Perguntas
Frequentes

A Verdaio é uma plataforma de conformidade regulamentar da UE alimentada por IA. Fornece ferramentas gratuitas e pagas que ajudam as empresas a compreender as suas obrigações ao abrigo de CSRD, GDPR, EU AI Act, NIS2, DORA, Taxonomia da UE e outras regulamentações da UE. Cada ferramenta gera um relatório de análise de lacunas com IA, identificando lacunas de conformidade e um plano de ação prioritizado.

A Verdaio foi concebida para responsáveis de conformidade, CFOs, equipas jurídicas, gestores de sustentabilidade e proprietários de empresas que operam na UE. É particularmente útil para empresas que se aproximam do primeiro prazo de reporte CSRD, empresas que utilizam ou desenvolvem IA, e organizações que precisam de demonstrar conformidade regulamentar a clientes ou investidores.

Não. A Verdaio é uma plataforma tecnológica que utiliza IA para ajudar a compreender os requisitos regulamentares e avaliar a postura atual de conformidade. Os relatórios destinam-se apenas a fins de orientação e não constituem aconselhamento jurídico. Para questões de conformidade complexas, deve consultar um profissional jurídico ou de conformidade qualificado.

A IA da Verdaio é treinada nos textos oficiais das regulamentações, normas ESRS e orientações regulamentares. Os relatórios são precisos para fins educativos e de autoavaliação. No entanto, as regulamentações são complexas e específicas ao contexto — valide sempre as conclusões com a sua equipa jurídica ou de conformidade antes de tomar decisões materiais.

A Verdaio está disponível em inglês e português. Pode alternar o idioma utilizando o seletor EN/PT na barra de navegação.

As avaliações gratuitas (Avaliação de Preparação CSRD, Verificação Rápida GDPR, Avaliação Lei IA UE, Verificação de Preparação NIS2) estão disponíveis com uma conta gratuita. O Full Access custa 1.490 € por ano e inclui todas as ferramentas pagas: ESRS Gap Analysis, Double Materiality Assessment, EU AI Act Assessment, EU Taxonomy Screener, DORA ICT Risk Assessment, CRA Product Compliance Checker, Legitimate Interest Assessment e CS3D Supply Chain Check.

O Full Access (1.490 €/ano (Founder's Price)) inclui: ESRS Gap Analysis, Double Materiality Assessment, EU AI Act Assessment, EU Taxonomy Screener, DORA ICT Risk Assessment, CRA Product Compliance Checker, Legitimate Interest Assessment (LIA) e CS3D Supply Chain Check. Cada ferramenta gera um relatório alimentado por IA. Pode executar cada avaliação uma vez por mês.

Não. O Verdaio Full Access é um pagamento anual único de 1.490 €. Não existe subscrição, renovação automática nem cobranças recorrentes. O acesso é válido durante 12 meses a partir da data de compra.

Uma conta gratuita dá acesso às avaliações gratuitas (Avaliação CSRD, Verificação Rápida GDPR, Avaliação Lei IA UE, Verificação NIS2). O Full Access (1.490 €/ano (Founder's Price)) desbloqueia todas as ferramentas pagas e relatórios detalhados.

Uma conta gratuita dá acesso a quatro avaliações sem custo: Avaliação de Preparação CSRD, Verificação Rápida GDPR, Avaliação Lei IA UE e Verificação de Preparação NIS2. Cada uma gera um relatório alimentado por IA enviado para o seu email. Pode criar uma conta gratuita em menos de um minuto — sem cartão de crédito.

Sim. É necessário criar uma conta gratuita antes de comprar o Full Access. Isto garante que a sua subscrição está associada à sua conta e que pode aceder a todas as ferramentas pagas imediatamente após a compra.

A Verdaio aceita cartões de crédito/débito, Débito Direto SEPA e Multibanco (Portugal). Os pagamentos são processados de forma segura pelo Stripe.

Sim. Uma fatura com IVA é automaticamente gerada e enviada para o email de faturação que fornecer no checkout. A fatura é emitida ao abrigo da lei portuguesa com a isenção fiscal aplicável.

A Diretiva de Reporte de Sustentabilidade Corporativa (CSRD) é legislação da UE que exige que as empresas reportem o seu desempenho ambiental, social e de governança (ESG). Substituiu a Diretiva de Reporte Não Financeiro (NFRD) e expande significativamente o número de empresas obrigadas a reportar e o nível de detalhe exigido.

A CSRD aplica-se a: grandes entidades de interesse público com mais de 500 colaboradores (reporte para FY2024); outras grandes empresas da UE que cumpram 2 de 3 critérios — mais de 250 colaboradores, volume de negócios líquido superior a 50 M€, balanço total superior a 25 M€ (reporte para FY2027); PMEs cotadas (reporte para FY2028, com possibilidade de adiamento até 2030); e empresas de fora da UE com atividade significativa na UE (volume de negócios líquido na UE superior a 150 M€). Não tem a certeza se está abrangido? Experimente a Avaliação de Preparação CSRD gratuita.

