Guia completo sobre o EU AI Act para psicólogos em Portugal: classificação de risco, supervisão humana, RGPD e como escolher ferramentas de IA conformes.

EU AI Act: O Que Significa para Psicólogos em Portugal

A inteligência artificial está a transformar a prática clínica em saúde mental. Desde a análise automática de notas de sessão até à deteção de padrões emocionais, as ferramentas de IA oferecem possibilidades extraordinárias para os psicólogos. No entanto, com este potencial vem uma responsabilidade regulatória sem precedentes. O Regulamento Europeu sobre Inteligência Artificial — o EU AI Act — é o primeiro quadro legal abrangente do mundo para a IA e tem implicações diretas para todos os profissionais de saúde mental que utilizam ou planeiam utilizar tecnologias baseadas em inteligência artificial.

Neste guia completo, explicamos tudo o que precisa de saber sobre o EU AI Act, como este se articula com o RGPD e que passos concretos deve dar para garantir que a sua prática clínica está em conformidade.

1. O Que É o EU AI Act e Quando Entra em Vigor

O Regulamento (UE) 2024/1689 — comummente conhecido como EU AI Act — foi formalmente adotado pelo Parlamento Europeu em março de 2024 e publicado no Jornal Oficial da União Europeia em julho de 2024. Trata-se do primeiro regulamento abrangente do mundo dedicado exclusivamente à inteligência artificial, estabelecendo regras claras sobre o desenvolvimento, comercialização e utilização de sistemas de IA em toda a União Europeia.

Calendário de Implementação

O EU AI Act segue um calendário faseado de entrada em vigor:

Data	Marco
Agosto 2024	Entrada em vigor do regulamento
Fevereiro 2025	Proibição de práticas de IA inaceitáveis (Título II)
Agosto 2025	Regras para modelos de IA de uso geral (GPAI)
Agosto 2026	Obrigações para sistemas de IA de alto risco (Anexo III)
Agosto 2027	Obrigações para sistemas de IA de alto risco (Anexo I)

Para os psicólogos em Portugal, o marco mais relevante é agosto de 2026, quando entram em vigor as obrigações para sistemas de IA classificados como alto risco — categoria na qual se inserem muitas ferramentas utilizadas na saúde mental.

Objetivos do Regulamento

O EU AI Act visa:

Proteger direitos fundamentais: Garantir que a IA não compromete a dignidade, privacidade e autodeterminação dos cidadãos europeus.
Estabelecer confiança: Criar um enquadramento que permita aos cidadãos e profissionais confiar nas ferramentas de IA.
Promover a inovação responsável: Equilibrar a inovação tecnológica com a proteção dos utilizadores.
Harmonizar regras na UE: Evitar fragmentação regulatória entre Estados-membros.

2. Porque É Que os Psicólogos Devem Prestar Atenção

Pode parecer que o EU AI Act é uma preocupação exclusiva de empresas tecnológicas, mas a realidade é bem diferente. Este regulamento afeta diretamente qualquer profissional que utilize sistemas de IA na sua prática — não apenas quem os desenvolve.

O Conceito de "Deployer" (Implementador)

O EU AI Act introduz o conceito de "deployer" — qualquer pessoa singular ou coletiva que utiliza um sistema de IA sob a sua autoridade. Quando um psicólogo utiliza uma ferramenta de IA para analisar notas clínicas, gerar relatórios ou auxiliar no diagnóstico, é considerado um deployer e tem obrigações específicas.

Dados de Saúde Mental São Especialmente Sensíveis

Segundo um estudo da Agência dos Direitos Fundamentais da UE (FRA), 67% dos cidadãos europeus consideram os dados de saúde mental como a categoria mais sensível de informação pessoal. Esta perceção reflete-se no enquadramento regulatório: os dados de saúde mental beneficiam de proteção reforçada tanto no RGPD como no EU AI Act.

Riscos Específicos na Saúde Mental

Viés algorítmico: Sistemas de IA treinados em populações não representativas podem produzir resultados enviesados, afetando desproporcionalmente certos grupos demográficos.
Dependência excessiva: O risco de automation bias — a tendência para aceitar acriticamente as sugestões da IA — é particularmente perigoso em contextos clínicos.
Impacto nas decisões clínicas: Uma recomendação incorreta de uma IA pode influenciar diagnósticos, planos de tratamento e, em última análise, a saúde dos pacientes.
Perda de autonomia do paciente: A utilização de IA sem transparência adequada pode comprometer o consentimento informado e a relação terapêutica.

