Saltar para o conteúdo principal
Português

Regulamento da UE sobre IA e Guest WiFi: O Que os Profissionais de Marketing Precisam de Saber

O Regulamento da UE sobre IA (Regulamento 2024/1689) introduz uma estrutura baseada no risco que afeta diretamente a forma como os operadores de espaços implementam marketing de WiFi baseado em IA, Captive Portals e análise de dados de visitantes. Este guia mapeia os quatro níveis de risco do Regulamento face a casos de uso reais de Guest WiFi, identifica práticas proibidas, incluindo a inferência de emoções e a classificação social, e fornece passos de conformidade práticos para equipas de TI e diretores de marketing que operam nos setores da hotelaria, retalho, eventos e ambientes do setor público. Compreender onde a sua implementação se posiciona no espetro de risco — e implementar as obrigações de transparência do Artigo 50 para chatbots de IA e portais conversacionais — já não é opcional: a aplicação das proibições de práticas começou em fevereiro de 2025.

📖 12 min de leitura📝 2,872 palavras🔧 2 exemplos práticos3 perguntas de prática📚 10 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo ao Purple Technical Briefing. Hoje vamos analisar uma mudança regulamentar que está a redefinir a forma como gerimos a análise de espaços e o envolvimento dos visitantes: o Regulamento da UE sobre Inteligência Artificial (EU AI Act). Se é um CTO, arquiteto de rede ou diretor de TI que gere redes WiFi públicas ou de convidados, isto é para si. Vamos olhar para além do mediatismo para detalhar exatamente o que o AI Act significa para o marketing de WiFi baseado em IA, Captive Portals e análise de localização. Comecemos pelo contexto. O EU AI Act não é apenas mais um GDPR. Enquanto o GDPR se foca na privacidade dos dados pessoais, o AI Act foca-se nos sistemas que processam esses dados, classificando-os por risco. Para os operadores de espaços — quer esteja a gerir uma cadeia de retalho, um estádio, um centro de conferências ou uma rede hospitalar — isto dita o que pode e não pode fazer com a IA na periferia da rede (network edge). O Regulamento entrou em vigor em agosto de 2024, com um cronograma de implementação faseado. As práticas proibidas tornaram-se aplicáveis em fevereiro de 2025. As obrigações para sistemas de alto risco aplicam-se a partir de agosto de 2026. Portanto, o relógio já está a contar. O Regulamento utiliza uma estrutura de risco de quatro níveis: Risco Inaceitável, Alto Risco, Risco Limitado e Risco Mínimo. Vamos analisar cada nível no contexto do marketing de WiFi. Primeiro, o Risco Inaceitável — o que é totalmente proibido. O Artigo 5.º proíbe práticas de IA que utilizem técnicas subliminares, manipuladoras ou enganosas para distorcer o comportamento e prejudicar a tomada de decisões informadas. No contexto do marketing de WiFi, isto significa que não pode utilizar IA para analisar o tráfego de rede ou as interações no Captive Portal para inferir o estado emocional de um visitante — por exemplo, detetar frustração através de cliques rápidos ou padrões de hesitação — para acionar uma resposta de marketing direcionada. Isso é inferência de emoções e é proibido. A classificação social (social scoring) também é proibida. Não pode criar um sistema de IA que avalie ou classifique os seus visitantes com base no seu comportamento social ou traços pessoais, e depois utilizar essa classificação para lhes fornecer um serviço inferior ou uma oferta menos favorável. Se o seu programa de fidelização ou nível de acesso WiFi for gerido por uma IA que pontua os visitantes com base em padrões de comportamento de uma forma que desfavoreça certos grupos, isso é uma violação direta do Artigo 5.º. Os sistemas de categorização biométrica que inferem atributos sensíveis — raça, opinião política, crença religiosa, orientação sexual — também são proibidos. Se o seu espaço utiliza transmissões de câmaras ou identificação de dispositivos (device fingerprinting) em combinação com IA para inferir estas características e personalizar o marketing em conformidade, isso é totalmente proibido. Agora, um ponto crítico para os operadores de espaços: a proibição da inferência de emoções em locais de trabalho e instituições de ensino é específica desses contextos. Um espaço de retalho ou um hotel não é um local de trabalho para o visitante, pelo que essa proibição específica não se estende automaticamente a esses locais. No entanto, se o seu espaço também for um local de trabalho — por exemplo, um campus empresarial ou um espaço de coworking — e estiver a utilizar a inferência de emoções em colaboradores ligados ao WiFi, isso é proibido. Passando para os sistemas de Alto Risco ao abrigo do Anexo III. Para a maioria das implementações padrão de Guest WiFi, as suas análises de marketing não se enquadrarão na categoria de alto risco, a menos que esteja a realizar uma definição de perfis profunda e automatizada que tenha um impacto significativo no acesso de um utilizador a serviços essenciais. A lista do Anexo III inclui sistemas de verificação biométrica, sistemas utilizados para o acesso a serviços públicos e privados essenciais e IA relacionada com o emprego. Se o seu Captive Portal utilizar verificação biométrica — reconhecimento facial para autenticar clientes que regressam — esse sistema é de alto risco e exige uma avaliação de conformidade completa, documentação técnica, um sistema de gestão de riscos e o registo na base de dados do Regulamento da UE sobre IA. O teste fundamental para a classificação de alto risco ao abrigo do Anexo III é a definição de perfis individuais — o tratamento automatizado de dados pessoais para avaliar vários aspetos da vida de uma pessoa, incluindo as suas preferências, interesses, comportamento e localização ou movimento. Se a sua plataforma de análise de WiFi criar perfis individuais que alimentem decisões automatizadas sobre as ofertas que um cliente recebe, terá de avaliar se isso constitui uma definição de perfis de alto risco ao abrigo do Regulamento. Agora, onde a maioria dos operadores de espaços sentirá o impacto imediato é na categoria de Risco Limitado, especificamente ao abrigo das obrigações de transparência do Artigo 50.º. Esta é a disposição mais relevante a nível operacional para a maioria das implementações atuais. O Artigo 50.º abrange três cenários principais. Primeiro, sistemas de IA destinados a interagir com pessoas singulares — chatbots e interfaces de conversação. Segundo, sistemas de IA que geram conteúdos sintéticos. Terceiro, sistemas de reconhecimento de emoções e sistemas de categorização biométrica que não são proibidos, mas que continuam a ser regulados. Para o primeiro cenário: se implementou um chatbot baseado em IA no seu Captive Portal para lidar com as dúvidas dos clientes, ajudar no check-in do hotel, fornecer navegação no espaço ou oferecer recomendações personalizadas, tem uma obrigação estrita de transparência. Deve informar claramente o cliente de que este está a interagir com um sistema de IA. Isto não deve ser uma linha oculta nos seus termos e condições. Deve ser uma divulgação clara e direta no início da interação. O cliente deve ser informado antes de a conversa começar, e não depois. A obrigação aplica-se ao utilizador do sistema — ou seja, você, o operador do espaço ou o gestor de TI — e não apenas ao fornecedor do modelo de IA. Mesmo que esteja a utilizar uma plataforma de terceiros, é responsável por garantir que a divulgação é efetuada. Agora falemos sobre a interseção do AI Act e do GDPR, porque é aqui que as equipas de conformidade se costumam confundir. O AI Act não substitui o GDPR; acumula-se sobre ele. Se o seu modelo de IA utiliza dados pessoais recolhidos a partir da rede WiFi para personalizar o marketing, continua a precisar de uma base jurídica ao abrigo do GDPR para o processamento de dados, além da divulgação de transparência do AI Act para o próprio sistema. Uma Avaliação de Impacto sobre a Proteção de Dados, exigida ao abrigo do Artigo 35.º do GDPR para o processamento de dados de alto risco, será frequentemente exigida juntamente com a própria documentação de gestão de riscos do AI Act. O Artigo 22.º do GDPR também é diretamente relevante. Este restringe as decisões individuais automatizadas que produzam efeitos jurídicos ou significativamente semelhantes. Se o seu Captive Portal baseado em IA tomar decisões automatizadas sobre o nível de acesso WiFi que um convidado recebe, ou se este se qualifica para uma oferta promocional, precisa de avaliar se o Artigo 22.º se aplica e se precisa de fornecer ao convidado o direito a uma revisão humana. Passemos às recomendações de implementação e aos erros comuns. Primeiro, audite o fluxo do seu Captive Portal de ponta a ponta. Mapeie cada ponto de contacto de IA: motores de personalização, chatbots, sistemas de recomendação, painéis de análise. Para cada um, pergunte: em que nível de risco se enquadra? Que obrigações de divulgação se aplicam? Que dados estão a ser processados e ao abrigo de que base jurídica do GDPR? Segundo, reveja os seus contratos com fornecedores. Como diretor de TI, é o implementador ao abrigo do AI Act. Se o seu fornecedor de marketing terceirizado utilizar uma prática de IA proibida, partilha a responsabilidade. Precisa de rever os contratos de subprocessamento do seu fornecedor e perguntar explicitamente: como se classifica a sua plataforma ao abrigo do EU AI Act? Pode fornecer documentação técnica e provas de conformidade? Terceiro, implemente as divulgações do Artigo 50.º agora. Este é o objetivo mais fácil de alcançar e a obrigação de aplicação mais imediata. Atualize a interface de utilizador do seu Captive Portal para incluir um selo claro de divulgação de IA em qualquer interface de conversação. Esta é uma alteração de UI, não uma reconstrução do sistema. Quarto, crie o seu inventário de IA. Mesmo para sistemas de risco limitado, manter um registo interno de todos os sistemas de IA em utilização — o que fazem, que dados processam, quem é o fornecedor e em que nível de risco se enquadram — é essencial para demonstrar a conformidade aos reguladores. Quinto, alinhe a sua governação de IA com a sua estrutura de GDPR existente. O seu Encarregado de Proteção de Dados deve estar envolvido na conformidade com o AI Act. Os requisitos de documentação sobrepõem-se significativamente, e uma abordagem unificada reduzirá a duplicação de esforços. Agora, uma sessão rápida de perguntas e respostas com base no que temos ouvido dos clientes. Pergunta: As análises de WiFi padrão — contagem de visitantes, tempo de permanência, mapas de calor — são reguladas pelo AI Act? Resposta: Geralmente, não. Se for uma análise estatística agregada sem modelos complexos de IA a traçar perfis de utilizadores individuais, enquadra-se no Risco Mínimo e não é regulada por esta lei específica. O GDPR continua a aplicar-se a quaisquer dados pessoais envolvidos, mas as obrigações específicas do AI Act não se aplicam. Pergunta: E se usarmos IA para otimizar o encaminhamento de rede e a alocação de largura de banda? Resposta: Essa é uma função de operações de rede, não um sistema que interage com ou traça perfis de pessoas singulares para fins de marketing. É de risco mínimo ao abrigo do AI Act. Pergunta: Queremos usar IA para analisar padrões de início de sessão no Captive Portal para identificar e fazer marketing para clientes recorrentes de elevado valor. Isto é permitido? Resposta: Sim, com o consentimento adequado do GDPR e a transparência do Artigo 50 se um sistema de IA estiver a tomar as decisões de personalização. A chave é que está a utilizar dados comportamentais objetivos — frequência de visitas, duração da sessão — e não a inferir estados emocionais ou características sensíveis. Pergunta: Quais são as multas por incumprimento? Resposta: Significativas. As violações de práticas proibidas ao abrigo do Artigo 5 implicam multas de até 35 milhões de euros ou 7 por cento da faturação anual global, consoante o que for mais elevado. As violações de sistemas de alto risco implicam até 15 milhões de euros ou 3 por cento da faturação. Em resumo: O EU AI Act exige uma abordagem baseada no risco para o seu ecossistema de tecnologia de marketing. As práticas proibidas — inferência de emoções, criação de perfis manipuladores, pontuação social — devem ser eliminadas imediatamente. As obrigações de transparência ao abrigo do Artigo 50 aplicam-se agora a qualquer chatbot de IA ou interface de conversação no seu Captive Portal. Os requisitos para sistemas de alto risco aplicar-se-ão a partir de agosto de 2026, e precisa de avaliar os seus sistemas face ao Anexo III hoje mesmo. A boa notícia para a maioria dos operadores de espaços é que as análises de WiFi padrão e a personalização baseada em regras enquadram-se na categoria de risco mínimo. A lei visa sistemas que tomam decisões automatizadas significativas sobre indivíduos ou que manipulam o comportamento. O marketing responsável, baseado em consentimento e em dados primários (first-party data) é o caminho a seguir. Para uma análise técnica aprofundada, listas de verificação de conformidade e estudos de caso reais, leia o guia completo no website da Purple. Obrigado por ouvir e continue a construir redes mais inteligentes e seguras.

