A pergunta mais comum de quem vai adotar IA em Portugal não é “que ferramenta?”, é “e o RGPD?”. A resposta curta: o RGPD aplica-se sempre que a IA toca dados pessoais — e dá para usar IA em conformidade desde o desenho. A dgm implementa IA com controlo de dados desde o início, na plataforma osFoundry. (Conteúdo informativo; não constitui aconselhamento jurídico.)
O RGPD aplica-se — e o EU AI Act também
Ao contrário de outros mercados, Portugal não está num vazio legal: o RGPD (Regulamento (UE) 2016/679) rege todo o tratamento de dados pessoais, é executado em Portugal pela Lei n.º 58/2019 e fiscalizado pela CNPD (Comissão Nacional de Proteção de Dados). A isto soma-se o EU AI Act (Regulamento (UE) 2024/1689), diretamente aplicável e a entrar em vigor por fases. Os dois quadros aplicam-se em paralelo.
Base legal: o primeiro requisito
Todo o tratamento de dados pessoais precisa de uma base legal (Art. 6.º do RGPD) — consentimento, execução de contrato, interesse legítimo, cumprimento de obrigação legal, entre outras. Antes de colocar dados num sistema de IA, a pergunta é: qual a base legal e a finalidade?
Para dados sensíveis / categorias especiais — saúde, biometria, origem racial, convicções, dados de menores — o regime é mais restrito (Art. 9.º). Em IA, isto pesa na saúde, nos recursos humanos e no apoio ao cliente.
Minimização: a melhor defesa técnica
O RGPD exige minimização — tratar apenas o necessário — e proteção de dados desde a conceção e por defeito (Art. 25.º). Em IA, isto traduz-se em decisões de arquitetura: quanto menos dado pessoal a IA precisa de ver, menor o risco. Boas práticas:
- minimizar o que entra no modelo (anonimizar/pseudonimizar quando possível);
- controlar onde os dados são tratados e armazenados (preferir região UE);
- registar finalidade, base legal e fluxos, incluindo subcontratação (Art. 28.º);
- manter supervisão humana em decisões sensíveis.
Decisões automatizadas (Art. 22.º)
O Art. 22.º garante ao titular o direito de não ficar sujeito a uma decisão baseada unicamente em tratamento automatizado (incluindo definição de perfis) que produza efeitos jurídicos ou o afete significativamente. As exceções (contrato, autorização legal, consentimento explícito) trazem salvaguardas obrigatórias: direito a intervenção humana, a exprimir o ponto de vista e a contestar a decisão, além de informação significativa sobre a lógica. Veja decisões automatizadas e o Artigo 22.º.
AIPD: quando é obrigatória
Quando um tratamento, em especial com novas tecnologias, for suscetível de implicar elevado risco para os direitos e liberdades das pessoas, é obrigatória uma Avaliação de Impacto sobre a Proteção de Dados (AIPD/DPIA — Art. 35.º). Projetos de IA com perfis em larga escala ou dados sensíveis caem tipicamente neste caso. Veja como fazer uma AIPD para projetos de IA.
Dados na UE: a forma honesta
Quando a empresa precisa que os dados fiquem na UE, há um ponto que a dgm não esconde: o osFoundry publica regiões geridas US/EU/JP — para residência RGPD, usa-se a região da UE, e/ou faz-se self-host (BYO Cloud) numa região cloud europeia (AWS eu-south-2 em Espanha, eu-west, Frankfurt, etc.). Não há ainda uma região cloud em Portugal. Veja como garantir que os dados ficam na UE com IA.
Onde entra a dgm
A dgm é um parceiro de integração independente (o osFoundry é um produto da OS LLC). Implementamos IA com minimização, controlo de dados e supervisão humana desde o início, na plataforma osFoundry, e desenhamos a residência de dados quando é requisito. Para conformidade estruturada, veja governança de IA e consultoria de IA em conformidade com o RGPD.
A dgm ainda não integrou nenhuma empresa — dizemo-lo abertamente, em vez de inventar casos. Para adotar IA em conformidade com o RGPD, agende uma conversa com a dgm. Conteúdo informativo; não substitui o aconselhamento de um advogado ou do encarregado de proteção de dados.