Requisitos e obrigações

O que cada operador precisa de fazer para cumprir o AI Act

Obrigações por papel no AI Act

O AI Act distribui as obrigações de forma proporcional ao papel de cada operador na cadeia de valor da IA. O fornecedor (provider) tem as obrigações mais extensas, enquanto os restantes operadores têm responsabilidades proporcionais à sua posição.

Importante: Um mesmo operador pode ter múltiplos papéis simultaneamente (e.g., ser fornecedor de um sistema e utilizador de outro), acumulando as obrigações de cada papel.

Todos os operadores — Literacia IA

Em vigor desde 2 de fevereiro de 2025

Artigo 4.º — Literacia em matéria de IA

Os fornecedores e os utilizadores de sistemas de IA devem tomar medidas para garantir, na melhor medida possível, um nível suficiente de literacia em matéria de IA do seu pessoal e de outras pessoas que lidem com o funcionamento e a utilização de sistemas de IA em seu nome.

Devem ter em conta:

  • Os conhecimentos técnicos, a experiência, o ensino e a formação do pessoal
  • O contexto em que os sistemas de IA serão utilizados
  • As pessoas ou grupos de pessoas em que os sistemas de IA serão utilizados

Ver guia completo de literacia IA

Fornecedor de sistema de alto risco

O fornecedor (provider) de sistemas de IA de alto risco tem as obrigações mais extensas do AI Act. Deve cumprir um conjunto abrangente de requisitos antes de colocar o sistema no mercado ou em serviço.

Obrigação Artigo(s) Descrição
Sistema de gestão de riscos Art. 9 Implementar e manter um sistema de gestão de riscos contínuo ao longo de todo o ciclo de vida, incluindo identificação, análise, estimativa e avaliação dos riscos, e adoção de medidas de mitigação adequadas.
Governação de dados Art. 10 Garantir que os conjuntos de dados de treino, validação e teste são relevantes, suficientemente representativos, isentos de erros e completos.
Documentação técnica Art. 11 Elaborar documentação técnica antes da colocação no mercado, demonstrando conformidade. Inclui descrição geral, algoritmos, dados, testes, medidas de gestão de riscos (Anexo IV).
Conservação de registos Art. 12 Conceber o sistema com capacidade de registo automático (logging) de eventos ao longo da sua vida.
Transparência Art. 13 Garantir transparência suficiente para que os utilizadores interpretem e utilizem adequadamente os resultados. Fornecer instruções de utilização claras.
Supervisão humana Art. 14 Conceber o sistema para supervisão eficaz por pessoas, incluindo mecanismos de interrupção e substituição de decisões.
Exatidão, robustez, cibersegurança Art. 15 Garantir nível adequado de exatidão, robustez e cibersegurança, incluindo resiliência contra manipulação por terceiros.
Sistema de gestão da qualidade Art. 17 Implementar QMS que garanta conformidade, incluindo estratégia, design, desenvolvimento, testes e gestão de dados.
Avaliação de conformidade Art. 43 Realizar avaliação de conformidade: autoavaliação (Anexo VI) para a maioria, ou com organismo notificado (Anexo VII) para identificação biométrica.
Marcação CE Art. 48 Apor marcação CE no sistema ou documentação após avaliação de conformidade bem-sucedida.
Declaração de conformidade UE Art. 47 Elaborar declaração de conformidade UE escrita, mantendo-a à disposição das autoridades durante 10 anos.
Registo na base de dados da UE Art. 49 Registar o sistema na base de dados da UE antes da colocação no mercado, fornecendo informações do Anexo VIII.
Monitorização pós-comercialização Art. 72 Estabelecer sistema de monitorização pós-comercialização proporcional à natureza das tecnologias e riscos.
Comunicação de incidentes graves Art. 73 Comunicar incidentes graves às autoridades de fiscalização imediatamente, no máximo em 15 dias.

