginal. É a posição dominante do regulador de IA mais avançado tecnicamente da UE.
O Que a Anonimização Significa na Prática
Limpar conjuntos de dados de modelos de IA não é o mesmo que limpar registos de produção em tempo real. Os conjuntos de dados de modelos podem conter:
- Documentos com dados pessoais — contratos, e-mails, relatórios, tickets de suporte
- Registos estruturados — tabelas de clientes usadas para construir modelos preditivos
- Conteúdo etiquetado — imagens ou texto com anotações que incluem identificadores pessoais
- Registos sintéticos — onde a geração pode preservar padrões identificadores
Deve detetar dados pessoais em todos estes formatos. Falhar um tipo expõe todo o conjunto de dados.
A API da anonym.legal lida com processamento em lote para grandes conjuntos de dados de IA. Deteta 285+ tipos de entidades em 48 idiomas. Para empresas de IA europeias com conjuntos de dados multilingues, a cobertura entre idiomas é fundamental.
Para mais sobre deteção de entidades, consulte o guia do sistema de tokens e a referência de tipos de entidades.
Passos Práticos: Anonimizar o Seu Conjunto de Dados
Passo 1: Auditar primeiro
Execute uma passagem de deteção antes de anonimizar qualquer coisa:
curl -X POST https://anonym.legal/api/presidio/analyze \
-H "Authorization: Bearer YOUR_API_KEY" \
-H "Content-Type: application/json" \
-d '{
"text": "'"$(cat document.txt)"'",
"language": "pt"
}'
Passo 2: Anonimização em lote
Para grandes conjuntos de dados, use o endpoint batch:
import requests
import os
from pathlib import Path
def anonymize_batch(documents: list[dict]) -> list[dict]:
response = requests.post(
"https://anonym.legal/api/presidio/anonymize-batch",
json={"items": documents, "language": "pt"},
headers={"Authorization": f"Bearer {os.environ['ANONYM_API_KEY']}"}
)
return response.json()["results"]
source_dir = Path("./dataset")
docs = [
{"id": f.name, "text": f.read_text()}
for f in source_dir.glob("*.txt")
]
batch_size = 50
for i in range(0, len(docs), batch_size):
results = anonymize_batch(docs[i:i+batch_size])
for result in results:
out = source_dir / "clean" / result["id"]
out.write_text(result["text"])
print(f"Feito: {result['id']} — {len(result['items'])} entidades removidas")
Passo 3: Documentar tudo
O Artigo 10 exige registos escritos. Para cada conjunto de dados, mantenha:
- O modelo de deteção e a versão utilizados
- Que tipos de entidades foram encontrados e como cada um foi substituído
- Contagens de entidades removidas por conjunto de dados
- A data da anonimização e a versão do conjunto de dados
Isso cumpre as "práticas de governança e gestão de dados" exigidas pelo Artigo 10(2)(a).
Perguntas Frequentes
A anonimização prejudica a qualidade do modelo?
Na maioria dos casos, não. O modelo aprende padrões da estrutura do texto, não de detalhes pessoais. Nomes, números de telefone e endereços podem ser substituídos por marcadores como [NOME] ou [TELEFONE] e o modelo ainda aprende os mesmos padrões. Muitas equipas de investigação descobriram que conjuntos de dados anonimizados produzem modelos de qualidade igual.
E os conjuntos de dados noutros idiomas?
A API suporta 48 idiomas. Os conjuntos de dados mistos também são suportados — pode especificar o idioma por documento no pedido em lote. Consulte as perguntas frequentes para uma lista completa de idiomas.
Lei de IA do Colorado: Dois Prazos
A Lei de IA do Colorado entra em vigor em 30 de junho de 2026 — cinco semanas antes do prazo da UE. Impõe regras semelhantes para "sistemas de IA de alto risco" ao abrigo da lei estadual. O foco principal é a discriminação algorítmica.
As equipas na UE e no Colorado enfrentam dois prazos ao mesmo tempo. Anonimizar os seus conjuntos de dados ajuda a cumprir ambas as leis: o Artigo 10 (UE) e as regras anti-discriminação do Colorado. Os passos técnicos são os mesmos.
Aja Agora
Cinco meses é suficiente — se começar hoje. Não é suficiente se esperar até junho.
Um calendário prático:
- Semanas 1–2: Audite os seus conjuntos de dados — descubra que registos pessoais estão presentes
- Semanas 3–6: Construa e teste o seu pipeline de anonimização
- Semanas 7–10: Redija a sua documentação de governança; obtenha revisão jurídica
- Semanas 11–16: Valide — confirme que os conjuntos anonimizados cumprem os requisitos de qualidade do Artigo 10
- 2 de agosto: Data de aplicação — conformidade em vigor
A API da anonym.legal integra-se no seu pipeline existente sem grandes alterações. Consulte os preços para planos de volume. As perguntas frequentes respondem a dúvidas comuns sobre o Artigo 10.
A Lei de IA da UE está pronta para ser aplicada. A sua organização estará pronta a 2 de agosto?
Comece com a checklist de conformidade RGPD →
Limites e Questões em Aberto
A anonimização para conformidade com a Lei de IA está ainda a evoluir. Aqui estão as principais lacunas.
Os limiares não estão definidos. A Lei de IA da UE não especifica que nível de anonimização é "suficiente." Até o Gabinete Europeu de IA emitir orientações, enfrenta incerteza legal.
O risco de re-identificação persiste. As investigações mostram que os grandes modelos de linguagem podem memorizar e reproduzir conteúdo dos seus conjuntos de dados. A anonimização antes do desenvolvimento do modelo não resolve completamente este problema.
Os registos sintéticos têm limites. A geração sintética preserva padrões estatísticos mas pode introduzir vieses subtis ou perder casos extremos raros.
O Artigo 10 ainda está a ser interpretado. A frase "medidas técnicas adequadas" necessita de interpretação. A aplicação precoce pelas APD nos Estados-Membros da UE ainda não estabeleceu padrões claros. Acompanhe as orientações do CEPD e as decisões dos Estados-Membros ao longo de 2026.
Fontes
- Lei de IA UE, Regulamento (UE) 2024/1689, Artigos 9–17, JO L 2024/1689
- Lei de IA UE, Artigo 10 — Dados e governança de dados
- Recomendações CNIL sobre conjuntos de dados de IA, janeiro de 2026
- Lei de IA do Colorado, SB 205, em vigor desde 30 de junho de 2026
- Calendário Lei de IA UE: práticas proibidas desde 2 de fevereiro de 2025; sistemas de alto risco desde 2 de agosto de 2026