Sistemas de alto risco

Classificação segundo o Art. 6 do AI Act — Dois caminhos, obrigações extensas

O Regulamento (UE) 2024/1689 estabelece um regime abrangente para os sistemas de IA de alto risco, que representam riscos significativos para a saúde, a segurança ou os direitos fundamentais das pessoas. Estes sistemas estão sujeitos a requisitos rigorosos antes e depois da colocação no mercado da UE.

Prazo Aplicável a partir de 2 de agosto de 2026 — Para sistemas do Anexo III. Sistemas do Anexo I: a partir de 2 de agosto de 2027.

O que são sistemas de IA de alto risco?

Os sistemas de IA de alto risco são aqueles que, pela sua natureza ou pelo contexto em que são utilizados, apresentam um potencial significativo de causar danos à saúde, à segurança ou aos direitos fundamentais das pessoas singulares. O AI Act impõe a estes sistemas o conjunto mais exigente de obrigações, abrangendo todo o ciclo de vida — desde o design e o desenvolvimento até à monitorização pós-comercialização.

Abordagem baseada no risco

O alto risco é o segundo nível mais restritivo na pirâmide do AI Act, logo abaixo das práticas proibidas (Art. 5). Ao contrário das proibições absolutas, os sistemas de alto risco podem ser colocados no mercado desde que cumpram um conjunto rigoroso de requisitos obrigatórios definidos nos artigos 8 a 22.

Dois caminhos de classificação

O Art. 6 define dois caminhos distintos: Art. 6(1) — sistemas que são componentes de segurança de produtos regulados pela legislação de harmonização do Anexo I; e Art. 6(2) — sistemas que se enquadram nas 8 áreas de aplicação do Anexo III, independentemente do produto.

Consequências do incumprimento

O incumprimento das obrigações relativas a sistemas de alto risco pode resultar em coimas até 15 milhões de euros ou 3% do volume de negócios anual global (o que for mais elevado), nos termos do Art. 99(3). As autoridades nacionais podem também ordenar a retirada do sistema do mercado.

Dois caminhos para classificação de alto risco (Art. 6)

O Artigo 6 do AI Act define dois caminhos distintos através dos quais um sistema de IA pode ser classificado como sendo de alto risco. Cada caminho tem as suas próprias características, prazos e implicações para os operadores económicos.

Via Anexo I — Componente de segurança em produtos regulados

Art. 6(1)

O sistema de IA é considerado de alto risco quando é um componente de segurança de um produto abrangido pela legislação europeia de harmonização listada no Anexo I, ou quando é ele próprio esse produto, e esse produto necessita de avaliação de conformidade por terceiros para ser colocado no mercado ou colocado em serviço.

Legislação de harmonização abrangida (Anexo I):

  • Máquinas e equipamentos — Regulamento (UE) 2023/1230 relativo a máquinas e produtos conexos
  • Brinquedos — Diretiva 2009/48/CE relativa à segurança dos brinquedos
  • Dispositivos médicos — Regulamento (UE) 2017/745 relativo a dispositivos médicos
  • Diagnóstico in vitro — Regulamento (UE) 2017/746 relativo a dispositivos médicos de diagnóstico in vitro
  • Equipamentos de rádio — Diretiva 2014/53/UE relativa a equipamentos de rádio
  • Veículos a motor — Regulamento (UE) 2019/2144 sobre requisitos de homologação para a segurança geral dos veículos
  • Aviação civil — Regulamento (UE) 2018/1139 relativo a regras comuns no domínio da aviação civil
  • Ascensores — Diretiva 2014/33/UE relativa a ascensores e componentes de segurança para ascensores
  • Equipamento elétrico — Diretiva 2014/35/UE relativa a material elétrico de baixa tensão
  • Equipamentos de proteção individual — Regulamento (UE) 2016/425
  • Produtos de construção — Regulamento (UE) n.º 305/2011
  • Aparelhos a gás — Regulamento (UE) 2016/426 relativo a aparelhos a gás
  • Interoperabilidade ferroviária — Diretiva (UE) 2016/797 relativa ao sistema ferroviário
  • Equipamentos marítimos — Diretiva 2014/90/UE relativa aos equipamentos marítimos
  • Equipamentos sob pressão — Diretiva 2014/68/UE relativa a equipamentos sob pressão
  • Sistemas de aeronaves não tripuladas — Regulamentos (UE) 2019/945 e 2019/947 relativos a drones
Prazo: 2 de agosto de 2027 — Estes sistemas seguem o calendário da legislação setorial correspondente. A avaliação de conformidade do AI Act é integrada na avaliação já exigida pela legislação do produto.

