RGPD e IA: Porque 'vamos ficar em conformidade em breve' não chega

Em maio de 2023, a Comissão de Proteção de Dados da Irlanda aplicou à Meta uma multa de 1,2 mil milhões de euros pela transferência de dados de utilizadores europeus para os Estados Unidos. Uma única decisão. Um único mecanismo de transferência. Dois anos depois, em maio de 2025, o TikTok foi multado em 530 milhões de euros por enviar dados do EEE para a China. A infração era idêntica: dados pessoais saíam da UE sem proteção adequada.

Isto já não são tiros de aviso. Os tiros de aviso ficaram para trás há anos.

Se a sua empresa está a implementar ferramentas de IA que encaminham dados por servidores americanos, a questão não é se os reguladores vão reparar. É quando chegam ao seu processo.

As barreiras regulatórias estão erguidas

O AI Act europeu entrou em vigor a 1 de agosto de 2024. Não é um rascunho nem uma proposta — é lei vinculativa com um calendário de aplicação faseado.

As primeiras proibições são efetivas desde 2 de fevereiro de 2025: scoring social, práticas manipulativas de IA e reconhecimento facial indiscriminado são agora ilegais. As obrigações para modelos de IA de uso geral — a categoria que abrange todos os grandes modelos de linguagem — são aplicáveis desde 2 de agosto de 2025. Os requisitos de transparência e as regras sobre IA de alto risco entram em vigor a 2 de agosto de 2026. Os sistemas de alto risco integrados em produtos regulados seguem a 2 de agosto de 2027.

A estrutura de coimas é agressiva. Infrações envolvendo práticas de IA proibidas: até 35 milhões de euros ou 7 % do volume de negócios anual global, o que for superior. IA de uso geral: até 15 milhões ou 3 %. Infrações processuais: 7,5 milhões ou 1 %.

Isto acumula-se com o RGPD. Dois quadros regulatórios, um mesmo conjunto de dados. As empresas que implementam ferramentas de IA na UE enfrentam obrigações de conformidade em paralelo — e os reguladores de ambos os lados estão a aplicar ativamente.

Dois continentes, duas leis: RGPD e LGPD face à IA

Segundo o estudo da DLA Piper de janeiro de 2026, as autoridades de controlo europeias aplicaram aproximadamente 1,2 mil milhões de euros em multas RGPD durante 2025, igualando o total de 2024. O acumulado desde a entrada em vigor do RGPD em maio de 2018 atinge agora 7,1 mil milhões de euros.

Portugal tem um historial próprio nesta matéria. A Comissão Nacional de Proteção de Dados (CNPD) aplicou ao Instituto Nacional de Estatística (INE) uma coima de 4,3 milhões de euros — a maior de sempre em Portugal — por violações do RGPD no contexto dos Censos 2021. As infrações incluíam falta de base legal para o tratamento de dados sensíveis (religião, saúde), transferências internacionais de dados para países sem nível de proteção adequado, e falhas nas obrigações de transparência. Em 2024, a CNPD aplicou 23 coimas totalizando 138.375 euros e emitiu 80 pareceres formais. Os números são modestos em comparação com outros países europeus, mas a tendência é de crescimento.

Do outro lado do Atlântico, o Brasil está a construir o seu próprio ecossistema de proteção de dados. A LGPD (Lei Geral de Proteção de Dados), em vigor desde 2020, segue uma lógica muito semelhante ao RGPD — consentimento, finalidade, minimização, direitos dos titulares. A ANPD (Autoridade Nacional de Proteção de Dados) aplicou a sua primeira sanção em julho de 2023, multando a Telekall Infoservice em R$ 14.400 por falta de base legal e ausência de encarregado de proteção de dados. Em fevereiro de 2024, a ANPD agiu contra a Meta relativamente à plataforma Threads. Em agosto de 2024, introduziu novas regras para transferências internacionais de dados, e para 2026-2027 definiu como prioridades a monitorização dos direitos dos titulares, a proteção de menores e o tratamento de dados no contexto da IA e tecnologias emergentes.

As coimas máximas da LGPD — até 2 % do faturamento, limitadas a R$ 50 milhões por infração — são menores que as do RGPD, mas a trajetória é clara: o Brasil está a seguir o mesmo caminho da UE, com regulamentação progressivamente mais restritiva. E empresas que operam nos dois mercados enfrentam obrigações duplas.

No contexto da IA, os riscos multiplicam-se. A Garante italiana multou a OpenAI em 15 milhões de euros em dezembro de 2024 por violações do RGPD relacionadas com o ChatGPT. A autoridade holandesa aplicou 30,5 milhões à Clearview AI por tratamento ilícito de dados biométricos. O TikTok pagou 530 milhões pelo mesmo problema de sempre: dados que saíam da UE sem proteção adequada.

A lição é dispendiosa: “a residência dos dados resolvemos depois” tem um preço — e começa nas nove cifras.

”Residência de dados em breve” não é uma estratégia de conformidade

A Microsoft concluiu a sua EU Data Boundary em fevereiro de 2025. Os dados de clientes em repouso ficam na UE. Essa parte funciona.

