Do RGPD à Lei IA da UE, a regulação europeia tem avançado num calendário fixo desde 2018. Abaixo encontra todas as datas de aplicação importantes — passadas e futuras — com o que cada uma significa para o seu negócio.
Datas que a sua equipa jurídica e de compliance deve ter na parede. Clique para aceder à ferramenta relevante para cada regulamento.
O Regulamento Geral de Proteção de Dados tornou-se aplicável em todos os estados-membros da UE. Qualquer empresa que trate dados pessoais de residentes na UE deve cumprir — com coimas até €20M ou 4% do volume de negócios global.
Verifique a sua conformidade com o RGPD →Os estados-membros da UE deviam ter transposto a NIS2 para o direito nacional até 17 de outubro de 2024. Mais de 160.000 entidades em setores essenciais e importantes estão no âmbito — incluindo energia, transporte, saúde, finanças e infraestrutura digital.
Verifique a sua prontidão para a NIS2 →O Regulamento de Resiliência Operacional Digital tornou-se aplicável a 17 de janeiro de 2025. Bancos, seguradoras, empresas de investimento, prestadores de serviços de criptoativos e os seus fornecedores críticos de TIC devem manter estruturas de gestão de risco de TIC.
Verifique a sua prontidão para a DORA →Grandes entidades de interesse público com mais de 500 trabalhadores começaram a reportar dados de sustentabilidade do exercício 2024 ao abrigo da Diretiva de Relatório de Sustentabilidade Corporativa. Os relatórios devem seguir as normas ESRS.
Verifique a sua prontidão para a CSRD →O artigo 5.º da Lei IA da UE tornou-se aplicável a 2 de fevereiro de 2025. Sistemas de IA que manipulam comportamentos, exploram vulnerabilidades, utilizam vigilância biométrica em tempo real em espaços públicos ou aplicam pontuação social estão agora proibidos.
Classifique os seus sistemas de IA →A 2 de agosto de 2025, as regras de governação e as obrigações para modelos de IA de Uso Geral (GPAI) tornaram-se aplicáveis. Os fornecedores de modelos fundacionais devem cumprir requisitos de transparência, direitos de autor e documentação técnica. A maioria das PMEs que utilizam estes modelos não é diretamente afetada: as obrigações aplicam-se sobretudo aos próprios fornecedores dos modelos.
A aplicação plena começa a 2 de agosto de 2026 para a maioria dos sistemas de IA de alto risco (Anexo III). Empresas que desenvolvem, implementam ou utilizam IA em áreas como emprego, educação, pontuação de crédito, biometria, infraestrutura crítica e aplicação da lei devem ter sistemas de gestão de risco implementados. Nota: o pacote Digital Omnibus da UE propõe a extensão deste prazo para dezembro de 2027. As negociações de trílogo estão em curso (abril de 2026), mas até ser formalmente adotado, agosto de 2026 continua a ser o prazo legal.
Construa o seu roteiro de conformidade com a Lei IA →Âmbito pós-Omnibus I (Diretiva (UE) 2026/470, em vigor desde 18 de março de 2026): grandes empresas da UE que cumpram ambos os limiares cumulativos — mais de 1.000 trabalhadores E mais de €450M de volume de negócios líquido — começam a reportar dados do exercício de 2027. Primeiros relatórios devidos em 2028. O teste "2 em 3" original pré-Omnibus (250 trabalhadores / €50M / €25M) foi removido.
Execute a sua análise de lacunas ESRS →A Diretiva de Diligência Devida em Sustentabilidade Empresarial (Diretiva (UE) 2024/1760, alterada pela Diretiva (UE) 2026/470 — Omnibus I, em vigor desde 18 de março de 2026) aplica-se agora a partir de julho de 2029 a empresas da UE com mais de 5.000 trabalhadores E mais de €1,5 mil milhões de volume de negócios líquido mundial, e a empresas fora da UE com mais de €1,5 mil milhões de volume de negócios na UE. O faseamento original em 3 ondas (5.000/€1,5B → 3.000/€900M → 1.000/€450M) foi removido. Prazo de transposição pelos Estados-Membros: 26 de julho de 2028. A diligência devida está agora limitada a parceiros comerciais diretos de Tier-1 (com avaliação mais profunda apenas quando haja indícios plausíveis de impacto adverso); a obrigação de adotar um plano de transição climática no âmbito da CS3D foi removida.
Verifique a prontidão da sua cadeia de abastecimento →A obrigação original da Fase 3 para as PME cotadas na UE foi removida pela Diretiva (UE) 2026/470 (Omnibus I, em vigor desde 18 de março de 2026). As PME cotadas já não estão no âmbito obrigatório da CSRD e podem reportar voluntariamente usando a norma VSME. As PME não cotadas nunca foram diretamente obrigadas, mas continuarão a enfrentar pedidos de reporte por parte de empresas maiores nas suas cadeias de valor (flow-down na cadeia de valor).
Inicie a sua avaliação CSRD →Os sistemas de IA de alto risco que são componentes de segurança de produtos já regulados por outra legislação da UE (Anexo I — dispositivos médicos, maquinaria, aviação, automóvel) têm um prazo alargado de conformidade até 2 de agosto de 2027.
Classifique os seus sistemas de IA →Nem todos os regulamentos se aplicam a todas as empresas. Faça o diagnóstico gratuito e obtenha uma visão personalizada das suas obrigações — em menos de 2 minutos.