Via Anexo III — Caso de uso em áreas de risco

Art. 6(2)

O sistema de IA é classificado como de alto risco quando se enquadra numa das 8 áreas de aplicação enumeradas no Anexo III do regulamento. Esta classificação é independente do produto em que o sistema está integrado e abrange casos de uso com impacto significativo na vida das pessoas.

8 áreas do Anexo III:

  • 1. Biometria
  • 2. Infraestruturas críticas
  • 3. Educação e formação profissional
  • 4. Emprego e gestão de trabalhadores
  • 5. Serviços essenciais e acesso a serviços privados
  • 6. Aplicação da lei
  • 7. Migração, asilo e controlo de fronteiras
  • 8. Justiça e processos democráticos

A Comissão pode atualizar a lista do Anexo III por atos delegados (Art. 7), acrescentando novos casos de uso que cumpram determinados critérios de gravidade do risco.

Prazo: 2 de agosto de 2026 — Estas obrigações aplicam-se já a partir desta data.

8 áreas de alto risco — Anexo III (detalhe)

O Anexo III do AI Act enumera as áreas temáticas em que a utilização de sistemas de IA apresenta riscos particularmente elevados para a saúde, a segurança e os direitos fundamentais das pessoas. Cada área abrange casos de uso específicos, detalhados abaixo com exemplos concretos.

1. Biometria

Identificação, categorização biométrica e reconhecimento de emoções

  • Identificação biométrica remota — sistemas que identificam pessoas singulares à distância, comparando dados biométricos com bases de dados (exceto verificação biométrica simples, como o desbloqueio de um telemóvel)
  • Categorização biométrica — sistemas que atribuem pessoas a categorias específicas (raça, opiniões políticas, filiação sindical, crenças religiosas, orientação sexual) com base em dados biométricos, como características faciais ou padrões de marcha
  • Reconhecimento de emoções — sistemas que inferem estados emocionais a partir de dados biométricos (em contextos laborais e educativos que não estejam já proibidos pelo Art. 5)
Nota: A identificação biométrica remota em tempo real em espaços acessíveis ao público para efeitos de aplicação da lei é, em regra, proibida (Art. 5(1)(h)), com exceções muito limitadas. Sistemas de biometria (área 1) requerem avaliação de conformidade por organismo notificado (terceiros), não bastando a autoavaliação.

Não abrangido: Verificação biométrica 1:1 (ex.: desbloquear dispositivo), categorização baseada em dados não biométricos.

2. Infraestruturas críticas

Componentes de segurança na gestão e operação de infraestruturas críticas

  • Tráfego rodoviário — sistemas de gestão de tráfego, semáforos inteligentes, controlo de velocidade variável
  • Água, gás e eletricidade — sistemas de gestão de redes de abastecimento e distribuição de água potável, gás, aquecimento e eletricidade
  • Infraestrutura digital — componentes de segurança em redes de telecomunicações, centros de dados críticos e infraestruturas de internet
  • Transportes — sistemas de gestão de tráfego ferroviário, marítimo e de controlo de tráfego aéreo (quando não abrangidos pela legislação do Anexo I)

Não abrangido: Sistemas de otimização energética doméstica, aplicações de navegação pessoal, sistemas que não constituem componentes de segurança.

3. Educação e formação profissional

Acesso, avaliação e monitorização no ensino e na formação

  • Acesso e admissão — sistemas que determinam o acesso ou a admissão a instituições de ensino e de formação profissional (ex.: algoritmos de seleção de candidatos a universidades)
  • Avaliação de resultados — sistemas que avaliam resultados de aprendizagem, incluindo os utilizados para orientar o processo de aprendizagem do estudante (ex.: correção automatizada de exames)
  • Nível de educação adequado — sistemas que avaliam o nível adequado de educação que um indivíduo irá receber ou a que terá acesso
  • Monitorização de exames — sistemas de vigilância e deteção de comportamentos proibidos em contexto de avaliações e provas (ex.: proctoring com IA)

Não abrangido: Ferramentas de apoio ao estudo sem decisão autónoma, plataformas de e-learning sem função de avaliação vinculativa, chatbots educativos genéricos.