O Mercado Está a Crescer Rapidamente

O mercado global de IA em saúde mental foi avaliado em 1,2 mil milhões de dólares em 2023, com uma projeção de crescimento para 4,8 mil milhões até 2028 (CAGR de 32%). Em Portugal, mais de 40% dos psicólogos clínicos reportam já utilizar alguma forma de tecnologia assistida por IA, segundo dados da Ordem dos Psicólogos Portugueses. Esta adoção rápida torna ainda mais urgente a compreensão do enquadramento regulatório.

3. Classificação de Risco para Sistemas de IA na Saúde Mental

O EU AI Act adota uma abordagem baseada no risco, classificando os sistemas de IA em quatro categorias:

Risco Inaceitável (Proibido)

Práticas completamente proibidas desde fevereiro de 2025:

Sistemas de pontuação social (social scoring)
Manipulação subliminar que cause dano
Exploração de vulnerabilidades de grupos específicos
Identificação biométrica em tempo real em espaços públicos (com exceções)

Relevância para psicólogos: Qualquer ferramenta de IA que manipule subliminalmente o comportamento de pacientes vulneráveis (por exemplo, pessoas com perturbações mentais graves) é estritamente proibida.

Alto Risco

Esta é a categoria mais relevante para a saúde mental. Segundo o Anexo III do regulamento, são considerados de alto risco os sistemas de IA utilizados em:

Acesso a serviços essenciais: Incluindo cuidados de saúde.
Dispositivos médicos: Sistemas de IA integrados ou que funcionem como dispositivos médicos.
Emprego e gestão de trabalhadores: Relevante para organizações de saúde mental.

Exemplos na prática clínica:

Ferramentas de IA que auxiliam no diagnóstico de perturbações mentais
Sistemas que recomendam planos de tratamento
Algoritmos de triagem que determinam a prioridade de atendimento
Ferramentas de análise preditiva de risco (ex: risco suicida)

Risco Limitado

Sistemas com obrigações de transparência:

Chatbots que interagem com pacientes (devem identificar-se como IA)
Sistemas que geram conteúdo (devem rotular como gerado por IA)

Exemplos: Assistentes virtuais para psicoeducação, chatbots de triagem inicial, geradores automáticos de relatórios.

Risco Mínimo

Sem obrigações específicas adicionais:

Filtros de spam em email
Assistentes de agendamento simples
Ferramentas de transcrição básica (sem análise clínica)

Obrigações para Sistemas de Alto Risco

Os fornecedores de sistemas de IA de alto risco devem garantir:

Sistema de gestão de risco: Identificação, análise e mitigação contínua de riscos.
Governança de dados: Dados de treino relevantes, representativos e de qualidade.
Documentação técnica: Especificações detalhadas do sistema.
Registo de eventos (logging): Rastreabilidade automática do funcionamento do sistema.
Transparência: Instruções de utilização claras para os deployers.
Supervisão humana: Mecanismos que permitam a intervenção humana efetiva.
Precisão, robustez e cibersegurança: Níveis adequados de desempenho e proteção.

4. Artigo 14: Supervisão Humana — O Que Muda na Prática

O Artigo 14 do EU AI Act é possivelmente o mais relevante para psicólogos. Estabelece que os sistemas de IA de alto risco devem ser concebidos de modo a permitir uma supervisão humana efetiva.

Princípios Fundamentais

O artigo estabelece que:

Os sistemas de IA devem incluir interfaces adequadas que permitam a supervisão por pessoas singulares.
A supervisão deve ser proporcional aos riscos e ao nível de autonomia do sistema.
O ser humano deve poder compreender as capacidades e limitações do sistema.
O ser humano deve poder interpretar corretamente os resultados do sistema.
O ser humano deve poder decidir não utilizar o sistema em qualquer situação.
O ser humano deve poder intervir no funcionamento do sistema ou interrompê-lo.

O Que Isto Significa na Prática Clínica

A IA Como Assistente, Nunca Como Decisor

O EU AI Act reforça aquilo que a boa prática clínica já exige: a decisão clínica é sempre do profissional. Um sistema de IA pode sugerir hipóteses diagnósticas, identificar padrões relevantes ou propor intervenções, mas a decisão final pertence sempre ao psicólogo.

Isto significa que ferramentas de IA que tomam decisões clínicas autónomas — sem possibilidade de revisão humana — não são admissíveis na prática clínica europeia.

Direito de Override

Os psicólogos devem ter a capacidade de rejeitar ou modificar qualquer sugestão do sistema de IA. Isto vai além de simplesmente poder ignorar uma recomendação — implica que o sistema deve facilitar ativamente a discordância e a alteração dos seus outputs.

