Relação entre o RGPD e o Regulamento (UE) 2024/1689 (AI Act)
O RGPD rege o tratamento de dados pessoais (direitos fundamentais, licitude e princípios de proteção de dados). O AI Act estabelece regras harmonizadas para o ciclo de vida de sistemas de IA (proibições, obrigações de transparência, gestão de risco e conformidade para IA de risco elevado e GPAI). Quando a IA envolve dados pessoais, aplica-se o AI Act sem prejuízo do RGPD — prevalecendo este último quanto à proteção de dados.
- Complementaridade: RGPD = proteção de dados pessoais; AI Act = segurança, transparência e gestão de risco de IA.
- Hierarquia: sempre que haja dados pessoais, o RGPD mantém-se lex specialis; o AI Act não derroga obrigações de privacidade.
- Calendário-chave: entrada em vigor a 01.08.2024; proibições e literacia a 02.02.2025; GPAI e governação a 02.08.2025; maioria das regras a 02.08.2026; alguns sistemas integrados em produtos regulamentados até 02.08.2027.
Tabela comparativa
| Aspeto | RGPD (Reg. (UE) 2016/679) | AI Act (Reg. (UE) 2024/1689) |
|---|---|---|
| Âmbito material | Tratamento de dados pessoais e princípios de proteção de dados. | Regras harmonizadas para sistemas de IA (proibições, obrigações por risco, governação, GPAI, conformidade, supervisão). |
| Finalidade | Proteger direitos e liberdades fundamentais dos titulares; garantir licitude, transparência e minimização. | Assegurar IA segura e fiável, mitigando riscos para segurança, saúde e direitos fundamentais; promover o mercado único de IA. |
| Natureza jurídica | Regulação de direitos fundamentais (Art. 8.º CDFUE). | Regulação ex ante baseada no risco para produtos/serviços de IA; requisitos técnicos, documentação e conformidade. |
| Sujeitos | Responsáveis e subcontratantes que tratem dados pessoais. | Provedores, importadores, distribuidores e utilizadores/implementadores de IA; fornecedores de GPAI; organismos notificados; autoridades. |
| Âmbito de dados | Apenas dados pessoais. | Aplica-se independentemente de os dados serem pessoais ou não; contudo, quando pessoais, o RGPD aplica-se cumulativamente. |
| Direitos/transparência | Direitos dos titulares (acesso, retificação, apagamento, etc.); informação clara sobre o tratamento. | Proibições (ex.: social scoring, exploração de vulnerabilidades, certas identificações biométricas), marcação e transparência (ex.: sistemas que interagem com humanos, deepfakes), documentação técnica e instruções. |
| Portabilidade/Interoperabilidade | Direito à portabilidade (art. 20) de dados pessoais fornecidos pelo titular. | Requisitos de conformidade técnica, gestão de risco e dados de treino/avaliação; obrigações específicas para GPAI (incl. resumo do conjunto de treino e reporte ao AI Office). |
| Base jurídica | Consentimento/contrato/obrigação legal/interesse vital/ missão pública/interesse legítimo. | N/A (não regula bases jurídicas de tratamento); exige base legal separada quando haja dados pessoais (via RGPD) e conformidade de IA por risco. |
| Avaliação de risco e conformidade | Privacy by design/default, AIPD quando alto risco para direitos e liberdades (art. 35). | Gestão de risco e conformidade para IA de elevado risco (Anexo III), QMS, testes, registo na base de dados da UE, marcação CE, monitorização pós-comercialização e reporte de incidentes. |
| GPAI | Sem regime próprio; aplica-se RGPD se houver dados pessoais. | Obrigações para modelos de uso geral (GPAI), com reforço para modelos com risco sistémico (testes, cibersegurança, reporte, governança). |
| Governação e autoridades | Autoridades de proteção de dados (ex.: CNPD); EDPB. | AI Office (Comissão), Conselho de IA da UE e autoridades nacionais; coordenação com autoridades RGPD quando haja dados pessoais. |
| Sanções | Até 20 M€ ou 4% do volume de negócios global. | Até 35 M€ ou 7% do volume de negócios global (consoante a infração), além de coimas específicas para informação incorreta/enganosa. |
| Aplicabilidade temporal | Aplicável desde 25.05.2018. | Em vigor desde 01.08.2024; proibições/literacia desde 02.02.2025; GPAI e governação desde 02.08.2025; maioria das regras desde 02.08.2026; certos sistemas integrados até 02.08.2027. |
| Relação entre ambos | Lex specialis para dados pessoais; princípios e direitos dos titulares. | Aplica-se sem prejuízo do RGPD (art. 2.º, n.º 7 e considerandos). Em projetos de IA com dados pessoais, cumprir **ambos** os regimes. |
Autarquias
- Informação Autarquias
Informação para as autarquias
- Formação
Informação
- Documentos
Documentação de Adesão Protocolo
- Autarquias locais
Requisitos legais
- Calendário
Eventos e Formação Profissional
- Auditorias de conformidade RGPD
Fiscalização preventiva
- Recursos Proteção de Dados
Legislação e Jurisprudência
- Observatório RGPD
Conformidade
- Regulamentos Europeus
Aplicáveis às Entidades Públicas
Titulares dos Dados
- Exerça os seus direitosRGPD
Portal do titular de dados
- Termos e Condições
Utilização do site
- Assuma o controle
Informação direitos dos titulares
- Proteção de dados na UE
Enquadramento legislativo
- CiberataquesNovo!
EURepoC
Associação
- Quem Somos
Acerca da Artigo 80
- Contacto
Entre em contacto connosco
- Ficha de Inscrição
Torne-se Associado da Artigo 80
- Convocatórias
Assembleia Geral
- Emprego
Oportunidades de Emprego
- Donativos
Saiba como apoiar a Artigo 80
- Torne-se Associado
Sócio particular e institucional
- Inclusividade
O nosso compromisso
- Carta Ética
Carta ética da Artigo 80
- Informação Institucional
Orgãos sociais e Relatórios de contas
- Estrutura e Atividades
O que fazemos
Copyright © 2025 Artigo 80 – Associação Portuguesa para a defesa do titular de dados pessoais | Todos os direitos reservados.