header_image.png

Resumo Executivo

O Regulamento da UE sobre Inteligência Artificial (Regulamento 2024/1689) é o primeiro quadro jurídico abrangente do mundo para a inteligência artificial e aplica-se diretamente à forma como os operadores de espaços físicos implementam a IA na infraestrutura de Guest WiFi . O Regulamento classifica os sistemas de IA em quatro níveis de risco — Proibido, Alto Risco, Risco Limitado e Risco Mínimo — e atribui obrigações de conformidade em conformidade. Para a maioria dos operadores de hotelaria e retalho , o impacto operacional imediato divide-se em duas áreas: primeiro, garantir que qualquer interface de conversação baseada em IA num Captive Portal apresente uma declaração de transparência clara nos termos do Artigo 50.º; e segundo, auditar as ferramentas de marketing existentes para confirmar que não utilizam práticas proibidas, tais como inferência de emoções, pontuação social ou categorização biométrica com base em atributos sensíveis.

As disposições relativas a práticas proibidas ao abrigo do Artigo 5.º tornaram-se aplicáveis em fevereiro de 2025. As obrigações para sistemas de alto risco ao abrigo do Anexo III aplicam-se a partir de agosto de 2026. As coimas por violações de práticas proibidas podem atingir até 35 milhões de euros ou 7% do volume de negócios anual global. Este guia fornece uma referência técnica para gestores de TI, arquitetos de rede e responsáveis de conformidade que necessitam de avaliar as suas implementações atuais e aplicar as alterações necessárias este trimestre.