Mas os dados em repouso são apenas metade da equação. Quando um colaborador em Lisboa ou São Paulo escreve um prompt no Microsoft 365 Copilot, esse prompt precisa de ser processado por um grande modelo de linguagem. Onde esse processamento acontece é determinante.

A Microsoft anunciou em novembro de 2025 que o processamento de dados no país (in-country) para interações do Copilot seria implementado por fases. (Detalhamos a comparação completa do Copilot — preços, memória e arquitetura — num artigo separado.) A primeira vaga — Austrália, Reino Unido, Índia e Japão — estava prevista para o final de 2025. Portugal, juntamente com a Alemanha, Canadá, Itália e outros, ficou para 2026. Até lá, os prompts do Copilot em Portugal são processados onde a Microsoft tiver capacidade LLM disponível — dentro da EU Data Boundary, mas não necessariamente em Portugal.

Para uma empresa portuguesa sujeita ao RGPD, ou uma empresa brasileira que processa dados de cidadãos europeus, “processamento na região UE” e “processamento em Portugal” são afirmações fundamentalmente diferentes.

E este é o melhor cenário: um fornecedor que trabalha ativamente em direção à conformidade. Muitas ferramentas de IA oferecem menos. Muitas processam dados europeus nos EUA, apoiando-se em cláusulas contratuais-tipo ou no EU-US Data Privacy Framework.

O DPF sobreviveu a uma contestação jurídica em setembro de 2025, quando o Tribunal Geral da UE rejeitou o caso Latombe. Tranquilizador à superfície. Mas Max Schrems e a NOYB — quem derrubou o Safe Harbor e o Privacy Shield — declararam publicamente que estão a avaliar opções para uma contestação mais ampla. O acórdão validou o DPF perante um conjunto limitado de alegações; a tensão fundamental entre a legislação de vigilância americana e os direitos fundamentais europeus de privacidade não ficou resolvida.

Para empresas brasileiras que processam dados de cidadãos europeus, o risco é duplo: a LGPD exige as suas próprias salvaguardas para transferências internacionais, e a ANPD publicou em agosto de 2024 novas regras específicas para o efeito. Construir uma infraestrutura de IA sobre mecanismos de transferência com futuro jurídico incerto é arriscado. E se perder a aposta, não há período de transição.

O que realmente exige uma IA em conformidade

A conformidade para ferramentas de IA na UE resume-se a uma lista curta.

Residência dos dados, não perímetro dos dados. Os seus prompts, respostas e memória de IA devem ser processados e armazenados numa jurisdição que controle. Para empresas europeias, isso significa a UE — não “a região UE em geral”, não “chegaremos lá em 2026”.

Nenhuma dependência de mecanismos de transferência contestados. Se o seu fornecedor de IA encaminha dados por infraestrutura americana, a sua posição de conformidade depende da validade continuada do DPF. Essa é uma questão política, não técnica. O alojamento dentro da UE elimina a questão.

Transparência conforme o RGPD e o AI Act. Sob o RGPD, os seus colaboradores e clientes têm o direito de saber como os seus dados são tratados. Sob o AI Act, os operadores de sistemas de IA de alto risco enfrentam obrigações adicionais de documentação, gestão de riscos e supervisão humana. O seu fornecedor deve tornar isto simples — não algo que tenha de desenterrar de um whitepaper de 200 páginas.

Responsabilidade hoje, não promessas numa roadmap. Uma roadmap de conformidade não é conformidade. Se a residência dos dados do seu fornecedor está agendada para o próximo ano, é a sua empresa que carrega o risco até lá. Os reguladores não o multam com base na roadmap do seu fornecedor. Multam com base no que está a acontecer com os seus dados agora.

Isto não é hipotético. A multa de 1,2 mil milhões à Meta foi por transferências que ocorreram enquanto um mecanismo de transferência ainda estava tecnicamente em vigor. Os 530 milhões do TikTok foram por transferências que a empresa acreditava conformes. Boas intenções não compensam uma arquitetura deficiente.

Escolher ferramentas de IA como empresa lusófona

Se está a avaliar plataformas de IA, faça três perguntas ao seu fornecedor: Onde são processados os prompts? Onde é armazenado o conteúdo gerado por IA? Em que mecanismos de transferência se apoiam para dados transfronteiriços?

Se as respostas incluem “data centers nos EUA”, “cláusulas contratuais-tipo” ou “estamos a trabalhar na residência de dados na UE” — já sabe que lacuna de conformidade está a aceitar.

A alternativa existe. Ferramentas de IA desenvolvidas na Europa, alojadas na Europa, processadas na Europa. Sem decisões de adequação com que se preocupar. Sem transferências de dados para justificar. Sem pontos de roadmap de 2026 que possam deslizar para 2027.

amaiko foi construído assim desde o primeiro dia. Engenharia alemã, alojamento europeu, nativo no Teams. Os seus dados ficam na Europa — não eventualmente, não numa roadmap, mas hoje. Para empresas que levam a proteção de dados a sério, isto não é uma funcionalidade. É a base.