Relatório de Incidente - Sistema de IA

Organização: [Nome da organização]

Departamento: [Departamento]

Relatório N.º: [INC-YYYY-NNN]

Data do Relatório: [DD/MM/AAAA]

Nível de Prioridade:

☐ Crítico ☐ Alto ☐ Médio ☐ Baixo

Versão 1.0 | Conforme Regulamento (UE) 2024/1689

Enquadramento legal: O presente relatório enquadra-se nas obrigações previstas no Artigo 73.º do Regulamento (UE) 2024/1689 (AI Act), relativo ao reporte de incidentes graves envolvendo sistemas de inteligência artificial de alto risco. Os prestadores devem comunicar incidentes graves às autoridades de fiscalização do mercado dos Estados-Membros onde o incidente ocorreu. Os implementadores devem igualmente reportar incidentes que possam constituir uma violação dos direitos fundamentais.

1. Identificação do Incidente

Campo	Informação
Número de referência do incidente	[INC-YYYY-NNN]
Data e hora de deteção	[DD/MM/AAAA - HH:MM]
Data e hora de ocorrência (se diferente)	[DD/MM/AAAA - HH:MM]
Reportado por (nome)	[Nome completo]
Cargo/Função do reportante	[Cargo]
Contacto do reportante	[Email / Telefone]
Nome do sistema de IA envolvido	[Nome do sistema]
Fornecedor do sistema	[Nome do fornecedor]
Versão do sistema	[Versão]
Classificação de risco do sistema	☐ Alto risco (Anexo III) ☐ Risco limitado ☐ Risco mínimo ☐ GPAI
Localização do incidente	[Local / Sistema / Ambiente]
Incidente recorrente?	☐ Sim ☐ Não Se sim, referência anterior: [INC-YYYY-NNN]

2. Descrição do Incidente

Descreva detalhadamente o incidente, incluindo a sequência de eventos, o contexto em que ocorreu e quaisquer circunstâncias relevantes:

[Descreva aqui de forma detalhada o incidente. Inclua: o que aconteceu, como foi detetado, a sequência cronológica dos eventos, o contexto operacional, e quaisquer circunstâncias relevantes que possam ter contribuído para o incidente. Indique se o sistema de IA estava a operar dentro dos parâmetros normais ou se houve algum desvio das condições habituais de utilização.]

2.1 Tipo de incidente

Decisão incorreta ou enviesada do sistema de IA
Falha técnica ou mau funcionamento do sistema
Violação de dados pessoais envolvendo o sistema de IA
Discriminação ou impacto desproporcionado em grupos específicos
Falta de transparência na decisão do sistema
Falha na supervisão humana
Utilização indevida ou não autorizada do sistema
Incidente de cibersegurança afetando o sistema de IA
Outro: [Especificar]

3. Avaliação de Impacto

3.1 Pessoas afetadas

Aspeto	Detalhe
Número estimado de pessoas afetadas	[Número]
Categorias de pessoas afetadas	☐ Trabalhadores ☐ Clientes ☐ Cidadãos ☐ Menores ☐ Grupos vulneráveis ☐ Outro: [Especificar]
Pessoas afetadas informadas?	☐ Sim (data: [DD/MM/AAAA]) ☐ Não ☐ Não aplicável

3.2 Gravidade do incidente

Classifique a gravidade numa escala de 1 a 5:

Nível	Descrição	Seleção
1 - Insignificante	Impacto mínimo, sem consequências materiais para as pessoas afetadas	☐
2 - Menor	Impacto limitado, facilmente reversível, inconveniência menor	☐
3 - Moderado	Impacto significativo mas controlável, possível necessidade de intervenção	☐
4 - Grave	Impacto substancial em direitos ou interesses das pessoas, difícil reversão	☐
5 - Crítico	Impacto severo e potencialmente irreversível, ameaça à saúde, segurança ou direitos fundamentais	☐