4. Emprego, gestão de trabalhadores e acesso ao trabalho por conta própria

Recrutamento, decisões laborais, monitorização e avaliação de desempenho

  • Recrutamento e seleção — publicação direcionada de anúncios de emprego, triagem e filtragem de candidaturas, avaliação de candidatos em entrevistas ou testes (ex.: ATS com IA, análise de vídeo-entrevistas)
  • Decisões sobre condições laborais — promoções, rescisões contratuais, atribuição de tarefas com base em características individuais e comportamento (ex.: algoritmos de gestão de turnos)
  • Monitorização e avaliação — sistemas de monitorização e avaliação do desempenho e do comportamento profissional de trabalhadores (ex.: people analytics, produtividade algorítmica)

Não abrangido: Software genérico de gestão de RH sem decisão autónoma, ferramentas de agendamento sem avaliação individual, sistemas de comunicação interna.

5. Acesso a serviços privados essenciais e a serviços e prestações públicos

Credit scoring, emergências, seguros e benefícios sociais

  • Credit scoring — avaliação da solvabilidade (creditworthiness) de pessoas singulares, exceto para deteção de fraude financeira (ex.: decisão automatizada de aprovação de crédito)
  • Seguros de vida e saúde — avaliação de risco e fixação de prémios de seguros de saúde e de vida para pessoas singulares
  • Serviços de emergência — triagem e priorização de chamadas de emergência (112), incluindo estabelecimento de prioridades no envio de primeiros socorros, polícia e bombeiros
  • Benefícios e serviços públicos essenciais — sistemas utilizados para avaliar a elegibilidade, conceder, reduzir, revogar ou recuperar benefícios e serviços públicos (ex.: prestações sociais, habitação social)

Não abrangido: Sistemas de deteção de fraude financeira, calculadoras de simulação de crédito sem decisão vinculativa, chatbots informativos de serviços públicos.

6. Aplicação da lei

Avaliação de risco, provas, polígrafos e profiling criminal

  • Avaliação de risco individual — avaliação do risco de uma pessoa singular se tornar vítima de infrações penais
  • Polígrafos e deteção de emoções — sistemas utilizados como polígrafos ou ferramentas análogas para deteção de estados emocionais ou indicadores de insinceridade
  • Avaliação de fiabilidade de provas — sistemas que avaliam a fiabilidade de provas no decurso de investigações ou ações penais
  • Profiling criminal — avaliação do risco de uma pessoa singular cometer (ou voltar a cometer) infrações penais, com base em profiling ou na avaliação de traços de personalidade
  • Avaliação de reincidência — avaliação do risco de reincidência de uma pessoa já condenada

Não abrangido: Ferramentas de análise estatística agregada sem profiling individual, sistemas administrativos das forças de segurança sem impacto em decisões sobre pessoas.

7. Migração, asilo e gestão do controlo nas fronteiras

Avaliação de risco, documentos de viagem e pedidos de proteção internacional

  • Avaliação de risco — sistemas de avaliação de risco de segurança, de imigração irregular ou de saúde pública associado a uma pessoa que pretenda entrar no território de um Estado-Membro
  • Verificação de documentos — sistemas que auxiliam na verificação da autenticidade de documentos de viagem e de documentos de suporte (ex.: deteção de documentos falsificados)
  • Análise de pedidos de asilo e vistos — sistemas que analisam pedidos de proteção internacional, vistos e autorizações de residência, bem como queixas relacionadas com a elegibilidade
  • Polígrafos em entrevistas — polígrafos e ferramentas similares utilizados para a deteção de estados emocionais durante entrevistas no contexto de migração

Não abrangido: Sistemas de gestão de filas em fronteiras, ferramentas administrativas sem decisão sobre pessoas, equipamentos de inspeção de bagagens sem profiling.

8. Administração da justiça e processos democráticos

Pesquisa jurídica, aplicação da lei a factos e processos eleitorais

  • Pesquisa e interpretação jurídica — sistemas que assistem uma autoridade judiciária na pesquisa e interpretação de factos e da lei aplicável a um caso concreto
  • Aplicação da lei aos factos — sistemas utilizados para aplicar a lei a um conjunto concreto de factos, em processos judiciais ou procedimentos administrativos (ex.: apoio à decisão judicial)
  • Resolução alternativa de litígios — sistemas que assistem na resolução alternativa de litígios (mediação, arbitragem)
  • Processos eleitorais — sistemas destinados a influenciar o resultado de uma eleição ou referendo, ou o comportamento de voto de pessoas singulares no exercício do seu direito de voto

Não abrangido: Ferramentas puramente organizativas (contagem de votos, logística eleitoral), bases de dados de jurisprudência com pesquisa simples, sistemas de gestão processual sem decisão.

