IA e RGPD: o que as empresas em Portugal precisam de saber

Introdução

A utilização de inteligência artificial nas empresas portuguesas está a crescer a um ritmo acelerado, mas muitas organizações continuam a ignorar um aspeto fundamental: a conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD). Em Portugal, a Comissão Nacional de Proteção de Dados (CNPD) tem vindo a reforçar a fiscalização, e o novo Regulamento Europeu da Inteligência Artificial (EU AI Act) acrescenta uma camada adicional de obrigações. Para as empresas que utilizam IA para processar dados pessoais — desde chatbots a sistemas de análise preditiva —, compreender o enquadramento legal deixou de ser opcional. Este artigo explica o que as empresas em Portugal precisam de saber para utilizar IA de forma legal, ética e segura.

O que diz o RGPD sobre IA

O RGPD, em vigor desde maio de 2018, não menciona explicitamente a inteligência artificial, mas os seus princípios aplicam-se diretamente a qualquer sistema que processe dados pessoais. O Artigo 5.º estabelece que os dados devem ser tratados de forma lícita, leal e transparente — o que coloca desafios imediatos a modelos de IA cujas decisões são difíceis de explicar. O Artigo 22.º é particularmente relevante: proíbe decisões tomadas exclusivamente com base em tratamento automatizado que produzam efeitos jurídicos significativos sobre os titulares dos dados, salvo exceções específicas como o consentimento explícito ou a necessidade contratual.

A CNPD tem sublinhado que os sistemas de IA devem respeitar o princípio da minimização de dados (Artigo 5.º, n.º 1, alínea c)), processando apenas os dados estritamente necessários para a finalidade pretendida. Além disso, o direito à explicação — embora não explicitamente consagrado no RGPD — decorre dos Artigos 13.º, 14.º e 15.º, que exigem que os responsáveis pelo tratamento informem os titulares sobre a lógica subjacente ao tratamento automatizado. Para empresas que utilizam modelos de machine learning opacos, isto representa um desafio técnico e jurídico considerável.

Bases legais para usar IA com dados pessoais

Qualquer tratamento de dados pessoais por sistemas de IA exige uma base legal válida, nos termos do Artigo 6.º do RGPD. As bases mais utilizadas pelas empresas portuguesas são o consentimento (alínea a)), a execução de contrato (alínea b)) e o interesse legítimo (alínea f)). No entanto, cada base tem implicações específicas quando aplicada a IA.

O consentimento deve ser livre, específico, informado e inequívoco — o que significa que o titular dos dados deve compreender que os seus dados serão processados por um sistema de IA e para que finalidade. O interesse legítimo, frequentemente invocado por empresas que utilizam IA para análise de comportamento de clientes, exige uma avaliação de ponderação que demonstre que os interesses da empresa não se sobrepõem aos direitos fundamentais do titular. A CNPD tem sido clara nas suas orientações: invocar o interesse legítimo sem documentar esta avaliação é uma infração. Para dados sensíveis — como dados de saúde, origem étnica ou convicções políticas — o Artigo 9.º impõe restrições adicionais que tornam praticamente obrigatório o consentimento explícito.

O EU AI Act e o impacto em Portugal

O Regulamento Europeu da Inteligência Artificial (EU AI Act), aprovado em 2024 e com aplicação faseada a partir de 2025, introduz uma classificação de risco para os sistemas de IA. Os sistemas considerados de risco inaceitável — como a vigilância biométrica em massa — são proibidos. Os de alto risco — incluindo sistemas utilizados em recrutamento, avaliação de crédito e saúde — ficam sujeitos a obrigações rigorosas de transparência, documentação técnica e supervisão humana.

Para as empresas portuguesas, o impacto é direto. Qualquer PME que utilize IA para triagem de currículos, scoring de clientes ou decisões automatizadas em serviços financeiros terá de cumprir requisitos de conformidade significativos. O EU AI Act exige registos detalhados dos datasets de treino, avaliações de risco obrigatórias e a designação de responsáveis pela supervisão dos sistemas. Portugal deverá designar uma autoridade nacional de supervisão — sendo provável que a CNPD assuma parte destas competências —, o que reforçará a fiscalização já existente no âmbito do RGPD.

Boas práticas de conformidade

A conformidade com o RGPD e o EU AI Act não se resume a documentação jurídica. As empresas portuguesas devem adotar uma abordagem prática que integre a proteção de dados no ciclo de desenvolvimento dos sistemas de IA — o conceito de privacy by design consagrado no Artigo 25.º do RGPD. Isto implica envolver o Encarregado de Proteção de Dados (DPO) desde a fase de conceção do projeto, e não apenas na revisão final.