Análise Técnica Detalhada

O Quadro de Risco de Quatro Níveis

O Regulamento da UE sobre IA classifica os sistemas de IA pelo risco que representam para os direitos fundamentais, a segurança e os valores democráticos. A classificação determina as obrigações de conformidade que se aplicam tanto ao fornecedor (o programador ou fornecedor do sistema de IA) como ao responsável pela implantação (a organização que coloca o sistema em serviço — normalmente o operador do espaço ou a equipa de TI).

ai_act_risk_tiers.png

Os quatro níveis, mapeados para os contextos de Guest WiFi e marketing de espaços físicos, são os seguintes:

Nível de Risco Referência do Regulamento de IA Exemplos de Marketing de WiFi Obrigação de Conformidade
Proibido Artigo 5.º Inferência de emoções em interações no portal; pontuação social de clientes; categorização biométrica por raça/religião Cessação imediata; nenhuma implementação permitida
Alto Risco Anexo III Verificação biométrica no Captive Portal; criação de perfis por IA para acesso a serviços essenciais Avaliação de conformidade, documentação técnica, sistema de gestão de riscos, registo na base de dados da UE
Risco Limitado Artigo 50.º Chatbots de IA em Captive Portals; splash pages de IA generativa; sistemas de reconhecimento de emoções (contextos não proibidos) Declaração de transparência aos utilizadores finais antes/durante a interação
Risco Mínimo Sem obrigação específica Análise agregada de tráfego pedonal; mapas de calor de tempo de permanência; personalização baseada em regras; IA de otimização de largura de banda Sem obrigações específicas do AI Act (o GDPR continua a aplicar-se)

Práticas Proibidas ao Abrigo do Artigo 5.º

O Artigo 5.º do AI Act define oito categorias de práticas de IA proibidas. Três delas são diretamente relevantes para implementações de marketing de WiFi em espaços físicos.

Técnicas Manipuladoras e Enganosas. O Regulamento proíbe sistemas de IA que utilizem técnicas subliminares, manipuladoras ou enganosas para distorcer o comportamento de uma pessoa e prejudicar a sua capacidade de tomar uma decisão informada, sempre que isso cause ou seja suscetível de causar danos significativos. No contexto do marketing de WiFi, isto visa sistemas que exploram sinais comportamentais captados no Captive Portal — hesitação no clique, padrões de scroll, tempo na página — para inferir vulnerabilidades psicológicas e apresentar ofertas manipuladoras. O limiar fundamental é o dano significativo; os reguladores avaliarão isto contextualmente, mas o princípio é claro: o incentivo (nudging) baseado em IA que contorne a agência racional está fora de questão.

Classificação Social (Social Scoring). O Regulamento proíbe sistemas de IA que avaliem ou classifiquem indivíduos com base no seu comportamento social ou características pessoais, sempre que isso conduza a um tratamento prejudicial ou desfavorável. Um sistema de fidelização de WiFi que utilize um modelo de IA para classificar os clientes com base em padrões de comportamento — frequência de visitas, tempo de permanência, sinais de compra — e depois restrinja a velocidade de acesso ou retenha ofertas para clientes com pontuações mais baixas enquadrar-se-ia nesta proibição. A distinção entre a personalização permitida e a classificação social proibida reside no facto de a classificação por IA produzir ou não um tratamento prejudicial: apresentar uma oferta melhor a um cliente premium é personalização; negar o acesso a serviços a um cliente com pontuação mais baixa é classificação social.

Categorização Biométrica de Atributos Sensíveis. O Regulamento proíbe sistemas de IA que utilizem dados biométricos para inferir atributos sensíveis, incluindo raça, opiniões políticas, filiação sindical, convicções religiosas ou filosóficas, vida sexual ou orientação sexual. Isto é particularmente relevante para espaços que utilizam análises baseadas em câmaras em conjunto com dados de WiFi. Se um sistema de IA cruzar dados de endereços MAC de dispositivos com análises visuais para inferir a etnia e personalizar o conteúdo em conformidade, trata-se de uma violação direta do Artigo 5.º. A proibição aplica-se independentemente de os dados biométricos serem processados em tempo real ou em lote. Inferência de Emoções — Clarificação do Âmbito. O Regulamento proíbe a inferência de emoções em locais de trabalho e instituições de ensino. Esta proibição não se estende automaticamente a espaços de retalho, hotéis ou estádios em relação a clientes. No entanto, se o seu espaço for também um local de trabalho — um campus empresarial, um espaço de co-working, um hospital — e estiver a utilizar a inferência de emoções em colaboradores ligados ao WiFi de clientes, isso é proibido. Os operadores de espaços devem mapear cuidadosamente as suas populações de utilizadores antes de assumirem que a proibição de inferência de emoções não se aplica.

Sistemas de Alto Risco ao Abrigo do Anexo III

O Anexo III do Regulamento enumera os casos de utilização classificados como de alto risco. Para implementações de WiFi de Clientes, duas categorias são diretamente relevantes.

Primeiro, os sistemas biométricos: os sistemas de identificação biométrica remota (excluindo a verificação biométrica simples que confirma que uma pessoa é quem afirma ser) e os sistemas de categorização biométrica que inferem atributos sensíveis ou protegidos são de alto risco. Se o seu Captive Portal utiliza reconhecimento facial para autenticar clientes recorrentes, esse sistema exige uma avaliação de conformidade completa, documentação técnica, um sistema de gestão de riscos ao longo do ciclo de vida do sistema e o registo na base de dados do Regulamento da UE sobre IA.

Segundo, a definição de perfis individuais: qualquer sistema de IA listado no Anexo III é sempre considerado de alto risco se definir perfis de indivíduos — definido como o tratamento automatizado de dados pessoais para avaliar aspetos da vida de uma pessoa, incluindo preferências, interesses, comportamento e localização ou movimento. Esta é a disposição com maior probabilidade de afetar as plataformas de WiFi Analytics que criam perfis individuais persistentes que alimentam decisões de marketing automatizadas. A questão fundamental é se o sistema de IA toma ou influencia substancialmente decisões automatizadas sobre clientes individuais com base nas suas características de perfil.

Obrigações de Transparência do Artigo 50.º — A Prioridade Imediata

Para a maioria dos operadores de espaços atualmente, o Artigo 50.º é a disposição operacionalmente mais relevante. Abrange três cenários:

Sistemas de IA conversacional (Artigo 50.º, n.º 1): Os fornecedores devem garantir que os sistemas de IA destinados a interagir com pessoas singulares são concebidos de modo a que essas pessoas sejam informadas de que estão a interagir com um sistema de IA, a menos que isso seja óbvio pelo contexto. Os utilizadores do sistema devem garantir que esta divulgação é efetuada. Isto aplica-se a qualquer chatbot de IA implementado num Captive Portal — seja para serviços de apoio ao cliente, assistência no check-in de hotéis, navegação no espaço ou consultas de marketing.

Reconhecimento de emoções e categorização biométrica (Artigo 50.º, n.º 3): Os utilizadores de sistemas de reconhecimento de emoções ou de sistemas de categorização biométrica devem informar as pessoas singulares expostas a esses sistemas. Esta é uma obrigação distinta da divulgação do chatbot e aplica-se mesmo quando o sistema não é proibido.

Conteúdo sintético (Artigo 50.º, n.º 4): os sistemas de IA que geram conteúdo sintético de áudio, imagem, vídeo ou texto devem marcar esse conteúdo como gerado por IA. Se o seu Captive Portal utiliza IA generativa para produzir mensagens de boas-vindas personalizadas ou textos promocionais, esse conteúdo deve ser rotulado.

compliance_checklist.png

O Regulamento da IA e o GDPR: Uma Estrutura de Conformidade Sobreposta

O Regulamento da IA não substitui o GDPR; opera em paralelo. Para os operadores de espaços físicos, isto significa que as obrigações de conformidade de ambas as estruturas se aplicam simultaneamente às implementações de marketing de WiFi baseadas em IA.

