Inteligência artificial e responsabilidade penal das pessoas colectivas

Artigo26 de maio de 2026
A utilização de sistemas de inteligência artificial nas organizações não só aumenta a eficiência operacional, como também introduz novas áreas de risco que têm um impacto direto na responsabilidade penal das empresas.

Até ao final de 2026, entrarão em vigor os requisitos mais rigorosos do Regulamento Europeu de Inteligência Artificial (AIR) para os sistemas classificados como de alto risco, com um regime sancionatório que pode atingir até 35 milhões de euros ou 7% do volume de negócios global do infrator. Esta data não deve ser entendida apenas em termos administrativos: marca o momento em que a inteligência artificial deixa de ser, do ponto de vista jurídico, um fenómeno emergente para se tornar um vetor estrutural do risco penal empresarial. A tese deste artigo é simples: a utilização - pela própria organização ou por terceiros - de sistemas de IA no seio da organização reconfigura o panorama de risco do artigo 31 bis do Código Penal e exige uma atualização dos modelos organizacionais e de gestão para que não percam o seu efeito exculpante.


A esta convergência regulamentar junta-se um fenómeno de facto que não pode ser ignorado: a chamada IA sombra. De acordo com o Índice de Tendências Laborais 2024 da Microsoft, 78% dos utilizadores de IA no trabalho utilizam as suas próprias ferramentas sem o conhecimento do departamento de TI e 38% admitem ter partilhado informações sensíveis. O caso da Samsung, em que vários engenheiros divulgaram o código-fonte de semicondutores através do ChatGPT, ilustra até que ponto a linha que separa a utilização autorizada da não autorizada se tornou ténue na prática empresarial.


O enquadramento do artigo 31.º-A do Código Penal em relação à IA

O artigo 31.º-A do Código Penal, consolidado na sequência da reforma da Lei Orgânica n.º 1/2015, responsabiliza a pessoa colectiva pelas infracções cometidas em seu nome ou por sua conta, quer pelos seus administradores ou representantes legais, quer pelos seus empregados, quando se verifique uma violação grave dos deveres de vigilância, fiscalização e controlo. A isenção exige a efectiva adoção e implementação, antes da prática da infração, de um modelo de organização e gestão adequado para prevenir ou reduzir significativamente o risco da sua prática.


O aparecimento da IA insere-se neste quadro de duas formas. Por um lado, a IA é um aliado do compliance: permite a deteção de padrões anómalos, a monitorização de comunicações e operações em tempo real e a automatização de controlos, o que reduz o erro humano - o que a doutrina jurídica tem designado por "Digital Penal Compliance". Por outro lado, e este é o ângulo menos explorado, funciona como um novo fator criminógeno que reconfigura o catálogo de infracções atribuídas às pessoas colectivas, que agora inclui 41 infracções de acordo com a Lei Orgânica 4/2023.


Exemplos tangíveis e crescentes são:

  • Domínio financeiro. A fraude (artigo 251 bis do Código Penal) é cometida usando deepfakes de voz ou vídeo que se fazem passar por executivos para autorizar transferências - a conhecida "fraude do CEO" possibilitada pela IA generativa - enquanto a lavagem de dinheiro (artigo 302 do Código Penal) pode ser facilitada por meio de transações automatizadas que prejudicam a rastreabilidade.
  • Informações, dados e segredos. Os crimes relacionados com a descoberta e a divulgação de segredos (art. 197.º do Código Penal) e os danos informáticos (art. 264.º do Código Penal) adquirem uma nova dimensão quando os agentes autónomos exfiltram informações confidenciais - o fenómeno da "fuga de sombras" identificado pela AEPD nas suas orientações de fevereiro de 2026 sobre a IA das agências - ou quando os empregados introduzem dados sensíveis em ferramentas não regulamentadas.
  • Direitos dos trabalhadores. As infracções aos direitos dos trabalhadores (artigo 318.º-A do Código Penal) podem ser causadas por sistemas algorítmicos de seleção, avaliação ou controlo que conduzam à discriminação, uma área particularmente sensível, uma vez que o RIA classifica expressamente estes sistemas como de alto risco.

A convergência com o RIA é estrutural: os domínios que o regulamento europeu classifica como de alto risco - emprego, crédito, justiça, saúde, infra-estruturas críticas, migração - coincidem em grande medida com aqueles em que o Código Penal concentra o maior risco de responsabilidade penal das empresas. Consequentemente, a lista é extensa e complexa, e depende tanto de cada caso de utilização identificado como do contexto específico e do ambiente de risco da organização.