Entre as boas práticas recomendadas pela CNPD e pelas autoridades europeias destacam-se: realizar Avaliações de Impacto sobre a Proteção de Dados (AIPD) antes de implementar sistemas de IA que processem dados pessoais em larga escala; documentar as decisões algorítmicas e manter registos de tratamento atualizados; implementar mecanismos que permitam aos titulares dos dados contestar decisões automatizadas; utilizar técnicas de anonimização ou pseudonimização sempre que possível; e garantir que os contratos com fornecedores de IA incluam cláusulas de proteção de dados nos termos do Artigo 28.º.

Erros comuns que colocam empresas em risco

A experiência da CNPD e as decisões de autoridades de proteção de dados noutros Estados-Membros revelam padrões recorrentes de incumprimento. O erro mais frequente é a utilização de ferramentas de IA de terceiros — como plataformas de análise preditiva ou assistentes virtuais — sem verificar se o fornecedor cumpre o RGPD ou se os dados são transferidos para fora do Espaço Económico Europeu. Após a decisão Schrems II do Tribunal de Justiça da UE, as transferências para os EUA exigem salvaguardas específicas.

Outro erro comum é a ausência de informação aos colaboradores quando a IA é utilizada para monitorização do desempenho ou análise de produtividade. A CNPD já aplicou sanções a empresas portuguesas por monitorização excessiva de trabalhadores sem base legal adequada. Adicionalmente, muitas empresas falham na atualização dos registos de tratamento quando introduzem novos sistemas de IA, violando o Artigo 30.º do RGPD. A falta de uma AIPD quando obrigatória — nos termos do Artigo 35.º — constitui por si só uma infração passível de coima até 10 milhões de euros ou 2% do volume de negócios anual global.

Como fazer uma avaliação de impacto

A Avaliação de Impacto sobre a Proteção de Dados (AIPD) é obrigatória sempre que o tratamento de dados pessoais por IA seja suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares. A CNPD publicou uma lista de tipos de operações de tratamento que exigem AIPD, incluindo a definição de perfis automatizada e o tratamento em larga escala de dados sensíveis.

Uma AIPD eficaz deve incluir: uma descrição sistemática do tratamento e das suas finalidades; uma avaliação da necessidade e proporcionalidade do tratamento; uma análise dos riscos para os titulares dos dados; e as medidas previstas para mitigar esses riscos. Para sistemas de IA, é essencial documentar a lógica algorítmica, os dados de treino utilizados, as métricas de precisão e equidade, e os mecanismos de supervisão humana. A CNPD recomenda que a AIPD seja revista periodicamente, especialmente quando o modelo de IA é atualizado ou retreinado com novos dados. As empresas podem utilizar o modelo de AIPD disponibilizado pela CNPD como ponto de partida, adaptando-o à especificidade dos seus sistemas de IA.

Conclusão

A interseção entre inteligência artificial e proteção de dados pessoais é uma das áreas mais dinâmicas do direito europeu. Para as empresas portuguesas, a mensagem é clara: a adoção de IA deve ser acompanhada de um compromisso sério com a conformidade legal. O RGPD já impõe obrigações significativas, e o EU AI Act vem reforçar estas exigências com requisitos específicos para sistemas de alto risco. As empresas que investirem agora em boas práticas de conformidade — desde a realização de AIPD à formação das equipas — estarão melhor posicionadas para inovar de forma responsável e evitar sanções que podem comprometer a sua sustentabilidade financeira. A CNPD está a intensificar a fiscalização, e a ignorância da lei não constitui defesa.

Introduction

The use of artificial intelligence in Portuguese companies is growing rapidly, but many organisations continue to overlook a fundamental aspect: compliance with the General Data Protection Regulation (GDPR). In Portugal, the Comissão Nacional de Proteção de Dados (CNPD) — the national data protection authority — has been stepping up enforcement, and the new EU Artificial Intelligence Act adds an additional layer of obligations. For companies using AI to process personal data — from chatbots to predictive analytics systems — understanding the legal framework is no longer optional. This article explains what Portuguese companies need to know to use AI legally, ethically and securely.

What the GDPR says about AI

The GDPR, in force since May 2018, does not explicitly mention artificial intelligence, but its principles apply directly to any system that processes personal data. Article 5 establishes that data must be processed lawfully, fairly and transparently — which poses immediate challenges for AI models whose decisions are difficult to explain. Article 22 is particularly relevant: it prohibits decisions based solely on automated processing that produce significant legal effects on data subjects, except in specific circumstances such as explicit consent or contractual necessity.

The CNPD has emphasised that AI systems must respect the principle of data minimisation (Article 5(1)(c)), processing only the data strictly necessary for the intended purpose. Furthermore, the right to explanation — although not explicitly enshrined in the GDPR — derives from Articles 13, 14 and 15, which require data controllers to inform data subjects about the logic involved in automated processing. For companies using opaque machine learning models, this represents a considerable technical and legal challenge.