Ao abrigo do GDPR, as disposições relevantes para o marketing de WiFi baseado em IA incluem: Artigo 6.º (licitude do tratamento), Artigo 9.º (categorias especiais de dados — relevante se forem tratados dados biométricos), Artigo 13.º/14.º (obrigações de transparência nas informações sobre privacidade), Artigo 22.º (restrições a decisões individuais automatizadas) e Artigo 35.º (Avaliação de Impacto sobre a Proteção de Dados para tratamentos de alto risco).

O Regulamento da IA acrescenta: Artigo 5.º (conformidade com práticas proibidas), Artigo 50.º (divulgações de transparência no momento da interação com a IA) e — para sistemas de alto risco — Artigos 8.º a 17.º (gestão de riscos, documentação técnica, avaliação de conformidade, registo).

Nos casos em que o GDPR exige uma AIPD para o tratamento de dados de alto risco, o Regulamento da IA exige um sistema de gestão de riscos para sistemas de IA de alto risco. Estes podem e devem ser alinhados: uma única avaliação integrada que cubra tanto os riscos do tratamento de dados (GDPR) como os riscos do sistema de IA (Regulamento da IA) é mais eficiente e demonstra uma postura de governação madura perante os reguladores.

O Artigo 22.º do GDPR é particularmente relevante para Captive Portals baseados em IA. Este restringe as decisões exclusivamente automatizadas que produzam efeitos jurídicos ou que afetem significativamente os indivíduos de forma semelhante. Se o seu sistema de IA toma decisões automatizadas sobre níveis de acesso WiFi, elegibilidade promocional ou qualidade de serviço sem supervisão humana, precisa de avaliar se o Artigo 22.º se aplica e se deve conceder aos utilizadores o direito de solicitar uma intervenção humana.

Guia de Implementação

Passo 1: Crie o Seu Inventário de IA

Antes de poder avaliar a conformidade, precisa de ter uma visão completa de cada sistema de IA na sua infraestrutura de marketing de WiFi. Isto significa ir além das suas próprias implementações para incluir componentes de IA integrados em plataformas de terceiros — ferramentas de automação de marketing, painéis de análise, fornecedores de Captive Portal e integrações de CRM.

Para cada sistema, documente: a função do sistema; os dados que trata; o fornecedor e eventuais subsubcontratantes; o nível de risco ao abrigo do Regulamento da IA; e as obrigações de conformidade aplicáveis. Este inventário é a base da sua postura de conformidade com o Regulamento da IA e será exigido caso os reguladores solicitem provas de diligência devida.

Passo 2: Classifique Cada Sistema em Relação aos Níveis de Risco

Aplique a estrutura de quatro níveis a cada sistema no seu inventário. As perguntas de classificação são:

  • O sistema utiliza alguma prática listada no Artigo 5.º? Se sim, é proibido — cesse a implementação.
  • O sistema é utilizado para verificação biométrica, definição de perfis individuais para acesso a serviços ou qualquer outro caso de utilização do Anexo III? Se sim, é de alto risco — inicie o planeamento da avaliação de conformidade.
  • O sistema interage com pessoas singulares de forma conversacional, gera conteúdos sintéticos ou realiza reconhecimento de emoções? Se sim, é de risco limitado — implemente as divulgações do Artigo 50.º.
  • Nenhuma das anteriores? É de risco mínimo — sem obrigações específicas do Regulamento da IA, mas a conformidade com o GDPR continua a ser obrigatória.

Passo 3: Implementar as Divulgações do Artigo 50.º

Para qualquer chatbot de IA ou interface conversacional no seu Captive Portal, implemente uma divulgação clara antes do início da interação. A divulgação deve ser explícita — não implícita, nem oculta nos termos e condições. Um elemento simples de interface de utilizador que indique "Está a conversar com um assistente de IA" no início da sessão cumpre a obrigação. Esta é uma alteração de front-end, não uma reconstrução do sistema, e deve ser passível de implementação num único sprint.

Para sistemas de reconhecimento de emoções em funcionamento no seu espaço (onde não sejam proibidos), adicione um aviso visível na área de operação informando os clientes de que está em utilização um sistema de reconhecimento de emoções.

Passo 4: Rever os Acordos de Subprocessamento de Fornecedores

Enquanto entidade que implementa, partilha a responsabilidade por práticas proibidas utilizadas pelos seus fornecedores. Reveja os seus contratos com fornecedores de plataformas de marketing de WiFi, fornecedores de analítica e fornecedores de Captive Portal. Solicite a confirmação explícita da sua classificação no âmbito do Regulamento da IA e a documentação de conformidade. Adicione disposições contratuais que exijam que os fornecedores o notifiquem de quaisquer alterações aos seus sistemas de IA que possam afetar a classificação de risco.

Passo 5: Alinhar com a Governação do GDPR

Envolva o seu Encarregado de Proteção de Dados no processo de conformidade com o Regulamento da IA. Atualize o seu Registo de Atividades de Tratamento para incluir as classificações dos sistemas de IA. Sempre que uma DPIA for exigida ao abrigo do GDPR para tratamentos de dados de alto risco, alargue-a para abranger os requisitos de gestão de riscos do Regulamento da IA. Garanta que os seus avisos de privacidade são atualizados para refletir o tratamento baseado em IA e as divulgações do Artigo 50.º.

Passo 6: Planear a Conformidade de Sistemas de Alto Risco (Prazo de Agosto de 2026)

Se algum dos seus sistemas for classificado como de alto risco, inicie já o processo de avaliação de conformidade. O prazo de agosto de 2026 para os sistemas do Anexo III está mais próximo do que parece quando se considera o tempo necessário para a documentação técnica, a implementação do sistema de gestão de riscos e o registo na base de dados da UE. Envolva os seus fornecedores desde cedo para compreender que documentação podem fornecer e o que precisa de produzir enquanto entidade que implementa.

Melhores Práticas

Adote uma abordagem de Privacy-by-Design na implementação de IA. Os requisitos do AI Act para sistemas de alto risco — gestão de riscos ao longo do ciclo de vida, governação de dados, documentação técnica — são cumpridos de forma mais eficiente quando integrados na arquitetura do sistema desde o início, em vez de serem adaptados posteriormente. Ao avaliar novas ferramentas de marketing baseadas em IA, inclua os requisitos de conformidade com o AI Act nos seus critérios de aquisição, a par da conformidade com o GDPR e de normas de segurança como a ISO 27001 e PCI DSS.

Privilegie dados primários (first-party) baseados em consentimento em detrimento de atributos inferidos. As práticas proibidas e as classificações de alto risco do Regulamento visam principalmente sistemas de IA que inferem características sensíveis ou tomam decisões automatizadas significativas sobre indivíduos. Os sistemas que utilizam dados primários explicitamente consentidos — endereços de email, preferências declaradas, adesão a programas de fidelização — para impulsionar a personalização apresentam um risco regulamentar significativamente menor do que os sistemas que inferem características a partir de sinais comportamentais.