Exceção para risco não significativo — Art. 6(3)

Quando um sistema do Anexo III pode NÃO ser considerado de alto risco

O Art. 6(3) prevê que um sistema de IA referido no Anexo III não é considerado de alto risco se não apresentar um risco significativo de causar danos à saúde, à segurança ou aos direitos fundamentais das pessoas singulares, incluindo quando não influencia materialmente o resultado da tomada de decisões.

As 4 condições (o sistema destina-se a):

  • Condição A: Realizar uma tarefa processual limitada (narrow procedural task) — ex.: converter dados não estruturados em dados estruturados, classificar documentos em categorias predefinidas
  • Condição B: Melhorar o resultado de uma atividade humana já concluída — ex.: verificar ortografia num documento já redigido, melhorar a qualidade de uma imagem médica já analisada por um profissional
  • Condição C: Detetar padrões de decisão ou desvios em relação a padrões de decisão anteriores, sem substituir ou influenciar a avaliação humana previamente efetuada e sem preparação prévia de decisão — ex.: alertar para inconsistências em decisões já tomadas
  • Condição D: Realizar uma tarefa preparatória para uma avaliação relevante para os fins dos casos de utilização do Anexo III — ex.: pré-selecionar informação relevante, sem que essa pré-seleção constitua a decisão final
Exceção à exceção — Profiling: A isenção do Art. 6(3) nunca se aplica quando o sistema de IA efetua profiling de pessoas singulares na aceção do Art. 4(4) do RGPD. Mesmo que o sistema cumpra uma das 4 condições acima, se efetuar profiling é sempre considerado de alto risco.

Obrigação de documentação (Art. 6(4)):

O fornecedor que considerar que o seu sistema abrangido pelo Anexo III não é de alto risco ao abrigo do Art. 6(3) deve:

  • Documentar a avaliação que conclui que o sistema não é de alto risco, antes da colocação no mercado ou em serviço
  • Disponibilizar essa documentação às autoridades nacionais competentes a pedido
  • Registar o sistema na base de dados da UE (Art. 49(2)), indicando que se aplica a exceção do Art. 6(3)

Obrigações dos fornecedores (providers) — Art. 8–22

Os fornecedores (providers) de sistemas de IA de alto risco devem cumprir um conjunto abrangente de requisitos obrigatórios, concebidos para garantir que estes sistemas são seguros, transparentes e respeitadores dos direitos fundamentais ao longo de todo o ciclo de vida. Cada obrigação está detalhada abaixo com a referência ao artigo correspondente.

Art. 9

Sistema de gestão de riscos

O fornecedor deve estabelecer, implementar, documentar e manter um sistema de gestão de riscos contínuo ao longo de todo o ciclo de vida do sistema de IA. Este processo iterativo deve ser executado e atualizado regularmente, e inclui:

  • Identificação e análise dos riscos conhecidos e razoavelmente previsíveis para a saúde, a segurança e os direitos fundamentais
  • Estimativa e avaliação dos riscos que possam surgir quando o sistema é utilizado de acordo com a sua finalidade prevista e em condições de utilização indevida razoavelmente previsível
  • Adoção de medidas de gestão de riscos adequadas, dando prioridade à eliminação ou redução de riscos através do design e desenvolvimento
  • Testes adequados antes da colocação no mercado, incluindo testes em condições reais quando adequado

O risco residual aceitável deve ser comunicado ao deployer nas instruções de utilização.

Art. 10

Governança de dados e qualidade dos dados

Os sistemas de alto risco que utilizam técnicas de treino de modelos devem ser desenvolvidos com base em conjuntos de dados de treino, validação e teste que cumpram critérios de qualidade rigorosos. As práticas de governança de dados devem abranger:

  • Escolhas de design relevantes e processos de recolha, preparação e anotação de dados
  • Pressupostos sobre a informação que os dados devem medir e representar
  • Avaliação de disponibilidade, quantidade e adequação dos conjuntos de dados necessários
  • Análise de possíveis enviesamentos (biases) que afetem a saúde, a segurança ou os direitos fundamentais
  • Identificação de lacunas e deficiências nos dados, e forma de as colmatar

O Art. 10(5) permite, sob condições estritas, o tratamento de categorias especiais de dados pessoais (Art. 9 RGPD) para fins de deteção e correção de enviesamento.

