Workflow de Incidente Grave (Art. 73)

Prazos exactos, conteúdo mínimo e checklist por tipo de incidente · Aplicável a partir de 2 dez 2027 (Digital Omnibus)

Definição de incidente grave (Art. 3(49))

Nota Digital Omnibus (aprovado definitivamente a 29 jun 2026): aplicabilidade do Art. 73 alinhada com alto risco. Novo prazo: 2 dez 2027 (era 2 ago 2026). Os prazos de notificação de incidente NÃO mudaram (15 dias / 10 dias / 2 dias).

Incidente ou mau funcionamento de um sistema de IA que, direta ou indiretamente, leve a: (a) morte ou dano grave à saúde de uma pessoa; (b) perturbação grave e irreversível da gestão/operação de infraestrutura crítica; (c) infração a obrigações do direito da União destinadas a proteger direitos fundamentais; (d) dano grave a propriedade ou ao ambiente.

Selecione o tipo de incidente

Os prazos do Art. 73 variam consoante a gravidade e tipologia. Selecione o cenário aplicável para ver o workflow completo.

Enquadramento legal: o dever de comunicar incidentes graves

O artigo 73.º do Regulamento (UE) 2024/1689 obriga os fornecedores de sistemas de IA de alto risco a comunicar às autoridades de fiscalização do mercado os incidentes graves — definidos no artigo 3.º, ponto 49, como acontecimentos que levem à morte ou a dano grave à saúde, à perturbação grave e irreversível de infraestruturas críticas, à violação de direitos fundamentais ou a dano grave a bens ou ao ambiente. O prazo geral de notificação é de 15 dias após o fornecedor tomar conhecimento do incidente, reduzido para 10 dias quando há morte de uma pessoa e para apenas 2 dias em caso de perturbação generalizada ou ameaça a infraestruturas críticas. Estes prazos permanecem inalterados após o Digital Omnibus.

O que mudou foi a data de aplicação: como o artigo 73.º acompanha o regime dos sistemas de alto risco do Anexo III, passa a ser exigível a partir de 2 de dezembro de 2027 (anteriormente 2 de agosto de 2026), por força do adiamento aprovado definitivamente em junho de 2026. Preparar já os procedimentos de deteção, escalonamento e reporte é aconselhável, porque quando o dever se tornar exigível a organização precisa de conseguir cumprir prazos que podem ser de apenas dois dias.

Perguntas frequentes

A partir de quando começa a contar o prazo?
A partir do momento em que o fornecedor estabelece o nexo de causalidade entre o sistema de IA e o incidente, ou a razoável probabilidade desse nexo — não necessariamente da data do incidente em si.

Sou deployer, não fornecedor. Tenho de comunicar?
O dever principal recai sobre o fornecedor, mas os deployers têm obrigações de informar o fornecedor e, em certos casos, as autoridades. Confirme o seu papel antes de assumir que está isento.

Limitações. Este workflow é um apoio orientador aos prazos e conteúdos do artigo 73.º e não substitui aconselhamento jurídico nem os canais oficiais de comunicação às autoridades competentes.