Legal bases for using AI with personal data

Any processing of personal data by AI systems requires a valid legal basis under Article 6 of the GDPR. The most commonly used bases by Portuguese companies are consent (point a), performance of a contract (point b) and legitimate interest (point f). However, each basis has specific implications when applied to AI.

Consent must be freely given, specific, informed and unambiguous — meaning the data subject must understand that their data will be processed by an AI system and for what purpose. Legitimate interest, frequently invoked by companies using AI for customer behaviour analysis, requires a balancing assessment demonstrating that the company's interests do not override the fundamental rights of the data subject. The CNPD has been clear in its guidance: invoking legitimate interest without documenting this assessment constitutes an infringement. For sensitive data — such as health data, ethnic origin or political beliefs — Article 9 imposes additional restrictions that make explicit consent practically mandatory.

The EU AI Act and its impact on Portugal

The European AI Act, approved in 2024 with phased implementation from 2025, introduces a risk-based classification for AI systems. Systems deemed to pose unacceptable risk — such as mass biometric surveillance — are prohibited. High-risk systems — including those used in recruitment, credit scoring and healthcare — are subject to stringent obligations regarding transparency, technical documentation and human oversight.

For Portuguese companies, the impact is direct. Any SME using AI for CV screening, customer scoring or automated decisions in financial services will need to meet significant compliance requirements. The EU AI Act requires detailed records of training datasets, mandatory risk assessments, and the designation of persons responsible for system oversight. Portugal will need to designate a national supervisory authority — with the CNPD likely to assume part of these competences — which will reinforce existing GDPR enforcement.

Compliance best practices

Compliance with the GDPR and the EU AI Act goes beyond legal documentation. Portuguese companies should adopt a practical approach that integrates data protection into the AI development lifecycle — the concept of privacy by design enshrined in Article 25 of the GDPR. This means involving the Data Protection Officer (DPO) from the design phase of the project, not just during the final review.

Best practices recommended by the CNPD and European authorities include: conducting Data Protection Impact Assessments (DPIAs) before implementing AI systems that process personal data at scale; documenting algorithmic decisions and maintaining up-to-date processing records; implementing mechanisms that allow data subjects to challenge automated decisions; using anonymisation or pseudonymisation techniques wherever possible; and ensuring that contracts with AI providers include data protection clauses in accordance with Article 28.

Common mistakes that put companies at risk

The experience of the CNPD and decisions by data protection authorities in other Member States reveal recurring patterns of non-compliance. The most frequent mistake is using third-party AI tools — such as predictive analytics platforms or virtual assistants — without verifying whether the provider complies with the GDPR or whether data is transferred outside the European Economic Area. Following the Schrems II decision by the Court of Justice of the EU, transfers to the US require specific safeguards.

Another common error is failing to inform employees when AI is used for performance monitoring or productivity analysis. The CNPD has already imposed sanctions on Portuguese companies for excessive employee monitoring without an adequate legal basis. Additionally, many companies fail to update their processing records when introducing new AI systems, violating Article 30 of the GDPR. The absence of a DPIA when one is required — under Article 35 — constitutes an infringement in itself, punishable by fines of up to 10 million euros or 2% of annual global turnover.

How to conduct an impact assessment

A Data Protection Impact Assessment (DPIA) is mandatory whenever the processing of personal data by AI is likely to result in a high risk to the rights and freedoms of natural persons. The CNPD has published a list of processing operations that require a DPIA, including automated profiling and large-scale processing of sensitive data.

An effective DPIA should include: a systematic description of the processing and its purposes; an assessment of the necessity and proportionality of the processing; an analysis of the risks to data subjects; and the measures envisaged to mitigate those risks. For AI systems, it is essential to document the algorithmic logic, the training data used, accuracy and fairness metrics, and human oversight mechanisms. The CNPD recommends that DPIAs be reviewed periodically, particularly when the AI model is updated or retrained with new data. Companies can use the DPIA template provided by the CNPD as a starting point, adapting it to the specifics of their AI systems.

Conclusion

The intersection of artificial intelligence and personal data protection is one of the most dynamic areas of European law. For Portuguese companies, the message is clear: AI adoption must be accompanied by a serious commitment to legal compliance. The GDPR already imposes significant obligations, and the EU AI Act reinforces these requirements with specific provisions for high-risk systems. Companies that invest now in compliance best practices — from conducting DPIAs to training their teams — will be better positioned to innovate responsibly and avoid sanctions that could compromise their financial sustainability. The CNPD is intensifying enforcement, and ignorance of the law is no defence.

IA e RGPD: o que as empresas em Portugal precisam de saber AI and GDPR: What Companies in Portugal Need to Know