Art. 11 + Anexo IV

Documentação técnica

A documentação técnica deve ser elaborada antes da colocação no mercado ou em serviço e mantida permanentemente atualizada. Deve demonstrar a conformidade do sistema com todos os requisitos e fornecer às autoridades a informação necessária para avaliar essa conformidade. Nos termos do Anexo IV, deve incluir:

  • Descrição geral do sistema, finalidade prevista e versões
  • Descrição detalhada dos elementos e do processo de desenvolvimento
  • Informação sobre monitorização, funcionamento e controlo do sistema
  • Descrição da adequação das métricas de desempenho
  • Descrição do sistema de gestão de riscos (Art. 9)
  • Registo das alterações efetuadas ao longo do ciclo de vida
  • Normas harmonizadas ou outras especificações técnicas aplicadas
  • Declaração UE de conformidade (Art. 47)
Art. 12

Conservação de registos (logging)

O sistema de IA de alto risco deve ser concebido e desenvolvido com capacidade de registo automático de eventos (logs) durante o seu funcionamento, proporcionando um nível de rastreabilidade adequado ao longo de toda a vida útil do sistema. Os registos devem incluir:

  • Registo do período de cada utilização do sistema (início e fim)
  • A base de dados de referência utilizada para verificar os dados de entrada
  • Os dados de entrada que conduziram a uma correspondência (match)
  • A identificação das pessoas singulares envolvidas na verificação dos resultados (Art. 14(5))

A capacidade de logging deve ser proporcional à finalidade do sistema e cumprir os requisitos de proteção de dados pessoais (RGPD).

Art. 13

Transparência e instruções de utilização

O sistema deve ser concebido e desenvolvido de forma suficientemente transparente para permitir aos deployers interpretar e utilizar adequadamente os resultados. As instruções de utilização devem acompanhar o sistema e incluir, no mínimo:

  • Identidade e dados de contacto do fornecedor
  • Características, capacidades e limitações de desempenho do sistema
  • A finalidade prevista e as utilizações indevidas razoavelmente previsíveis
  • Níveis de exatidão, incluindo métricas de desempenho, para grupos específicos de pessoas afetadas
  • Especificações dos dados de entrada e quaisquer informações sobre os dados de treino
  • Medidas de supervisão humana (Art. 14), incluindo medidas técnicas para facilitar a interpretação dos resultados
  • Vida útil esperada e quaisquer medidas de manutenção e atualização necessárias
Art. 14

Supervisão humana

O sistema de IA de alto risco deve ser concebido e desenvolvido de forma a poder ser efetivamente supervisionado por pessoas singulares durante o período em que é utilizado. A supervisão humana visa prevenir ou minimizar os riscos para a saúde, a segurança ou os direitos fundamentais. As medidas devem permitir ao supervisor:

  • Compreender plenamente as capacidades e limitações do sistema e monitorizar adequadamente o seu funcionamento
  • Estar ciente da possível tendência para a automatização (automation bias), em particular para sistemas que fornecem recomendações para decisões
  • Interpretar corretamente os resultados do sistema, tendo em conta as características do sistema e as ferramentas de interpretação disponíveis
  • Decidir não utilizar o sistema ou ignorar, anular ou reverter o resultado em qualquer situação
  • Intervir no funcionamento do sistema ou interromper o sistema através de um botão de paragem (stop button) ou procedimento semelhante

Para sistemas de identificação biométrica remota, pelo menos duas pessoas singulares devem verificar e confirmar separadamente o resultado antes de qualquer ação.

