Avaliação de Fornecedor de Sistema de IA

Organização avaliadora: [Nome da organização]

Departamento: [Departamento]

Referência: [AVAL-FORN-YYYY-NNN]

Data da avaliação: [DD/MM/AAAA]

Avaliador principal: [Nome]

Versão 1.0 | Conforme Regulamento (UE) 2024/1689

Enquadramento: A presente avaliação visa assegurar que os fornecedores de sistemas de IA cumprem as obrigações previstas no Regulamento (UE) 2024/1689 (AI Act), nomeadamente as obrigações dos prestadores (Capítulo III, Secção 2), e que os sistemas de IA adquiridos oferecem garantias adequadas de conformidade, segurança e respeito pelos direitos fundamentais. Esta avaliação enquadra-se igualmente nas obrigações dos implementadores (Art. 26.º) de utilizar sistemas de IA em conformidade com as instruções de utilização.

1. Informação do Fornecedor

Campo	Informação
Nome / Razão social	[Nome completo do fornecedor]
Sede	[Morada completa, país]
NIF / VAT	[NIF ou número de identificação fiscal]
Website	[URL]
Contacto principal	[Nome, cargo, email, telefone]
Representante autorizado na UE (se aplicável)	[Nome e contacto do representante, conforme Art. 22.º]
Ano de fundação	[Ano]
Número de colaboradores	[Número]

1.1 Certificações do fornecedor

Certificação	Detida?	Entidade certificadora	Validade
ISO/IEC 42001 (Gestão de IA)	☐ Sim ☐ Não ☐ Em processo	[Entidade]	[Data]
ISO/IEC 27001 (Segurança da informação)	☐ Sim ☐ Não ☐ Em processo	[Entidade]	[Data]
ISO/IEC 27701 (Privacidade)	☐ Sim ☐ Não ☐ Em processo	[Entidade]	[Data]
ISO 9001 (Qualidade)	☐ Sim ☐ Não ☐ Em processo	[Entidade]	[Data]
SOC 2	☐ Sim ☐ Não ☐ Em processo	[Entidade]	[Data]
Outra: [Especificar]	☐ Sim ☐ Não ☐ Em processo	[Entidade]	[Data]

2. Sistema de IA Avaliado

Campo	Informação
Nome do sistema	[Nome do sistema de IA]
Versão	[Versão atual]
Finalidade prevista	[Descrever a finalidade para a qual o sistema será utilizado]
Tipo de sistema de IA	☐ Aprendizagem automática ☐ Aprendizagem profunda ☐ IA generativa ☐ Sistema baseado em regras ☐ Outro: [Especificar]
Classificação de risco (AI Act)	☐ Alto risco (Anexo III) ☐ Risco limitado ☐ Risco mínimo ☐ GPAI ☐ GPAI com risco sistémico
Categoria do Anexo III (se alto risco)	[Especificar categoria e alínea do Anexo III]
Modelo de implementação	☐ Cloud (SaaS) ☐ On-premise ☐ Híbrido ☐ Edge
Dados pessoais tratados	☐ Sim ☐ Não \| Categorias: [Especificar categorias de dados]

3. Critérios de Avaliação

Escala de pontuação:
1 - Insuficiente: Não cumpre os requisitos mínimos
2 - Fraco: Cumpre parcialmente, com lacunas significativas
3 - Adequado: Cumpre os requisitos mínimos
4 - Bom: Cumpre de forma consistente, com boas práticas evidentes
5 - Excelente: Excede os requisitos, referência no setor

N.º	Critério	Aspetos avaliados	Peso	Nota (1-5)	Nota ponderada
3.1	Conformidade regulamentar (AI Act, marcação CE)	Declaração de conformidade UE (Art. 47.º) Marcação CE (Art. 48.º) Registo na base de dados UE (Art. 49.º) Avaliação de conformidade realizada (Art. 43.º)	[15%]	[1-5]	[Valor]
3.2	Documentação técnica (Completude conforme Anexo IV)	Descrição geral do sistema Elementos de conceção e desenvolvimento Informações sobre monitorização e funcionamento Instruções de utilização (Art. 13.º)	[10%]	[1-5]	[Valor]
3.3	Gestão de risco (Sistema de gestão de risco)	Sistema de gestão de risco implementado (Art. 9.º) Identificação e análise de riscos conhecidos Medidas de mitigação documentadas Testes e validação do sistema	[15%]	[1-5]	[Valor]
3.4	Governança de dados (Práticas de governança)	Práticas de governança de dados (Art. 10.º) Qualidade dos dados de treino e validação Medidas contra viés nos dados Conformidade com RGPD	[10%]	[1-5]	[Valor]
3.5	Transparência (Interpretabilidade, explicabilidade)	Nível de explicabilidade das decisões Transparência sobre capacidades e limitações (Art. 13.º) Informação sobre dados utilizados Mecanismos de interpretação dos resultados	[10%]	[1-5]	[Valor]
3.6	Segurança e robustez (Medidas de cibersegurança)	Medidas de cibersegurança (Art. 15.º) Robustez contra ataques adversários Resiliência e continuidade de serviço Testes de segurança realizados	[10%]	[1-5]	[Valor]
3.7	Supervisão humana (Capacidades de supervisão)	Mecanismos de supervisão humana (Art. 14.º) Possibilidade de intervenção e correção Botão de paragem / desativação Alertas e notificações ao operador	[10%]	[1-5]	[Valor]
3.8	Suporte e manutenção (SLAs, qualidade do suporte)	SLAs de disponibilidade e tempo de resposta Política de atualizações e patches Canais de suporte e horários Formação e documentação fornecida	[8%]	[1-5]	[Valor]
3.9	Responsabilidade e seguros (Responsabilidade civil, seguros)	Cláusulas de responsabilidade contratuais Seguro de responsabilidade civil profissional Cobertura para danos causados por IA Mecanismos de indemnização	[7%]	[1-5]	[Valor]
3.10	Histórico e reputação (Track record)	Experiência no mercado Referências de clientes Histórico de incidentes Participação em organismos de normalização	[5%]	[1-5]	[Valor]

