Gestão de Riscos em Sistemas de IA: Novas Orientações da AEPD

No passado dia 11 de novembro de 2025, a Autoridade Europeia para a Proteção de Dados (“AEPD”) divulgou o “Guidance for Risk Management of Artificial Intelligence systems” (as “Orientações”), com foco na  gestão de riscos de proteção de dados pessoais ao longo do ciclo de vida de sistemas de Inteligência Artificial (“IA”) utilizados por Instituições, Órgãos, Organismos e Agências da UE (doravante “Instituições da UE”) ao abrigo do Regulamento (UE) 2018/1725, de 23 de outubro de 2018 ( “EUDPR”).

Embora as Orientações se destinem principalmente às Instituições da UE, também fornecem uma série de recomendações técnicas e práticas de grande valor para as empresas que desenvolvem, implementam ou gerem IA. Estas Orientações revelam-se especialmente úteis para aquelas organizações que procuram harmonizar a governação da IA, a proteção de dados e os requisitos estabelecidos no Regulamento da IA.

Da ISO 31000:2018 à prática: um quadro técnico para conformidade em IA

A AEPD adota a metodologia e arquitetura da ISO 31000:2018 para gestão de risco (identificar-analisar-avaliar-tratar), articulando-a com as obrigações de responsabilidade proativa (accountability) do EUDPR.

As Orientações percorrem todas as fases do ciclo de vida da IA, desde a conceção aquisição/preparação de dados à sua retirada, e localiza em cada uma os riscos mais prováveis e os respetivos controlos técnicos. Para este efeito, a AEPD traduz os princípios de proteção de dados (o quê) em controlos técnicos concretos (o como), estruturados nos seguintes eixos, que devem orientar a avaliação de risco:

• Princípio da lealdade (fairness): identificar, medir e mitigar enviesamentos decorrentes de falta de qualidade/representatividade dos dados, viés nos dados de treino, viés algorítmico e viés de interpretação, com auditorias e uso de métricas de fairness e teste com casos-limite.
• Princípio da exatidão: garantia da exatidão dos dados e validação da exatidão estatística do modelo; prevenção de data drift e de saídas inexatas (incluindo “alucinações”).
• Princípio da minimização dos dados: tratar apenas dados adequados, pertinentes e limitados ao necessário; evitar recolha/armazenamento indiscriminados; justificar cada categoria tratada e, quando possível, recorrer a amostragem representativa e anonimização/pseudonimização (e dados sintéticos com cautelas).
• Princípio da segurança: prevenir fugas de dados (incluindo memorização/reprodução pelo modelo), exposição via  interfaces de programação de aplicações (“APIs”) e violações de armazenamento; aplicar cifragem, controlo de acessos, monitorização e medidas específicas para IA (p. ex., differential privacy e filtros de saída).

Na mesma secção dedicada aos riscos associados aos princípios de proteção de dados, destaca-se um dos maiores desafios para os responsáveis pelo tratamento: o exercício dos direitos dos titulares. Localizar, aceder, retificar e apagar dados incorporados em modelos — em especial em redes profundas e nos Large Language Models (“LLMs”) — é tecnicamente complexo. A AEPD propõe mecanismos operacionais para acesso, retificação e apagamento, incluindo estratégias de identificação de dados, manutenção de metadados e ferramentas de recuperação, bem como técnicas de machine unlearning quando viável.

Sem interpretabilidade e explicabilidade não há responsabilização, nem verdadeira transparência para os titulares

As Orientações elevam a interpretabilidade e a explicabilidade a condições sine qua non de conformidade e identifica o risco específico de sistemas “ininterpretáveis ou inexplicáveis”, estabelecendo medidas de mitigação (documentação técnica adequada, técnicas de IA explicável (“XAI”) como LIME/SHAP e análise estatística das saídas) aplicáveis na seleção/fornecimento, verificação e validação, operação/monitorização, validação contínua e reavaliação.

Para efeitos das Orientações, entende-se por:

• Interpretabilidade: capacidade de compreender a lógica do modelo e os fatores que determinam os resultados (outputs) a partir dos dados de entrada (inputs).
• Explicabilidade: capacidade de comunicar, de forma significativa, as razões dos resultados a utilizadores finais.

Em termos de enquadramento, a interpretabilidade e a explicabilidade suportam a conformidade, mas não substituem as obrigações de transparência para titulares; por isso, mesmo com explicações técnicas sobre o modelo, importa informar, de forma compreensível, o que se faz com os dados e porquê.

Contratação de IA

No plano da contratação de IA, as Orientações da AEPD elevam o nível de diligência exigido aos fornecedores. É indispensável solicitar o seguinte: (i) documentação técnica e de governança de dados (arquitetura/modelo, proveniência e qualidade de dados, limitações e métricas testadas), (ii) métricas de desempenho, (iii) controlos de segurança e de APIs e (iv) requisitos de XAI que mitiguem a opacidade do modelo (black box) (p. ex., LIME/SHAP), acompanhados de suporte estatístico para as saídas. Em termos práticos, isto deve refletir-se nos cadernos de encargos, critérios de adjudicação e cláusulas contratuais, assim como em testes de aceitação antes da passagem a produção de um sistema de IA.

Da urgência à prática: o porquê da adoção metodológica deixar de ser “opcional”

1.   Execução operacional

As Orientações da AEPD materializam a responsabilidade do responsável pelo tratamento na execução de tarefas e procedimentos operacionais claros, definindo papéis, evidências documentais, procedimentos de avaliação e tratamento de risco alinhados com a ISO 31000:2018 e ciclos de reavaliação proporcionais ao risco.  Assim, esta abordagem habilita as equipas a implementar interpretabilidade e explicabilidade, os princípios de proteção de dados e os direitos dos titulares, bem como a conduzir as avaliações de impacto sobre a proteção de dados e a consulta prévia, quando aplicável, cumprindo as obrigações de accountability de forma sistemática e auditável.

2.   Conformidade consolidada (RGPD/EUDPR e Regulamento da IA)

A implementação desta estrutura reforça a conformidade com o EUDPR e, por analogia, com o RGPD e prepara de forma consistente, as organizações para os requisitos do Regulamento da IA, sem os substituir. Trata-se de um alinhamento preparatório robusto e de coerente com os requisitos de gestão de risco.

3.   Evidências

Estar em alinhamento proativo com as Orientações da AEPD constitui prova de diligência devida (due diligence) e elevada governança corporativa, fortalecendo a confiança dos stakeholders.

Conclusão

As Orientações da AEPD constituem um enquadramento operacional essencial para qualquer entidade que pretenda desenvolver e implementar sistemas de IA na UE, assegurando a devida salvaguarda dos direitos e liberdades fundamentais e, preparando, de forma concreta e auditável, a gestão de risco exigida pelo ecossistema regulatório da UE.