Mantenha uma separação entre a IA de operações de rede e a IA de marketing. Os sistemas de IA utilizados para a gestão de rede — alocação de largura de banda, mitigação de interferências, equilíbrio de carga — são de risco mínimo ao abrigo do Regulamento. Os sistemas de IA utilizados para a criação de perfis de convidados e personalização de marketing acarretam um risco mais elevado. Manter estes sistemas arquitetonicamente separados simplifica a sua classificação de risco e limita o impacto de qualquer problema de conformidade na stack de marketing.

Utilize as normas IEEE 802.1X e WPA3 como referência para a arquitetura de autenticação. Sempre que for utilizada verificação biométrica no Captive Portal, certifique-se de que a arquitetura de autenticação subjacente cumpre as normas atuais. O IEEE 802.1X fornece controlo de acesso à rede baseado em portas com autenticação forte, e o WPA3 oferece encriptação melhorada para a camada sem fios. Estas normas são neutras em termos de fornecedor e são referenciadas tanto em estruturas de segurança empresarial como nas orientações do GDPR sobre medidas técnicas adequadas.

Documente as suas decisões de conformidade com o AI Act. Mesmo para sistemas de risco mínimo, documentar a fundamentação da sua classificação demonstra a devida diligência perante os reguladores. O AI Act exige que os fornecedores de sistemas de alto risco documentem a sua avaliação antes de colocarem o sistema no mercado; enquanto utilizador (deployer), manter documentação equivalente para as suas próprias avaliações de risco constitui uma boa prática.

Resolução de Problemas e Mitigação de Riscos

Risco: As práticas de IA dos fornecedores são opacas. Muitas plataformas de automação de marketing e de análise de WiFi incorporam capacidades de IA que não estão claramente documentadas. Mitigação: Envie um questionário formal de conformidade com o AI Act a todos os fornecedores. Solicite a classificação do sistema, a documentação técnica e provas de prevenção de práticas proibidas. Inclua a conformidade com o AI Act como um requisito contratual em novos acordos e renovações.

Risco: O chatbot do Captive Portal carece de divulgação do Artigo 50. Esta é a lacuna de conformidade mais comum identificada nas implementações atuais. Mitigação: Audite a UI do seu Captive Portal. Se alguma interface de IA conversacional carecer de uma divulgação clara antes da interação, este é um item de remediação prioritário. A correção é uma alteração de UI implementável em dias.

Risco: A plataforma de analytics cria perfis individuais que ativam a classificação de alto risco. Se a sua plataforma de WiFi Analytics criar perfis individuais persistentes que alimentam decisões de marketing automatizadas, poderá estar a operar um sistema de alto risco sem a avaliação de conformidade exigida. Mitigação: Reveja o modelo de dados da plataforma. Se estiverem a ser criados perfis individuais e utilizados para decisões automatizadas, contacte o seu fornecedor sobre a classificação do AI Act e inicie um processo de avaliação de conformidade.

Risco: Conformidade com o GDPR e o AI Act tratadas como fluxos de trabalho separados. As organizações que gerem a conformidade com o GDPR e o AI Act em equipas separadas correm o risco de duplicação, lacunas e documentação inconsistente. Mitigação: Estabeleça uma estrutura unificada de governação de IA que aborde ambos os quadros regulamentares. Um único processo integrado de avaliação de risco de DPIA/IA é mais eficiente e mais defensável.

Risco: Classificação incorreta do âmbito da inferência de emoções. A proibição da inferência de emoções aplica-se a locais de trabalho e instituições de ensino. Os locais que também são locais de trabalho — campus corporativos, hospitais, espaços de co-working — devem aplicar a proibição a sistemas voltados para funcionários, e não apenas aos voltados para convidados. Mitigação: Mapeie as suas populações de utilizadores e aplique a proibição a todos os contextos onde os funcionários possam estar sujeitos à inferência de emoções.

ROI e Impacto no Negócio

A conformidade com o EU AI Act não é puramente um centro de custos. As organizações que constroem estruturas de governação de IA antes da curva de aplicação ganham vantagens competitivas mensuráveis.

Risco regulatório reduzido. As coimas por violações de práticas proibidas — até 35 milhões de euros ou 7% da faturação anual global — representam um risco financeiro material para qualquer organização que opere em escala nos estados-membros da UE. Uma postura de conformidade proativa elimina esta exposição.

Diferenciação de fornecedores. À medida que a conformidade com o AI Act se torna um requisito de aquisição, as plataformas que consigam demonstrar uma classificação de risco clara, práticas de IA transparentes e interfaces em conformidade com o Artigo 50 serão preferidas em relação às que não o conseguem. Para os operadores de hospitality e retail que avaliam plataformas de marketing de WiFi, a documentação de conformidade com o AI Act está a tornar-se um requisito padrão de RFP. Confiança dos convidados e qualidade dos dados primários (first-party). As obrigações de transparência ao abrigo do Artigo 50 — quando bem implementadas — aumentam a confiança dos convidados. Os convidados que compreendem como a IA está a ser utilizada na sua interação têm maior probabilidade de se envolverem de forma autêntica e de fornecerem dados primários de maior qualidade. Isto melhora diretamente a precisão dos modelos de personalização e o ROI das campanhas de marketing.

Eficiência operacional através de uma governação unificada. As organizações que alinham os seus quadros de conformidade com o GDPR e o AI Act numa única estrutura de governação reduzem a duplicação de esforços entre as equipas jurídica, de TI e de marketing. O investimento na construção deste quadro traz dividendos à medida que o panorama regulatório continua a evoluir — o AI Act será seguido por mais regulamentação específica de IA, e uma postura de governação madura proporciona uma base duradoura.

Para operadores de transportes e organizações do setor público, a conformidade com o AI Act é particularmente importante, dado o maior escrutínio dos sistemas de IA em espaços acessíveis ao público. A conformidade proativa demonstra responsabilidade perante os reguladores e o público, apoiando objetivos mais amplos de confiança digital.

Para mais informações sobre quadros de conformidade relacionados, consulte o nosso guia sobre Conformidade com o PIPEDA para Guest WiFi no Canadá , que abrange requisitos análogos de consentimento e transparência no contexto canadiano.

Ouça: Podcast sobre o EU AI Act e Guest WiFi

Definições Principais

Fornecedor (Regulamento da UE sobre IA)

Uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que desenvolva um sistema de IA ou um modelo de IA de uso geral, ou que mande desenvolver um sistema de IA ou um modelo de IA de uso geral, com vista à sua colocação no mercado ou colocação em serviço sob o seu próprio nome ou marca comercial, a título oneroso ou gratuito.

Num contexto de WiFi para Convidados, o fornecedor é tipicamente o vendedor da plataforma de marketing de WiFi ou o programador do motor de personalização de IA. Os fornecedores de sistemas de alto risco suportam as obrigações de conformidade mais pesadas ao abrigo do Regulamento.

Implantador (Regulamento da UE sobre IA)

Uma pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que utilize um sistema de IA sob a sua própria autoridade, exceto quando o sistema de IA for utilizado no âmbito de uma atividade pessoal não profissional.

O operador do espaço — grupo hoteleiro, cadeia de retalho, operador de estádio — é o implantador. Os implantadores são responsáveis pelas divulgações de transparência do Artigo 50.º e por garantir que os sistemas de IA que utilizam cumprem os requisitos do Regulamento, mesmo quando esses sistemas são fornecidos por terceiros.