As Normas Europeias de Reporte de Sustentabilidade (ESRS) são 12 normas que especificam o que as empresas devem divulgar ao abrigo da CSRD. A ESRS 1 define os princípios gerais. A ESRS 2 abrange as divulgações gerais (obrigatória para todas). As restantes 10 normas temáticas abrangem: alterações climáticas, poluição, recursos hídricos e marinhos, biodiversidade, economia circular, força de trabalho própria, trabalhadores na cadeia de valor, comunidades afetadas, consumidores e utilizadores finais, e conduta empresarial.

A dupla materialidade exige que as empresas avaliem os seus temas de sustentabilidade de duas perspetivas: materialidade de impacto (como as atividades da empresa afetam as pessoas e o ambiente) e materialidade financeira (como as questões de sustentabilidade criam riscos ou oportunidades financeiras para a empresa). A CSRD exige divulgação sobre todos os temas que sejam materiais de qualquer uma das perspetivas.

Uma Avaliação de Dupla Materialidade é um processo estruturado para identificar quais os temas de sustentabilidade que são materiais para a sua empresa ao abrigo da CSRD. Envolve a classificação de todas as 10 áreas temáticas ESRS para materialidade financeira e de impacto, produzindo uma matriz de materialidade pronta para auditoria que determina quais as normas ESRS a aplicar. A ferramenta de Double Materiality Assessment da Verdaio orienta-o através da metodologia ESRS completa.

Prazos da CSRD: relatórios FY2024 (para entidades de interesse público com mais de 500 colaboradores) — entregues em 2025. Relatórios FY2027 (para grandes empresas com mais de 250 colaboradores) — entregues em 2028. Relatórios FY2028 (para PMEs cotadas) — entregues em 2029. Empresas-mãe de fora da UE — FY2028, entregues em 2029. Consulte a cronologia completa na nossa página de Prazos de Conformidade.

O Regulamento Geral sobre a Proteção de Dados (GDPR) é legislação da UE que rege a forma como as organizações recolhem, armazenam, utilizam e partilham dados pessoais de residentes da UE. Entrou em vigor a 25 de maio de 2018 e aplica-se a qualquer organização que processe dados pessoais de residentes da UE, independentemente da localização da organização.

As seis bases legais são: (1) Consentimento — dado de forma livre, específica, informada e inequívoca; (2) Contrato — necessário para a execução de um contrato com o indivíduo; (3) Obrigação legal — exigida por legislação da UE ou do Estado-Membro; (4) Interesses vitais — para proteger a vida de alguém; (5) Interesse público — necessário para funções públicas oficiais; (6) Interesses legítimos — os seus interesses legítimos, ponderados face aos direitos do indivíduo.

Uma Avaliação de Interesse Legítimo (LIA) é o teste de ponderação estruturado exigido antes de utilizar interesses legítimos (GDPR Art. 6(1)(f)) como base legal. Envolve um teste em três partes: teste de finalidade (existe um interesse legítimo?), teste de necessidade (o tratamento é necessário?) e teste de ponderação (os seus interesses prevalecem sobre os direitos do indivíduo?). A ferramenta LIA da Verdaio orienta-o ao longo deste processo.

Um Registo de Atividades de Tratamento (ROPA) é um inventário documentado de todas as atividades de tratamento de dados pessoais realizadas pela sua organização. É obrigatório ao abrigo do GDPR Art. 30 para organizações com mais de 250 colaboradores, ou organizações mais pequenas que realizem tratamento de alto risco.

O GDPR prevê dois escalões de coimas: até 10 milhões de euros ou 2% do volume de negócios anual global para infrações menos graves (ex.: falta de manutenção de registos, falta de notificação de uma violação); até 20 milhões de euros ou 4% do volume de negócios anual global para infrações mais graves (ex.: violação dos princípios básicos do tratamento, violação dos direitos dos titulares dos dados).

O EU AI Act (Regulamento 2024/1689) é o primeiro quadro jurídico abrangente do mundo para a inteligência artificial. Entrou em vigor a 1 de agosto de 2024 e aplica uma abordagem baseada no risco — classificando os sistemas de IA em quatro níveis e impondo obrigações proporcionais ao risco que representam.

Os quatro níveis de risco são: (1) Risco inaceitável — práticas de IA proibidas, incluindo pontuação social por autoridades públicas, vigilância biométrica remota em tempo real em espaços públicos e IA que explore vulnerabilidades; (2) Alto risco — IA em setores críticos como saúde, educação, emprego, aplicação da lei; (3) Risco limitado — sistemas de IA com obrigações de transparência, como chatbots que devem divulgar que são IA; (4) Risco mínimo — todas as outras aplicações de IA sem obrigações específicas.

Os sistemas de IA de alto risco incluem: IA utilizada em infraestruturas críticas, formação educativa ou profissional, emprego e gestão de trabalhadores, serviços privados e públicos essenciais, aplicação da lei, migração e controlo de fronteiras, e administração da justiça. Enfrentam obrigações incluindo avaliações de conformidade, documentação técnica (Art. 11), supervisão humana (Art. 14) e requisitos de precisão/robustez (Art. 15).