3.3 Impacto em direitos fundamentais

Identifique os direitos fundamentais potencialmente afetados (conforme Carta dos Direitos Fundamentais da UE):

Dignidade humana (Art. 1.º Carta)
Proteção de dados pessoais (Art. 8.º Carta)
Não discriminação (Art. 21.º Carta)
Igualdade entre homens e mulheres (Art. 23.º Carta)
Direitos da criança (Art. 24.º Carta)
Acesso à justiça (Art. 47.º Carta)
Liberdade de expressão (Art. 11.º Carta)
Direito ao trabalho (Art. 15.º Carta)
Outro: [Especificar o direito e artigo aplicável]

Descrição do impacto nos direitos fundamentais:

[Descreva como o incidente afetou ou pode ter afetado os direitos fundamentais identificados acima. Inclua a natureza, extensão e possível reversibilidade do impacto.]

3.4 Impacto operacional

Aspeto	Detalhe
Serviços afetados	[Listar serviços ou processos afetados]
Duração da interrupção/impacto	[Horas/Dias]
Impacto financeiro estimado	[Valor em EUR, se aplicável]
Impacto reputacional	☐ Alto ☐ Médio ☐ Baixo ☐ Nenhum
Sistema atualmente operacional?	☐ Sim ☐ Não (suspenso em: [DD/MM/AAAA])

4. Análise de Causa Raiz

Instrução: Utilize metodologias adequadas de análise de causa raiz (ex.: 5 Porquês, Diagrama de Ishikawa) para identificar a causa fundamental do incidente, distinguindo entre causas imediatas e causas raiz.

4.1 Causa(s) imediata(s)

[Descreva a causa ou causas imediatas que desencadearam o incidente.]

4.2 Causa(s) raiz

[Descreva a causa ou causas raiz subjacentes. Considere fatores técnicos (dados de treino, modelo, infraestrutura), fatores humanos (formação, procedimentos), fatores organizacionais (governança, supervisão) e fatores externos (fornecedores, regulamentação).]

4.3 Fatores contribuintes

Deficiência nos dados de treino ou de entrada
Falha no modelo ou algoritmo
Insuficiência na supervisão humana
Procedimentos inadequados ou inexistentes
Falta de formação dos utilizadores
Falha na infraestrutura técnica
Alterações não documentadas no sistema
Ataque ou incidente de cibersegurança
Utilização fora do âmbito previsto
Outro: [Especificar]

5. Ações Imediatas Tomadas

N.º	Ação imediata	Responsável	Data/Hora	Resultado
1	[Descrever ação]	[Nome]	[DD/MM HH:MM]	[Resultado]
2	[Descrever ação]	[Nome]	[DD/MM HH:MM]	[Resultado]
3	[Descrever ação]	[Nome]	[DD/MM HH:MM]	[Resultado]
4	[Descrever ação]	[Nome]	[DD/MM HH:MM]	[Resultado]
5	[Descrever ação]	[Nome]	[DD/MM HH:MM]	[Resultado]

6. Ações Corretivas Planeadas

N.º	Ação corretiva	Responsável	Prazo	Estado	Observações
1	[Descrever ação corretiva]	[Nome]	[DD/MM/AAAA]	☐ Pendente ☐ Em curso ☐ Concluída	[Notas]
2	[Descrever ação corretiva]	[Nome]	[DD/MM/AAAA]	☐ Pendente ☐ Em curso ☐ Concluída	[Notas]
3	[Descrever ação corretiva]	[Nome]	[DD/MM/AAAA]	☐ Pendente ☐ Em curso ☐ Concluída	[Notas]
4	[Descrever ação corretiva]	[Nome]	[DD/MM/AAAA]	☐ Pendente ☐ Em curso ☐ Concluída	[Notas]
5	[Descrever ação corretiva]	[Nome]	[DD/MM/AAAA]	☐ Pendente ☐ Em curso ☐ Concluída	[Notas]

7. Notificações Realizadas

Artigo 73.º - Reporte de incidentes graves: Os prestadores de sistemas de IA de alto risco colocados no mercado da União devem comunicar qualquer incidente grave às autoridades de fiscalização do mercado dos Estados-Membros em que esse incidente ocorreu. A comunicação deve ser efetuada imediatamente após o prestador ter estabelecido uma ligação causal (ou a probabilidade razoável de tal ligação) entre o sistema de IA e o incidente grave, e, em qualquer caso, no prazo de 15 dias após ter tomado conhecimento do incidente.