Art. 15

Exatidão, robustez e cibersegurança

O sistema de IA deve alcançar e manter níveis adequados de exatidão, robustez e cibersegurança ao longo de todo o ciclo de vida. Os níveis declarados devem constar da documentação técnica e das instruções de utilização. Concretamente:

  • Exatidão: O sistema deve atingir os níveis de exatidão adequados à sua finalidade prevista, declarados nas instruções de utilização, incluindo métricas específicas para diferentes grupos de pessoas afetadas
  • Robustez: Soluções técnicas de redundância devem ser implementadas para prevenir e atenuar erros, falhas, inconsistências e resultados inesperados, incluindo resistência a ataques adversariais (adversarial attacks) e tentativas de manipulação
  • Cibersegurança: O sistema deve ser resiliente contra tentativas de data poisoning (envenenamento de dados de treino), model poisoning e manipulação de dados de entrada, incluindo medidas técnicas adequadas ao nível de risco
Art. 17

Sistema de gestão da qualidade (QMS)

O fornecedor deve implementar e documentar um sistema de gestão da qualidade que assegure a conformidade com o regulamento de forma sistemática e documentada. O QMS deve incluir, no mínimo:

  • Uma estratégia de conformidade regulamentar, incluindo procedimentos de avaliação de conformidade e de gestão de alterações
  • Técnicas, procedimentos e ações sistemáticas para o design, controlo de qualidade e garantia de qualidade
  • Procedimentos de exame, teste e validação antes, durante e após o desenvolvimento
  • Normas técnicas aplicadas e, quando não se aplicam normas harmonizadas, os meios utilizados para garantir a conformidade
  • Sistemas e procedimentos de gestão de dados, incluindo recolha, análise, rotulagem, armazenamento e filtragem
  • Procedimentos para a elaboração de relatórios de incidentes graves (Art. 73)
  • Gestão da comunicação com as autoridades nacionais competentes, organismos notificados e outros operadores
  • Sistemas e procedimentos para conservação de registos de toda a documentação e informação relevante
  • Procedimentos para a gestão de recursos, incluindo medidas relacionadas com a segurança do abastecimento
  • Um quadro de responsabilização (accountability) da direção e de todo o pessoal

Obrigações adicionais dos fornecedores — Conformidade e pós-mercado

Para além dos requisitos de design e desenvolvimento (Art. 8-17), os fornecedores devem cumprir obrigações processuais e de monitorização contínua ao longo de todo o ciclo de vida do sistema.

Obrigação Artigo Descrição
Avaliação de conformidade Art. 43 Submeter o sistema a uma avaliação de conformidade antes da colocação no mercado. Para a maioria dos sistemas do Anexo III: autoavaliação (controlo interno, Anexo VI). Para sistemas de biometria (área 1 do Anexo III) e produtos do Anexo I que já exijam avaliação por terceiros: avaliação por organismo notificado (Anexo VII). Se normas harmonizadas forem aplicadas, a autoavaliação é suficiente (mesmo para biometria). A avaliação deve ser repetida em caso de modificação substancial.
Declaração UE de conformidade Art. 47 + Anexo V Elaborar uma declaração UE de conformidade escrita para cada sistema de IA, conforme o modelo do Anexo V. A declaração deve incluir: nome e tipo do sistema, nome e endereço do fornecedor, referência à documentação técnica, declaração de conformidade com o regulamento, e ser assinada por uma pessoa autorizada. Deve ser mantida atualizada e disponível às autoridades durante 10 anos após a colocação no mercado.
Marcação CE Art. 48 Apor a marcação CE de forma visível, legível e indelével no sistema de IA, na respetiva embalagem ou na documentação de acompanhamento. A marcação deve ser aposta antes da colocação no mercado. Para sistemas digitais sem produto físico, a marcação CE deve ser incluída na documentação que acompanha o sistema. Quando já se aplique a marcação CE ao abrigo de outra legislação de harmonização, a mesma marcação cobre ambas.
Registo na base de dados da UE Art. 49 + Anexo VIII Registar o sistema na base de dados da UE (Art. 71) antes da sua colocação no mercado ou entrada em serviço. As informações a fornecer estão detalhadas no Anexo VIII e incluem: nome do sistema, finalidade, estado de conformidade, categorias de pessoas afetadas, Estado-Membro de colocação no mercado, entre outras. A base de dados é acessível ao público (com restrições para aplicação da lei). O registo deve ser mantido atualizado.
Monitorização pós-comercialização Art. 72 Estabelecer e documentar um sistema de monitorização pós-comercialização proporcional à natureza do sistema e ao nível de risco. O sistema deve recolher, documentar e analisar ativamente os dados relevantes sobre o desempenho ao longo de todo o ciclo de vida, permitindo avaliar a conformidade contínua. O plano de monitorização faz parte da documentação técnica (Anexo IV).
Reporte de incidentes graves Art. 73 Reportar às autoridades de fiscalização do mercado competentes qualquer incidente grave (morte, dano grave à saúde, perturbação grave de infraestruturas críticas, violação grave de direitos fundamentais) imediatamente após tomar conhecimento, e no prazo máximo de 15 dias. Após a comunicação inicial, o fornecedor deve indicar as medidas corretivas adotadas ou previstas.