Na prática, a plataforma Mena.ai implementa este princípio através de um sistema onde as análises geradas por IA são apresentadas como sugestões editáveis. O terapeuta revê, modifica e aprova cada análise antes de esta ser incorporada no registo clínico. É o terapeuta que detém o controlo total.

Competência e Formação

O Artigo 14 exige que as pessoas responsáveis pela supervisão tenham a competência, formação e autoridade necessárias. Para psicólogos, isto significa:

Compreender as capacidades e limitações da ferramenta de IA que utilizam
Saber interpretar os resultados de forma crítica
Estar alerta para possíveis vieses ou erros
Manter atualização profissional sobre as tecnologias que utilizam

Documentação da Supervisão

É recomendável documentar o processo de supervisão humana, incluindo:

Quando e como as sugestões da IA foram revistas
Que modificações foram feitas
A justificação clínica para aceitar ou rejeitar recomendações da IA

Sistema de Feedback: Artigo 14 em Ação

Um dos requisitos implícitos do Artigo 14 é que os utilizadores possam reportar problemas e fornecer feedback sobre o desempenho do sistema de IA. A Mena.ai implementa um sistema de feedback por mensagem que permite ao terapeuta avaliar cada output da IA com thumbs up/down, contribuindo para a melhoria contínua do sistema e cumprindo simultaneamente os requisitos de supervisão humana.

5. RGPD + EU AI Act: Dupla Proteção para Dados de Pacientes

O EU AI Act não substitui o RGPD — complementa-o. Os psicólogos em Portugal devem cumprir ambos os regulamentos simultaneamente, o que cria uma camada dupla de proteção para os dados dos pacientes.

Onde os Regulamentos Se Sobrepõem

Aspeto	RGPD	EU AI Act
Dados pessoais	Proteção abrangente	Foco na utilização por IA
Consentimento	Necessário para tratamento	Necessário + transparência sobre IA
Transparência	Informar sobre tratamento de dados	Informar sobre utilização de IA
Direitos	Acesso, retificação, apagamento	Explicabilidade, contestação
Avaliação de impacto	AIPD para tratamentos de risco	Avaliação de conformidade
Supervisão	DPO obrigatório em certos casos	Supervisão humana obrigatória

Consentimento Reforçado

Se já obtém consentimento informado para o tratamento de dados (RGPD), agora precisa também de informar especificamente os pacientes sobre:

A utilização de ferramentas de IA na sua prática
Que dados são processados pela IA
Como a IA influencia (ou não) as decisões clínicas
Os seus direitos em relação à utilização de IA

Transparência Algorítmica

O RGPD (Artigo 22) já confere aos titulares dos dados o direito de não ser sujeito a decisões totalmente automatizadas com efeitos significativos. O EU AI Act reforça este direito, exigindo:

Explicabilidade dos resultados da IA
Documentação dos modelos utilizados
Informação sobre os dados de treino
Mecanismos de contestação

Avaliação de Impacto sobre Direitos Fundamentais (FRIA)

O Artigo 27 do EU AI Act introduz a obrigação de realizar uma Avaliação de Impacto sobre Direitos Fundamentais (FRIA) antes da implementação de sistemas de IA de alto risco. Esta avaliação complementa a AIPD do RGPD e deve incluir:

Descrição do sistema de IA e sua finalidade
Impacto nos direitos fundamentais dos pacientes
Medidas de mitigação de riscos
Plano de supervisão e monitorização

Encriptação e Segurança

Ambos os regulamentos exigem medidas de segurança robustas. Na prática, isto significa:

Encriptação de dados em repouso e em trânsito: Obrigatória para dados de saúde.
Encriptação ao nível do campo: Para dados especialmente sensíveis como notas clínicas e diagnósticos.
Controlo de acessos granular: Diferentes níveis de acesso por função.
Auditoria de acessos: Registo de quem acedeu a que dados e quando.

A gestão clínica da Mena.ai implementa encriptação ao nível do campo com chaves específicas por organização, garantindo que mesmo em caso de acesso não autorizado à base de dados, os dados clínicos permanecem ilegíveis.