4. Pontuação Total e Classificação

Resultado da Avaliação

Pontuação Total Ponderada: [X.XX / 5.00]

Classificação	Intervalo de pontuação	Descrição	Decisão
APROVADO	4.00 - 5.00	Cumpre plenamente os requisitos. Nenhum critério com nota inferior a 3.	☐
APROVADO COM CONDIÇÕES	3.00 - 3.99	Cumpre parcialmente. Até 2 critérios com nota inferior a 3. Requer plano de ação.	☐
REJEITADO	1.00 - 2.99	Não cumpre os requisitos mínimos. Mais de 2 critérios com nota inferior a 3 ou qualquer critério com nota 1.	☐

Critérios eliminatórios: Independentemente da pontuação total, o fornecedor será automaticamente rejeitado se: (a) não possuir declaração de conformidade UE para sistemas de alto risco; (b) não disponibilizar documentação técnica adequada; (c) apresentar nota 1 em qualquer critério de segurança, gestão de risco ou supervisão humana.

5. Condições e Observações

5.1 Pontos fortes identificados

[Descrever os principais pontos fortes do fornecedor e do sistema de IA avaliado.]

5.2 Pontos fracos / Áreas de preocupação

[Descrever os principais pontos fracos ou áreas de preocupação identificados durante a avaliação.]

5.3 Condições para aprovação (se aprovação condicionada)

[Se a classificação for "Aprovado com condições", listar aqui as condições específicas que devem ser satisfeitas antes ou durante a implementação do sistema.]

6. Plano de Ação (para aprovação condicionada)

N.º	Critério	Ação requerida	Responsável	Prazo	Estado	Verificação
1	[Critério]	[Ação específica a realizar pelo fornecedor]	[Responsável]	[DD/MM/AAAA]	☐ Pendente ☐ Em curso ☐ Concluída	☐ Verificada
2	[Critério]	[Ação específica]	[Responsável]	[DD/MM/AAAA]	☐ Pendente ☐ Em curso ☐ Concluída	☐ Verificada
3	[Critério]	[Ação específica]	[Responsável]	[DD/MM/AAAA]	☐ Pendente ☐ Em curso ☐ Concluída	☐ Verificada
4	[Critério]	[Ação específica]	[Responsável]	[DD/MM/AAAA]	☐ Pendente ☐ Em curso ☐ Concluída	☐ Verificada

Data limite para cumprimento de todas as condições: [DD/MM/AAAA]

Data de reavaliação (se aplicável): [DD/MM/AAAA]

7. Decisão Final

Decisão:	☐ APROVADO ☐ APROVADO COM CONDIÇÕES ☐ REJEITADO
Justificação da decisão:	[Justificar a decisão tomada, com referência aos critérios de avaliação e à pontuação obtida.]
Recomendações adicionais:	[Incluir quaisquer recomendações adicionais para a contratação ou implementação do sistema.]
Validade da avaliação:	[12 meses / 24 meses / Outra]
Próxima reavaliação:	[DD/MM/AAAA]

8. Assinaturas

Avaliador principal:

Nome: [Nome]

Função: [Função]

Data: [DD/MM/AAAA]

Assinatura

Responsável de Compras/Procurement:

Nome: [Nome]

Função: [Função]

Data: [DD/MM/AAAA]

Assinatura

Validação Jurídica:

Nome: [Nome]

Função: [Função]

Data: [DD/MM/AAAA]

Assinatura

Aprovação (Direção):

Nome: [Nome]

Função: [Função]

Data: [DD/MM/AAAA]

Assinatura

Documento elaborado em conformidade com o Regulamento (UE) 2024/1689 (AI Act)

Artigos de referência: Art. 16.º-25.º (Obrigações dos prestadores), Art. 26.º (Obrigações dos implementadores), Anexo IV (Documentação técnica)