Obrigações dos utilizadores profissionais (deployers) — Art. 26

Os utilizadores profissionais (deployers) de sistemas de IA de alto risco também têm obrigações significativas ao abrigo do AI Act. Embora menos extensas do que as dos fornecedores, estas obrigações são essenciais para garantir uma utilização segura, responsável e conforme com o regulamento.

Seguir instruções de utilização

Art. 26(1)

Utilizar o sistema de IA de alto risco em conformidade com as instruções de utilização fornecidas pelo provider. Implementar medidas técnicas e organizativas adequadas para garantir que a utilização é conforme com a finalidade prevista. Isto inclui garantir que os dados de entrada são relevantes e suficientemente representativos tendo em vista a finalidade prevista do sistema.

Garantir supervisão humana

Art. 26(2)

Assegurar que a supervisão humana é exercida por pessoas singulares que possuam a competência, formação e autoridade necessárias e, quando adequado, os recursos. Estas pessoas devem poder compreender as capacidades e limitações do sistema, intervir no seu funcionamento, interromper ou reverter as decisões do sistema quando necessário, e estar cientes do risco de automation bias.

Monitorizar o funcionamento

Art. 26(5)

Monitorizar o funcionamento do sistema de IA com base nas instruções de utilização e, quando relevante, informar os fornecedores sobre quaisquer riscos identificados nos termos do Art. 72. Caso o deployer tenha motivos para considerar que a utilização do sistema pode gerar um risco, deve suspender imediatamente a utilização e informar o fornecedor ou distribuidor. Reportar incidentes graves às autoridades competentes.

Manter logs durante 6 meses (mínimo)

Art. 26(6)

Conservar os registos (logs) gerados automaticamente pelo sistema de IA durante um período mínimo de 6 meses, na medida em que estes estejam sob o seu controlo. Esta obrigação aplica-se salvo disposição em contrário na legislação da UE ou nacional aplicável, nomeadamente em matéria de proteção de dados pessoais. Os logs devem estar disponíveis para as autoridades competentes a pedido.

Informar trabalhadores e representantes

Art. 26(7)

Informar os representantes dos trabalhadores e os trabalhadores afetados de que estarão sujeitos à utilização de um sistema de IA de alto risco, antes da primeira utilização no contexto laboral. Esta informação deve ser prestada em conformidade com o direito nacional e da UE aplicável, incluindo as regras sobre informação e consulta dos trabalhadores.

FRIA — Avaliação de impacto nos direitos fundamentais (Art. 27)

Obrigatório para determinadas entidades

A Avaliação de Impacto sobre os Direitos Fundamentais (Fundamental Rights Impact Assessment — FRIA) é obrigatória antes da primeira utilização do sistema para:

  • Organismos de direito público e entidades privadas que prestem serviços públicos
  • Deployers que utilizem sistemas de credit scoring (Anexo III, ponto 5(a))
  • Deployers que utilizem sistemas de avaliação de risco para seguros de saúde e vida (Anexo III, ponto 5(b))

A FRIA deve incluir: descrição dos processos de utilização, período e frequência de utilização, categorias de pessoas singulares e grupos afetados, riscos específicos identificados, medidas de supervisão humana e procedimentos de queixa. Deve ser notificada à autoridade de fiscalização do mercado.

Template FRIA

Avaliação de conformidade — Autoavaliação vs. Terceiros

O Art. 43 define dois procedimentos de avaliação de conformidade para sistemas de alto risco. A escolha entre autoavaliação e avaliação por organismo notificado depende do tipo de sistema e da área de aplicação.