Os modelos de IA de Propósito Geral (GPAI) são modelos de IA treinados com grandes volumes de dados que podem realizar uma vasta gama de tarefas. Exemplos incluem modelos de linguagem de grande escala como GPT-4 e Claude. Ao abrigo do EU AI Act, os fornecedores de modelos GPAI enfrentam obrigações de transparência e conformidade com direitos de autor a partir de agosto de 2025, com obrigações adicionais para modelos de risco sistémico.

Datas-chave: 2 de fevereiro de 2025 — práticas de IA proibidas aplicáveis. 2 de agosto de 2025 — obrigações para modelos GPAI aplicáveis. 2 de agosto de 2026 — obrigações para sistemas de IA de alto risco aplicáveis. 2 de agosto de 2027 — IA de alto risco integrada em produtos regulados. Classifique o seu sistema de IA agora com o Avaliação Lei IA UE gratuito.

A NIS2 (Diretiva 2022/2555) é a diretiva atualizada da UE sobre Segurança das Redes e da Informação. Expande significativamente o âmbito das obrigações de cibersegurança para além da Diretiva NIS original, abrangendo mais setores e mais empresas, e introduzindo requisitos mais rigorosos e penalidades mais elevadas.

A NIS2 aplica-se a organizações de média e grande dimensão em 18 setores: energia, transportes, banca, infraestrutura de mercados financeiros, saúde, água potável, águas residuais, infraestrutura digital, gestão de serviços TIC, administração pública, espaço, serviços postais, gestão de resíduos, produtos químicos, alimentação, indústria transformadora, fornecedores digitais e investigação. Verifique as suas obrigações com a Verificação de Preparação NIS2 gratuita.

O Regulamento de Resiliência Operacional Digital (DORA) é regulamentação da UE que se aplica especificamente a entidades financeiras — bancos, companhias de seguros, empresas de investimento, instituições de pagamento e os seus prestadores de serviços TIC. Exige uma gestão abrangente do risco TIC, reporte de incidentes, testes de resiliência e supervisão do risco TIC de terceiros.

A NIS2 aplica-se de forma ampla a 18 setores com requisitos gerais de cibersegurança. O DORA aplica-se especificamente a entidades do setor financeiro e seus prestadores de TIC, com requisitos mais detalhados e prescritivos para a gestão do risco TIC e resiliência operacional. As entidades financeiras devem cumprir ambos — o DORA prevalece onde os requisitos se sobrepõem.

Coimas NIS2: entidades essenciais até 10 M€ ou 2% do volume de negócios global; entidades importantes até 7 M€ ou 1,4% do volume de negócios global. Coimas DORA: entidades financeiras até 1% do volume de negócios diário médio global por cada dia de infração (até 6 meses); prestadores de TIC críticos até 5 M€ ou 1% do volume de negócios global.

A Taxonomia da UE é um sistema de classificação que define quais as atividades económicas que podem ser consideradas ambientalmente sustentáveis. Abrange seis objetivos ambientais: mitigação das alterações climáticas, adaptação às alterações climáticas, recursos hídricos e marinhos, economia circular, prevenção da poluição e biodiversidade. As empresas abrangidas pela CSRD devem divulgar o seu alinhamento com a Taxonomia.

A Diretiva de Devida Diligência em matéria de Sustentabilidade Corporativa (CS3D) exige que as grandes empresas identifiquem, previnam, mitiguem e prestem contas sobre os impactos adversos nos direitos humanos e no ambiente nas suas próprias operações e cadeias de abastecimento. Aplica-se a empresas da UE com mais de 1.000 colaboradores e volume de negócios global superior a 450 M€, e a empresas de fora da UE com receitas significativas na UE.

O Cyber Resilience Act (CRA) é regulamentação da UE que introduz requisitos obrigatórios de cibersegurança para produtos com elementos digitais — incluindo hardware e software vendidos na UE. Exige que os fabricantes garantam que os seus produtos são seguros por conceção, forneçam atualizações de segurança ao longo do ciclo de vida do produto e reportem vulnerabilidades ativamente exploradas.

O Digital Markets Act (DMA) regula grandes plataformas online designadas como 'gatekeepers' — empresas como Google, Apple, Meta, Amazon, Microsoft e ByteDance. Os gatekeepers enfrentam obrigações em torno de interoperabilidade, acesso justo, utilização de dados e auto-preferência. A maioria das empresas é afetada enquanto utilizadoras de plataformas gatekeeper, e não como gatekeepers.

Todas as regulamentações da UE estão disponíveis no EUR-Lex (eur-lex.europa.eu), a base de dados oficial de legislação da UE. Pode também encontrar orientações das autoridades de supervisão nacionais e do Comité Europeu para a Proteção de Dados (EDPB) para o GDPR, do AI Office para o EU AI Act, e da ENISA para NIS2 e DORA.