Entidade	Notificada?	Data da notificação	Referência / Observações
ANACOM (Autoridade nacional de fiscalização do mercado para o AI Act)	☐ Sim ☐ Não	[DD/MM/AAAA]	[N.º referência da notificação]
CNPD (Comissão Nacional de Proteção de Dados) - se envolver dados pessoais	☐ Sim ☐ Não ☐ N/A	[DD/MM/AAAA]	[N.º referência da notificação]
Fornecedor do sistema de IA	☐ Sim ☐ Não	[DD/MM/AAAA]	[Contacto e referência]
Autoridade setorial (se aplicável - ex.: Banco de Portugal, ERS, CMVM)	☐ Sim ☐ Não ☐ N/A	[DD/MM/AAAA]	[Identificar autoridade e referência]
Autoridades policiais (se aplicável)	☐ Sim ☐ Não ☐ N/A	[DD/MM/AAAA]	[Referência]
Outra(s) entidade(s)	☐ Sim ☐ Não ☐ N/A	[DD/MM/AAAA]	[Identificar entidade e referência]

Justificação para não notificação (se aplicável):

[Se alguma entidade relevante não foi notificada, justifique a decisão.]

8. Lições Aprendidas

8.1 O que correu bem na resposta ao incidente?

[Descreva os aspetos positivos da deteção e resposta ao incidente.]

8.2 O que poderia ter sido melhor?

[Identifique áreas de melhoria na prevenção, deteção ou resposta ao incidente.]

8.3 Recomendações para prevenção futura

N.º	Recomendação	Área/Responsável	Prazo sugerido
1	[Recomendação]	[Área]	[Prazo]
2	[Recomendação]	[Área]	[Prazo]
3	[Recomendação]	[Área]	[Prazo]
4	[Recomendação]	[Área]	[Prazo]

8.4 Alterações de procedimentos necessárias

[Identifique procedimentos, políticas ou processos que devem ser revistos ou criados na sequência deste incidente.]

9. Aprovação e Assinaturas

Função	Nome	Data
Elaborado por	[Nome]	[DD/MM/AAAA]
Revisto por (Responsável IA / DPO)	[Nome]	[DD/MM/AAAA]
Aprovado por (Direção)	[Nome]	[DD/MM/AAAA]
Validação jurídica	[Nome]	[DD/MM/AAAA]

10. Anexos

Anexo N.º	Descrição	Tipo de documento	Referência
A1	[Descrição do anexo]	[PDF/Imagem/Log/Outro]	[Referência/Localização]
A2	[Descrição do anexo]	[PDF/Imagem/Log/Outro]	[Referência/Localização]
A3	[Descrição do anexo]	[PDF/Imagem/Log/Outro]	[Referência/Localização]
A4	[Descrição do anexo]	[PDF/Imagem/Log/Outro]	[Referência/Localização]

Aviso de confidencialidade: O presente relatório contém informação confidencial destinada exclusivamente às partes envolvidas na gestão do incidente e às autoridades competentes. A sua divulgação, cópia ou distribuição não autorizada é estritamente proibida.

Documento elaborado em conformidade com o Regulamento (UE) 2024/1689 (AI Act)

Artigos de referência: Art. 73.º (Reporte de incidentes graves), Art. 26.º (Obrigações dos implementadores), Art. 9.º (Sistema de gestão de risco)