Autoavaliação (Controlo interno) — Anexo VI

Maioria dos sistemas do Anexo III

Quando se aplica:

  • Sistemas do Anexo III, áreas 2 a 8 (infraestruturas críticas, educação, emprego, serviços essenciais, aplicação da lei, migração, justiça)
  • Sistemas de biometria (área 1), quando são aplicadas normas harmonizadas ou especificações comuns

O que envolve:

  • Verificação interna de que o QMS cumpre os requisitos do Art. 17
  • Exame da informação na documentação técnica para avaliar a conformidade do sistema
  • Verificação de que o processo de design e desenvolvimento e a monitorização pós-comercialização são conformes com a documentação técnica
  • Garantia de que o procedimento de avaliação de conformidade foi realizado pelo fornecedor, sem delegação a terceiros
  • Elaboração da declaração UE de conformidade e aposição da marcação CE
O fornecedor é inteiramente responsável pela avaliação e deve conservar toda a documentação durante 10 anos.

Avaliação por terceiros (Organismo notificado) — Anexo VII

Biometria e produtos Anexo I

Quando se aplica:

  • Sistemas de biometria (Anexo III, área 1), quando não são aplicadas normas harmonizadas ou especificações comuns
  • Sistemas que são componentes de segurança de produtos do Anexo I que já exijam avaliação por terceiros ao abrigo da respetiva legislação setorial

O que envolve:

  • Auditoria do QMS pelo organismo notificado para verificar conformidade com o Art. 17
  • Avaliação da documentação técnica (Anexo IV) e dos processos de gestão de riscos (Art. 9)
  • Teste e avaliação independentes do sistema de IA pelo organismo notificado
  • Emissão de um certificado de conformidade (válido por 5 anos, renovável) ou recusa fundamentada
  • Vigilância contínua: o organismo notificado pode realizar auditorias periódicas
  • Qualquer modificação substancial do sistema deve ser comunicada ao organismo notificado
Os organismos notificados são designados pelas autoridades nacionais competentes e devem cumprir os requisitos do Art. 31-39.

Fluxo de conformidade em 12 passos

Resumo do percurso que um fornecedor de um sistema de IA de alto risco deve seguir para cumprir integralmente o AI Act, desde o design inicial até à monitorização contínua após a comercialização.

Passo Ação Referência Descrição
1 Classificar o sistema Art. 6 Determinar se o sistema se enquadra no Anexo I (produto regulado) ou no Anexo III (caso de uso). Avaliar se se aplica a exceção do Art. 6(3).
2 Implementar QMS Art. 17 Implementar e documentar um sistema de gestão da qualidade abrangente, cobrindo todos os aspetos da conformidade.
3 Gestão de riscos Art. 9 Estabelecer o sistema de gestão de riscos contínuo: identificar, analisar, avaliar e mitigar os riscos ao longo de todo o ciclo de vida.
4 Governança de dados Art. 10 Aplicar práticas de governança e qualidade de dados para os conjuntos de treino, validação e teste. Analisar enviesamentos.
5 Documentação técnica Art. 11 + Anexo IV Elaborar a documentação técnica completa antes da colocação no mercado, conforme o Anexo IV.
6 Implementar logging Art. 12 Incorporar capacidade de registo automático de eventos no sistema, com rastreabilidade adequada.
7 Transparência e instruções Art. 13 Garantir a transparência do sistema e elaborar instruções de utilização claras e completas para os deployers.
8 Supervisão humana Art. 14 Incorporar interfaces e mecanismos que permitam a supervisão humana efetiva durante a utilização.
9 Exatidão e robustez Art. 15 Garantir níveis adequados de exatidão, robustez e cibersegurança, com testes e medidas de proteção contra ataques.
10 Avaliação de conformidade Art. 43 Realizar a avaliação de conformidade (autoavaliação ou por organismo notificado, conforme aplicável).
11 Declaração CE e registo Art. 47-49 Elaborar a declaração UE de conformidade (Anexo V), apor a marcação CE e registar o sistema na base de dados da UE (Anexo VIII).
12 Monitorização contínua Art. 72-73 Monitorizar continuamente o sistema após a comercialização, reportar incidentes graves e adotar medidas corretivas quando necessário.
Nota: Este fluxo é cíclico. Qualquer modificação substancial do sistema de IA (Art. 3(23)) obriga a repetir os passos relevantes, incluindo a avaliação de conformidade (passo 10). As PME e startups podem beneficiar de sandboxes regulatórias (Art. 57-62) para testar os seus sistemas em condições controladas antes da plena conformidade.

O seu sistema de IA é de alto risco?

Utilize o classificador de risco para determinar o nível de risco do seu sistema de IA e descubra as obrigações aplicáveis. Aceda também aos templates de conformidade para preparar a documentação necessária.

Classificar sistema de IA Templates de conformidade