6. Como a Mena.ai Já Cumpre Estes Requisitos

A plataforma Mena.ai foi concebida desde o início com os princípios de privacy by design e compliance by design. Eis como aborda cada requisito regulatório:

Supervisão Humana (Artigo 14)

A análise assistida por IA da Mena.ai segue um modelo de "human-in-the-loop":

IA como assistente: A IA analisa transcrições e notas de sessão, sugerindo insights clínicos, mas nunca toma decisões autónomas.
Revisão obrigatória: Cada análise gerada deve ser revista e aprovada pelo terapeuta antes de ser guardada.
Edição completa: O terapeuta pode modificar, complementar ou rejeitar qualquer sugestão da IA.
Feedback integrado: Sistema de avaliação (thumbs up/down) por mensagem para melhoria contínua.
Registo de decisões: Documentação automática de quando o terapeuta aceita, modifica ou rejeita sugestões da IA.

Transparência e Explicabilidade

A página dedicada ao funcionamento da IA explica de forma acessível:

Que modelos de linguagem são utilizados
Como os dados são processados
Que limitações o sistema tem
Como o terapeuta mantém o controlo

Esta transparência é fundamental tanto para os terapeutas (enquanto deployers) como para os pacientes (enquanto titulares dos dados).

Proteção de Dados (RGPD + EU AI Act)

Encriptação ao nível do campo: Dados clínicos encriptados com chaves específicas por empresa.
Dados na UE: Toda a infraestrutura está alojada na União Europeia.
Minimização de dados: A IA processa apenas os dados estritamente necessários.
Sem treino em dados dos pacientes: Os dados dos pacientes nunca são utilizados para treinar ou melhorar os modelos de IA.
Controlo de acessos: Permissões baseadas em funções (RBAC) com autenticação multifator.

Gestão de Risco

Monitorização contínua: Acompanhamento do desempenho e dos outputs da IA.
Testes regulares: Avaliação periódica de viés e precisão.
Plano de contingência: Funcionamento completo sem IA em caso de falha.
Atualizações regulamentares: Acompanhamento ativo da evolução do EU AI Act.

Multi-tenancy e Isolamento de Dados

Todos os dados são isolados por organização (company_id), garantindo que:

Nenhuma clínica pode aceder aos dados de outra
As chaves de encriptação são independentes por organização
A eliminação de dados é completa e verificável

7. Checklist Prática para Psicólogos Escolherem Ferramentas de IA Conformes

Antes de adotar qualquer ferramenta de IA na sua prática, utilize esta checklist para avaliar a conformidade:

Transparência e Informação

O fornecedor explica claramente como a IA funciona?
Existe documentação técnica acessível?
É claro que dados são processados e como?
O fornecedor identifica a classificação de risco do sistema?

Supervisão Humana

Consegue rever todas as sugestões da IA antes de serem aplicadas?
Pode modificar ou rejeitar os outputs da IA?
Pode desativar a IA a qualquer momento sem perder funcionalidade?
Existe um mecanismo de feedback para reportar problemas?
O sistema funciona sem IA como alternativa?

Proteção de Dados

Os dados são armazenados na UE?
Existe encriptação adequada (em repouso e em trânsito)?
Os dados dos pacientes não são utilizados para treinar modelos?
Existe um acordo de subcontratante (DPA) adequado?
A política de privacidade cobre especificamente a utilização de IA?

Segurança

Existe autenticação multifator?
Os acessos são registados e auditáveis?
O fornecedor realiza testes de segurança regulares?
Existe um plano de resposta a incidentes?

Precisão e Fiabilidade

O fornecedor divulga métricas de desempenho da IA?
O sistema foi testado com populações diversas?
Existem alertas para situações de baixa confiança?
O sistema foi validado em contexto clínico real?

Conformidade Regulatória

O fornecedor demonstra conformidade com o RGPD?
Existe um plano de conformidade com o EU AI Act?
O sistema foi submetido a avaliação de conformidade (se alto risco)?
Existe um encarregado de proteção de dados identificado?

Aspetos Éticos

O sistema respeita o sigilo profissional?
Existem medidas contra viés algorítmico?
A IA é apresentada de forma honesta aos pacientes?
O consentimento informado cobre a utilização de IA?

8. Perguntas Frequentes

O EU AI Act aplica-se a mim como psicólogo individual?

Sim. Se utiliza ferramentas de IA na sua prática clínica, é considerado um "deployer" ao abrigo do regulamento. As suas obrigações variam consoante a classificação de risco do sistema que utiliza, mas incluem no mínimo a supervisão humana efetiva e a transparência perante os pacientes.

Preciso de parar de utilizar IA até agosto de 2026?

Não necessariamente. O EU AI Act não proíbe a utilização de IA na saúde mental — regulamenta-a. O importante é garantir que as ferramentas que utiliza cumprem os requisitos aplicáveis. Este período até agosto de 2026 é precisamente para que fornecedores e utilizadores se adaptem.

Que sanções estão previstas?