Sistema de Categorização Biométrica

Um sistema de IA com o objetivo de atribuir pessoas singulares a categorias específicas com base nos seus dados biométricos, tais como rosto, movimento, marcha, postura, voz, aparência, comportamento ou outras características ou traços fisiológicos ou comportamentais humanos.

Relevante para operadores de espaços que utilizam análises baseadas em câmaras ou identificação de dispositivos em combinação com IA. Os sistemas que deduzem atributos sensíveis (raça, religião, opinião política) a partir de dados biométricos são proibidos ao abrigo do Artigo 5.º. Os sistemas que realizam categorização biométrica sem deduzir atributos sensíveis podem ser de alto risco ao abrigo do Anexo III.

Sistema de Reconhecimento de Emoções

Um sistema de IA com o objetivo de identificar ou deduzir emoções ou intenções de pessoas singulares com base nos seus dados biométricos.

Proibido em locais de trabalho e instituições de ensino ao abrigo do Artigo 5.º. Noutros contextos de espaços (retalho, hotelaria), os sistemas de reconhecimento de emoções são regulados ao abrigo do Anexo III como sendo de alto risco e exigem que os implantadores informem as pessoas afetadas ao abrigo do Artigo 50.º, n.º 3. Os fornecedores que comercializam funcionalidades baseadas em "humor" ou "estado de envolvimento" devem ser avaliados face a esta definição.

Definição de Perfis Individuais

Qualquer forma de tratamento automatizado de dados pessoais que consista na utilização de dados pessoais para avaliar determinados aspetos pessoais relacionados com uma pessoa singular, em particular para analisar ou prever aspetos relativos ao desempenho profissional, à situação económica, à saúde, às preferências pessoais, aos interesses, à fiabilidade, ao comportamento, à localização ou às deslocações dessa pessoa singular.

Os sistemas de IA listados no Anexo III são sempre considerados de alto risco se definirem perfis de indivíduos. As plataformas de análise de WiFi que criam perfis individuais persistentes que alimentam decisões de marketing automatizadas devem ser avaliadas face a esta definição para determinar se são sistemas de alto risco.

Classificação Social

A avaliação ou classificação de pessoas singulares ou grupos de pessoas ao longo de um período de tempo com base no seu comportamento social ou em características pessoais ou de personalidade conhecidas, deduzidas ou previstas, em que a classificação social conduz a um tratamento prejudicial ou desfavorável dessas pessoas ou grupos em contextos sociais que não estão relacionados com os contextos em que os dados foram originalmente gerados ou recolhidos.

Proibida ao abrigo do Artigo 5.º. Num contexto de marketing de WiFi, isto visa sistemas de IA que classificam os convidados com base em padrões de comportamento e utilizam essas classificações para restringir o acesso, reter ofertas ou prestar um serviço inferior. O elemento-chave é o tratamento prejudicial — a personalização que melhora a experiência dos convidados de elevado valor não é classificação social, a menos que prejudique simultaneamente os convidados com classificações mais baixas.

Captive Portal

Uma página web ou gateway de autenticação apresentada a utilizadores recém-ligados a uma rede WiFi antes de lhes ser concedido um acesso mais amplo à internet. Utilizada pelos operadores de espaços para recolher dados dos convidados, apresentar termos de serviço e fornecer conteúdos de marketing.

A principal superfície de implementação para marketing de WiFi baseado em IA. As funcionalidades de IA nos portais cativos — chatbots, páginas de entrada personalizadas, motores de recomendação — estão sujeitas às obrigações de transparência do Artigo 50.º. O Captive Portal é também o ponto onde o consentimento do GDPR para o tratamento de dados é tipicamente obtido.

Avaliação de Conformidade

O processo de verificação de que um sistema de IA de alto risco cumpre os requisitos estabelecidos no Regulamento da UE sobre IA, incluindo gestão de riscos, governação de dados, documentação técnica, transparência, supervisão humana, precisão, robustez e cibersegurança.

Necessária para sistemas de IA de alto risco antes de serem colocados no mercado ou colocados em serviço. Para a maioria dos sistemas de alto risco ao abrigo do Anexo III, os fornecedores podem realizar uma autoavaliação. Para sistemas de identificação biométrica, é necessária uma avaliação por terceiros. Os operadores de espaços que implementam sistemas de IA de alto risco devem garantir que os seus fornecedores concluíram a avaliação de conformidade exigida e podem fornecer a documentação.

DPIA (Avaliação de Impacto sobre a Proteção de Dados)

Um processo exigido ao abrigo do Artigo 35.º do GDPR para operações de tratamento que sejam suscetíveis de resultar num elevado risco para os direitos e liberdades das pessoas singulares. A DPIA deve descrever o tratamento, avaliar a necessidade e a proporcionalidade, bem como identificar e mitigar os riscos.

Exigida ao abrigo do GDPR para tratamentos de dados de alto risco, incluindo a definição de perfis em grande escala e a monitorização sistemática de zonas acessíveis ao público. No contexto do Regulamento sobre IA, a DPIA deve ser alargada para cobrir os requisitos de gestão de riscos do sistema de IA, criando uma avaliação unificada que satisfaça ambos os quadros regulamentares.

Obrigação de Transparência do Artigo 50.º

O requisito ao abrigo do Artigo 50.º do Regulamento da UE sobre IA de que os fornecedores garantam que os sistemas de IA destinados a interagir com pessoas singulares são concebidos de modo a que essas pessoas sejam informadas de que estão a interagir com um sistema de IA, a menos que isso seja óbvio a partir do contexto. Os implantadores devem garantir que esta divulgação está implementada.

A obrigação de conformidade mais imediatamente aplicável para operadores de espaços com chatbots de IA ou interfaces de conversação nos seus portais cativos. A divulgação deve ser clara e antecipada — antes do início da interação — e não oculta nos termos e condições. Aplica-se a todos os sistemas de conversação de IA, independentemente do nível de risco.

Exemplos Práticos

Um grupo hoteleiro de 450 quartos a operar em cinco estados-membros da UE implementou um chatbot baseado em IA no seu Captive Portal para gerir questões de check-in de hóspedes, recomendações de restaurantes e resolução de problemas de WiFi. O chatbot é alimentado por uma plataforma LLM de terceiros. A equipa de marketing também utiliza uma plataforma de WiFi analytics que cria perfis individuais de hóspedes — incluindo histórico de visitas, tempo de permanência por área do local e segmentos demográficos inferidos — para apresentar ofertas promocionais personalizadas através da splash page do Captive Portal. O CTO precisa de avaliar o estado de conformidade com o Regulamento da IA de ambos os sistemas antes da próxima reunião de conselho de administração.

Passo 1 — Classificar o chatbot. O chatbot baseado em IA é um sistema de IA conversacional que interage com pessoas singulares. Enquadra-se no Artigo 50.º, n.º 1, como um sistema de Risco Limitado. A ação imediata consiste em implementar uma divulgação clara antes da interação na interface do Captive Portal: 'Está a conversar com um assistente de IA.' Esta é uma alteração de front-end. O grupo hoteleiro, como implementador, é responsável por esta divulgação, mesmo que o LLM subjacente seja fornecido por terceiros. Reveja o contrato com o fornecedor para confirmar a classificação do Regulamento da IA do fornecedor e solicite a respetiva documentação técnica.