Utilizador (deployer) de sistema de alto risco

Supervisão humana

Art. 26(1)

Atribuir a supervisão humana a pessoas com competência, formação e autoridade necessárias, bem como os recursos necessários.

Utilização conforme instruções

Art. 26(1)

Utilizar o sistema conforme as instruções do fornecedor, incluindo medidas de supervisão humana adequadas.

FRIA — Avaliação de impacto

Art. 27

Realizar avaliação de impacto sobre direitos fundamentais (FRIA) antes de colocar em serviço, quando organismo público ou operador privado que preste serviços públicos.

Conservação de registos

Art. 26(6)

Conservar os registos gerados automaticamente durante período adequado, pelo menos 6 meses.

Informar o pessoal

Art. 26(7)

Informar representantes dos trabalhadores e trabalhadores afetados de que estarão sujeitos à utilização do sistema.

Comunicação de riscos

Art. 26(5)

Informar fornecedor/distribuidor e autoridade quando considere que a utilização apresenta risco.

Fornecedor de modelos GPAI

Em vigor desde 2 de agosto de 2025

Documentação técnica

Art. 53(1)(a)

Elaborar e manter atualizada a documentação técnica do modelo, incluindo processo de treino e teste, e resultados da avaliação (Anexo XI).

Política de direitos de autor

Art. 53(1)(c)

Adotar política de cumprimento da legislação da UE em matéria de direitos de autor, respeitando reservas expressas nos termos da Diretiva 2019/790.

Resumo dos dados de treino

Art. 53(1)(d)

Elaborar e disponibilizar publicamente um resumo suficientemente detalhado dos conteúdos utilizados para treino.

Códigos de práticas

Art. 56

Aderir a códigos de práticas aprovados ou demonstrar meios alternativos adequados. Primeiro código publicado a 10/07/2025.

GPAI com risco sistémico (Art. 55): Modelos com >1025 FLOPs têm obrigações adicionais: avaliação do modelo, avaliação e mitigação de riscos sistémicos, monitorização de incidentes e cibersegurança. Ver página GPAI.

Importador

Artigo 23.º — Obrigações dos importadores

Antes de colocar no mercado um sistema de IA de alto risco, o importador deve assegurar que:

  • Avaliação de conformidade: O fornecedor realizou a avaliação de conformidade adequada (Art. 43)
  • Documentação técnica: O fornecedor elaborou a documentação conforme o Anexo IV
  • Marcação CE: O sistema ostenta a marcação CE exigida
  • Declaração de conformidade: O sistema é acompanhado da declaração de conformidade UE (Art. 47)
  • Representante autorizado: O fornecedor designou representante na UE, quando aplicável (Art. 22)
  • Identificação: Indicar no sistema o seu nome, marca e endereço de contacto
  • Condições: Garantir que armazenamento e transporte não comprometem a conformidade
  • Conservação: Manter documentação durante 10 anos

Distribuidor

Artigo 24.º — Obrigações dos distribuidores

Antes de disponibilizar no mercado um sistema de alto risco, o distribuidor deve verificar:

  • Marcação CE: O sistema ostenta a marcação CE exigida
  • Declaração de conformidade: O sistema é acompanhado da declaração e instruções de utilização
  • Identificação: Fornecedor e importador cumpriram as suas obrigações
  • Condições: Armazenamento e transporte não comprometem a conformidade
  • Comunicação: Informar fornecedor/importador se o sistema não estiver conforme

Resumo: obrigações por operador

Obrigação Fornecedor AR Utilizador AR Fornecedor GPAI Importador Distribuidor
Literacia IA (Art. 4)
Gestão de riscos (Art. 9)
Documentação técnica
Supervisão humana
Marcação CE Verificar Verificar
FRIA (Art. 27)
Registo BD da UE (Art. 49)

Classifique o seu sistema de IA

Descubra o nível de risco do seu sistema e as obrigações específicas que se aplicam ao seu caso.

Classificar agora Ver templates