Checklist de praticas de IA proibidas para fundadores e lideres de compliance

Praticas de IA proibidas sao usos de IA que devem ser bloqueados, redesenhados ou escalados antes da producao. Para equipes SaaS, a pergunta util nao e apenas se o artigo 5 do AI Act se aplica. A pergunta e se a empresa consegue detectar uso inaceitavel cedo e documentar a decisao antes de lancamento, fornecedor ou revisao de cliente.

Use esta checklist ao criar recursos de IA, incorporar IA de terceiros, comprar ferramentas internas, atender clientes regulados ou mudar como uma saida de IA afeta pessoas.

1. Confirme o caso de uso

Registre sistema, produto, fluxo, responsavel, fornecedor, modelo ou servico, finalidade, usuarios, pessoas afetadas, dados, geografia e se a saida influencia uma decisao. Pergunte se a empresa constroi, compra, integra, configura ou usa o sistema; se e interno ou para clientes; se influencia, avalia ou classifica pessoas; se trata biometria; e se pode afetar pessoas na UE.

Se estiver claramente fora do escopo, guarde a justificativa. Se houver duvida, continue.

2. Verifique manipulacao ou engano

O artigo 5 cobre certos sistemas que usam tecnicas subliminares, manipulativas ou enganosas que distorcem materialmente comportamento, prejudicam decisao informada e causam ou podem causar dano significativo.

Revise jornada, personalizacao, recomendacoes e nudges. O sistema oculta informacao relevante? Adapta pressao a uma pessoa? Empurra decisoes prejudiciais? O uso de IA e compreensivel?

Guarde capturas, logica de personalizacao, grupos afetados, analise de dano e decisao de redesign. Com pressao oculta ou influencia enganosa, o lancamento deve parar ate revisao.

3. Exclua exploracao de vulnerabilidade

O AI Act tambem trata a exploracao de vulnerabilidades ligadas a idade, deficiencia ou situacao social ou economica especifica quando comportamento e distorcido e ha risco de dano significativo.

Verifique se a funcao mira, perfila ou pressiona pessoas vulneraveis: criancas, pacientes, estudantes, trabalhadores, consumidores em dificuldade, pessoas com deficiencia ou usuarios de servicos essenciais. Exija revisao quando o sistema personalizar persuasao, prioridade, elegibilidade, preco, suporte ou enforcement.

4. Exclua social scoring

Risco de social scoring surge quando um sistema avalia pessoas ao longo do tempo com base em comportamento social ou caracteristicas pessoais e causa tratamento desfavoravel em contextos nao relacionados ou desproporcional.

Mesmo SaaS B2B pode tocar esse padrao em trust, fraude, safety, RH, educacao, comunidades ou marketplaces. Documente para que a pontuacao serve, se afeta pessoas fisicas, se o contexto se relaciona aos dados originais e se o efeito e proporcional.

5. Escale biometria, emocoes e risco penal

Escale se o sistema avalia risco criminal apenas por profiling ou tracos de personalidade, cria bases de reconhecimento facial por scraping nao direcionado, infere emocoes em trabalho ou educacao fora de razoes medicas ou de seguranca, usa biometria para tracos sensiveis ou apoia identificacao biometrica remota em tempo real em espacos publicos para law enforcement.

Analise o que o sistema faz, nao termos de fornecedor como engagement, insight, safety ou identity.

6. Nomeie responsavel e revisor

O responsavel de negocio fornece os fatos. O revisor decide se o uso segue, muda ou para. O registro deve incluir nome do sistema, finalidade, pessoas afetadas, fornecedor, perguntas respondidas, conclusao, racional, mudancas exigidas, aprovador e gatilho de nova revisao.

7. Conecte a gates de lancamento e fornecedores

Inclua as perguntas em product intake, security review, privacy review, onboarding de fornecedores, aprovacao de ferramentas internas e documentacao de IA para clientes. Nenhum uso de IA deve iniciar sem screening concluido ou confirmacao de que nao e necessario.

8. Defina reavaliacao

Reabra a decisao se mudarem finalidade, mercado, usuarios, fornecedor, dados, automacao, configuracao por clientes ou orientacao da UE.

FAQ

Qual e o objetivo pratico?

Impedir que uso inaceitavel de IA entre em produto, fornecedor, fluxo interno ou compromisso com clientes.

Quando importa para SaaS?

Quando a equipe constroi, compra, integra, vende, configura ou usa IA que pode manipular pessoas, explorar vulnerabilidades, pontuar pessoas, tratar biometria ou inferir emocoes.

O que documentar primeiro?

Intake, responsavel, revisor, conclusao curta e gate de lancamento, ligados a fornecedor, privacidade, seguranca e customer trust.

Fontes

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689.