Passo 2 — Classificar a plataforma de analytics. A plataforma de WiFi analytics cria perfis individuais de hóspedes e utiliza-os para apresentar ofertas personalizadas através de decisões automatizadas. A questão fundamental é saber se isto constitui uma definição de perfis individuais ao abrigo do Anexo III — tratamento automatizado de dados pessoais para avaliar preferências, interesses, comportamento e localização. Em caso afirmativo, o sistema é de alto risco. Solicite a documentação de classificação do Regulamento da IA do fornecedor. Se o fornecedor classificar o sistema como de risco mínimo, obtenha a sua fundamentação por escrito e avalie se a mesma é defensável. Se o sistema for de alto risco, comece a planear a conformidade com a avaliação de conformidade antes do prazo de agosto de 2026.

Passo 3 — Auditar os segmentos demográficos inferidos. Se a plataforma de analytics inferir segmentos demográficos que incluam atributos sensíveis — faixa etária, género, nacionalidade — utilizando modelos de IA, avalie se isto constitui uma categorização biométrica de atributos sensíveis ao abrigo do Artigo 5.º. Se a segmentação for baseada em dados declarados (adesão a programas de fidelização, preferências explicitamente fornecidas) e não em inferência de IA a partir de sinais comportamentais, o risco é menor. Se for inferida por IA a partir de sinais comportamentais, requer uma análise jurídica cuidadosa.

Passo 4 — Alinhar com o GDPR. Garanta que a política de privacidade do grupo hoteleiro reflete o tratamento baseado em IA e as divulgações do Artigo 50.º. Reveja o fundamento jurídico para o tratamento de analytics ao abrigo do Artigo 6.º do GDPR. Se o tratamento for baseado em interesses legítimos, realize uma avaliação de interesses legítimos que tenha em conta a classificação de risco do Regulamento da IA. Atualize a DPIA para abranger as dimensões de risco do GDPR e do Regulamento da IA.

Comentário do Examinador: Este cenário é representativo da maioria das implementações empresariais no setor da hotelaria. A correção de conformidade do chatbot é simples e deve ser priorizada de imediato — é a ação de conformidade de menor esforço e maior visibilidade. A classificação da plataforma de analytics é a questão mais complexa e exige a colaboração do fornecedor. A principal conclusão é que o implementador (o grupo hoteleiro) não pode simplesmente confiar nas garantias do fornecedor; o implementador tem obrigações de conformidade independentes e deve obter provas documentadas da classificação do Regulamento da IA do fornecedor. A questão da segmentação demográfica inferida é uma zona cinzenta que requer aconselhamento jurídico específico para o modelo de dados da plataforma — este é exatamente o tipo de questão que um processo de DPIA/avaliação de risco de IA deve trazer à tona.

Uma cadeia de retalho nacional com 120 lojas na Alemanha, França e Países Baixos está a avaliar uma nova plataforma de marketing de WiFi que inclui uma funcionalidade de IA descrita pelo fornecedor como 'personalização baseada no humor' — o sistema analisa a velocidade e o padrão das interações de um hóspede com o Captive Portal para inferir o seu 'estado de envolvimento' e ajusta o conteúdo promocional apresentado na splash page em conformidade. O diretor de TI precisa de avaliar se esta funcionalidade é permitida ao abrigo do Regulamento da IA da UE.

Passo 1 — Identificar a prática de IA. A funcionalidade de 'personalização baseada no humor' analisa sinais comportamentais (velocidade e padrão de interação) para inferir um 'estado de envolvimento' — o que é funcionalmente um estado emocional ou psicológico. Trata-se de inferência de emoções.

Passo 2 — Aplicar o teste de proibição do Artigo 5.º. O Artigo 5.º proíbe a inferência de emoções nos locais de trabalho e nos estabelecimentos de ensino. Uma loja de retalho não é um local de trabalho para o hóspede, pelo que esta proibição específica não se aplica à população de hóspedes no contexto do retalho. No entanto, a funcionalidade pode ainda ser proibida ao abrigo do Artigo 5.º, n.º 1, alínea a), se utilizar técnicas manipuladoras para distorcer o comportamento e prejudicar a tomada de decisões informadas, causando danos significativos. A utilização do estado emocional inferido para apresentar conteúdo promocional manipulador — visando, por exemplo, um hóspede identificado como 'frustrado' com uma oferta baseada na urgência — é suscetível de se enquadrar nesta proibição.

Passo 3 — Avaliar as implicações do GDPR. Inferir o estado emocional a partir de dados comportamentais constitui um tratamento de dados pessoais para efeitos de definição de perfis ao abrigo do GDPR. O fundamento jurídico para este tratamento deve ser avaliado. É improvável que os interesses legítimos sejam um fundamento defensável para a inferência de emoções utilizada para fins de marketing. O consentimento explícito é o fundamento mais adequado, mas o mecanismo de consentimento deve ser específico e granular — o consentimento para o acesso ao WiFi não constitui consentimento para a inferência de emoções.

Passo 4 — Recomendação. Não implemente a funcionalidade de 'personalização baseada no humor' sem uma avaliação jurídica detalhada. O risco de violação do Artigo 5.º — especificamente a proibição de manipulação — é material. Solicite a análise jurídica do fornecedor sobre a classificação da funcionalidade face ao Regulamento da IA. Se o fornecedor não conseguir apresentar uma classificação defensável, trate a funcionalidade como proibida e não a ative. A personalização comportamental padrão baseada em métricas objetivas (frequência de visitas, hora do dia, preferências declaradas) é permitida e acarreta um risco regulatório significativamente menor.

Comentário do Examinador: Este cenário ilustra uma tática comum de marketing dos fornecedores: rebatizar a inferência de emoções como 'análise do estado de envolvimento' ou 'personalização baseada no humor' para ocultar o risco regulatório. Os diretores de TI e os responsáveis pela conformidade precisam de olhar para além da linguagem de marketing e analisar a função técnica subjacente. Se o sistema estiver a inferir estados psicológicos ou emocionais a partir de sinais comportamentais para influenciar o comportamento, trata-se de inferência de emoções — independentemente do nome que o fornecedor lhe dê. A proibição de manipulação ao abrigo do Artigo 5.º, n.º 1, alínea a), é o principal risco neste caso, e aplica-se independentemente do tipo de local. A recomendação de solicitar a análise jurídica do fornecedor é importante: um fornecedor que não consiga apresentar uma classificação defensável do Regulamento da IA para uma funcionalidade é um fornecedor que não realizou o trabalho de conformidade.

Perguntas de Prática

Q1. O fornecedor da plataforma de WiFi marketing do seu espaço acabou de lançar uma nova funcionalidade chamada 'Visitor Sentiment Scoring' que analisa a velocidade, a sequência e os padrões de hesitação das interações de um convidado no Captive Portal para atribuir uma pontuação de sentimento (positivo, neutro, frustrado) e ajustar o conteúdo promocional apresentado em conformidade. A documentação do fornecedor descreve isto como 'análise comportamental' em vez de 'reconhecimento de emoções'. Como diretor de TI, como avalia o estado de conformidade desta funcionalidade com o Regulamento da IA da UE e que medidas toma?

Dica: Foque-se na função técnica do sistema, não na linguagem de marketing do fornecedor. Pergunte: o que é que o sistema está realmente a fazer? Está a inferir um estado emocional ou psicológico a partir de sinais comportamentais? Em seguida, aplique o teste de proibição do Artigo 5.º e o teste de transparência do Artigo 50.º.