As sanções podem ser significativas:

Até 35 milhões de euros ou 7% do volume de negócios anual global para violações das proibições.
Até 15 milhões de euros ou 3% do volume de negócios para violação de outras obrigações.
Até 7,5 milhões de euros ou 1,5% do volume de negócios para informação incorreta.

Para PME e startups, estes valores são ajustados proporcionalmente.

O consentimento informado que já utilizo é suficiente?

Provavelmente não. O consentimento informado tradicional cobre o tratamento clínico e, se atualizado para o RGPD, o tratamento de dados pessoais. Com o EU AI Act, precisa de acrescentar informação específica sobre a utilização de IA: que ferramentas utiliza, como funcionam, que dados processam e como mantém a supervisão humana.

Posso utilizar o ChatGPT ou outros LLMs generalistas com dados de pacientes?

Esta é uma questão crítica. A utilização de LLMs generalistas (como ChatGPT, Claude ou Gemini) com dados de pacientes levanta sérias preocupações:

Os dados podem ser utilizados para treino: Muitos LLMs generalistas utilizam os dados inseridos para melhorar os seus modelos.
Não há encriptação específica: Os dados são processados em infraestruturas partilhadas.
Falta de conformidade clínica: Estes sistemas não foram concebidos para uso clínico.

A recomendação é utilizar plataformas especificamente concebidas para a prática clínica, como a Mena.ai, que processa dados de forma segura e nunca os utiliza para treino de modelos.

A Ordem dos Psicólogos Portugueses tem orientações sobre IA?

A Ordem dos Psicólogos tem vindo a acompanhar o tema e emitiu recomendações gerais sobre a utilização de tecnologia na prática clínica. Recomendamos que consulte regularmente as publicações da Ordem para orientações atualizadas. O Código Deontológico da Ordem já estabelece princípios fundamentais — como a competência profissional, o consentimento informado e a confidencialidade — que se aplicam igualmente à utilização de IA.

E se o meu fornecedor de IA não estiver em conformidade?

Enquanto deployer, tem a responsabilidade de verificar a conformidade das ferramentas que utiliza. Se descobrir que o seu fornecedor não cumpre os requisitos do EU AI Act, deve:

Suspender a utilização do sistema para fins de alto risco.
Contactar o fornecedor para exigir conformidade.
Procurar alternativas conformes.
Documentar as medidas tomadas.

Como posso manter-me atualizado sobre a evolução do regulamento?

Algumas fontes recomendadas:

Comissão Europeia: Página oficial do EU AI Act
AI Act Explorer: Ferramenta interativa para navegar o regulamento
CNPD: Comissão Nacional de Proteção de Dados
Ordem dos Psicólogos Portugueses: Orientações profissionais
Blog da Mena.ai: Atualizações regulares sobre regulamentação e tecnologia em saúde mental

Conclusão

O EU AI Act representa um marco histórico na regulamentação da inteligência artificial e tem implicações concretas para todos os psicólogos em Portugal que utilizam ou planeiam utilizar ferramentas de IA. Longe de ser um obstáculo à inovação, este regulamento estabelece as bases para uma utilização responsável e ética da IA na saúde mental — algo que beneficia tanto os profissionais como os pacientes.

Os pontos essenciais a reter são:

A supervisão humana é inegociável: A IA deve ser sempre uma ferramenta ao serviço do psicólogo, nunca um substituto para o julgamento clínico.
A transparência é obrigatória: Os pacientes devem ser informados sobre como a IA é utilizada na sua prática.
O RGPD e o EU AI Act funcionam em conjunto: A conformidade com um não dispensa a conformidade com o outro.
A escolha da ferramenta certa é crítica: Optar por plataformas concebidas para a prática clínica, com conformidade regulatória integrada, simplifica enormemente o cumprimento das obrigações.
O prazo é agosto de 2026: Há tempo para se preparar, mas o momento de começar é agora.

Ao escolher uma plataforma como a Mena.ai, que foi concebida com os princípios de privacy by design, supervisão humana e conformidade regulatória desde a sua génese, está a dar um passo decisivo para proteger os seus pacientes, a sua prática e a sua reputação profissional.

A inteligência artificial é uma ferramenta extraordinária para a saúde mental. Utilizada de forma responsável, ética e conforme, pode transformar a qualidade dos cuidados que presta aos seus pacientes. O EU AI Act é o enquadramento que nos permite alcançar esse objetivo com confiança.

Este artigo tem caráter informativo e não substitui aconselhamento jurídico especializado. Para questões específicas sobre a sua situação, consulte um advogado especializado em regulamentação de IA e proteção de dados.