Enquadramento legal: o dever de comunicar incidentes graves
O artigo 73.º do Regulamento (UE) 2024/1689 obriga os fornecedores de sistemas de IA de alto risco a comunicar às autoridades de fiscalização do mercado os incidentes graves — definidos no artigo 3.º, ponto 49, como acontecimentos que levem à morte ou a dano grave à saúde, à perturbação grave e irreversível de infraestruturas críticas, à violação de direitos fundamentais ou a dano grave a bens ou ao ambiente. O prazo geral de notificação é de 15 dias após o fornecedor tomar conhecimento do incidente, reduzido para 10 dias quando há morte de uma pessoa e para apenas 2 dias em caso de perturbação generalizada ou ameaça a infraestruturas críticas. Estes prazos permanecem inalterados após o Digital Omnibus.
O que mudou foi a data de aplicação: como o artigo 73.º acompanha o regime dos sistemas de alto risco do Anexo III, passa a ser exigível a partir de 2 de dezembro de 2027 (anteriormente 2 de agosto de 2026), por força do adiamento aprovado definitivamente em junho de 2026. Preparar já os procedimentos de deteção, escalonamento e reporte é aconselhável, porque quando o dever se tornar exigível a organização precisa de conseguir cumprir prazos que podem ser de apenas dois dias.
Perguntas frequentes
A partir de quando começa a contar o prazo?
A partir do momento em que o fornecedor estabelece o nexo de causalidade entre o sistema de IA e o incidente, ou a razoável probabilidade desse nexo — não necessariamente da data do incidente em si.
Sou deployer, não fornecedor. Tenho de comunicar?
O dever principal recai sobre o fornecedor, mas os deployers têm obrigações de informar o fornecedor e, em certos casos, as autoridades. Confirme o seu papel antes de assumir que está isento.
Limitações. Este workflow é um apoio orientador aos prazos e conteúdos do artigo 73.º e não substitui aconselhamento jurídico nem os canais oficiais de comunicação às autoridades competentes.