Ver resposta modelo

A funcionalidade é, funcionalmente, um sistema de reconhecimento de emoções, independentemente da rotulagem do fornecedor. Analisar padrões de interação para inferir 'frustração' ou 'sentimento positivo' é inferência de emoções. O primeiro passo é aplicar o teste de proibição do Artigo 5.º: este sistema está a ser utilizado num local de trabalho ou numa instituição de ensino? Se o espaço for uma loja de retalho ou um hotel, a proibição do local de trabalho do Artigo 5.º não se aplica aos convidados. No entanto, a proibição de manipulação nos termos do Artigo 5.º, n.º 1, alínea a), pode aplicar-se se o sistema utilizar o sentimento inferido para apresentar conteúdos manipuladores — por exemplo, visar um convidado 'frustrado' com uma oferta baseada na urgência. O segundo passo é avaliar se o sistema se enquadra no Anexo III como um sistema de reconhecimento de emoções, o que o tornaria de alto risco. O terceiro passo é solicitar ao fornecedor a classificação do Regulamento da IA por escrito e a análise jurídica. Se o fornecedor não conseguir fornecer uma classificação defensável, não ative a funcionalidade. Documente a fundamentação da sua avaliação, independentemente do resultado.

Q2. O operador de um estádio com capacidade para 60.000 pessoas utiliza a plataforma Guest WiFi da Purple para recolher dados primários em eventos. A equipa de marketing quer implementar um chatbot de IA no Captive Portal para responder às dúvidas dos adeptos sobre instalações, merchandising e próximos eventos. O chatbot é alimentado por uma API de LLM de terceiros. A equipa jurídica do estádio pergunta: quais são as obrigações do Artigo 50.º, quem é responsável pela conformidade e como é a implementação na prática?

Dica: Identifique o implantador, o fornecedor e o cenário aplicável do Artigo 50.º. Em seguida, especifique como deve ser a divulgação e quando deve aparecer.

Ver resposta modelo

O operador do estádio é o implantador; o fornecedor da API de LLM é o fornecedor. Nos termos do Artigo 50.º, n.º 1, o implantador é responsável por garantir que os convidados são informados de que estão a interagir com um sistema de IA antes de a interação começar. A implementação exige uma divulgação clara na UI do Captive Portal — um selo ou mensagem introdutória como 'Está a conversar com um assistente de IA' — exibida antes do envio da primeira mensagem. Trata-se de uma alteração de front-end no modelo do Captive Portal. A divulgação deve ser explícita e direta; não pode ser ocultada nos termos de serviço. O fornecedor de LLM tem as suas próprias obrigações como fornecedor (documentação técnica, instruções de utilização), mas o implantador não pode depender do fornecedor para satisfazer as obrigações de transparência do implantador. Além disso, o operador do estádio deve garantir que o processamento de dados do chatbot está em conformidade com o GDPR — a base legal para o processamento de quaisquer dados pessoais partilhados na conversa deve ser estabelecida, e o aviso de privacidade deve refletir o processamento baseado em IA.

Q3. A plataforma de WiFi analytics de uma cadeia de retalho tem vindo a criar perfis individuais de convidados há dois anos, combinando dados de sessão de WiFi (endereço MAC do dispositivo, tempo de permanência, frequência de visitas, localização dentro da loja) com dados de CRM (histórico de compras, nível do programa de fidelização) para alimentar um modelo de IA que toma decisões automatizadas sobre quais as ofertas promocionais a apresentar a cada convidado no Captive Portal. O novo responsável de conformidade da cadeia foi solicitado a avaliar se este sistema é de alto risco ao abrigo da disposição de definição de perfis individuais do Anexo III do Regulamento da IA da UE. Qual é a metodologia de avaliação e o resultado provável?

Dica: Aplique o teste de definição de perfis individuais do Anexo III: o sistema de IA está a realizar um tratamento automatizado de dados pessoais para avaliar aspetos das preferências, interesses, comportamento ou localização de uma pessoa? Em seguida, considere se as decisões automatizadas são suficientemente significativas para desencadear a classificação de alto risco.

Ver resposta modelo

A metodologia de avaliação segue três passos. Primeiro, confirmar que o sistema é um sistema de IA (e não um simples motor baseado em regras) — se a decisão promocional for tomada por um modelo de machine learning em vez de um motor de regras determinístico, trata-se de um sistema de IA. Segundo, aplicar o teste de definição de perfis individuais do Anexo III: o sistema está a processar dados pessoais (dados de sessão de WiFi, dados de CRM) para avaliar preferências, interesses, comportamento e localização individuais. Isto cumpre a definição de definição de perfis individuais. Terceiro, avaliar se o sistema está listado nos casos de utilização do Anexo III — a categoria mais relevante é 'acesso e usufruto de serviços públicos e privados essenciais', que inclui sistemas de IA utilizados para avaliar a elegibilidade para serviços. Se as decisões de ofertas promocionais constituem 'acesso a serviços' é uma área cinzenta; se o sistema de IA puder negar a um convidado o acesso a uma oferta promocional que afete materialmente a sua decisão de compra, os reguladores podem considerar que isso é significativo. O resultado provável é que o sistema deve ser tratado como potencialmente de alto risco e deve ser realizada uma avaliação formal. A cadeia deve contactar o fornecedor da plataforma para obter a sua classificação do Regulamento da IA, iniciar uma DPIA/avaliação de risco de IA e começar a planear a conformidade com a avaliação de conformidade antes do prazo de agosto de 2026.

Continue a ler esta série

How to Configure SCEP for Automated Enterprise WiFi Certificate Enrollment

Este guia explica como configurar o SCEP (Simple Certificate Enrollment Protocol) para a atribuição automatizada de certificados WiFi empresariais, cobrindo toda a arquitetura desde PKI e NDES até à implementação de perfis MDM e validação RADIUS. Destina-se a gestores de TI, arquitetos de rede e CTOs em hotéis, cadeias de retalho, estádios, centros de conferências e organizações do setor público que necessitam de ir além das chaves pré-partilhadas e implementar uma autenticação 802.1X EAP-TLS escalável e baseada em identidade. A plataforma de sobreposição na nuvem da Purple, independente de hardware, integra-se diretamente com esta arquitetura, fornecendo a camada de WiFi para convidados e BYOD que coexiste com a sua rede de colaboradores autenticada por certificado.

Ler o guia →

O Guia Empresarial do SCEP: Implementar o Simple Certificate Enrollment Protocol para Segurança Automatizada de WiFi em Campus

Este guia de referência técnica fornece um modelo arquitetónico definitivo e uma estratégia de implementação passo a passo para a implementação de certificados de WiFi empresariais utilizando SCEP. Abrange as diferenças críticas entre SCEP e PKCS, a sequência exata de implementação necessária para o sucesso e estratégias reais de mitigação de riscos para líderes de TI.

Ler o guia →

Como Implementar SCEP para a Inscrição Automatizada de Certificados WiFi

Este guia explica como implementar o SCEP (Simple Certificate Enrollment Protocol) para a inscrição automatizada de certificados WiFi em espaços empresariais. Abrange todo o plano de arquitetura - desde o design de PKI e integração de MDM até à sequência de implementação obrigatória de três passos - e mostra aos gestores de TI e arquitetos de rede como eliminar credenciais partilhadas, automatizar a gestão do ciclo de vida dos certificados e cumprir os requisitos de PCI DSS e GDPR à escala.

Ler o guia →