Governação de dados

O artigo 10.º do RIA eleva a governação de dados a uma obrigação legal: os sistemas de alto risco só podem ser treinados com recurso a conjuntos de dados relevantes e suficientemente representativos, tão isentos de erros e tão completos quanto possível, sujeitos a uma análise de enviesamento e a processos documentados de recolha, rotulagem e limpeza. Traduzido em direito penal, este requisito é inequívoco: a má governação dos dados e dos modelos - treino com conjuntos de dados enviesados, falta de rastreabilidade, ausência de registos, falta de transparência explicativa ou supervisão humana meramente nominal - pode servir como prova objetiva do "defeito organizacional" que a doutrina e a jurisprudência identificam como base para a condenação de uma entidade jurídica.


A questão da "caixa negra" torna-se assim crítica. O ofício-circular n.º 1/2016 da Procuradoria-Geral da República alertou para o facto de os programas de compliance não serem um "instrumento de impunidade", mas antes a expressão de uma cultura ética. Se as decisões do sistema forem opacas ou inexplicáveis, a empresa terá dificuldade em demonstrar a sua diligência perante o tribunal. Delegar o controlo a um algoritmo não exonera o órgão de gestão: impõe um dever adicional de diligência, nomeadamente, compreender, auditar e supervisionar ativamente a ferramenta.


Alargamento do âmbito da responsabilidade

A incorporação da IA tende a alargar o âmbito da responsabilidade de duas formas.

  • Em primeiro lugar, alarga o âmbito dos trabalhadores e dos processos cujas decisões podem levar à responsabilidade da empresa, tornando o segundo motivo do artigo 31.º-A mais frequentemente aplicável: violações graves dos deveres de supervisão.
  • Em segundo lugar, aumenta o nível de diligência exigido ao conselho de administração, que deve demonstrar que compreendeu, auditou e controlou ativamente ferramentas que são opacas e em evolução.

Lei italiana 132/2025

O sistema jurídico italiano já deu o primeiro passo. A Lei 132/2025, de 23 de setembro, introduziu uma circunstância agravante geral aplicável às infracções cometidas com recurso a sistemas de IA no artigo 61.º do Código Penal italiano, juntamente com uma nova infração de disseminação ilícita de conteúdos gerados ou alterados por IA (artigo612- quater) e circunstâncias agravantes específicas relacionadas com a manipulação do mercado e violações dos direitos políticos.


Embora a lei não altere diretamente a lista de infracções da Lei 231/2001 relativa à responsabilidade penal das pessoas colectivas, a doutrina jurídica italiana concorda que exige uma revisão dos modelos de organização, gestão e controlo para incorporar os novos riscos decorrentes da utilização da IA pelas empresas. É razoável esperar que a legislação espanhola evolua numa direção semelhante.


Modelos de prevenção

Agora, quatro linhas de ação são inevitáveis. Em primeiro lugar, integre no mapa de riscos do modelo as infracções cuja prática pode ser desencadeada ou agravada pela utilização da IA em cada processo empresarial. Em segundo lugar, estabeleça protocolos específicos de validação, supervisão humana e rastreabilidade das decisões automatizadas, com registos auditáveis e processos de revisão documentados. Em terceiro lugar, incorpore cláusulas contratuais sobre conformidade, segurança e explicabilidade que sejam aplicáveis aos fornecedores de IA, bem como a obrigação de cooperar em caso de incidente. Em quarto lugar, dê formação aos empregados e aos executivos sobre a utilização responsável da IA e canalize aIA fantasma para ferramentas empresariais regulamentadas, dado que uma proibição geral, de acordo com os dados disponíveis, é ineficaz: 63% dos empregados sujeitos a uma proibição explícita continuam a violá-la.


Conclusão

Os requisitos do RIA - gestão de riscos, governação de dados, documentação, rastreabilidade, supervisão humana e canais de comunicação - são, na sua essência, os de um programa de conformidade penal adaptado à era algorítmica. Qualquer modelo organizacional e de gestão que pretenda ser eficaz para efeitos do artigo 31.º-A do Código Penal deve agora incorporar necessariamente a avaliação dos riscos criminais decorrentes da utilização da IA na empresa.


Quem não o fizer até ao final de 2026, não se verá apenas confrontado com sanções administrativas: deparar-se-á com um modelo de prevenção que um tribunal poderá considerar inadequado precisamente por aquilo que não incorporou.


Leia o artigo completo aqui.

La imagen muestra una vista desde abajo de una estructura arquitectónica moderna con paredes curvas y un cielo azul de fondo.
  • Inteligência Artificial

Sócios relacionados

ATUALIDADE #ECIJA